Перейти к содержанию

Recommended Posts

Александр Шабанов

Смотрел последние публикации в рунете и наткнулся на неожиданное открытие - по версии Norton Safe Web, Securitylab.ru заражен:

Отчет об угрозах

Всего найдено угроз: 1

Вирусы

Найдено угроз: 1

Здесь приведен полный список:

Название угрозы: Hacktool

Расположение: http://download.securitylab.ru/******/MS04-007-dos.exe

На всякий случай изменил линк, скрин ниже.

securitylabhacktool.jpg

post-3840-1238608057_thumb.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Там же после проверки предлагаются:

Полезные сведения об угрозах (на русском)

http://safeweb.norton.com/safety

Глоссарий (на английском)

http://www.symantec.com/norton/security_re...se/glossary.jsp

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Посмотрим на год выпуска данного эксплойта (2004 г.), посмотрим на определение 'вредоноса' (hacktool - то есть: ни в коем случае такое, от чего можно заразиться), и имеем в виду, какое сегодня число. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Потому что не нужно что попало выкладывать по публичным линкам, это как видим чревато...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rem

Если можно, небольшой оффтоп Эхо Москвы:

_http://www.echo.msk.ru/

th_15709_673707_123_855lo.jpg

http://safeweb.norton.com/report/show?url=...amp;x=8&y=8

А я туда частенько заходил почитать\послушать :)

PS. Здесь молчек http://online.drweb.com/?url=1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Проверка по странам показала, что наиболее известна ему зона США, многие русские и иностранные он ещё не проверял, потому как пишет: "Проверка запланирована".

Что ж это нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Потому что не нужно что попало выкладывать по публичным линкам, это как видим чревато...

С этим можно спорить, конечно - если не было бы таких ресурсов как хttp://www.milw0rm.com/ (откуда securitylab обычно берёт свои 'материалы'), многие производители софта ещё более самодовольно продолжали бы надувать народ про 'безопасность' своих продуктов - таким образом хоть заставляют быстро принимать меры. Дело в том, что эксплойты только выкладываются когда уже давно от производителя софта ничего не слышно, несмотря на то, что уведомление об уязвимости было. Таким образом Клиент всё-таки Король, и я считаю, что это правильно.

Только что ещё нашли 0-day уязвимость (то есть: в дикой природе уже используется) в Firefox но не выложили эксплойт - опять DoS с повреждением памяти; пусть вендор спешит с ремонтом 'самого безопасного' браузера, а то некоторые думают до сих пор, что в нём можно безопасно свои пароли сохранять. То, что NoScript может сделать всё-таки ограничено, так как он использует при работе именно политики самого браузера, и он не до того тонко определяет ресурсы, как, например, Adblock Plus это делает... Как известно, программы защиты могут только дать то, что позволяет та платформа, на которой они стоят... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если можно, небольшой оффтоп Эхо Москвы:

Жесть просто - 22 угрозы ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
safeweb.norton.com/report/show?url=...amp;x=8&y=8

А я туда частенько заходил почитать\послушать smile.gif

Те страницы, которые указаны safeweb.norton.com действительно заражены.

Заливается через эксплоит вот этот троян:

http://www.virustotal.com/ru/analisis/df02...b629653488bf72f

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Сергей Ильин

Жесть просто - 22 угрозы ...

Вовсе не жесть. На подобных сайтах всегда были, есть и будут вредоносные программы. И смотря какие это угрозы опять же... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Жесть просто - 22 угрозы ...

Ну для такого авторитетного СМИ как Эхо Москвы это действительно совсем даже не положительный фактор, видимо они используют один из 15 антивирусных продуктов, которые не знают данной угрозы :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Кирилл Керценбаум

Тоже вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Проблема эта НИКОГДА не решится со стороны клиента. Как только мы это осознаём будут приняты реальные меры. Надо перестать быть жертвами неграмотных вебмастеров. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorTT3

Не понятно c Norton Safe Web и echo.msk.ru.

Указаны 22 угрозы для echo.msk.ru. На странице приведены 10 угроз. Но все они для old.echo.msk.ru.

На сайте old.echo.msk.ru похоже только время текущее, а все последние новости за февраль 2008 г.

Текущий сайт www.echo.msk.ru

Вопрос. Какой сайт проверяет Norton Safe Web при заданном www.echo.msk.ru?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Вопрос. Какой сайт проверяет Norton Safe Web при заданном www.echo.msk.ru?

Предполагаю, что old.echo.msk.ru на том же ресурсе как и echo.msk.ru (IP-адрес один и тот же); поэтому он заодно тоже проверяется. Поиск по ссылке явно echo.msk.ru.

Видимо имеется 22 зловреда из 10 типов. Только примеры этих типов даются, то есть: не полный список того, что можно ещё найти где-то на данном ресурсе...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorTT3
old.echo.msk.ru на том же ресурсе как и echo.msk.ru (IP-адрес один и тот же)

IP разные 212.118.62.200 и 212.118.62.195 соответственно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
IP разные 212.118.62.200 и 212.118.62.195 соответственно.

Да, ошибся :( - Нортон сканирует, видимо, не тот ресурс.

old.echo.msk.ru

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Нортон сканирует, видимо, не тот ресурс

А я что говорил. :)

многие русские и иностранные он ещё не проверял, потому как пишет: "Проверка запланирована".

Он выдаёт результаты из ранее проиндексированной базы адресов.

