Показано с 1 по 20 из 20.

очень странная сыла

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rdog
    Регистрация
    08.11.2007
    Сообщений
    527
    Вес репутации
    325

    очень странная сыла

    в 2 словах .друг(в другом городе) вчера через скайп ( браузеры не открывал мандраж)) с его слов -при попытке открыть любую папку выдает сообщение что комп заражен.автоматом запусk IE и переход по сылке --H-t-t-p://free-viruscan.com./id/4912933/4/1/ лечил каспером .не помогло ( к сожалению логи дать не сможет -переустановил винду- Вопрос знатокам)) что за сией сылкой? сам я боюсь лезть туда))
    Если у тебя нет паранойи,это не значит,что за тобой не следят

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Там довольно широко раздаваемый сейчас фальшивый антивирус, т.н. Антивирус 2008, Антивирус ХР, Антивирус 2009, Awola антивирус и т.д.
    Касперский детектирует это как FraudTool, дрвеб как Trojan.Fakealert.
    Этот якобы антивирус находит на чистом компьютере тучу троянов, за лечение требует деньги. Устанавливается это троянами, распространяемыми через закладки на взломанных сайтах.
    Судя по массовости и изощренности способов раздачи - этим занимается какая-то компания, это их грязный бизнес. Используют и свои ресурсы, и услуги известных троянских дистрибьюторов. Раздают свои фальшивки не только под именем антивирусов, но и как утилиты для обеспечения безопасности и т.п., этого добра в разных видах уже много.
    Такие фальшивки существуют давно, но в последние несколько месяцев их число резко возросло, кто-то явно вложил средства в этот вид мошенничества.

    P.S. Хотя, когда эта штука есть - компьютер чистым назвать точно нельзя, но вот себя-то оно как раз не находит

  4. #3
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    но в последние несколько месяцев их число резко возросло
    по-моему они намного больше распространены у буржуев, в русскоговорящем инете - намного меньше.
    можете поделиться статистикой? интересно узнать сколько у них и сколько у нас.
    а есть русские фальшивые антивирусы? т.е сделанные русскоговорящим челом и с интерфейсом на русском языке?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Статистики такой поделиться не могу. Просто личные впечатления и логические выводы.
    Это раздается троянами, разницы по IP для разных стран у дистрибьюторов нет. Используемый на некоторых раздающих сайтах Neosploit стопроцентно имеет такую возможность, но она не использована. Т.е. возможность получить это сейчас одинакова и для русскоговорящих, и нет.
    Не проверял, есть ли русский интерфейс у всех, просто было неинтересно. У некоторых есть, емнип.

    На этих сайтах использованы и эксплойты, работающие в т.ч. и с Firefox 3.0 (если не использован noscript). Вот Оперу совсем не ценят и не уважают, редиректят на гугль.

  6. #5
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Это раздается троянами, разницы по IP для разных стран у дистрибьюторов нет.
    это на русскоязычных сайтах или все-таки больше на буржуйских? как происходил взлом сайта?

    Используемый на некоторых раздающих сайтах Neosploit стопроцентно имеет такую возможность, но она не использована.
    вроде всякие мпаки и айспаки тоже так могут, но и без этого - это 20 строк кода... видимо правда товарищам-вредителям все равно кому раздавать эти мнимые антивирусы

    Не проверял, есть ли русский интерфейс у всех, просто было неинтересно.
    жаль - если бы был где-то русский интерфейс, то можно было бы точно сказать, что "антивирус" заточен под русскую аудиторию. но я считаю, что для рф он малость не актуален - у нас люди покупать не будут. т.е процент купивших будет на несколько порядков меньше чем за бугром.

    под мозиллу 2.0.0.15 не видел эксплоита кстати.., равно как и под последнюю оперу.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Число заражений сайтов не очень зависит от языка сайта, тем более что они хостятся где угодно, кто их там особо разбирает. Ссылки внедряются скриптом по списку, не живым человеком. А, к примеру, для спамботов русские компьютеры ничем не хуже. Да и разделение труда сказывается - ломают одни, раздают другие, не разбирая особо, кто там русскоязычный, кто нет.
    Списки софта для загрузчиков не очень различаются для RU и для "не RU", это скорее исключения.

