# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  >  Проверка URL'ов, есть ли смысл?

## DVi

> Жду чего-то подобного и от Касперских  особенно плагинчик не помешал бы


Вряд ли дождетесь, ибо: http://forum.kasperskyclub.com/index...ndpost&p=23991

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

А что-то вроде http://online.drweb.com/?url=1 есть в планах? Только чтобы скрипты, картинки проверял...

----------


## icon

> Вряд ли дождетесь, ибо: http://forum.kasperskyclub.com/index...ndpost&p=23991


Как я понимаю, смысл не только в проверке страниц, но и в проверке файлов без закачки, что в условиях недешевого инета иногда актуально.
А вообще, оффтоп уже.

----------


## DVi

> А что-то вроде http://online.drweb.com/?url=1 есть в планах?


Максим, учитесь читать и понимать прочитанное: данный выше ответ по плагину и есть ответ на Ваш вопрос. 



> Только чтобы скрипты, картинки проверял...


А кто будет платить за входящий трафик антивирусного сервера? 



> Как я понимаю, смысл не только в проверке страниц, но и в проверке файлов без закачки, что в условиях недешевого инета иногда актуально.


На многих download-серверах уже давно не дают прямой ссылки на скачивание: обычно это ссылка на скрипт, который после нескольких редиректов выдает файл. Поэтому такой плагин бесполезен и в этих случаях - фактически он проверяет отлупы веб-сервера вместо файла дистрибутива.

P.S. Действительно, это уже оффтопик. Если хочется поговорить про бесплатную проверку URL'ов - заведите новую тему.

----------


## SuperBrat

DVi, а по-моему, Maxim вашей фирме комплимент сделал? Мол, есть хорошая вещь у ваших конкурентов, но я им не доверяю, а вашей буду пользоваться. А вы его отшили.  :Wink:

----------


## Макcим

> Максим, учитесь читать и понимать прочитанное: данный выше ответ по плагину и есть ответ на Ваш вопрос.


Не совсем. Расход трафика на систему плагинов гораздо больше, чем форма проверки на сайте. Почему? Посылать на проверку всякий мусор через форму нет так удобно как через плагин, злоупотреблений будет меньше. 



> А кто будет платить за входящий трафик антивирусного сервера?


А кто платит сейчас? Или формой проверки файлов ни кто не пользуется? Неужели в Москве нет безлимитных тарифов?

*SuperBrat*, я уже привык. Виталий считает, если я не понял его высказывание с первого раза, значит я не внимательно читаю.

----------


## pig

Безлимитные тарифы есть только для частных лиц. Да не такие уж они и безлимитные на самом деле.

----------


## Макcим

Ну моя безлимитка 200 Кбит\сек для меня в самом деле безлимитка. Хотя если поднимут скорость в 2-3 раза не откажусь  :Smiley:

----------


## Зайцев Олег

> Безлимитные тарифы есть только для частных лиц. Да не такие уж они и безлимитные на самом деле.


Дело не в безлимтке, а в том, о чем говорил DVi выше, если резюмировать:
1. Без проверки на N уровней в глубину нельзя выдать нормальный вердикт, заражен сайт или нет. А если проходить эти N уровней, то это время + дикий трафик + тот факт, что время отклика многих сайтов делеко не нулевое. И если на проверяемой страничке туча ссылок на рулетки/баннеры и прочую дребедень, то все это придется по хорошему отработать
2. Обход ссылок и анализ будет делать "робот", имеющий один или несколько внешних IP - зловредописателю не составит труда сделать динамическую выдачу страниц - роботу чистую, юзеру - зловреда
3. Если такой сервис приживется, то это мощнейшая нагрузка на канал и сервер как в лаборатории, так и на проверяемых серверах - WEB мастера не придут в восторг от того, что их сайты будет сканировать что-то там, снижая быстродействие
4. Многие ссылки и редиректы ведутся скриптами, по хорошему для их отработки придется эмулировать браузер + скрипт-машину браузера. А если скрипт выдаст сообщение на экран, требующее интрактивности ? Как тогда это эмулировать - проверять все варианты ?

С другой стороны, WEB антивирусу к примеру в KIS наплевать, каким образом пользователь получает данные из Инет и сколько итераций такой загрузки прошло - найдя зловреда он его проблокирует независимо от того, тащили его прямой ссылкой или это 169 итерация из редиректов по туче старниц и скриптов.

----------


## Макcим

Вопросов больше нет. Спасибо.

----------


## icon

Несмотря на всё вышесказанное, достаточно часто удается проверить архивчик без закачки себе на комп, сэкономив трафик.  :Smiley: 
Ориентированный на юзера сервис, так сказать.
>>А кто будет платить за входящий трафик антивирусного сервера?
Хм. Интересный вопрос.
Кто же платит за доктора?  :Smiley:

----------


## Зайцев Олег

> Несмотря на всё вышесказанное, достаточно часто удается проверить архивчик без закачки себе на комп, сэкономив трафик.


Вот это как раз делать не стоит ! См. п.п. 2 - а что если там хитрый PHP скриптик или хитрая настройка сервера, которая для проверялки выдает чистый объект, а для обычного юзера - заразу ? Построить такое разграничение по IP очень просто ...

----------


## icon

Такое, наверное, возможно. Но я не знаю зачем и кому это нужно?
Тех кто пользуется всякими подобными сервисами  - очень мало. Соответственно никто под это дело отдачу затачивать не будет. А лишнее упоминание где-нибудь в прессе или на любом форуме полезно предоставляющему такой сервис.  :Smiley: 
P.S. А архивчик ведь всё-равно локально будет проверен.
P.P.S. Если говорить о том, что всё это создает некую иллюзию безопасности, то кто из любых антивирусов эту иллюзию не создает?  :Smiley:  Раздел "Помогите" - отличное подтверждение этого тезиса.

Суммируя. 
Лично я не расстроюсь если не будет вообще такого сервиса, но если он есть, то почему бы и не воспользоваться возможностями им предоставляемыми?

----------


## TANUKI

2 DVi и Зайцев Олег,
На что расчитывали вэбберовцы при разработке этого плагина? Кстати, кто-то из ДрВэб вступится за свой продукт?  :Smiley:

----------


## Shu_b

> На что расчитывали вэбберовцы при разработке этого плагина? Кстати, кто-то из ДрВэб вступится за свой продукт?


Хм... на то, на что он и рассчитан - проверка файла по ссылке, не более и не менее. Да и вступаться тут некому.

----------


## icon

> На что расчитывали вэбберовцы при разработке этого плагина?


Странный вопрос.
Плагин работает.  :Smiley:

----------


## Shu_b

http://forum.drweb.com/message/6087/0/#60260



> На данный момент плагин проверяет лишь объект на который указывает
> ссылка, будь то файл, html-страница, итп. Разбор страниц и проверка
> скриптов, ссылки на которые могут быть внутри, планируется реализовать.

----------


## Zveroboy

> ,,,Кстати, кто-то из ДрВэб вступится за свой продукт?


а что, кто-то должен вступаться/защищать? Вы в роли нападющего из команды другого антивируса решили напасть на конкурента? 
Умерьте свой пыл, остыньте, глубоко вздохните и выдохните. Во время процедуры думайте о чём-то приятном. Повторите упражение 3 раза.

"Ребята, давайте жить дружно" (с) Кот Леопольд

----------


## DVi

> Суммируя. 
> Лично я не расстроюсь если не будет вообще такого сервиса, но если он есть, то почему бы и не воспользоваться возможностями им предоставляемыми?


+1. Кроме того, это отличная рекламная площадка.

P.S. В начале этой темы я лишь написал, почему ЛК не делает такого сервиса.

----------


## icon

>>Умерьте свой пыл, остыньте, глубоко вздохните и выдохните. Во время процедуры думайте о чём-то приятном. Повторите упражение 3 раза.

Кнопку спасибо, к сожалению, нажать нельзя. Наверное, потому что "Сообщения: 1"
А так: +1  :Smiley:

----------


## DVi

> "Ребята, давайте жить дружно" (с) Кот Леопольд


+1

ОФФ:
Добро пожаловать, *Zveroboy*!
Может быть, Вам удастся позвать сюда вирусных аналитиков DrWeb - это было очень полезно для команды Вирусинфо. Я затаскивал сюда аналитиков ЛК, но пока с переменным успехом.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## SuperBrat

> Кнопку спасибо, к сожалению, нажать нельзя. Наверное, потому что "Сообщения: 1"
> А так: +1


Репутацию добавьте.  :Wink:

----------


## SDA

http://forum.drweb.com/viewtopic.php?t=6087
"Тем не менее даже с имеющимся функционалом плагин очень неплохо
определяет зараженные веб-страницы, сейчас это в основном
VBS.Packfor, VBS.Psyme (у Storm - VBS.Psyme.434) и т.д.
У Касперски Лаб и на тот сервис, который предоставляет бесплатный
DrWeb плагин, духу не хватило. Я предлагал г-ну Никишину организовать
аналогичный сервис примерно года два назад. Сказали, дорого и накладно.
А то, что они пишут по вышеприведенной ссылке - оно понятно, работа у них
такая.
P.S. Загружать на сайт и проверять _все_ ссылки, имеющиеся на
проверяемой странице - имхо, довольно затратная вещь, её придется
как-то ограничивать разумными рамками. Страницы разными бывают, некоторые
гейтвеи тонны мусора по редиректам закачивают, накручивают клики.
Best regards, Alexey"

Согласен с DVi по  поводу вирусных аналитиков DrWeb, послушать комментарии аналитиков на нетральной площади (virusinfo.info), а не постить ссылки на форумы DrWeb и ЛБ.

----------


## DVi

За два года слова "дорого и накладно" не потеряли своей актуальности. 
+ проявилось достаточно много минусов, о которых написал я и подтвердил *Alexey P.*

----------


## borka

> За два года слова "дорого и накладно" не потеряли своей актуальности. 
> + проявилось достаточно много минусов, о которых написал я и подтвердил *Alexey P.*


Так Вы ж про плюсы не написАли...

----------


## DVi

> Так Вы ж про плюсы не написАли...


Отчего ж не написал? Написал выше.

----------


## borka

> Отчего ж не написал? Написал выше.


Возможно, рекламная площадка - это само собой. Но то, что это реально работает, и юзеры не скачивают Пластиксы и ему подобные веСТЧи - это факт. Проверено неоднократно.

----------


## DVi

Борис, вот первая же запомнившаяся мне ссылка на форуме DrWeb.
Alexey Podtoptalow проверил указанный сайт плагином и авторитетно заявил, что сайт чист. А между тем в этот момент там сидел всем нам известный iframe со ссылкой на Psyme. Psyme грузился автоматически всем зашедшим туда пользователям и моментально исполнялся в браузере. За собой он тянул Tiny.eo и Small.ddy. А что за собой тянули эти два зверька, я уже не разбирался.

Как Вы полагаете, плагин выполнил свою работу в данном случае?

----------


## borka

> Борис, вот первая же запомнившаяся мне ссылка на форуме DrWeb.
> Alexey Podtoptalow проверил указанный сайт плагином и авторитетно заявил, что сайт чист. А между тем в этот момент там сидел всем нам известный iframe со ссылкой на Psyme. Psyme грузился автоматически всем зашедшим туда пользователям и моментально исполнялся в браузере. За собой он тянул Tiny.eo и Small.ddy. А что за собой тянули эти два зверька, я уже не разбирался.


Ну, во-первых, нужно спросить у Алексея, что и как он проверял.  :Wink:  Плюхином или не. Думается, он проверял не плюхином. Во-вторых, я ужЕ не помню, был ли известен Доктору на тот момент *именно этот* Псюме. Но неоднократно видел ответ сервера о зараженности сайта клонами этого вируса.




> Как Вы полагаете, плагин выполнил свою работу в данном случае?


Я же не говорю, что плюхин - это панацея. Но в некоторых случаях здОрово помогает.

----------


## DVi

> Ну, во-первых, нужно спросить у Алексея, что и как он проверял.  Плюхином или не. Думается, он проверял не плюхином.


Если Алексей вспомнит этот инцидент, он сам нам расскажет, как было дело. Думаю, если бы он как обычно вел наблюдение со своей тестовой машины, он не мог бы не заметить весь тот зоопарк, который лез вслед за этим Псаймом.




> Во-вторых, я ужЕ не помню, был ли известен Доктору на тот момент *именно этот* Псюме.


Весь этот топик посвящен тому, что проверять ссылку следует неограниченно глубоко, чтобы полностью эмулировать поведение браузера пользователя. В этом случае, если бы DrWeb не знал конкретно этого Псайма, он выявил бы Тини или Смолла, или еще хоть кого-нибудь из цепочки зловредов.

Ну а так как полностью эмулировать поведение браузера практически невозможно, то и эффективность проверки ссылок на отдельно стоящем сервере подвергается мной сомнению. Гораздо большей эффективностью обладает прокси-сервер, прозрачно проверяющий весь трафик браузера - ему нет необходимости имитировать действия браузера.

----------


## borka

> Весь этот топик посвящен тому, что проверять ссылку следует неограниченно глубоко, чтобы полностью эмулировать поведение браузера пользователя. В этом случае, если бы DrWeb не знал конкретно этого Псайма, он выявил бы Тини или Смолла, или еще хоть кого-нибудь из цепочки зловредов.
> 
> Ну а так как полностью эмулировать поведение браузера практически невозможно, то и эффективность проверки ссылок на отдельно стоящем сервере подвергается мной сомнению. Гораздо большей эффективностью обладает прокси-сервер, прозрачно проверяющий весь трафик браузера - ему нет необходимости имитировать действия браузера.


В идеале - конечно, нужно проверять все. Но того плюхина, который есть, вполне хватает для проверки открыто лежащей заразы.

----------


## icon

> Но того плюхина, который есть, вполне хватает для проверки открыто лежащей заразы.


Которой весьма и весьма хватает.

----------


## TANUKI

*2 Shu_b,*
Плагин работает, причем, не смотря на выпады конкурентов. Это не панацея, но лишняя подстраховка не помешает  :Wink:  И спасибо команде Вэба, что она выпускает такие удобные и простые решения, как это плагин и CureIT. Вопрос: "на что расчитывали" нес в себе скорее попытку узнать - стоило ли выпускать плагин, которые так критикуют, и, порой, вполне оправданно, конкуренты.
Как вижу "вступаться" нашлось кому и это хорошо, потому как сторонний читатель сможет лучше разобраться в этом вопросе. 

