Перейти к содержанию

Recommended Posts

Александр Шабанов

Смотрел последние публикации в рунете и наткнулся на неожиданное открытие - по версии Norton Safe Web, Securitylab.ru заражен:

Отчет об угрозах

Всего найдено угроз: 1

Вирусы

Найдено угроз: 1

Здесь приведен полный список:

Название угрозы: Hacktool

Расположение: http://download.securitylab.ru/******/MS04-007-dos.exe

На всякий случай изменил линк, скрин ниже.

securitylabhacktool.jpg

post-3840-1238608057_thumb.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Там же после проверки предлагаются:

Полезные сведения об угрозах (на русском)

http://safeweb.norton.com/safety

Глоссарий (на английском)

http://www.symantec.com/norton/security_re...se/glossary.jsp

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Посмотрим на год выпуска данного эксплойта (2004 г.), посмотрим на определение 'вредоноса' (hacktool - то есть: ни в коем случае такое, от чего можно заразиться), и имеем в виду, какое сегодня число. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Потому что не нужно что попало выкладывать по публичным линкам, это как видим чревато...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rem

Если можно, небольшой оффтоп Эхо Москвы:

_http://www.echo.msk.ru/

th_15709_673707_123_855lo.jpg

http://safeweb.norton.com/report/show?url=...amp;x=8&y=8

А я туда частенько заходил почитать\послушать :)

PS. Здесь молчек http://online.drweb.com/?url=1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Проверка по странам показала, что наиболее известна ему зона США, многие русские и иностранные он ещё не проверял, потому как пишет: "Проверка запланирована".

Что ж это нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Потому что не нужно что попало выкладывать по публичным линкам, это как видим чревато...

С этим можно спорить, конечно - если не было бы таких ресурсов как хttp://www.milw0rm.com/ (откуда securitylab обычно берёт свои 'материалы'), многие производители софта ещё более самодовольно продолжали бы надувать народ про 'безопасность' своих продуктов - таким образом хоть заставляют быстро принимать меры. Дело в том, что эксплойты только выкладываются когда уже давно от производителя софта ничего не слышно, несмотря на то, что уведомление об уязвимости было. Таким образом Клиент всё-таки Король, и я считаю, что это правильно.

Только что ещё нашли 0-day уязвимость (то есть: в дикой природе уже используется) в Firefox но не выложили эксплойт - опять DoS с повреждением памяти; пусть вендор спешит с ремонтом 'самого безопасного' браузера, а то некоторые думают до сих пор, что в нём можно безопасно свои пароли сохранять. То, что NoScript может сделать всё-таки ограничено, так как он использует при работе именно политики самого браузера, и он не до того тонко определяет ресурсы, как, например, Adblock Plus это делает... Как известно, программы защиты могут только дать то, что позволяет та платформа, на которой они стоят... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если можно, небольшой оффтоп Эхо Москвы:

Жесть просто - 22 угрозы ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
safeweb.norton.com/report/show?url=...amp;x=8&y=8

А я туда частенько заходил почитать\послушать smile.gif

Те страницы, которые указаны safeweb.norton.com действительно заражены.

Заливается через эксплоит вот этот троян:

http://www.virustotal.com/ru/analisis/df02...b629653488bf72f

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Сергей Ильин

Жесть просто - 22 угрозы ...

Вовсе не жесть. На подобных сайтах всегда были, есть и будут вредоносные программы. И смотря какие это угрозы опять же... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Жесть просто - 22 угрозы ...

Ну для такого авторитетного СМИ как Эхо Москвы это действительно совсем даже не положительный фактор, видимо они используют один из 15 антивирусных продуктов, которые не знают данной угрозы :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Кирилл Керценбаум

Тоже вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Проблема эта НИКОГДА не решится со стороны клиента. Как только мы это осознаём будут приняты реальные меры. Надо перестать быть жертвами неграмотных вебмастеров. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorTT3

Не понятно c Norton Safe Web и echo.msk.ru.

Указаны 22 угрозы для echo.msk.ru. На странице приведены 10 угроз. Но все они для old.echo.msk.ru.