    А Мозилла наверняка умеет открывать PDF в Adobe Reader (Firefox именно это и делает), а этого хватит. CVE-2007-5659. Эксплойты с сайтов раздают, значит, есть отдача, зря не держали бы.
    http://www.adobe.com/support/securit...apsa08-01.html

    Добавлено через 28 минут

    А эксплойты непростые, поразительно мало кто их детектит. Притом что первой панику в паблике подняла TrendMicro
    Код:
    File 2E538625d01 received on 07.04.2008 17:59:30 (CET)
    Current status: finished 
    Result: 2/33 (6.07%) 
    
    Compact 
    
    Print results 
    
    Antivirus       Version         Last Update     Result 
    AhnLab-V3       2008.7.4.1      2008.07.04      - 
    AntiVir         7.8.0.64        2008.07.04      - 
    Authentium      5.1.0.4         2008.07.04      - 
    Avast           4.8.1195.0      2008.07.04      - 
    AVG             7.5.0.516       2008.07.03      - 
    BitDefender     7.2             2008.07.04      - 
    CAT-QuickHeal   9.50            2008.07.04      - 
    ClamAV          0.93.1          2008.07.04      - 
    DrWeb           4.44.0.09170    2008.07.04      Exploit.PDF 
    eSafe           7.0.17.0        2008.07.03      - 
    eTrust-Vet      31.6.5927       2008.07.04      - 
    Ewido           4.0             2008.07.04      - 
    F-Prot          4.4.4.56        2008.07.03      - 
    F-Secure        7.60.13501.0    2008.07.03      - 
    Fortinet        3.14.0.0        2008.07.04      - 
    GData           2.0.7306.1023   2008.07.04      - 
    Ikarus          T3.1.1.26.0     2008.07.04      - 
    Kaspersky       7.0.0.125       2008.07.04      - 
    McAfee          5332            2008.07.04      - 
    Microsoft       1.3704          2008.07.04      - 
    NOD32v2         3243            2008.07.04      - 
    Norman          5.80.02         2008.07.04      - 
    Panda           9.0.0.4         2008.07.03      - 
    Prevx1          V2              2008.07.04      - 
    Rising          20.51.42.00     2008.07.04      - 
    Sophos          4.31.0          2008.07.04      - 
    Sunbelt         3.1.1509.1      2008.07.04      - 
    Symantec        10              2008.07.04      - 
    TheHacker       6.2.96.370      2008.07.04      - 
    TrendMicro      8.700.0.1004    2008.07.04      - 
    VBA32           3.12.6.8        2008.07.03      - 
    VirusBuster     4.5.11.0        2008.07.04      - 
    Webwasher-Gateway 6.6.2         2008.07.04      Exploit.PDF.Recursedecrypt.gen (suspicious) 
    Additional information 
    File size: 9642 bytes 
    MD5...: af50aace962d3402be52e3bb7b384f11 
    SHA1..: de7efe3ae55c99bef87eb5b1b5cd7797976f2bc1 
    SHA256: bbd66b4238766722279d260588967bd12ae9b3a8aab2f59f084b2af1ae2cef9f 
    SHA512: d7d1240c9f9a087efd8f4e252fb10c69b3a63d1e95683285164823c76664b89e
    8bb0059f13c383a451f0ccac206667c611fd43d14cf28227fec583ea40cbe381
    Последний раз редактировалось Alexey P.; 04.07.2008 в 20:11. Причина: Добавлено

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    398
    А если нет Adobe Reader, то это не особо опасно?
    Если детектит Webwasher, то должна и Авира по идее тоже детектить
    Клуб любителей Symantec - http://symantecclub.ru/

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Цитата Сообщение от senyak Посмотреть сообщение
    А если нет Adobe Reader, то это не особо опасно?
    По идее должно бы так, но я в этом совсем не уверен. Один раз у меня сработал сам скрипт-загрузчик, без PDF. Т.е. Firefox получил скрипт, а PDF, который должен был идти за ним, так и не появился, экзешники и без него уже загрузились и заработали. Возможно, скрипт и сам кое-что умеет, а PDF уже для страховки .
    Если детектит Webwasher, то должна и Авира по идее тоже детектить
    У вебвашера и своя база имеется, как видите.