*2 Zveroboy,*
*
Умерьте свой пыл, остыньте, глубоко вздохните и выдохните. Во время процедуры думайте о чём-то приятном. Повторите упражение 3 раза.*

Со своей стороны советую вам проделать тоже самое, что бы в более спокойном, а не взвинченном настроении ВНИМАТЕЛЬНЕЙ читать сообщения форума. Это стоит делать хотя бы для того, что не приписывать людям несуществующих обидных качеств. Я не отношусь ни к какой из "команд", не состою в стаде или корпоративных группах. Это вам на будущее, вдруг опять забудетесь, не вчитаетесь, и припишете ересь к моему образу. 

Если вы читали мое предыдущие сообщение, то, наверное бы, до вас дошло хоть каким-то образом, что никаким боком "опускать" продукцию Вэба я не собирался, а наоборот, благодарил за очень удобное и полезное решение. После появления критики на сайте ЛК мне, например, очень захотелось разобраться в этом вопросе подробнее, потому и попытался своей репликой дать понять кому-то из форумчан-вэбовцев (расчитывал, что такие найдутся), что пользователям их плагина хочется услышать точку зрения разработчика на критику. Оправдываться никто не обязан, а вот ответить на критическую оценку, причем данную в весьма гонористой и принебрежительной форме на сайте ЛК я думаю, просто необходимо. О чем и написал. Что не так?

П. С. С уважением отношусь к разработчикам любых антивирусов, потому что они делают важную и полезную работу. Очень расстраивает, что словестные перепалки в форумах между ЛК и ДрВэб носят систематический характер.  :Sad:

----------


## pig

> *2 Zveroboy,*
> *
> Умерьте свой пыл, остыньте, глубоко вздохните и выдохните. Во время процедуры думайте о чём-то приятном. Повторите упражение 3 раза.*
> 
> Со своей стороны советую вам проделать тоже самое, что бы в более спокойном, а не взвинченном настроении ВНИМАТЕЛЬНЕЙ читать сообщения форума. Это стоит делать хотя бы для того, что не приписывать людям несуществующих обидных качеств. Я не отношусь ни к какой из "команд", не состою в стаде или корпоративных группах. Это вам на будущее, вдруг опять забудетесь, не вчитаетесь, и припишете ересь к моему образу.


Так это вроде бы не вам советовали... Я так думаю (c)

----------


## Зайцев Олег

> ....
> Весь этот топик посвящен тому, что проверять ссылку следует неограниченно глубоко, чтобы полностью эмулировать поведение браузера пользователя. В этом случае, если бы DrWeb не знал конкретно этого Псайма, он выявил бы Тини или Смолла, или еще хоть кого-нибудь из цепочки зловредов.
> 
> Ну а так как полностью эмулировать поведение браузера практически невозможно, то и эффективность проверки ссылок на отдельно стоящем сервере подвергается мной сомнению. Гораздо большей эффективностью обладает прокси-сервер, прозрачно проверяющий весь трафик браузера - ему нет необходимости имитировать действия браузера.


Вот именно ... эмулировать поведение браузера можно (тогда уже точнее - браузеров), но это будет уже не плагин, а целый аппаратный аналитический комплекс. И анализировать он будет со скоростью примерно 1 URL в минуту на узел, не быстрее. Анализ бедет очень глубоким и тщательным, но очень медлинным и трафикопрожорливым.
Теперь по поводу плагина - если уже так хочется народу, я могу сделать тулзу-плагин для KIS7, который будет проверять указанную ссылку, используя ресурсы и трафик локального ПК + AV ядро KIS ... на этой тулзе народ сможет убедиться в правоте наших слов

----------


## SuperBrat

> Теперь по поводу плагина - если уже так хочется народу, я могу сделать тулзу-плагин для KIS7, который будет проверять указанную ссылку, используя ресурсы и трафик локального ПК + AV ядро KIS ... на этой тулзе народ сможет убедиться в правоте наших слов


Злые вы.  :Wink:  Угрожать начали.  :Smiley:  Где ж это видано - свои ресурсы тратить! Лучше будем ресурсы online.drweb.com использовать.

----------


## Зайцев Олег

> Злые вы.  Угрожать начали.  Где ж это видано - свои ресурсы тратить! Лучше будем ресурсы online.drweb.com использовать.


Мы не злые, мы реалисты  :Smiley:  Проверять ресурс нужно с IP того, кто его хочет качать !! Это аксиома ... ибо зловредописатели далеко не дураки и давно существуют блек-листы IP, принадлежащих вирлабам и разным там анализаторам

----------


## SuperBrat

По поводу web-страниц мне и в голову не приходит проверять их на online.drweb.com или только лишь там. Про то как зловреды маскируются для online.drweb.com - в курсе. А вот когда стоит выбор качать тот или иной софт (нет ли в нем шпионов), а канал у меня не широкий, я иду к "добрым людям" на online.drweb.com. Спасибо им за доброту, а ЛК за реализм.  :Wink:

----------


## Зайцев Олег

> По поводу web-страниц мне и в голову не приходит проверять их на online.drweb.com или только лишь там. Про то как зловреды маскируются для online.drweb.com - в курсе. А вот когда стоит выбор качать тот или иной софт (нет ли в нем шпионов), а канал у меня не широкий, я иду к "добрым людям" на online.drweb.com. Спасибо им за доброту, а ЛК за реализм.


В принципе тут опять-же может быть заковыка - для анализатора архив будет выдан нормальный, для пользователя - с шпионом. Более того, большинство файловых и варезных архивов содержат разные антиличи и прочие системы защиты от публикации прямых ссылок на файл. Т.е. если я вижу в файловом архиве ссылку вида http://z-oleg.com/files/66287883299E...puper-file.zip, то скачать этот файл смогу только я (длинный бредокод в адресе привызывает линк к моему IP) - если передать такой URL стороннему сервису WEB проверки, то он обратится по указанном URL, получит в ответ код 200 и текстовую страничку с описанием, как нехорошо качать файлы по чужим ссылкам и выдаст вердикт, что все чисто). защититься от этого можно, если сервис показывает размер файла (online.drweb.com  показывает - т.е. если вместо 16 мб я получаю 16 кб, то ясно, что сработала привязка к IP).
Тема к сожалению постепенно скатывается на флейм, что плохо, так как проблема проверки WEB ресурсов - это актуальная тема, так как в последний год я наблюдаю очень активный рост защиты от WEB проверялок. Причем реализуется он двумя базовыми путями:
1. Статический список-фильтр (я для опыта сделал примерчик - http://z-oleg.com/eicar.php - он выдает EICAR для всех IP и чистый объект для проверялки online.drweb.com). Я лично на подобные "грабли" налетал уже неоднократно
2. Динамический список - первое обращение с любого IP приводит к выдаче зловреда, второе - выдается безвредный мусор, т.к. на IP автоматом ставится бан. Следовательно ПК юзеров будут заражаться, а любая автопроверялка за счет многократных обращений сама себя забанит.
Вариант 2 эффективен и против админов - если выход в Инет через прокси или NAT транслятор, то соответственно юзер получит зловреда, а проверяющий открытые юзером ссылки админ получит мусор (у них общий внешний IP - блокировка сработает).

----------


## DVi

> (я для опыта сделал примерчик - http://z-oleg.com/eicar.php - он выдает EICAR для всех IP и чистый объект для проверялки online.drweb.com)


Угу, работает как написано.




> Я лично на подобные "грабли" налетал уже неоднократно


Все налетали - достаточно посмотреть топик url сайтов, с которых инсталлируется malware в закрытой части форума. Там неоднократно возникали споры: "- У меня зловред виден на этой странице. - А у меня нет."

----------


## borka

> Я лично на подобные "грабли" налетал уже неоднократно


Я тоже. И тем не менее, если при проверке линка плюхин сообщает, что там живет пара VBS.PackFor, то это сразу говорит о многом.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## DVi

> Я тоже. И тем не менее, если при проверке линка плюхин сообщает, что там живет пара VBS.PackFor, то это сразу говорит о многом.


Если говорит - то это говорит обо всем сразу. Жаль, что пример с http://z-oleg.com/eicar.php не объяснил Вам, насколько легко вирусописателю защититься от этого плагина.

----------


## icon

>>Жаль, что пример с http://z-oleg.com/eicar.php не объяснил Вам, насколько легко вирусописателю защититься от этого плагина
Странный разговор.
Говорят легко обмануть можно и любой антивирус, но при этом полностью отказываться от антивируса на венде не желательно.
Плагин не всегда, но работает, так же как и все антивирусы не знают 0-day вирусов, но никто не говорит, что антивирус нужно выкинуть.
Проблемы подобных плагинов, описанные здесь понятны, так же как и понятны проблемы необнаружения вирусов антивирусами.
То, что КЛ не будет делать подобный сервис тоже понятно. Нет, ну и не надо. Думаю, найдете куда потратить сэкономленное.  :Smiley: 
Так же понятно, что отказываться от сервиса вэба тоже смысла нет, поскольку он может быть иногда полезен.

----------


## TANUKI

> Так это вроде бы не вам советовали... Я так думаю (c)


Да нет, именно мне.

----------


## DVi

icon, Вы очень правильно резюмировали эту беседу. Спасибо.
Полагаю тему исчерпанной.

----------


## Alexey P.

1. Скриптов на той странице на момент проверки не было, это я помню точно.
Потому как пришлось их тогда искать. Нашел, но не на том сайте.
2. DVi, если не очень сложно - корректнее, плиз, когда пишете о работе других.
3. Насчет упомянутых блэк-листов - на сайте с закладкой их не бывает.
Да и блокировки онлайна я ещё не видел. Даже наоборот - из дому мне трояны не отдаются, а онлайну - пожалуйста  :Smiley: .

ЗЫ: Даже простейшая онлайн-проверка файлов и та с ограничением размера файла 1 мБ.
 Это уже политика фирмы, и присутствующими здесь она никак не определяется, лишь добросовестно соблюдается. Даже чересчур добросовестно.
 А упомянутые технические сложности работы плагина и онлайн-URL вполне решаемы - было бы желание.

----------


## DVi

Вероятно, я мог ошибиться, приведя ссылку на сообщение *Alexey P.* на форуме DrWeb в качестве доказательства неполной работоспособности плагина. Я приношу свои извинения Алексею за свои домыслы (вполне вероятно, что и не имевшие под собой оснований).

Поэтому ниже я даю ссылку на сообщение *Alex Plutoff*, недвусмысленно иллюстрирующее все вышесказанное. *Alex Plutoff* показал, что плагин не обнаружил  зверька, а аналитическое исследование *Alexey P.* показало наличие целого зоопарка: http://forum.drweb.com/index.php?met...t.0&clearoff=1

----------


## Sanja

>3. Насчет упомянутых блэк-листов - на сайте с закладкой их не бывает.
Ой как вы ошибаетесь.. еще как бывает.

Стоит ли рассказывать что вся закладка на сайте состиои из ифрейма на вредоносный пхп скрипт. а этот скрипт определяет версию браузера, банит 2йные обращения, фильтрует "нужные" ИП.

----------


## Alexey P.

> >3. Насчет упомянутых блэк-листов - на сайте с закладкой их не бывает.
> Ой как вы ошибаетесь.. еще как бывает.
> 
> Стоит ли рассказывать что вся закладка на сайте состиои из ифрейма на вредоносный пхп скрипт. а этот скрипт определяет версию браузера, банит 2йные обращения, фильтрует "нужные" ИП.


 Наверное, не стоит.
Фильтр - не на сайте с закладкой, он на троянском сайте с мпак или аналогом.
 А детектится уже тот первый айфрейм - думаю, видели. До вредоносного пхп скрипта в таком варианте дело уже не доходит.

----------


## Sanja

В том то и дело что нифига не детектится  :Smiley:

----------


## borka

> В том то и дело что нифига не детектится


Это почему еще? Если ифрейм известен, то почему бы ему не детектиться?

----------


## DVi

> Если ифрейм известен, то почему бы ему не детектиться?


Тут вот какая загвоздка: многие интернет-счетчики используют механизмы <iframe src="" width=0 height=0>. Мы пробовали построить простенький эвристик на этих данных - и в тот же день получили большой поток фолсов. Пришлось убрать эту запись из антивирусных баз.

Похожая на этот "эвристик" (по замыслу, а не по исполнению) запись VBS.PackFor страдает ровно тем же самым. И если техподдержка DrWeb не получает жалоб своих пользователей по поводу этой записи, то лишь из-за несовпадения массива пользователей и массива ложняков.

Или Вы говорите о детекте конкретных УРЛов, указываемых в свойстве *src* этих  фреймов?

----------


## Alexey P.

Вы точно в этом не одиноки. Слышал, что такую же "эвристику" делал вебвашер.
 Но до внедрения в фильтры у них дело вроде не дошло.

----------


## borka

> Тут вот какая загвоздка: многие интернет-счетчики используют механизмы <iframe src="" width=0 height=0>. Мы пробовали построить простенький эвристик на этих данных - и в тот же день получили большой поток фолсов. Пришлось убрать эту запись из антивирусных баз.


Да, я видел достаточно много честных ифреймов на вполне честных сайтах. Тут без фолсов не обойдется.  :Sad: 




> Похожая на этот "эвристик" (по замыслу, а не по исполнению) запись VBS.PackFor страдает ровно тем же самым. И если техподдержка DrWeb не получает жалоб своих пользователей по поводу этой записи, то лишь из-за несовпадения массива пользователей и массива ложняков.


Это сигнатурный детект, насколько я понимаю.




> Или Вы говорите о детекте конкретных УРЛов, указываемых в свойстве *src* этих  фреймов?


Нет, я говорю о самой конструкции в целом. Например,
<iframe src="hттp://traffnew.biz/dl/adv659.php" width=1 height=1></iframe> и т. п. Если это вирусный ифрейм (Вирлаб определил), и он есть в базах (Вирлаб внес), то он будет найден при проверке страницы.