На сайте old.echo.msk.ru похоже только время текущее, а все последние новости за февраль 2008 г.

Текущий сайт www.echo.msk.ru

Вопрос. Какой сайт проверяет Norton Safe Web при заданном www.echo.msk.ru?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Вопрос. Какой сайт проверяет Norton Safe Web при заданном www.echo.msk.ru?

Предполагаю, что old.echo.msk.ru на том же ресурсе как и echo.msk.ru (IP-адрес один и тот же); поэтому он заодно тоже проверяется. Поиск по ссылке явно echo.msk.ru.

Видимо имеется 22 зловреда из 10 типов. Только примеры этих типов даются, то есть: не полный список того, что можно ещё найти где-то на данном ресурсе...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorTT3
old.echo.msk.ru на том же ресурсе как и echo.msk.ru (IP-адрес один и тот же)

IP разные 212.118.62.200 и 212.118.62.195 соответственно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
IP разные 212.118.62.200 и 212.118.62.195 соответственно.

Да, ошибся :( - Нортон сканирует, видимо, не тот ресурс.

old.echo.msk.ru

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Нортон сканирует, видимо, не тот ресурс

А я что говорил. :)

многие русские и иностранные он ещё не проверял, потому как пишет: "Проверка запланирована".

Он выдаёт результаты из ранее проиндексированной базы адресов.

И смотрит только индекс сайта, а не все страницы. Все остальные у него В ПЛАНЕ.

У робота же не 1.000.000 рук, что ему разорваться что ли... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Да, ошибся - Нортон сканирует, видимо, не тот ресурс.

Совсем не факт. Алгоритм обработки следующий - заходим на сайт, а затем начинаем проходить по всем ссылкам, которые ведут в пределах того же домена. Так что Safe Web увидел ссылку на Старую версию сайта - домен тот же - и пошел сканировать его и нашел зараженные объекты, на текущей же версии ничего найдено не было

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Кирилл Керценбаум

А если дать Safe Web заранее ссылку на вредоносный сайт, и он найдёт там кучу вирья, и добавит эту информацию в базу, и... и... и...

А в итоге, будут ли приняты какие-то меры к выведению "владельца" на чистую воду?

Или в этом плане всё иначе построено? И сайт будет продолжать заражать компьютеры пользователей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов

Свеженькие вердикты:

- virusinfo.info

- qip.ru

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Свеженькие вердикты:

- virusinfo.info

Это неудивительно; в архивах, например, может быть всякое, особенно ссылки на недобрые сайты... Так что - в будущем будет 'ещё лучше'.

Bloodhound.Exploit.6

Risk Level 1: Very Low

Детект эвристики на уязвимость в IE6 c 2004 г... Круто...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Паул,так например в моем разделе на форуме ЛК-тоже много чего выкладывают иногда-и что,он чист по вердикту Norton Safe Web... Не думаю что ему( Norton Safe Web) вообще можно серьезно доверять... Так, маркетинговая фича...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Вот нарыл по нему подозрительные скрипты,может я ошибаюсь,но эта вещь не ошибается,а пока скрипт сайта смотрел и NoScript'ом успел прикрыть,там что-то прыгало и хотело пролезть,но не смогло.

Проверил эту вещь - она везде почти есть.Тем более что-то хотело меня перенаправить,но я не отдался.Синий квадратик с белой стрелкой,типа поворот направо.Что там прыгало и что хотело перенаправить,я не понял.

<iframe src="http://ads.adfox.ru/1399/getCode?p1=wmh&p2=ye&p3=a&p4=a&pucn=a&pfc=wkg&pfb=a&pr=' + pr + '&pt=b&pd=' + addate.getDate() + '&pw=' + addate.getDay() + '&pv=' + addate.getHours() + '&py=a" frameBorder="0" width="728" height="90" marginWidth="0" marginHeight="0" scrolling="no" style="border: 0px; margin: 0px; padding: 0px;"><a href="http://ads.adfox.ru/1399/goDefaultLink?p1=wmh&p2=ye" target="_top"><img src="http://ads.adfox.ru/1399/getDefaultImage?p1=wmh&p2=ye" border="0" alt=""><\/a><\/iframe>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×