И смотрит только индекс сайта, а не все страницы. Все остальные у него В ПЛАНЕ.

У робота же не 1.000.000 рук, что ему разорваться что ли... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Да, ошибся - Нортон сканирует, видимо, не тот ресурс.

Совсем не факт. Алгоритм обработки следующий - заходим на сайт, а затем начинаем проходить по всем ссылкам, которые ведут в пределах того же домена. Так что Safe Web увидел ссылку на Старую версию сайта - домен тот же - и пошел сканировать его и нашел зараженные объекты, на текущей же версии ничего найдено не было

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Кирилл Керценбаум

А если дать Safe Web заранее ссылку на вредоносный сайт, и он найдёт там кучу вирья, и добавит эту информацию в базу, и... и... и...

А в итоге, будут ли приняты какие-то меры к выведению "владельца" на чистую воду?

Или в этом плане всё иначе построено? И сайт будет продолжать заражать компьютеры пользователей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов

Свеженькие вердикты:

- virusinfo.info

- qip.ru

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Свеженькие вердикты:

- virusinfo.info

Это неудивительно; в архивах, например, может быть всякое, особенно ссылки на недобрые сайты... Так что - в будущем будет 'ещё лучше'.

Bloodhound.Exploit.6

Risk Level 1: Very Low

Детект эвристики на уязвимость в IE6 c 2004 г... Круто...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Паул,так например в моем разделе на форуме ЛК-тоже много чего выкладывают иногда-и что,он чист по вердикту Norton Safe Web... Не думаю что ему( Norton Safe Web) вообще можно серьезно доверять... Так, маркетинговая фича...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Вот нарыл по нему подозрительные скрипты,может я ошибаюсь,но эта вещь не ошибается,а пока скрипт сайта смотрел и NoScript'ом успел прикрыть,там что-то прыгало и хотело пролезть,но не смогло.

Проверил эту вещь - она везде почти есть.Тем более что-то хотело меня перенаправить,но я не отдался.Синий квадратик с белой стрелкой,типа поворот направо.Что там прыгало и что хотело перенаправить,я не понял.

<iframe src="http://ads.adfox.ru/1399/getCode?p1=wmh&p2=ye&p3=a&p4=a&pucn=a&pfc=wkg&pfb=a&pr=' + pr + '&pt=b&pd=' + addate.getDate() + '&pw=' + addate.getDay() + '&pv=' + addate.getHours() + '&py=a" frameBorder="0" width="728" height="90" marginWidth="0" marginHeight="0" scrolling="no" style="border: 0px; margin: 0px; padding: 0px;"><a href="http://ads.adfox.ru/1399/goDefaultLink?p1=wmh&p2=ye" target="_top"><img src="http://ads.adfox.ru/1399/getDefaultImage?p1=wmh&p2=ye" border="0" alt=""><\/a><\/iframe>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      даже скомплировалось, но интереса никакого не представляет, проще использвать WMI для этого, который и в XP работает в отличии от этого примера,  еще и работает криво, даже набортную видео память правильно определить не смогло, 4Gb рисует вместо 11gb. а это вообще не в тему.
    • PR55.RP55
      Возможно будет полезно. 1) Обнаружение GPU intel с примером кода. https://software.intel.com/ru-ru/articles/gpu-detect-sample 2) Использование GPU - Visual Studio  в плане тестирования. https://msdn.microsoft.com/ru-ru/library/mt126195.aspx    
    • demkd
      это если пользоваться regedit-ом, впрочем там невозможно обнулить dacl там можно его сделать пустым, что приведет к обратному - недоступности ключа для всех пользователей кроме владельца, если убивать dacl программно то ничего не появляется его просто нет и ключ доступен для всех. Сами исправят когда-нибудь, я им не пользуюсь. Увы, но майнеры работают напрямую с библиотеками amd opencl или с cuda nvidia или просто с opencl какой зацепят включая интеля, через них можно получить общую загрузку gpu для родной карты, но не раскладку по процессам, ну разве что за исключением nvidia quadro у них есть свои бибилиотки и там вроде как можно что-то вытянуть, но опять же только для quadro.
      Да и это не актуально, я набросал на коленке небольшую тестовую утилиту через direct-x, все довольно точно считает и в 10-ке и в 7-ке, вряд ли оно конечно будет работать в XP, но оно и не надо впрочем желающие протестируют, добавлю в след. версии uVS, будет считать аналогично CPU с момента запуска процесса, такой подход майнеров CPU/GPU выявляет замечательно, они грузят постоянно, а значит и процент близкий 100 выходит, на фоне практически нуля для всех остальных процессов.
    • PR55.RP55
      Dragokas Да, сегодня искал по данному вопросу информацию. https://ru.bmstu.wiki/Кража_веб-страниц,_запускаемых_в_браузере_пользователя,_с_использованием_уязвимостей_графического_процессора + Ещё будет полезна информация полученная по:  tasklist  [ Память ] https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/tasklist  
    • Dragokas
      Раз уж в них такие нестыковки по показаниям GPU, проще наверное взять исходники какого-нибудь консольного майнера. Там обычно отображаются и учитываются все такие нагрузки, уже заточена поддержка под несколько видеокарт и даже можно задать ограничения. Можно начать с NiceHashMiner - там внутри папки есть все наиболее популярные майнеры и дальше уже смотреть, у какого из них есть исходник, в крайнем случае списаться с автором.
×