----------


## DVi

> Это сигнатурный детект, насколько я понимаю.


Да, там положена сигнатура на скриптовый упаковщик, а не на его содержимое. Поэтому я назвал это "как бы эвристикой".




> Нет, я говорю о самой конструкции в целом. Например,
> <iframe src="hттp://traffnew.biz/dl/adv659.php" width=1 height=1></iframe> и т. п. Если это вирусный ифрейм (Вирлаб определил), и он есть в базах (Вирлаб внес), то он будет найден при проверке страницы.


Понятно. Такие простые конструкции мы вносим прямиком в базу черных адресов в виде маски на домен (если выяснено, что весь домен является зловредным).

----------


## Alexey P.

Как обещал Евгений Кузин, доработана онлайн-проверка Dr.Web плагинами.
Найденные в коде страницы скрипты и фреймы разбираются и проверяются также содержащиеся в них ссылки.
 См. http://forum.drweb.com/message/6087/0/#63756

----------


## borka

> Как обещал Евгений Кузин, доработана онлайн-проверка Dr.Web плагинами.
> Найденные в коде страницы скрипты и фреймы разбираются и проверяются также содержащиеся в них ссылки.
>  См. http://forum.drweb.com/message/6087/0/#63756


При проверке линка это выглядит следующим образом:
* Размер файла: 19812 байт, с учётом скриптов и фреймов: 58046 байт

www.drweb.com - archive HTML
>www.drweb.com/Script.0 - OK
>www.drweb.com/Script.1 - OK
>www.drweb.com/Script.2 - OK
www.drweb.com - OK

Эта страница включает в себя внешние скрипты/ фреймы. Все они были также проверены:

http://www.google-analytics.com/urchin.js
http://www.drweb.com/wz_tooltip.js*

----------


## DVi

Простите, что поднимаю эту тему. Месяц назад я не заметил ее обновления.



> Как обещал Евгений Кузин, доработана онлайн-проверка Dr.Web плагинами.
> Найденные в коде страницы скрипты и фреймы разбираются и проверяются также содержащиеся в них ссылки.
>  См. http://forum.drweb.com/message/6087/0/#63756


Спасибо за информацию.
До какого уровня разбираются скрипты и фреймы?
Исполняются ли при этом скрипты типа document.write(unescape(eval(...))), которые составляют сейчас большинство инжектов на страницы?

Иными словами - если в странице лежит скрипт, который дописывает в конец страницы iframe, который в свою очередь содержит похожий скрипт, который опять-таки дописывает в конец страницы iframe (и так до десятка уровней вложенности - Вы ведь, Алексей, с этим знакомы), и в этом последнем iframe сидит детектируемый антивирусным движком VBS.PackFor, который и грузит реального зловреда - на каком уровне остановится проверяльщик УРЛов?
Если он не дойдет до конца - можно ли доверять результату его проверки и открывать проверенную страницу в браузере?




> *Эта страница включает в себя внешние скрипты/ фреймы. Все они были также проверены:
> 
> http://www.google-analytics.com/urchin.js
> http://www.drweb.com/wz_tooltip.js*


Эта страница содержит не только внешние скрипты и фреймы, но и другие потенциально опасные внешние мультимедиа-файлы. Просмотрите информацию, которую дает об этой странице Firefox - Вы увидите баннер с Рамблера. Он был проверен антивирусом?

----------


## Alexey P.

DVi, всё проще - сделайте лучше, и люди будут Вам искренне благодарны.
Очень желательно тоже в виде бесплатного сервиса.

ЗЫ: А искать соринку в глазу ближнего, традиционно не замечая бруса в своём - не царское это дело.

----------


## borka

> До какого уровня разбираются скрипты и фреймы?
> Исполняются ли при этом скрипты типа document.write(unescape(eval(...))), которые составляют сейчас большинство инжектов на страницы?
> Иными словами - если в странице лежит скрипт, который дописывает в конец страницы iframe, который в свою очередь содержит похожий скрипт, который опять-таки дописывает в конец страницы iframe (и так до десятка уровней вложенности - Вы ведь, Алексей, с этим знакомы), и в этом последнем iframe сидит детектируемый антивирусным движком VBS.PackFor, который и грузит реального зловреда - на каком уровне остановится проверяльщик УРЛов?
> Если он не дойдет до конца - можно ли доверять результату его проверки и открывать проверенную страницу в браузере?


Вопрос об этом стоЯл тогда же, когда появилась проверка скриптов и фреймов. Разбор этих структур обещались сделать. Не все сразу.

----------


## DVi

Alexey P., так ведь сделали уже. Да, не бесплатно - а в составе коммерческого антивируса. Который стоит столько же, сколько и продукт DrWeb (а в некоторых местах и дешевле).

Я всего лишь объясняю, почему проверять что-либо с сервера антивирусной компании априори бесполезно.

Поверьте, тут нет аналогии между соринкой и бревном. Такой сервис действительно не дает никакой гарантии, что проверенный URL можно загружать в свой браузер. Для гарантии он должен :
проверить все айфреймы до последнего уровня вложенности,проверить все внедренные на страницу и на эти айфреймы медиа-файлы,исполнить в виртуальной среде все скрипты,сделать это он должен именно в момент открытия страницы в браузере пользователясделать это он должен именно с IP-адреса пользователя
Потому что неисполнение любого из этих пунктов влечет за собой отсутствие гарантии чистоты URL'а, даже если антивирус имеет соответствующую сигнатуру соответствующего зверька.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## borka

> Alexey P., так ведь сделали уже. Да, не бесплатно - а в составе коммерческого антивируса. Который стоит столько же, сколько и продукт DrWeb (а в некоторых местах и дешевле).
> 
> Я всего лишь объясняю, почему проверять что-либо с сервера антивирусной компании априори бесполезно.
> 
> Поверьте, тут нет аналогии между соринкой и бревном. Такой сервис действительно не дает никакой гарантии, что проверенный URL можно загружать в свой браузер. Для гарантии он должен :
> проверить все айфреймы до последнего уровня вложенности,проверить все внедренные на страницу и на эти айфреймы медиа-файлы,исполнить в виртуальной среде все скрипты,сделать это он должен именно в момент открытия страницы в браузере пользователясделать это он должен именно с IP-адреса пользователя
> Потому что неисполнение любого из этих пунктов влечет за собой отсутствие гарантии чистоты URL'а, даже если антивирус имеет соответствующую сигнатуру соответствующего зверька.


Еще раз: не все сразу.

----------


## DVi



----------


## borka

Вообще говоря, этот скрипт пока не детектится Доктором, поэтому линк-чекер не при делах...

----------


## Макcим

Прошу обратить внимание - это бесплатный сервис. А это платный http://forum.kaspersky.com/index.php?showtopic=79907 и результат такой же - пользователь подхватил трояна.


> На странице был ещё скрипт не знакомый Касперскому. Я его вчера в вирлаб отправил.
> Занесли в базу - теперь это Trojan-Downloader.JS.Iframe.rs, уже определяется.

----------


## SDA

Разве лечение вирусов на форуме ЛК платное?

----------


## borka

> Разве лечение вирусов на форуме ЛК платное?


Речь не о лечении на форуме. DVi сказал, что проверку ссылок сделали в платном продукте - антивирусе, но результат оказался таким же: незнакомый вирус почему-то не определился,  :Wink:  ну и сел в систему. И только усилиями хелперов был уничтожен.  :Smiley:

----------


## ALEX(XX)

> незнакомый вирус почему-то не определился,


Да Вы что??..  :Shocked:  Какая досада... Неужели такое бывает?  :Smiley:

----------


## DVi

> Вообще говоря, этот скрипт пока не детектится Доктором, поэтому линк-чекер не при делах...


Опять 25...
Какая разница, есть сигнатура этого скрипта в базах или нет. Скрипт, показанный на картинке, всего лишь рисует тег iframe и незаметно перебрасывает юзера на другую страницу, где, в свою очередь, стоит еще один iframe. Так вот суть в том, что антивирус может прекрасно определять истинного зверя, спрятанного за этим нагромождением фреймов - но линк-чеккер этого не покажет ни при каком раскладе.

----------


## XP user

Мои 5 копеек - Смысл всегда есть, хотя результат будет не 100-процентный, но такое же относится ко всем проверкам файлов или ссылок антивирусными программами, ибо: так как фолсить не хотят, и нет смысла до пенсии ждать результатов проверки файлов/ссылок на новых, ещё неизвестных зловредов, результат определяется либо по сигнатурам, либо методами эвристики:
1) определённое количество инструкций
2) возможно определённое заданное время (в миллисекундах)
3) найден кусок кода, похожий на вирусный код
4) неизвестная инструкция - не понял, значит 'хороший код'.

Дополнительная проблема линк-чеккеров/программ веб-защиты ещё в том, что они могут просто не иметь доступ ко всем он-лайновым ресурсам, и поэтому будут автоматом *предполагать*, что там всё чисто.
P.S.: Поэтому призываю ещё раз - все антивирусные решения должны иметь модуль по принципу NoScript в Firefox.

Paul

----------


## DVi

> Занесли в базу - теперь это Trojan-Downloader.JS.Iframe.rs, уже определяется


Да, и такое пока бывает, к сожалению. Но скоро все станет сильно лучше.

----------


## Макcим

> Опять 25...


Вот именно. 



> Так вот суть в том, что антивирус может прекрасно определять истинного зверя, спрятанного за этим нагромождением фреймов - но линк-чеккер этого не покажет ни при каком раскладе.


В том примере, что я приводил выше это не помогло - антивирус пропустил не только скрипт, но и зверя. Все грешат.

*Добавлено через 1 минуту*




> Да, и такое пока бывает, к сожалению. Но скоро все станет сильно лучше.


???

----------


## borka

> Да Вы что??..  Какая досада... Неужели такое бывает?


Ну-у-у... Случилось же как-то...  :Wink:

----------


## borka

> Опять 25...
> Какая разница, есть сигнатура этого скрипта в базах или нет. Скрипт, показанный на картинке, всего лишь рисует тег iframe и незаметно перебрасывает юзера на другую страницу, где, в свою очередь, стоит еще один iframe. Так вот суть в том, что антивирус может прекрасно определять истинного зверя, спрятанного за этим нагромождением фреймов - но линк-чеккер этого не покажет ни при каком раскладе.


Насчет "25" не знаю, но объясню еще раз  :Smiley:  - да, проверка пока простая, да, проверка несовершенная, но если на самой странице есть *детектируемый* зловред, то о нем будет сообщено. А разница существенная: знакомый зловред - будет о нем информация, незнакомый - соответственно, не будет. Вот и всё. И неважно, сколько ифреймов во сколько ифреймов будет завернуто - если детектится первый (который на главной странице), то пользователь будет предупрежден и на страницу не пойдет.  :Smiley: 
Надеюсь, через пару часов детект этой страницы будет.  :Smiley: 

*Добавлено через 34 минуты*




> Мои 5 копеек - Смысл всегда есть, хотя результат будет не 100-процентный, но такое же относится ко всем проверкам файлов или ссылок антивирусными программами, ибо: так как фолсить не хотят, и нет смысла до пенсии ждать результатов проверки файлов/ссылок на новых, ещё неизвестных зловредов, результат определяется либо по сигнатурам, либо методами эвристики:


О стопроцентном результате никто и не говорит.

*Добавлено через 1 минуту*




> Да, и такое пока бывает, к сожалению. Но скоро все станет сильно лучше.


Это не командлайновая ли тулза для проверки ссылок?  :Wink:

----------


## DVi

> И неважно, сколько ифреймов во сколько ифреймов будет завернуто - если детектится первый (который на главной странице), то пользователь будет предупрежден и на страницу не пойдет.


Зверь не обязан находиться на самой странице. И не обязан внедряться в нее через iframe. Уже были прецеденты заражения баннерных сетей. 
Поэтому проверка ссылок бесполезна по своей сути - линк-чеккер проверяет совсем не то, что получает в браузер пользователь, зайдя на страницу.




> Это не командлайновая ли тулза для проверки ссылок?


Нет, конечно.

----------


## Alexey P.

Виталий, Ваша проблема в том, что Вы опираетесь только на теоретические рассуждения. Это естественно - проверить не на чем, своего чекера нет и не предвидится.
 На практике же проверка ссылок фиксирует очень много детектов. С учётом того, что это бесплатный сервис - бесполезным это назвать никак нельзя.
 Вы предлагаете обойтись одним лишь бесплатным сервисом ? Странно и наивно.
Естественно, для защиты необходим антивирус.

ЗЫ: Всё же я склоняюсь к мнению, что вся эта Ваша полемика не более чем попытка очернить бесплатный сервис конкурента. Вместо того, чтобы сделать свой, лучше.

----------


## ALEX(XX)

> ЗЫ: Всё же я склоняюсь к мнению, что вся эта Ваша полемика не более чем попытка очернить бесплатный сервис конкурента. Вместо того, чтобы сделать свой, лучше.


Это не полемика, а политика. 

PS: Чужого жука каждый норовит обругать  :Smiley:

----------


## DVi

Alexey P., Вы неверно информированы - у меня проблем нет. 
Проблемы есть у пользователей, которые поверив ответу линк-чеккера, заходят на  сайт браузером. 




> Всё же я склоняюсь к мнению, что вся эта Ваша полемика не более чем попытка очернить бесплатный сервис конкурента. Вместо того, чтобы сделать свой, лучше.


Алексей, я показываю принципиальную бесполезность такого сервиса - его можно улучшать до бесконечности, но от этого он не станет менее бесполезным. Главная причина: он проверяет не те данные, которые попадают в браузер реальному пользователю.

*Добавлено через 1 минуту*




> Вы предлагаете обойтись одним лишь бесплатным сервисом?


Это предлагает ООО "Доктор Веб": http://info.drweb.com/show/3462/ru



> Для использования Dr.Web LinkChecker нет необходимости устанавливать антивирус Dr.Web.


*Добавлено через 3 минуты*




> Это естественно - проверить не на чем, своего чекера нет и не предвидится.


Не поверите - есть.

----------


## Макcим

> Алексей, я показываю принципиальную бесполезность такого сервиса - его можно улучшать до бесконечности, но от этого он не станет менее бесполезным.


Также как любой антивирус.