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rdog
    Регистрация
    08.11.2007
    Сообщений
    527
    Вес репутации
    325
    спасибо вам ВСЕМ!! новая инфа -откуда он ее подцепил.Для просмотра клипа было предложено скачать флеш...(не помнит что) скачал, и вместо клипа получил эту заразу(
    Если у тебя нет паранойи,это не значит,что за тобой не следят

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    398
    А, кодеки для просмотра ролика. Никогда не нажимайте на ссылки от спам-ботов

    Добавлено через 5 часов 37 минут

    Гляньте ссылку. Это очередная кака или что-то нормальное (хотя не думаю)? А то на вирустотал не один антивирус не определяет его
    antispyspider.us/
    Последний раз редактировалось senyak; 05.07.2008 в 16:32. Причина: Добавлено
    Клуб любителей Symantec - http://symantecclub.ru/

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Очередной супер "антивирус",теперь есть поддержка русского языка(наверное услышали наши отзывы ),адрес сайта в черном списке антивируса Касперского и распознается как фишерский...

    В самой программе ничего интересного,как всегда куча ошибок и проблем,но за исправление нужно отдать денежку...

    Расценки:

    Sign me up for an upgrade to InternetAnonymizer. You will be billed one-time charge of only 449.95 RUB.

    I want to have Premium Support with dedicated support manager, remote control system & instant messaging consultant + call back service 24/7 ONLY for 399.95 RUB
    Интерфейс на ваш суд...
    Последний раз редактировалось Гриша; 14.07.2008 в 10:05.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    398
    Тоесть сама программа не вредоносная? Я в Авиру отослал, но по выходным вир лаб отдыхает у них. Может скоро и они его добавят в черный список
    Гриша - спасибо!
    Клуб любителей Symantec - http://symantecclub.ru/

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Этого не смотрел,но детект ей обеспечен

  15. #14
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    То Alexey P.:
    Алексей, у вас по-моему какое-то искаженное представление о том, что вы говорите

    Число заражений сайтов не очень зависит от языка сайта, тем более что они хостятся где угодно, кто их там особо разбирает.
    по-моему хостинг тут играет десятую роль - все бизнес сайты, что я делаю на заказ я хочу на фрихостиа.ком - хостинг бесплатный и буржуйский, но сайты русскоязычные (хостинг кстати хороший - все что надо поддерживает и мозги не парит)


    Ссылки внедряются скриптом по списку, не живым человеком.
    ифреймер называется. есть как под винду версии, так и на пыхе.


    А, к примеру, для спамботов русские компьютеры ничем не хуже. Да и разделение труда сказывается - ломают одни, раздают другие, не разбирая особо, кто там русскоязычный, кто нет.
    ну это понятно, кто что умеет тот то и делает - кто-то продает трафф, кто-то загрузки, кто-то трояны.


    Эксплойты с сайтов раздают, значит, есть отдача, зря не держали бы.
    качество связки определяется по пробиву выраженному в процентах - сколько из зашедших людей получили себе файл на комп и был получен "отстук". 20% - это уже очень хорошая связка. конечно все зависит и от траффика - бизнес или адалт.

    А эксплойты непростые, поразительно мало кто их детектит.
    связка эксплоитов - это прежде всего пхп скрипты - они, как известно, выполняются на сервере и в браузер выдается лишь кое-что - то что скрипт посчитает нужным выдать (интеллектуальная связка или нет - от этого например зависит) - поэтому сам файл (сами скрипты на пхп) не так уж и важно детектить - важно насколько хорошо детектится то, что выдается в браузер - вот главная задача.
    т.е простым криптованием или перепиской пхп скрипта - сами файлы палиться перестанут. а вот выдача кода в браузер не изменится - т.е надо ее изменять немного, что бы авер не палил то, что выдается в браузер..