> Для использования Dr.Web LinkChecker нет необходимости устанавливать антивирус Dr.Web.


Это говорит лишь о том, что плагин работает независимо от антивируса. 



> Не поверите - есть.


Я тоже не верю.

----------


## ALEX(XX)

> Проблемы есть у пользователей, которые поверив ответу линк-чеккера, заходят на  сайт браузером.


А как быть с Вашими пользователями, которые слепо надеются на продукт Вашей компании и всё равно заражаются? В таком случае можно поговорить о бесполезности продуктов Вашей компании  :Smiley: 




> Это предлагает ООО "Доктор Веб": http://info.drweb.com/show/3462/ru


А скажите мне, в чём тут неправда? Да, действительно не надо устанавливать. Не перевирайте фразы. Речь идёт о том, что для работы линк-чекера не требуется установленный антивирус drWeb, а не об отказе от установки полноценного антивируса и надежды на один линк-чекер

----------


## DVi

ALEX(XX), прежде чем уличать меня в "перевирании фраз", прочтите целиком новость, ссылку на которую я дал:



> Для использования Dr.Web LinkChecker нет необходимости устанавливать антивирус Dr.Web. ... По результатам проверки пользователь Mozilla Firefox может принять решение ... о посещении интересующей страницы, не опасаясь вирусной атаки


*Добавлено через 1 минуту*




> Я тоже не верю.


Это Ваше право. Хотите знать больше - присылайте резюме в вирлаб.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

> Хотите знать больше - присылайте резюме в вирлаб.


Спасибо за комплимент!

----------


## XP user

> Это предлагает ООО "Доктор Веб": http://info.drweb.com/show/3462/ru


Если браузер не русскоязычный, то тогда вы попадаете не туда. Для англоязычных браузеров правильная ссылка вот так: http://info.drweb.com/show/3467/en
P.S.: Должен признать, что реклама обещает слишком многого, но это не делает чекер совсем бесполезным.  :Smiley: 

Paul

----------


## DVi

> Если браузер не русскоязычный, то тогда вы попадаете не туда.


Как думаете, куда попадет линк-чеккер, пойдя по этой ссылке?  :Cheesy:

----------


## XP user

> Как думаете, куда попадет линк-чеккер, пойдя по этой ссылке?


Не знаю - у меня линк-чеккера нет. Я же Анти-анти...  :Cheesy: 
Думаю, что он в англоязычном браузере тоже говорит по-английски.  :Wink:  По вашей ссылке, я попадаю на статью с таким заголовком:



> Doctor Web has released a free decryption utility to counteract the new extortion Trojan.Encoder.19


что тоже очень интересно, но что ваш аргумент не особенно подкрепляет... 

Paul

----------


## DVi

> Также как любой антивирус.


Аналогия с антивирусом должна быть несколько другая:
- Проверь мне файл *zlobnyivirus.exe*
- Файл *calc.exe* чист!

----------


## Макcим

> Как думаете, куда попадет линк-чеккер, пойдя по этой ссылке?


Я не думаю, я знаю. 

*Добавлено через 2 минуты*




> Аналогия с антивирусом должна быть несколько другая:
> - Проверь мне файл *zlobnyivirus.exe*
> - Файл *calc.exe* чист!


Это Dr.Web. А это Касперской:
- Проверь мне файл *zlobnyivirus.exe*
- Файл *zlobnyivirus.exe* чист!

А результат одинаков - пользователь схватит зверя.  :Smiley:

----------


## DVi

> Я не думаю, я знаю.


А теперь проверьте тот же линк через браузер Пола и сравните картинки. С большой долей вероятности это будет одна и та же картинка - хотя страницы Вы с Полом видите совершенно разные.
Я понимаю, что сейчас *Alexey P.* или *borka* будут мне говорить, что линк-чеккер на самом деле гораздо умнее, и он проверяет заголовки HTTP-запроса от юзера, и посылает их от своего имени, чтобы максимально быть похожим на юзера.  :Smiley:  Однако это не меняет сути - линк-чеккер и юзер получают разные файлы.




> Это Dr.Web. А это Касперской:
> - Проверь мне файл *zlobnyivirus.exe*
> - Файл *zlobnyivirus.exe* чист!


Эта демагогия не имеет отношения к обсуждению бесполезности линк-чеккера.

----------


## borka

> Зверь не обязан находиться на самой странице. И не обязан внедряться в нее через iframe. Уже были прецеденты заражения баннерных сетей. 
> Поэтому проверка ссылок бесполезна по своей сути - линк-чеккер проверяет совсем не то, что получает в браузер пользователь, зайдя на страницу.


Это только Вам так кажется, что сервис бесполезный.  :Smiley:  Сколько еще повторять? Ну, повторю еще раз: *если детектится ифрейм или любой другой код на главной странице*, то пользователь будет предупрежден! И неважно, где будет находиться зверь, которого пытаются впингвинить в систему, если детектируется тот, который впингвинивает.




> Нет, конечно.


А что это?  :Unsure:

----------


## DVi

> *если детектится ифрейм*


iframe не обязан детектиться, ибо ничего вредоносного не несет. Миллионы честных сайтов используют фреймы, в том числе скрытые.
Если удалось задетектить вредоносный iframe без фолсов - честь и хвала дятлам. Но это скорее исключение из правила.

*Добавлено через 2 минуты*




> А что это?


Хотите знать больше - присылайте резюме в вирлаб. У нас много интересной работы.

----------


## borka

> PS: Чужого жука каждый норовит обругать


 :Smiley: 

*Добавлено через 6 минут*




> Аналогия с антивирусом должна быть несколько другая:
> - Проверь мне файл *zlobnyivirus.exe*
> - Файл *calc.exe* чист!


То есть антивирус должен знать, что *zlobnyivirus.exe* на самом деле это *calc.exe*?  :Unsure:  Как?

----------


## ALEX(XX)

Что-то мне данный разговор напоминает "Есть два мнения - моё и неправильное". Я много раз пользовался этим чекером (ещё несколько месяцев назад закинул в ИЕ). Да, не всегда всё находилось, но довольно часто успешно определялись зверюки. Не могу сказать, что тулза бесполезная. Если уж говорить в тоне "бесполезно, потому что чего-то не ловит", то, повторюсь, к бесполезным можно отнести все антивирусы  :Smiley:

----------


## Alexey P.

> iframe не обязан детектиться, ибо ничего вредоносного не несет. Миллионы честных сайтов используют фреймы, в том числе скрытые.


 Ну, это уже чистая демагогия, на совсем уж наивную публику.
Да и кто бы говорил - задетектить iframe с robotraff.com в своё время одни вы догадались. Притом что сам по себе он был совершенно безвреден.



> Если удалось задетектить вредоносный iframe без фолсов - честь и хвала дятлам. Но это скорее исключение из правила.


 Что ж так невежливо об аналитиках-то ?
Ни разу не дятлы - у них сложная работа, требующая высокой квалификации и очень обширных знаний.



> Хотите знать больше - присылайте резюме в вирлаб. У нас много интересной работы.


 Вы же не из вируслаба, насколько я знаю ?

----------


## DVi

borka, мою аллегорию следует читать так: юзер отдает на проверку в такой антивирус файл *zlobnyivirus.exe*, но тот проверяет другой файл - *calc.exe*.

----------


## borka

> iframe не обязан детектиться, ибо ничего вредоносного не несет. Миллионы честных сайтов используют фреймы, в том числе скрытые.
> Если удалось задетектить вредоносный iframe без фолсов - честь и хвала дятлам. Но это скорее исключение из правила.


Если просто ифрейм, то он ничего, конечно же, не должен. Но этот детектится как Trojan.DownLoad.3506, сами же видели - куча кодированных ифреймов. Кроме того, то, что он впингвинивает, детектится как VBS.Psyme.581 и Trojan.PWS.LDPinch.4182




> Хотите знать больше - присылайте резюме в вирлаб. У нас много интересной работы.


К сожалению, религиозные убеждения не позволяют мне работать на каспера.  :Smiley: 

А в двух словах?  :Wink:

----------


## borka

> Я понимаю, что сейчас *Alexey P.* или *borka* будут мне говорить, что линк-чеккер на самом деле гораздо умнее, и он проверяет заголовки HTTP-запроса от юзера, и посылает их от своего имени, чтобы максимально быть похожим на юзера.  Однако это не меняет сути - линк-чеккер и юзер получают разные файлы.


Мне всегда нравились люди, которые знают, что я буду делать или говорить.  :Smiley: 
Предлагаю проверить эти страницы сейчас и посмотреть, как оно и что...

----------


## ALEX(XX)

> Что ж так невежливо об аналитиках-то ?


Ну дык..  :Smiley:  Одна ЛК работает, а остальные, так, семечки щёлкают и пиво пьют.
Всё и так понятно. Всё что выпускают или задумывают другие - гуано по определению. Видать такая аксиома  :Smiley:

----------


## borka

> borka, мою аллегорию следует читать так: юзер отдает на проверку в такой антивирус файл *zlobnyivirus.exe*, но тот проверяет другой файл - *calc.exe*.


О как... Повторю предложение проверить эти страницы сейчас.

----------


## DVi

> Да и кто бы говорил - задетектить iframe с robotraff.com в своё время одни вы догадались. Притом что сам по себе он был совершенно безвреден.


Если детект получился без фолсов для нормальных сайтов, использующих фреймы - очень хорошо. Но такой детект нечасто удается сделать дженериком, ибо фолсит  :Sad: 




> Что ж так невежливо об аналитиках-то ?
> Ни разу не дятлы - у них сложная работа, требующая высокой квалификации и очень обширных знаний.


Это самоназвание вирусных аналитиков. Причем не только в ЛК. ЛК даже саммиты проводит под знаком дятла  :Smiley: 





> Вы же не из вируслаба, насколько я знаю ?


Я не из вирлаба.

----------


## ALEX(XX)

Давайте о бесполезности. Даю простой пример (просто пример): я пользуюсь бесплатной версией Авира, в которой нет вэб-антивируса, я ставлю себе этот чекер и проверяю страницы. Разве это не разумно? Это дополнительная мера предосторожности с моей стороны.

----------


## DVi

> Давайте о бесполезности. Даю простой пример (просто пример): я пользуюсь бесплатной версией Авира, в которой нет вэб-антивируса, я ставлю себе этот чекер и проверяю страницы. Разве это не разумно? Это дополнительная мера предосторожности с моей стороны.


Это разумно в той же степени, в какой разумно использование бесплатного McAfee SiteAdvisor и бесплатных антифишинговых фильтров, встроенных в современные браузеры по умолчанию: т.е. лучше, чем вообще ничего. 

В то же время. если выбирать из бесплатных средств защиты от вирусов в браузерах, нет ничего лучше связки DropMyRights и NoScript.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> А теперь проверьте тот же линк через браузер Пола и сравните картинки. С большой долей вероятности это будет одна и та же картинка - хотя страницы Вы с Полом видите совершенно разные.


Линк-чеккер сканирует вашу ссылку, *DVi* (моя картинка и картинка Максима - одинаковы), НО посылают меня на сервере уже на *другую* страницу, которая, естественно НЕ проверялась. Причём, я задал в Firefox, чтобы он предупреждал, когда перенаправляют - ни слуха, ни духа, так сказать. 
'Спасает' меня в таком случае только: 
1) NoScript, особенно из-за того, что белый список доменов у меня - пустой, и что вообще ничего ни от кого не разрешается, даже картинки.
2) То, что у меня в Firefox'e плаг-инов нет.



P.S.: В данном эксперименте: 1-0 в пользу *DVi*...  :Cheesy: 

Paul

----------


## borka

> P.S.: В данном эксперименте: 1-0 в пользу *DVi*...


Можно поподробнее - какая ссылка проверялась, и куда реально произошел переход?  :Unsure:

----------


## XP user

> Можно поподробнее - какая ссылка проверялась, и куда реально произошел переход?


Проверялась вот эта ссылка:
http://info.drweb.com/show/3462/ru
Всё ОК, говорит линк-чеккер (картинка один в один с картинкой Максима (привёл его картинку в пример, но сомнения нет - проверяется РУССКИЙ линк), 



значит с уверенностью я нажимаю, и попадаю на адрес, который НЕ проверялся, а именно:
http://info.drweb.com/show/3495/en




Однако, ссылка, которая соответствует рекламе по-английски про линк-чеккер не такая, а:
http://info.drweb.com/show/3467/en  (боюсь, что в русскоязычных браузерах тоже будет это же несоответствие, можете сами проверить)

Paul

----------


## Alexey P.

> Если детект получился без фолсов для нормальных сайтов, использующих фреймы - очень хорошо. Но такой детект нечасто удается сделать дженериком, ибо фолсит


 Чего ж хорошего, если iframe действительно безвреден. Сам детект и есть фолс.



> Это самоназвание вирусных аналитиков. Причем не только в ЛК. ЛК даже саммиты проводит под знаком дятла


 Как они себя называют сами - это их дело, профессиональный юмор.
 А со стороны - выглядит странно.



> Я не из вирлаба.


 Угу.

----------


## 1205

> Однако, ссылка, которая соответствует рекламе по-английски про линк-чеккер не такая, а:
> http://info.drweb.com/show/3467/en  (боюсь, что в русскоязычных браузерах тоже будет это же несоответствие, можете сами проверить)
> 
> Paul


Там новость "В Астрахани пройдет семинар для партнеров компании «Доктор Веб»"

----------


## XP user

> Там новость "В Астрахани пройдет семинар для партнеров компании «Доктор Веб»"


Угу... А теперь вопрос - что проверялось, и куда я попал на самом деле?  :Smiley: 
Не google-analytics ли испортит всё на домене Доктора Веба? Или там скрипт для перенаправленя иноязычных браузеров стоит, который линк-чеккер не заметил?

Paul

----------


## borka

> Проверялась вот эта ссылка:


Ясно, спасибо.

*Добавлено через 2 минуты*




> Там новость "В Астрахани пройдет семинар для партнеров компании «Доктор Веб»"


Там то эта новость, то правильная...

*Добавлено через 7 минут*




> Угу... А теперь вопрос - что проверялось, и куда я попал на самом деле?


Хороший вопрос.  :Smiley:

----------


## XP user

> Там то эта новость, то правильная...


http://info.drweb.com/show/3467/en перенаправляет русские браузеры на
http://info.drweb.com/show/3494/ru
Но проверяются же разные ресурсы?
P.S.: Меня только что поправили в ICQ:
Скрипт перенаправления возможно даже не требуется - это может быть указано в настройках сервера. А что если это не домен доктора веба, а злойхакер.ру? Получается, что для предсказания правильного перехода нужно слишком много на самом веб-сервере проанализировать, и это просто НЕВОЗМОЖНО.

Paul

----------


## borka

> Но проверяются же разные ресурсы? 
> P.S.: Меня только что поправили в ICQ:
> Скрипт перенаправления возможно даже не требуется - это может быть указано в настройках сервера.


Думаю, именно так и происходит.




> А что если это не домен доктора веба, а злойхакер.ру? Получается, что для предсказания правильного перехода нужно слишком много на веб-сервере проанализировать, и это просто НЕВОЗМОЖНО.


Угу... Но ссылки в почте вида paris-hilton-nude.avi.exe ловятся хорошо, что не может не радовать.  :Wink:

----------


## XP user

> Угу... Но ссылки в почте вида paris-hilton-nude.avi.exe ловятся хорошо, что не может не радовать.


Такая ссылка у меня так уже не проходит.  :Wink: 
Из данного эксперимента выходит, что имеет только смысл проверять конечный объект, причём во время его загрузки, а не раньше. Но на мой вкус это уже поздно - антивирус может не 'палить' зловред и сайт 'впарит' мне всякую фигню. Поэтому для меня NoScript единственный приемлемый вариант он-лайн защиты, и я считаю, что в идеале хорошая антивирусная программа должна предоставить такой модуль хотя бы на выбор юзера.

Paul

----------


## priv8v

> "многа букафф"


...
еле осилил 6 страниц текста. До четвертой страницы Виталий явно сдерживал флуд и аргументированно отстаивал свою точку зрения, демонстрируя понимание процессов происходящих при загрузке страницы в браузер и методики пробива браузера через связку слоитов посредством ифреймов и т.д на зараженных сайтах - это все хорошо, но затем все равно тема превратилась в помойку, где почти каждый "сам с усам".
Проверку ссылок сделать только проверяя страницу на зловреды которые есть в базе антивируса - плюнуть да и растереть - можно даже и 10 антивирями проверить - через пхп считываем код страницы - пишем его в тхт файл и затем скармливаем его 10 антивирусам (нужен сервер) - затем выдаем юзеру результат исходя из того сколько антивирей заорали на файл. - элементарно.

а вот сделать то, о чем говорил Виталий - можно правда только так (см. что DVI писал на первых четырех страницах)

----------


## DVi

> имеет только смысл проверять конечный объект, причём во время его загрузки, а не раньше


Именно об этом и идет речь с самого начала топика. 

Конечно, сам антивирус не идеальный, и проверка непосредственно *во время скачивания* файла тоже не гарантирует, что антивирус будет обладать достаточными знаниями для детекта. Но это в корне отличается от проверок *до скачивания*, во время которых антивирус проверяет совсем не тот файл, который действительно попадает на компьютер пользователя.




> Поэтому для меня NoScript единственный приемлемый вариант он-лайн защиты, и я считаю, что в идеале хорошая антивирусная программа должна предоставить такой модуль хотя бы на выбор юзера.


Я с Вами соглашусь. Более того, своих домашних я научил им пользоваться. Однако есть в NoScript одна проблема, и достаточно существенная: если его предоставить в том виде, в каком он существует сейчас, то техподдержка обрушится от вопросов пользователей "_А почему я поставил ваш антивирус, и у меня перестал работать интернет?_". Для эффективного использования NoScript нужно обладать достаточно высокой квалификацией. Приходит на ум аналогия с файрволлом: уж сколько лет существует рынок файрволлов, а юзеры (в общем смысле) все никак не научатся правильно их настраивать, и производители изобретают различные способы автоматической настройки.

----------


## XP user

> Для эффективного использования NoScript нужно обладать достаточно высокой квалификацией. Приходит на ум аналогия с файрволлом: уж сколько лет существует рынок файрволлов, а юзеры (в общем смысле) все никак не научатся правильно их настраивать, и производители изобретают различные способы автоматической настройки.


У меня все ученики без исключения пользуются NoScript'ом с моими настройками указаными здесь - у них нет проблем, хотя они не знают ничего о том, как система/Интернет работает. Тем более, у них даже заражения не было за всё это время. 
Они знают, что нужно только разрешить главному домену выполнить скрипты если сайт не работает. На практике не так уж много сайтов, которые таким образом не заработают. Пример - youtube.com требует ещё ytimg.com для того, чтобы играть флэш контент. Я думаю, что преимуществ больше, чем проблем. Вместе того, как дать бэта-тестерам тестировать продукты (они часто слишком много знают), надо бы вызвать 50-100 домохозяек и посадить их за комп. Увидите - проблем будет меньше, чем если они должны отвечать на непонятный алерт по традиционному методу.
Чтобы хорошо поняли о чём речь идёт, покажите им следующую картинку:



Не трудно понять, что из всех этих доменов следует только разрешить главному (причём только если сайт неправильно работает) - все это поймут без исключения...

Paul

----------


## DVi

Пол, Вы работали в техподдержке или знакомы с людьми, работающими там? Подобные картинки вызывают у саппортеров однозначный ответ: "Нет!". 
Потому что юзер, глядя на нее, обязан думать. Причем вариантов его поведения тут не два и не три - тут их семь. И предугадать их невозможно - а любая нестандартная ситуация для человека, *заплатившего деньги*, вызывает единственную реакцию - звонок в техподдержку. Что при выходе продукта на массовый рынок приводит к эффекту "DDOS саппорта".

----------


## Макcим

> Потому что юзер, глядя на нее, обязан думать.


Это конечно страшно  :Smiley:  Для человека заплатившего деньги думать крайне вредно. 
Но почему нельзя реализовать подобный функционал для каждого браузера (IE, Opera) и в доку написать "пользоваться только в том случае, если Вы точно знаете как это работает" или "тех. поддержка не консультирует по вопросам компонента x"?

*Добавлено через 10 минут*

Вчера на секлабе появилась статья про DDoS атаки и там проскочил пример реализации с помощь JavaScript. Интересно, NoScript сможет помешать выполнению скрипта, если странице на которой он размещен разрешено выполнять скрипты?

----------


## DVi

> Но почему нельзя реализовать подобный функционал для каждого браузера (IE, Opera) и в доку написать "пользоваться только в том случае, если Вы точно знаете как это работает" или "тех. поддержка не консультирует по вопросам компонента x"?


Максим, приведите пример коммерческого продукта, в описании которого сказано прямым текстом:
1. Пользоваться только в том случае, если Вы точно знаете как это работает
2. Тех. поддержка не консультирует по вопросам компонента Х

----------


## Макcим

Хорошо, а если создать некоммерческое приложение для браузера IE и Opera? Маленькую бесплатную программку без тех. поддержки.

----------


## DVi

> Вчера на секлабе появилась статья про DDoS атаки и там проскочил пример реализации с помощь JavaScript. Интересно, NoScript сможет помешать выполнению скрипта, если странице на которой он размещен разрешено выполнять скрипты?


Нет, конечно.

Кстати, в статье приведен пример на ява-скрипте лишь для того, чтобы сэкономить место. Того же эффекта можно добиться и без скрипта, статически прописав в HTML-файл все эти фреймы. Но это уже полный оффтоп  :Smiley: 

*Добавлено через 1 минуту*




> Хорошо, а если создать некоммерческое приложение для браузера IE и Opera? Маленькую бесплатную программку без тех. поддержки.


Это и есть NoScript  :Smiley:

----------


## Макcим

> Того же эффекта можно добиться и без скрипта, статически прописав в HTML-файл все эти фреймы.


Скрипт позволяет задать число обращений. 



> Это и есть NoScript


Для Firefox. А остальные браузеры?

----------


## borka

> Именно об этом и идет речь с самого начала топика.


Самое интересное, что с этим никто не спорит.  :Smiley:  Все прекрасно понимают несовершенство линк-чекера, все прекрасно понимают, для чего он нужен. Когда и как работает, а когда и как - не. Все знают, что сервис не стоИт на месте и развивается. Так нет же. Через полгода после самоугасания треда было решено подкинуть дров в огонь.  :Smiley: 
Виталий, чисто из любопытства: если бы Вы сразу получили детект, как показано в #96, неужели бы Вы разместили бы в трех ветках форума скрины? Или искали бы другой недетектящийся Доктором сайт с троянским ифреймом?  :Wink:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## DVi

> Все знают, что сервис не стоИт на месте и развивается.


Как его ни развивай, он все равно будет проверять не те данные, которые  скачивает пользователь.




> Так нет же. Через полгода после самоугасания треда было решено подкинуть дров в огонь.


На днях по средствам массовой информации была распространена реклама ООО "Доктор Веб". Эта реклама содержит недостоверную информацию о ненужности использования антивируса и о гарантии чистоты проверенной ссылки. 




> Неужели бы Вы разместили бы в трех ветках форума скрины?


1. Я разместил скрин в новости, чтобы показать действительную ценность этой новости.
2. Я разместил скрин в этом топике, т.к. именно здесь обсуждается целесообразность этого сервиса.
3. Я разместил информацию о зараженном сайте в соответствующем топике закрытого раздела.
С рассылкой новости по новостным каналам это не сравнится.

*Добавлено через 6 минут*




> Или искали бы другой недетектящийся Доктором сайт с троянским ифреймом?


Вижу, что пример с проверкой адреса http://info.drweb.com/show/3462/ru в англоязычном Файерфоксе Вас не убедил.

----------


## Зайцев Олег

> Как его ни развивай, он все равно будет проверять не те данные, которые скачивает пользователь.


Собственно говоря это и есть отправной пункт, говорящирй о полной бесполезности подобной службы (или даже о ее вреде - юзер получит вердикт "чисто" и поверит ему ). Я же показывал тест http://z-oleg.com/eicar.php - он выдает EICAR всем, кроме WEB проверяльщика  :Smiley:  Желающие могут потестировать - именно так устроено подавляющее большинство всяких зараз. Мне то это точно известно - мои пауки держат на контроле порядка 610.000 сайтов в Рунете ...

----------


## Макcим

> Я же показывал тест http://z-oleg.com/eicar.php - он выдает EICAR всем, кроме WEB проверяльщика


Мне не выдает.

----------


## borka

> Как его ни развивай, он все равно будет проверять не те данные, которые  скачивает пользователь.


Смотря что проверять.




> На днях по средствам массовой информации была распространена реклама ООО "Доктор Веб". Эта реклама содержит недостоверную информацию о ненужности использования антивируса и о гарантии чистоты проверенной ссылки.


Вы в очередной раз передергиваете.  :Smiley:  В новости ничего не говорилось о "ненужности использования антивируса", а о ненужности установки антивируса для работы этого сервиса. Это, на мой взгляд, не одно и то же.




> С рассылкой новости по новостным каналам это не сравнится.


Это как сказать.  :Smiley:  Кого больше - тех, кто читает новости Доктора, или тех, кто читает форум ВирусИнфо?  :Wink: 




> Вижу, что пример с проверкой адреса http://info.drweb.com/show/3462/ru в англоязычном Файерфоксе Вас не убедил.


Там отдельная история со ссылками на сайте - запросил информацию у Суппорта.  :Sad:

----------


## borka

> Собственно говоря это и есть отправной пункт, говорящирй о полной бесполезности подобной службы (или даже о ее вреде - юзер получит вердикт "чисто" и поверит ему ). Я же показывал тест http://z-oleg.com/eicar.php - он выдает EICAR всем, кроме WEB проверяльщика  Желающие могут потестировать - именно так устроено подавляющее большинство всяких зараз.


Я знаю одно - если проверяю ссылки anjelina-jolie-nude.avi.exe, то проверяется то, что потом скачивется. Советую посмотреть на приаттаченный файлик.  :Smiley: 




> Мне то это точно известно - мои пауки держат на контроле порядка 610.000 сайтов в Рунете ...


Ну, мы этим самым меряться не будем.  :Smiley:

----------


## Макcим

Ждём комментариев от Олега.

----------


## DVi

> Это как сказать.  Кого больше - тех, кто читает новости Доктора, или тех, кто читает форум ВирусИнфо?


Тех, кто читает новостные сайты.

*Добавлено через 2 минуты*




> Ну, мы этим самым меряться не будем.


10 минут назад он писал, что чист  :Smiley: 
Чувствуется, что аналитики DrWeb читают эту тему и оперативно вбивают черный список урлов  :lol: 

*Добавлено через 4 минуты*




> Чувствуется, что аналитики DrWeb читают эту тему и оперативно вбивают черный список урлов


Беру свои слова обратно - черный список тут ни при чем. Просто в один из заходов линк-чеккер сделал это с незаблокированного IP.
А вот сейчас опять пишет "чисто"  :lol: 


*Добавлено через 4 минуты*




> Там отдельная история со ссылками на сайте - запросил информацию у Суппорта.


Борис, суппорт тут ни при чем. Вы просто не хотите понимать того, что по HTTP передаются файлы, сформированные веб-сервером динамически. Если однажды открыть некий URL, и через секунду открыть его же - на ваш компьютер упадут совершенно разные файлы. И эта динамика задается на веб-сервере, Вы никак не сможете предугадать, что за файл Вы получите в следующий раз.

----------


## borka

> 10 минут назад он писал, что чист


А мне и полчаса назад говорил, что заражен.  :Smiley: 




> А вот сейчас опять пишет чисто


Может, Вы проверять не умеете?  :Smiley:  Я не знаю, что такое "незаблокированный IP", но мне говорит, что ссылка заражена.  :Smiley:  Файл еще раз постить или поверите мне на слово?  :Wink: 

*Добавлено через 24 минуты*




> Борис, суппорт тут ни при чем.


Нет, Виталий, тут вопрос немного в другом - при выборе английской новости рандомно открывается последняя новость на русском.  :Sad:  На это, кстати, обратил внимание коллега *1205* в посте #106.