    То Гриша:

    теперь есть поддержка русского языка
    спасибо, вы меня порадовали)) неужели кто-то решил за русский рынок приняться) хотя зря)
    промтом диз переведен?))

    I want to have Premium Support with dedicated support manager, remote control system & instant messaging consultant + call back service 24/7 ONLY for 399.95 RUB
    а вот это огорчает - неужели не могли и это перевести)))

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Не знаю чем он переведен

    Мне както времени не хватает,на то чтобы еще и переводом заниматься ...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Цитата Сообщение от priv8v Посмотреть сообщение
    То Alexey P.:
    по-моему хостинг тут играет десятую роль - все бизнес сайты, что я делаю на заказ я хочу на фрихостиа.ком - хостинг бесплатный и буржуйский, но сайты русскоязычные (хостинг кстати хороший - все что надо поддерживает и мозги не парит)
    Иногда ломают хостера, и в раздачу попадают все его клиенты. Тогда хостер играет первую роль . Некоторые хостеры и не по одному разу уже отличились.
    связка эксплоитов - это прежде всего пхп скрипты - они, как известно, выполняются на сервере и в браузер выдается лишь кое-что - то что скрипт посчитает нужным выдать (интеллектуальная связка или нет - от этого например зависит) - поэтому сам файл (сами скрипты на пхп) не так уж и важно детектить - важно насколько хорошо детектится то, что выдается в браузер - вот главная задача.
    Нет, я как раз о тех скриптах, которые выдаются браузеру (точнее, разным браузерам).

  18. #17
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Иногда ломают хостера, и в раздачу попадают все его клиенты. Тогда хостер играет первую роль . Некоторые хостеры и не по одному разу уже отличились.
    да, в таком случае - конечно.

    Нет, я как раз о тех скриптах, которые выдаются браузеру (точнее, разным браузерам).
    хм... а я подумал что это вы проверяли сам пхп файл)
    если проверять то, что выдается разным браузерам - если интеллектуальная связка, то она проверяет, что за браузер и что за версия и тогда уже выдает нужный скрипт в браузер, заточенный именно под него и именно под эту версию... - согласен, именно это и нужно детектить... (вопрос о переделке связки не стоит - очень немногие в состоянии обфусцировать то, что выдается в браузер)

    как показывает опыт лишь небольшой процент юзающих связки вносит в них какие-то изменения (чаще всего даже конфиг не трогают, боясь повредить - т.к знаний - ноль)

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    398
    Гриша - antiSpy Spider (антишпион) ни кто не спишит добавлять в базы http://www.virustotal.com/ru/analisi...d97020dafabae6

    Добавлено через 24 минуты

    Надо же, Агнитум его ловит так:
    Имя: AntispySpider
    Тип: Rogue Anti-Spyware

    Описание:
    A suspicious anti-spyware product.
    Но ссылку не добавили, хоть я им и отсылал с сылкой
    Последний раз редактировалось senyak; 12.07.2008 в 05:21. Причина: Добавлено
    Клуб любителей Symantec - http://symantecclub.ru/

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    not-a-virus:FraudTool.Win32.AntiSpySpider.bp по Касперскому...

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    398
    Помоему его кроме Каспера и Аутпоста никто незнает. Плохо. Ща буду опять немцам тыкать фаил
    Клуб любителей Symantec - http://symantecclub.ru/

Похожие темы

  1. странная ситуация
    От larik218 в разделе Помогите!
    Ответов: 0
    Последнее сообщение: 13.10.2010, 16:37
  2. Странная зараза
    От GDE в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 22.09.2010, 09:41
  3. Странная Опера
    От Hawker в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 31.01.2009, 03:40
  4. Странная ошибка!
    От scraches в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 09.11.2008, 23:52
  5. Странная ошибка.
    От Katana в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 29.10.2008, 14:31

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01421 seconds with 19 queries