> Вы просто не хотите понимать того, что по HTTP передаются файлы, сформированные веб-сервером динамически. Если однажды открыть некий URL, и через секунду открыть его же - на ваш компьютер упадут совершенно разные файлы. И эта динамика задается на веб-сервере, Вы никак не сможете предугадать, что за файл Вы получите в следующий раз.


Господи, ну никто ж с этим не спорит!  :Smiley:  Просто мне кажется, что Ваш тезис о полной бесполезности нужно немножко ослабить.  :Wink:

----------


## Зайцев Олег

> Ждём комментариев от Олега.


У меня нет динамического закрытия в демо примере (а в большинстве зараз - есть). Первый раз выдается зверь, потом бан IP скажем на неделю и выдача вместо зверя безобидного кода. У проверялки несколько IP, меняются видимо по времени, так как в течении 10-15 минут IP не менялся

----------


## DVi

> Файл еще раз постить или поверите мне на слово?


Лучше запустите проверку этого урла еще несколько раз в течение часа.

----------


## borka

> Лучше запустите проверку этого урла еще несколько раз в течение часа.


ОК. На часах 14:50:03 (на Вашем скриншоте). На моем - 15:40:57, детект есть...

----------


## DVi

> Господи, ну никто ж с этим не спорит!  Просто мне кажется, что Ваш тезис о полной бесполезности нужно немножко ослабить.


От того, что в некоторых случаях два файла (проверенный антивирусом и реально полученный юзером) совпадают, сама идея сервиса не становится менее бесполезной. 
Новостные сайты, например, совершенно легитимно обновляются каждую минуту. А HTML-чаты - каждые 5 секунд. Нет никакого смысла в их проверке линк-чеккером.

----------


## borka

> От того, что в некоторых случаях два файла (проверенный антивирусом и реально полученный юзером) совпадают, сама идея сервиса не становится менее бесполезной.


Ну, это Ваша точка зрения. Предлагаю взять рабочую ссылку на кого-нить-там-нуде.avi.exe и мониторить ее линк-чекером в течение часа.  :Smiley: 




> Новостные сайты, например, совершенно легитимно обновляются каждую минуту. А HTML-чаты - каждые 5 секунд. Нет никакого смысла в их проверке линк-чеккером.


Это как сказать. Если сайт взломан, и на сайте живет детектящийся ифрейм, то вряд ли при обновлении станиц он исчезнет. Поэтому при проверке он будет найден, а пользователь предупрежден. Вы достаточно внимательно следите за форумом Доктора, поэтому должны знать, что такие прецеденты были.  :Smiley:

----------


## Макcим

> У меня нет динамического закрытия в демо примере (а в большинстве зараз - есть).


Вопрос в том, почему EICAR не выдается мне.

----------


## DVi

> Вопрос в том, почему EICAR не выдается мне.


Причин может быть много.
Что Вы видите на экране при открытии этого урла? Покажите скриншот.

----------


## XP user

@ *DVi*:

Принимаю ваши аргументы к сведению, но ещё раз привожу как я сделал отзыв:



> Поэтому для меня NoScript единственный приемлемый вариант он-лайн защиты, и я считаю, что в идеале хорошая антивирусная программа должна предоставить такой модуль *хотя бы на выбор юзера*.


Можно сделать такой модуль в Expert Mode, например. Только профессионалы будут его всё равно оценить ПОЛНОСТЬЮ и по достоинству.



> "DDOS саппорта".


P.S.: Не разделаю ваши опасения, кстати - модуль будет из самых успешных новшеств для той компании, которая его как первая предоставит юзерам... Можно в нём тоже набрать список исключений главных доменов.
P.S.: Не знаю, насколько сама идея запатентированна - могут, конечно начинаться юридические перепалки...

Paul

----------


## DVi

> Если сайт взломан, и на сайте живет детектящийся ифрейм, то вряд ли при обновлении станиц он исчезнет.


Исчезнет - для линк-чеккера - если заразить не только статические файлы HTML, но и скрипты PHP. Что и демонстрирует пример Олега.

----------


## Макcим

> Что Вы видите на экране при открытии этого урла? Покажите скриншот.


Пожалуйста. С двух браузеров. Обратите внимание, что просмотр исходного кода страницы не доступен.

----------


## borka

> P.S.: Не разделаю ваши опасения, кстати - модуль будет из самых успешных новшеств для той компании, которая его как первая предоставит юзерам... Можно в нём тоже набрать список исключений главных доменов.


Это не Родительский ли контроль?

----------


## DVi

> Пожалуйста. С двух браузеров. Обратите внимание, что просмотр исходного кода страницы не доступен.


Там еикар отдается в виде бинарника. который браузер почему-то понимает как GIF  :Smiley: 
Cохраните этот файл на диск и откройте Блокнотом - увидите еикар.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> Это не Родительский ли контроль?


Нет. Родительский контроль следит за содержанием текста и картнинок - голые, не голые, грубый язык, не грубый. Это для того, чтобы защищать детей.

Я говорю о NoScript, который по умолчанию блокирует ВСЕ скрипты, причём разрешить можно в нём главному домену выполнить скрипт, и блокировать всех третьих сторон (откуда обычно угрозы и приходят).

Paul

----------


## borka

> Исчезнет - для линк-чеккера - если заразить не только статические файлы HTML, но и скрипты PHP. Что и демонстрирует пример Олега.


Если взламывается сайт, то там не до изысков. Как правило, у сайтов есть неизменяемая часть (шапка, подвал, боковые фреймы и т. д.). которые не меняются или меняются реже, чем основной контент. Кроме того, нередки случаи, когда Псюме-подобные скрипты прописывается после </html> и успешно выполняются браузерами.
Насчет php согласен, Эйкар на сайте Олега сейчас не детектится...

----------


## XP user

> Пожалуйста. С двух браузеров. Обратите внимание, что просмотр исходного кода страницы не доступен.


На эту страницу разрешите скрипты. Результаты такие же?

Paul

----------


## Зайцев Олег

> Пожалуйста. С двух браузеров. Обратите внимание, что просмотр исходного кода страницы не доступен.


Это глюк - нужно сохранить как сделать ... я поправил тип контента, теперь как бинарник отдается

----------


## borka

> Я говорю о NoScript, который по умолчанию блокирует ВСЕ скрипты, причём разрешить можно в нём главному домену выполнить скрипт, и блокировать всех третьих сторон (откуда обычно угрозы и приходят).


Ага, ясно.  :Smiley:

----------


## Макcим

> Это глюк - нужно сохранить как сделать ... я поправил тип контента, теперь как бинарник отдается


Понятно. Я ожидал увидеть EICAR в коде страницы.

----------


## XP user

> Собственно говоря это и есть отправной пункт, говорящирй о полной бесполезности подобной службы (или даже о ее вреде - юзер получит вердикт "чисто" и поверит ему ). Я же показывал тест http://z-oleg.com/eicar.php - он выдает EICAR всем, кроме WEB проверяльщика  Желающие могут потестировать - именно так устроено подавляющее большинство всяких зараз. Мне то это точно известно - мои пауки держат на контроле порядка 610.000 сайтов в Рунете ...


Возможно вам интересно, *Олег*. Без защиты, в режиме админа, но с настроенным браузером Firefox получаю такую картину:



Другое, чем 'Save' Firefox даже не предлагает, так как у меня Windows просто НЕ ЗНАЕТ как открыть то или другое приложение или файл. Нажимаем 'Cancel' и всё... Сюрпризов не люблю...  :Wink: 

Paul

----------


## DVi

> Возможно вам интересно, *Олег*. Без защиты, в режиме админа, но с настроенным браузером Firefox получаю такую картину:


Так и должно быть - внутри этого файла лежит еикар

----------


## XP user

> Так и должно быть - внутри этого файла лежит еикар


Так должно быть с каждым файлом, который отдельно предлается в он-лайне, но 'для удобства' по умолчанию Windows или сам браузер хочет постоянно открывать файлы, которые предлагаются. Оттуда и наша беда... Так мы заражаемся он-лайне...

Paul

----------


## DVi

> Так должно быть с каждым файлом, который отдельно предлается в он-лайне, но 'для удобства' по умолчанию Windows или сам браузер хочет постоянно открывать файлы, которые предлагаются. Оттуда и наша беда... Так мы заражаемся он-лайне...


Пол, если Олег захочет - он вместо еикара положит туда картинку с эксплоитом и вернет значение "Content-Type" обратно. И этот иксплоит исполнится у Вас непосредственно в браузере. NoScript Вам не поможет.
Отчасти поможет DropMyRights - и то, это будет зависеть от эксплуатирующего кода.

----------


## XP user

> Пол, если Олег захочет - он вместо еикара положит туда картинку с эксплоитом и вернет значение "Content-Type" обратно. И этот иксплоит исполнится у Вас непосредственно в браузере. NoScript Вам не поможет.


Любопытно, чем эта картника будет открываться. В самой системе нет ассоциаций с картинками. Всё, что предлагается Show Alert + предлагать Save. Я это так задал...  :Smiley: 

Paul

----------


## DVi

> Любопытно, чем эта картника будет открываться. В самой системе нет ассоциации с картинками.


Картинки показывает сам браузер.
Покажите, пожалуйста, скриншот этого форума?
У Вас показывается хоть одна картинка?

----------


## XP user

> Картинки показывает сам браузер.
> Покажите, пожалуйста, скриншот этого форума?
> У Вас показывается хоть одна картинка?






Эти же исключения заданы в Adblock Plus. У меня там маска по умолчанию *** = ничего не должно грузиться если не задано как исключение (вторая линия обороны, так сказать).
Для убедительсности ещё как выглядит z-oleg.com (и любой другой неизвестный мне сайт) у меня:



То есть - простой текст.

Paul

----------


## DVi

Все ясно. Т.е. картинка с эксплитом с постороннего сайта у Вас не будет отображаться. Но если я прикреплю такую картинку к своему сообщению в форуме - эксплоит будет успешно исполнен  :Smiley: 

Впрочем, такое маловероятно. Я бы Вам порекомендовал аддон ImgLikeOpera - он позволяет грузить отдельные картинки на странице.

----------


## XP user

> Все ясно. Т.е. картинка с эксплитом с постороннего сайта у Вас не будет отображаться. Но если я прикреплю такую картинку к своему сообщению в форуме - эксплоит будет успешно исполнен


Доверие к данному форуму мне говорит о том, что вы этого не сделаете. Поэтому я и разрешил данному форуму показать картники. Картинки Максима от imageshack.us, например, НЕ показываются. Как правила сижу не под админ, а как юзер...  :Wink: 




> Впрочем, такое маловероятно. Я бы Вам порекомендовал аддон ImgLikeOpera - он позволяет грузить отдельные картинки на странице.


Насколько я знаю, этот адд-он с FF3 несовместим.

Paul

----------


## DVi

> вы этого не сделаете


Я - нет. Спасибо за доверие.
Но доверие не помешает сделать это любому другому человеку. Например. обратившемуся за помощью в раздел "Помогите" - у него на компьютере может сидеть зверек, автоматически вставляющий себя во все сообщения на форуме. Прецеденты уже были (хотя там речь шла не о картинках, а о ссылках на зараженный сервер в конце каждого сообщения).

----------


## XP user

> (хотя там речь шла не о картинках, а о ссылках на зараженный сервер в конце каждого сообщения).


А разве они будут выполняться если данного домена (virusinfo.info) НЕТ в доверенных в NoScript? У меня whitelist - пуст; то есть: доверенных нет совсем.

Paul

----------


## Shu_b

> Насколько я знаю, этот адд-он с FF3 несовместим.


http://forum.mozilla-russia.org/view...249597#p249597

----------


## XP user

Спасибо *DVi* + *Shu_b*! Теперь могу управлять действительно как хочу...  :Smiley: 
Политика по умолчанию (4) = ничего не грузить.

Paul

----------


## XP user

[deleted by p2u]

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## borka

Возвращаясь к теме.  :Smiley: 
Получил письмо как бы с "Одноклассников": 
From:   "Одноклассники.ru" <[email protected]iki.ru> 
Date:   Sat, August 16, 2008 12:07 
To:   мой адрес
Subject:   Новое сообщение для Вас! 

Поскольку меня там нет, то совершенно очевидно, что это за письмо.  :Wink: 

Тело письма:
Уважаемый пользователь, borka! 
Информируем Вас, что Вы получили новое письмо от:
Katya

Чтобы прочитать сообщение перейдите по линку:
хттп://www.odnoklassniki.ru/45?7=OS70P9118919836GDB0NLLW249153U8MJ07J8JM50

--
С уважением,
служба поддержки Odnoklassniki.ru

Ссылка ведет на несколько более другой сайт (хттп://fmfipduqubqy.blogspot.com/). Дай, думаю, проверю - может, там что-то есть?  :Wink:  Проверяю:

Версия антивирусного ядра: 4.44.0.9170
Размер файла: 25198 байт, с учётом скриптов и фреймов: 100.8K

fmfipduqubqy.blogspot.com - archive HTML
>fmfipduqubqy.blogspot.com/Script.0 - OK
В файле >fmfipduqubqy.blogspot.com/javascript.1 обнаружен вирус Trojan.Click.19749
>fmfipduqubqy.blogspot.com/Script.2 - OK
>fmfipduqubqy.blogspot.com/Script.3 - OK
>fmfipduqubqy.blogspot.com/Script.4 - OK
>fmfipduqubqy.blogspot.com/Script.5 - OK
>fmfipduqubqy.blogspot.com/Script.6 - OK
...

Можно ссылку не нажимать и на сайт не ходить.  :Wink:

----------


## priv8v

надо бы поэкспериментировать - посохранять как тхт разные страницы на которые ругаются каспер или др.веб и проверить их на виртотале - посмотреть много ли других авлабов также думают и отслеживают скрипты сигнатурно.
 :Smiley:

----------


## DVi

> Ссылка ведет на несколько более другой сайт


Кстати, хороший пример - "другой сайт" (не тот, что на блогспоте, а следующий, который загружается при заходе на блогспот) при каждом запросе выдает новый скрипт. 

P.S. Борис, у Вас ведь есть доступ к закрытому разделу. На Вирусинфо не принято выкладывать ссылки на зараженные сайты в открытом доступе. Обсуждение зараженных сайтов у нас происходит в этом топике.

*Добавлено через 12 минут*

Кстати, вирус на "третьем сайте" отдается только живым людям. На скриншоте результат проверки линк-чеккером этого сайта. Тут видно, что ему на проверку вообще ничего не отдалось.

----------


## priv8v

> Кстати, вирус на "третьем сайте" отдается только живым людям.


в двух словах, пожалуйста, опишите что там...
связка сплоетов?... если так - то тут сильно ограничен способ проверки на то человек это или нет  - например некоторые смотрят на User-Agent - его можно и подделать - т.е проверяльщику страницы на вирусы забить ослом шестым эту переменную, реферер поставить и т.д - т.е все по правилам, так сказать - и вообще - забить валидными данными все что может извлечь пхп скрипт из браузера. 
все это сделать достаточно просто как с той, так и с другой стороны (как накодить такое в связку сплоетов, так и проверялку на вири если делать ее на пхп + сервак с поставленными антивирями для проверки.
всем этим я хотел спросить: *как тот "другой сайт" определял живой это человек или проверялка от др.веба?..*

или он действует более примитивно чем описал я? может у него просто реферер доктор веб забит в черный список или айпишники по маске забанены, так сказать??..

----------


## drongo

priv8v, По моему там банально дрвеб банят  :Smiley:  тулза от авг видит [MDAC ActiveX code execution (type 165)]  :Wink: 
в качестве контр-меры надо сделать так чтобы плагин подключался к проверяемому сайту через анонимный прокси- который сможет выбрать сам пользователь- чтобы уменьшить вероятность попадания  IP к плохим хакерам  :Wink:

----------


## borka

> Кстати, хороший пример - "другой сайт" (не тот, что на блогспоте, а следующий, который загружается при заходе на блогспот) при каждом запросе выдает новый скрипт.


Проверив *этот* сайт (blogspot) и получив детект скрипта, пользователь на следующий сайт не попадет.




> P.S. Борис, у Вас ведь есть доступ к закрытому разделу. На Вирусинфо не принято выкладывать ссылки на зараженные сайты в открытом доступе. Обсуждение зараженных сайтов у нас происходит в этом топике.


Возможно, я и неправ, но во-первых, ссылка деактивирована (кстати, такого рода ссылок достаточно в разделе "Мошенничество в сети"). Во-вторых, как еще было показать работоспособность линк-чекера? Каждый, кто хочет проверить, сможет это сделать.




> Кстати, вирус на "третьем сайте" отдается только живым людям. На скриншоте результат проверки линк-чеккером этого сайта. Тут видно, что ему на проверку вообще ничего не отдалось.


Это, конечно, хорошо.  :Wink:  Но фишка в том, что на такого рода сайты нет (я не встречал) прямых ссылок. Только опосредовано через один-два ифрейма, каждый из которых с достаточно высокой вероятностью детектится как Псюме, ПакФор или просто Даунолудер.


Виталий, ну почему Вы не хотите признать того, что при проверке ссылок не обязятельно детектить конечного зловреда, если промежуточные ифреймы детектятся, и пользователь, получив предупреждение антивируса, туда не пойдет?  :Unsure: 

*Добавлено через 11 минут*




> в двух словах, пожалуйста, опишите что там...


Ифрейм на ифрейме сидит и ифреймом погоняет.  :Wink: 




> может у него просто реферер доктор веб забит в черный список или айпишники по маске забанены, так сказать??..


Пан Зайцев показал, что это вполне возможно.  :Wink:  Но не это главное. Главное то, что на взломанных сайтах, в ссылках в почте *нет прямых ссылок* на такие сайты. Только на "промежуточные". И если скрипт на "промежуточном" сайте детектится, то пользователь получает сигнал антивируса. Мой пример с линком в почте достаточно показателен - линк якобы "Одноклассников" ведет на самом деле на "Блогспот", а оттуда на защищенный от автоматической проверки китайский сайт. При проверке ссылок до лампочки любая защита на китайском сайте, проверка покажет вирусный скрипт на "Блогспоте"!  :Smiley: 
Вот и все...

----------


## DVi

> при проверке ссылок не обязятельно детектить конечного зловреда, если промежуточные ифреймы детектятся


В случае линк-чеккера фраза "промежуточные ифреймы" должна звучать как "первый ифрейм на сайте, не защищенном от линк-чеккера".
Почувствуйте разницу.

----------


## ALEX(XX)

казуистика....

----------


## borka

> казуистика....


+1. Виталий, поясните, пожалуйста.  :Unsure:

----------


## DVi

Сколько же можно повторять?



> Только опосредовано через один-два ифрейма, каждый из которых с достаточно высокой вероятностью детектится как Псюме, ПакФор или просто Даунолудер.


Линк-чеккер проверяет *только первый фрейм*. И только *если фрейм не защищается* (не блокирует линк-чеккер по IP, например). Второй, третий и т.д. фреймы линк-чеккер сейчас *не проверяет* вовсе.

*Добавлено через 6 минут*




> в качестве контр-меры надо сделать так чтобы плагин подключался к проверяемому сайту через анонимный прокси- который сможет выбрать сам пользователь- чтобы уменьшить вероятность попадания  IP к плохим хакерам


Систему можно улучшать до бесконечности - вплоть до захода на сайт настоящим непропатченным IE через TOR под виртуальной машиной (но это совсем уже идеальный линк-чеккер получится).

Но все эти улучшения не отменят главного недостатка: 
1. Линк-чеккер будет проверять тот файл, который ему отдаст сервер. 
2. Пользователь будет скачивать тот файл, который ему отдаст сервер. 
3. И эти два файла в общем случае будут разными.

----------


## borka

> Линк-чеккер проверяет *только первый фрейм*. И только *если фрейм не защищается* (не блокирует линк-чеккер по IP, например). Второй, третий и т.д. фреймы линк-чеккер *не проверяет* вовсе.


Что это меняет, если первый ифрейм детектится?




> Но все эти улучшения не отменят главного недостатка: 
> 1. Линк-чеккер будет проверять тот файл, который ему отдаст сервер. 
> 2. Пользователь будет скачивать тот файл, который ему отдаст сервер. 
> 3. И эти два файла в общем случае будут разными.


Разве с этим кто-то спорит?  :Smiley: 
Я уже сказал - Ваш тезис о полной бесполезности нужно немножко ослабить.  :Smiley:

----------


## DVi

> Что это меняет, если первый ифрейм детектится?


Вы только что утверждали, что достаточно детектировать любой из N фреймов. Линк-чеккер этого не делает.

*Добавлено через 3 минуты*




> Разве с этим кто-то спорит? 
> Я уже сказал - Ваш тезис о полной бесполезности нужно немножко ослабить.


Борис, я на Вас удивляюсь - Вы умеете в двух соседних предложениях сказать две взаимоисключающие мысли.

Если Вы согласны с перечисленными мной тремя пунктами, то на основании чего считаете, что линк-чеккер может гарантировать пользователю безопасность посещения указанного адреса?

----------


## borka

> Вы только что утверждали, что достаточно детектировать любой из N фреймов. Линк-чеккер этого не делает.


Теперь я понял, что Вы имели в виду.  :Wink:  Если глубина проверки только один внешний линк, то, значит, ставка делается на то, что именно первый скрипт будет определен. Проверять, что там дальше - смысла нет. Что и видно в приведенном мною примере. 




> Борис, я на Вас удивляюсь - Вы умеете в двух соседних предложениях сказать две взаимоисключающие мысли.


Что исключает что? Если детектируется первый скрипт дальнейшая проверка теряет смысл. Как правило, это простой ифрейм, без защит и наворотов.




> Если Вы согласны с перечисленными мной тремя пунктами, то на основании чего считаете, что линк-чеккер может гарантировать пользователю безопасность посещения указанного адреса?


Гарантию нынче не дает и страховой полис.  :Smiley:

----------


## DVi

> Проверять, что там дальше - смысла нет. Что и видно в приведенном мною примере.


Вы только что утверждали, что необходимо проверять N вложенных фреймов - чтобы распознать хотя бы один из них и запретить запуск конечного зловреда. Теперь Вы утверждаете прямо обратное.




> Гарантию нынче не дает и страховой полис.


Как раз наоборот. 
Страховой договор гарантирует исполнение сторонами своих обязательств. В нем, в частности, регламентируются, при каких условиях и в каком размере будет выплачено страховое возмещение при наступлении страхового случая.

----------


## santy

> Если Вы согласны с перечисленными мной тремя пунктами, то на основании чего считаете, что линк-чеккер может гарантировать пользователю безопасность посещения указанного адреса?


*DVi*, извините, что вмешиваюсь в ваш разговор, но....(взгляд со стороны) как Вы не поймете, что link-checker дает НЕ ГАРАНТИЮ безопасности посещаемого сайта, а гарантию НЕБЕЗОПАСНОСТИ такого мероприятия (если определит вредоносный скрипт). И этого вполне достаточно от него (link-checker-a).

----------


## priv8v

...а можно ли узнать механизм по которому Др.Веб проверяет урл?..
просто *мне не верится*, что он действует таким вот тупым методом:


```

скачивает себе страницу по указанному урлу и затем проверяет ее Др.Вебом - и исходя из этого выносит вердикт 


```

просто из спора тут спорящих получается так...

если Др.Веб действует именно так, то это просто неимоверно тупо. 
даже при эвристических способах не будет 100% гарантии в чистоте сайта, НО ...  :Smiley: 

Понимая как заражаются сайты можно придумать и эвристические методы - это не столь сложно.

----------


## Зайцев Олег

> ...а можно ли узнать механизм по которому Др.Веб проверяет урл?..
> ....
> если Др.Веб действует именно так, то это просто неимоверно тупо.


Вот именно так он и работает ... 
Что пишет эта служба, проверяя http://z-oleg.com/eicar.php ? Пишет "вирусов нет", а там сидит злобный EICAR. Я не публикую исходник этой PHP, так как придерживаюсь неписанного "кодекса чести", но могу сказать, что он весьма и весьма несложный.

----------


## DVi

> *DVi*, извините, что вмешиваюсь в ваш разговор, но....(взгляд со стороны) как Вы не поймете, что link-checker дает НЕ ГАРАНТИЮ безопасности посещаемого сайта, а гарантию НЕБЕЗОПАСНОСТИ такого мероприятия (если определит вредоносный скрипт). И этого вполне достаточно от него (link-checker-a).


Я это отлично понимаю. 
Но пресс-релиз ООО "Доктор Веб" утверждает обратное: http://info.drweb.com/show/3462/ru



> Для использования Dr.Web LinkChecker нет необходимости устанавливать антивирус Dr.Web. ... По результатам проверки пользователь Mozilla Firefox может принять решение о ... посещении интересующей страницы, *не опасаясь вирусной атаки*.

----------


## priv8v

> Пишет "вирусов нет", а там сидит злобный EICAR.


скажите принцип работы Вашей странички. набрать в пхп я смогу и сам. 
или там просто идет бан по айпи (по маске или по стране)?

----------


## DVi

priv8v, у Олега просто бан по IP.

Таких техник защиты от антивирусов существует великое множество. Часть из них была перечислена мной и Олегом странице на 3-4 этого топика. Очень показательным является техника сайта, описанного здесь: http://virusinfo.info/showpost.php?p...&postcount=163
1. В зависимости от "User-Agent", отдаются разные данные.
2. При нужном "User-Agent" (т.е. для IE) при каждом заходе отдается новый вариант вредоносного скрипта.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

В общем линк чекер может быть полезен в определенных ситуациях, но не соответствует тому что было написано в пресс релизе.

----------


## priv8v

> В зависимости от "User-Agent", отдаются разные данные.


немного поясню возможности этой опции в большинстве связок. 
но для начала вообще поясню методику "пробива" браузера эксплоитами и поясню терминологию по вариантам:
1). браузер заходит на страницу и его пробует "пробить" какой-то один эксплоит - т.е сделано так, что любого кто зайдет на страницу будет пробовать пробивать один и тот же эксплоит (обычно это какой-то свежи с милворма или еще откуда-нибудь) - это самый тупой пример. такая тупость - редкость. т.к несмотря на тупость это сделать относительно сложно - это требует определенных знаний, как минимум немного пхп и яваскрипта.
2). на хосте лежит целая куча разных эксплоитов и при заходе браузером на определенную страницу браузер пытаются пробить сразу кучей эксплоитов одновременно/по очереди - это уже называется связкой эксплоитов - потому-что их несколько, связка эта неинтеллектуальная - т.к никаких зачатков интеллекта тут не наблюдается - просто втупую пробует все что умеет.
3). и наконец - десерт. интеллектуальная связка эксплоитов. опишу наиболее частые их функции - обладают/поддерживают: развитой статистикой, отдельными скриптами для отстука для определения сколько пробито браузеров, базой данных мскл, возможностью выдачи разных зловредных файлов в зависимости от страны (это к примеру), в зависимости от страны/браузера/версии браузера/ОС - пытаются "пробить" браузер разными эксплоитами. 
Для того что бы эта вся прелесть заработала нужно зайти браузером на определенную страницу (чаще всего это index.php (хотя это совершенно не важно) - т.е на страницу для которой и "служит" весь могучий функционал).

Теперь немного о методике заражения сайтов:

1). Сайты могут взламываться "руками" - т.е злоумышленник заходит на сайт и начинает искать уязвимости (активные хсс, мскл-инъекции и т.д и т.п)
2). Могут взламываться эксплоитами - т.е кто-то более умный взломал какой-то движок "руками" и написал скрипт, который автоматизирует его работу - т.е делает тоже самое, что и он, но все сам - требуется его только запустить и указать адрес сайта с таким-же движком и версией
3). Взлом посредством трояна - троян тащит пароли на админку из браузера или (что еще хуже) от фтп.
4). Взлом хостинга
5). Брут фтп (подбор паролей по словарю или тупым перебором)
6). Брут доступа в админку
7). Основные способы уже рассмотрены и дальше изыскивать и вспоминать другие способы нерационально :Smiley: 


А теперь самое главное:
*Что же делается при взломе сайта?*
Есть несколько вариантов (приведу некоторые):
1). Ничего не делается - злоумышленник выключает компьютер и идет спать :Wink: 
2). Администратор сайта оповещается о уязвимости 
3). Делается дефейс (какая-либо надпись на главной (чаще всего) странице сайта или ее полная замена, при этом считается хорошим тоном не удалять главную страницу полностью, а переименовать ее, что бы было понятно, что это она и оставить на месте (в корне сайта))
4). Происходит заражение сайта с целью заражения заходящих на этот сайт пользователей.

Нас интересует в данный момент только четвертый вариант, рассмотрим его:

На сайт внедряется ифрейм (он может быть зашифрован средствами яваскрипта, но он все равно остается ифреймом и выполняет свои функции) на index.php (допустим)  связки эксплоитов - что за связка такая мы рассматривали выше. Т.е будет получаться, что пользователь зашедший на этот сайт одновременно еще зашел и на связку эксплоитов. 
Ифрейм чаще всего невидим - он является точкой - заданы нулевые параметры. 
Зашифрованный ифрейм может занимать более 200 символов - при этом его очень просто добавить в базу антивируса и "палить" сигнатурно.

При этом работа линк чекера должна сводится не только к проверке страницы на наличие уже знакомого зашифрованного ифрейма (или незашифрованного) но и должна быть эвристика: 
обнаружение ифреймов, определение их вредоностности, анализ где именно ифреймы стоят, автоматическая расшифровка ифреймов (зашифрованных), проверка сайта который  в ифрейме открывается (если несколько последовательно ифреймов - проверка всех вложенных и докапывание до связки), попытка найти по конечному сайту зловредные файлы по именам (они вшиты в связку и редко меняются), и т.д и т.п.

PS: я описал лишь наиболее распространенную методику взлома и заражения. На полный обзор не претендую - это лишь один пост на форуме в ветке обсуждения данной проблемы. (с) :-)
Ногами не пинать. Старался для людей.
 :Smiley:

----------


## santy

> Я это отлично понимаю. 
> Но пресс-релиз ООО "Доктор Веб" утверждает обратное: http://info.drweb.com/show/3462/ru


Проверил линк-чеккером данную ссылку, принял решение что она безопасна и зашел. возможно, то, что Вы отметили и является единственным нюансом, но для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.

----------


## DVi

> В общем линк чекер может быть полезен в определенных ситуациях, но не соответствует тому что было написано в пресс релизе.


Именно так. О том и речь. 

*priv8v*, отличная статья получилась. Можно выделить ее отдельным топиком и положить в раздел "Наши статьи".

----------


## priv8v

> priv8v, отличная статья получилась. Можно выделить ее отдельным топиком и положить в раздел "Наши статьи".


DVi, спасибо :Smiley: 
Еще немного доработаю тогда, исправлю "очепятки" и выложу.

----------


## borka

> Вы только что утверждали, что необходимо проверять N вложенных фреймов - чтобы распознать хотя бы один из них и запретить запуск конечного зловреда. Теперь Вы утверждаете прямо обратное.


Я опять не по-русски?  :Wink:  Тогда еще раз: необходимо проверять на всю глубину вложенности (однако Вы утверждаете, что линк-чекер этого не делает), но если по дороге встретится детектируемый скрипт, то дальше (после него) проверять смысла нет.  :Smiley:  Так понятнее?




> Страховой договор гарантирует исполнение сторонами своих обязательств. В нем, в частности, регламентируются, при каких условиях и в каком размере будет выплачено страховое возмещение при наступлении страхового случая.


 :Stick Out Tongue: 

*Добавлено через 4 минуты*




> Проверил линк-чеккером данную ссылку, принял решение что она безопасна и зашел. возможно, то, что Вы отметили и является единственным нюансом, но для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.


Думаю, Виталий все прекрасно понимает.  :Smiley:  И когда линк-чекер сработает, и когда не.  :Smiley:

----------


## DVi

*santy*, этот нюанс сводит на нет всю рекламу этого линк-чеккера.




> для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.


Именно поэтому линк-чеккер может быть использован только внутри вирлаба и только по одному назначению: *в случае обнаружения* вируса сделать вывод о зараженности сайта. В *случае же необнаружения* нельзя делать никаких выводов.





> (однако Вы утверждаете, что линк-чекер этого не делает)


- Потому что он этого не делает. 
- Он проверяет только первый URL.
- И даже на первом URL'е он не гарантирует, что проверяет именно тот файл, который будет отдан сервером пользователю.

----------


## borka

> - Потому что он этого не делает. 
> - Он проверяет только первый URL.


Ну не спорю я с Вами, не спорю!  :Smiley: 




> - И даже на первом URL'е он не гарантирует, что проверяет именно тот файл, что будет отдан сервером пользователю.


Про гарантии я уже сказал.  :Wink:  

Резюмируем.
1. Линк-чекер проверяет тот файл, который отдаст сервер. 
2. Пользователь скачивает тот файл, который отдаст сервер. 
3. Эти два файла в общем случае могут быть разными.
4. Если страница не содержит скриптов защиты от антивируса, то она будет проверена.
5. Одиноко лежащий вирус,  :Wink:  на который ссылается линк (например, в письме), будет найден при проверке.
6. Файл (архив), выложенный на странице без скриптов защиты от антивируса, будет проверен.

Все верно?  :Unsure: 

*Добавлено через 4 минуты*




> Именно поэтому линк-чеккер может быть использован только внутри вирлаба и только по одному назначению: *в случае обнаружения* вируса сделать вывод о зараженности сайта. В *случае же необнаружения* нельзя делать никаких выводов.


А какой нужно сделать вывод в случае обнаружения вируса, но не внутри вирлаба?  :Smiley:

----------


## DVi

Верны первые три пункта.
4й, 5й и 6й пункты являются уточнением первого пункта. Следовательно, Ваше резюме выглядит так:

*1.* Линк-чеккер проверяет тот файл, который ему отдаст сервер. Это может быть файл (в том числе архив либо веб-страница). Линк на этот файл может быть размещен где угодно (в том числе в письме).
*2.* Пользователь скачивает тот файл, который ему отдаст сервер.
*3.* Эти два файла в общем случае могут быть разными. 
*4.* Эти два файла будут одинаковыми только если:
*4.1.* На сервере нет защиты от антивируса.
*4.2.* Находящийся на проверяемом адресе файл не обновляется постоянно (не является, например, баннером или новостной страницей).

Дополнения:
*а.* Линк-чеккер проверяет этот файл с до той глубины вложенности, до которой его запрограммировал разработчик. На сегодняшний момент (судя по описанию линк-чеккера на сайте) это всего один уровень для скриптов и два уровня - для фреймов. 
*б.* Линк-чеккер физически не может проверять даже статичные файлы, лежащие в области авторизации. Т.е. проверить вирус, пришедший к Вам личку на форуме, линк-чеккер не сможет - он в любом случае скажет "файл чист", т.к. будет проверять страницу авторизации  :Smiley: 


*Добавлено через 3 минуты*




> А какой нужно сделать вывод в случае обнаружения вируса, но не внутри вирлаба?


Тот же самый: в случае обнаружения вируса сделать вывод о зараженности сайта. В случае же необнаружения нельзя делать никаких выводов.
Проблема в пресс-релизе, который утверждает обратное - и люди ему верят. Согласно этому пресс-релизу, линк-чеккером пользуется не менее 8 миллионов человек. Вирусными аналитиками, понимающими цену результата сканирования урла линк-чеккером, являются не более 100 человек. Остальные даже не подозревают о подвохе. Даже Вас мне пришлось убеждать 10 страниц. А Вы отнюдь не "простой пользователь".

----------


## borka

> *1.* Линк-чеккер проверяет тот файл, который ему отдаст сервер. Это может быть файл (в том числе архив либо веб-страница). Линк на этот файл может быть размещен где угодно (в том числе в письме).
> *2.* Пользователь скачивает тот файл, который ему отдаст сервер.
> *3.* Эти два файла в общем случае могут быть разными. 
> *4.* Эти два файла будут одинаковыми только если:
> *4.1.* На сервере нет защиты от антивируса.
> *4.2.* Находящийся на проверяемом адресе файл не обновляется постоянно (не является, например, баннером или новостной страницей).


Принимается.  :Smiley: 




> Проблема в пресс-релизе, который утверждает обратное - и люди ему верят. Согласно этому пресс-релизу, линк-чеккером пользуется не менее 8 миллионов человек.


Проблема отнюдь не в пресс-релизе.  :Wink:  Проблема в сабже. Ваше утверждение о полной бесполезности сервиса неверно - Вы сами только что подтвердили, что в определенных случаях (на мой взгляд - в большинстве) сервис работает.  :Smiley: 




> Вирусными аналитиками, понимающими цену результата сканирования урла линк-чеккером, являются не более 100 человек. Остальные даже не подозревают о подвохе. Даже Вас мне пришлось убеждать 10 страниц. А Вы отнюдь не "простой пользователь".


Меня? Убеждать? В чем - в том, что сервис работает? Так это я и сам знаю.  :Smiley:  Или в том, что он работает не всегда правильно? Так и с этим никто не спорил.  :Smiley:

----------


## DVi

> Вы сами только что подтвердили, что в определенных случаях (на мой взгляд - в большинстве) сервис работает.


Просто, исходя из своего опыта, Вы считаете, что пункт *4* доминирует над всеми остальными  :Smiley: 
Я же точно знаю, что два файла оказываются одинаковыми лишь по счастливому совпадению. И на это счастливое совпадение еще накладываются ограничения реализации (дописанное мное в предыдущем посте "Дополнение *а*"), что еще больше ограничивает область использования линк-чеккера.

----------


## borka

> Просто, исходя из своего опыта, Вы считаете, что пункт *4* доминирует над всеми остальными


Вы предлагаете мне опираться на Ваш опыт?  :Wink: 




> Я же точно знаю, что два файла оказываются одинаковыми лишь по счастливому совпадению. И на это счастливое совпадение еще накладываются ограничения реализации (дописанное мное в предыдущем посте "Дополнение *а*"), что еще больше ограничивает область использования линк-чеккера.


Везет же мне!  :Smiley: 
Резюмируем: заявление о полной бесполезности сервиса несколько преувеличено.  :Smiley:

----------


## DVi

Резюме неверное.
Для простого пользователя, поверившего рекламе ООО "Доктор Веб", этот сервис вреден, т.к. дает ему ложное чувство защищенности.
Для профессионала этот сервис является подспорьем в работе, и не более того.

----------


## priv8v

про чувство ложно защищенности сказано отлично. 
хочется от себя посоветовать тем, кто из-за секьюрных новостей на новостн. сайтах считает себя полностью защищенным:

что бы не было ложного чувства защищенности нужно читать (во всяком случае слепо доверять тому, что там пишут) не новостные сайты, а обсуждения этих продуктов знающими людьми (секьюрные форума, например этот). 
на форуме скорее снизят достоинства продукта, чем завысят.
достаточно почитать форум ЛК - чего там только "лестного" не вычитаешь...

----------


## DVi

priv8v, а еще лучше изучать первоисточники.

----------


## priv8v

> а еще лучше изучать первоисточники.


офиц. сайты?..
начинать их изучать можно только имея за плечами хотя бы базовые знания.
иначе тоже можно быть введенным в заблуждение или просто ничего не понять.

----------


## borka

> Резюме неверное.
> Для простого пользователя, поверившего рекламе ООО "Доктор Веб", этот сервис вреден, т.к. дает ему ложное чувство защищенности.
> Для профессионала этот сервис является подспорьем в работе, и не более того.


 :Smiley:  
Я надеюсь, Вы не станете утверждать, что Вы меня убедили?  :Wink: 

*Добавлено через 2 минуты*




> priv8v, а еще лучше изучать первоисточники.


Марксизма-ленинизма?  :Stick Out Tongue:

----------


## DVi

> офиц. сайты?..


Нет. Я имел в виду именно получение базовых знаний о целях и методах проникновения злоумышленников на компьютер. Все остальное - вторично.

----------


## priv8v

> Нет. Я имел в виду именно получение базовых знаний о целях и методах проникновения злоумышленников на компьютер. Все остальное - вторично.


Ааа... ну про такое я и не подумал - это как само собой разумеющееся :Smiley:

----------


## DVi

У моего товарища утащили аську. На скриншоте видно, с какой целью:



Ни одна из этих ссылок не детектируется линк-чеккером, потому что заточена против него: здесь и скрипты, разворачивающиеся во фреймы, и PHP-анализаторы юзер-агента, и даже мудреный метод редиректа по "ошибке 302". Единственное, чего не видно - простого бана по IP.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## herzn

> Ни одна из этих ссылок не детектируется линк-чеккером, потому что заточена против него.


Любые заточки идут против популярности.
И как спасет любой веб-антивирус, имеющий 45 процентов рынка?  :Smiley: 
Популярность и распространенность  есть главные уязвимости сегодня.

----------


## Alexey P.

Угу.
 DVi настолько увлёкся критикой бесплатного сервиса конкурента, что со ссылками на реальные трояны стал обосновывать бесполезность антивирусов вообще и KAV/KIS в частности.
 Только, похоже, он сам этого ещё не понял  :Smiley:

----------


## borka

> Ни одна из этих ссылок не детектируется линк-чеккером,


Виталий, и не надоело, а?  :Smiley: 

*Добавлено через 1 минуту*




> Угу.
>  DVi настолько увлёкся критикой бесплатного сервиса конкурента, что со ссылками на реальные трояны стал обосновывать бесполезность антивирусов вообще и KAV/KIS в частности.
>  Только, похоже, он сам этого ещё не понял


 :Smiley:

----------


## DVi

> ссылками на реальные трояны стал обосновывать


Ссылки не кликабельны - поэтому и размещены были в открытой части без опасения. Мы это уже обсуждали с borka в этой же теме.

*Добавлено через 8 минут*




> Популярность и распространенность  есть главные уязвимости сегодня.


Кстати, да.

Хотя к теме обсуждения это имеет не самое прямое отношение. 
То, что я назвал "защитой от линк-чеккера", давно известно вирусным аналитикам. Это стандартный способ сокрытия вредоносного кода, используемый вирусописателями наравне с "защитой от отладки". Поэтому размер "популярности сервиса у пользователей" в данном случае не играет никакой роли.

----------

