# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  Дыры, дыры :(

## Geser

То ли новоя дыра эксплорера, то ли старые не все закрыли. Зашёл по вот этой ссылке: hттp://buddies.smileycentral.com/?ZRxdm297XXIL и мгновенно получил на комп какую-то гадость. Хорошо антивирус выловил.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Minos

Может немного не в тему, подскажите софт для отлавливания такого рода эксплоитов (ActiveX, Java-аплеты), а то Outpost позволяет либо блокировать либо пропускать, а создать копию на диске не заразив систему не получается. Можно конечно анализировать код страницы в поисках адресов активного содержимого, но это муторно и не всегда возможно.

----------


## Geser

> Может немного не в тему, подскажите софт для отлавливания такого рода эксплоитов (ActiveX, Java-аплеты), а то Outpost позволяет либо блокировать либо пропускать, а создать копию на диске не заразив систему не получается. Можно конечно анализировать код страницы в поисках адресов активного содержимого, но это муторно и не всегда возможно.


Никогда не слыхал о таком. Темболее експлоит часто состоит из нескольких страниц.

----------


## Minos

> Никогда не слыхал о таком. Темболее експлоит часто состоит из нескольких страниц.


Да, но в случае ActiveX и Java всегда существует модуль выполняющийся на стороне клиента, его и надо отловить.

----------


## Geser

> Да, но в случае ActiveX и Java всегда существует модуль выполняющийся на стороне клиента, его и надо отловить.


Это нужно что бы у антивируса была опция делать бекап страницы  :Smiley:  Они же обычно такие вещи режут. У кого есть скриптчекер, конечно.

----------


## Minos

> Это нужно что бы у антивируса была опция делать бекап страницы  Они же обычно такие вещи режут. У кого есть скриптчекер, конечно.


Да и приличные стенки это умеют делать. Уничтожить много ума не надо, вот как сохранить подозрительные модули, зачастую эта гадость лезет с сайтов с "ну, очень нужной" информацией, а решить безопвсно ли использование их модулей можно решить только на собственной шкуре (а с учетом отставания антивирусов от вирусописателей бывает очень "больно").

----------


## Geser

> Да и приличные стенки это умеют делать. Уничтожить много ума не надо, вот как сохранить подозрительные модули, зачастую эта гадость лезет с сайтов с "ну, очень нужной" информацией, а решить безопвсно ли использование их модулей можно решить только на собственной шкуре (а с учетом отставания антивирусов от вирусописателей бывает очень "больно").


Ставишь програмку для создания виртуального компа, и по всем левым сайтам гуляешь из под него  :Smiley:

----------


## Alexey P.

> То ли новоя дыра эксплорера, то ли старые не все закрыли. Зашёл по вот этой ссылке: hттp://buddies.smileycentral.com/?ZRxdm297XXIL и мгновенно получил на комп какую-то гадость. Хорошо антивирус выловил.


 Да, эта зараза явно под IE. На Оперу обижается:
 It appears that you are not currently using Internet Explorer to browse the Internet.

----------


## baklan

> Да, эта зараза явно под IE. На Оперу обижается:
>  It appears that you are not currently using Internet Explorer to browse the Internet.


На мозиллу тоже обиделась. Самое веселое, что она дальше на этой странице предлагает вручную скачать и запустить программку...  :Cheesy:

----------


## maXmo

> подскажите софт для отлавливания такого рода эксплоитов (ActiveX, Java-аплеты), а то Outpost позволяет либо блокировать либо пропускать, а создать копию на диске не заразив систему не получается.


не получается?.. даже если настроить антивирь на перемещение заражённых и подозрительных файлов? Ловил я как-то istbar... ну не я ловил, а спидер, при этом он почему-то спрашивал, что с ним делать, я отвечал, перемещать - и никакого заражения не наблюдаю. А откуда аутпост может знать, хороший ах качается или плохой?

----------


## Alexey P.

> На мозиллу тоже обиделась. Самое веселое, что она дальше на этой странице предлагает вручную скачать и запустить программку...


 Ага. С улыбками. Обхохочешься  :Smiley: .

Results of a file scan
This is the report of the scanning done over "SmileyCentralSetup2.0.2.7.zip" file that VirusTotal processed on 10/17/2004 at 21:15:49.

Antivirus      ***Version***        Update***Result***
BitDefender   ***7.0***                 10.17.2004***Trojan.Dropper.Small.SN***
ClamWin***         devel-20040922***10.17.2004***Trojan.Spy.Websa.A***
eTrust-Iris   ***7.1.194.0     ***10.17.2004***-***
F-Prot***         3.15b ***        10.14.2004***-***
Kaspersky***         4.0.2.24***        10.17.2004***-***
McAfee***         4399  ***        10.14.2004***-***
NOD32v2***         1.896 ***        10.15.2004***-***
Norman***         5.70.10***        10.14.2004***-***
Panda***                 7.02.00***        10.17.2004***-***
Sybari***                 7.5.1314***        10.17.2004***-***
Symantec     ***8.0     ***        10.17.2004***-***
TrendMicro   ***7.000 ***        10.14.2004***-

----------


## Geser

Ха, а Vba оказывается получше многих антивирусов. Он эту гадость отловил  :Smiley:

----------


## Alexey P.

> Ха, а Vba оказывается получше многих антивирусов. Он эту гадость отловил


 Да, дрвеб мой тоже его пока не ловит.
Мои поздравления вирус-аналитикам VBA. Такие вещи - лучшая реклама.

----------


## Geser

> Да, дрвеб мой тоже его пока не ловит.
> Мои поздравления вирус-аналитикам VBA. Такие вещи - лучшая реклама.


Хм, у меня скачивается SmileyCentralInitialSetup1.0.0.8[1].exe. Его ДрВеб тоже знает. А ты где взял SmileyCentralSetup2.0.2.7.?

----------


## baklan

> Хм, у меня скачивается SmileyCentralInitialSetup1.0.0.8[1].exe. Его ДрВеб тоже знает. А ты где взял SmileyCentralSetup2.0.2.7.?


Я сейчас уже по этой ссылке скачал SmileyCentralSetup2.0.3.3... Оперативно обновляются.  ;D
Отправил на [email protected] - посмотрю, что ответят.

----------


## Minos

> Ставишь програмку для создания виртуального компа, и по всем левым сайтам гуляешь из под него


Ну ленивый я человек, не охота вылавливать гадость на просторах всей машины, хоть и вертуальной, хотелось ее на входе перехватывать. 



> не получается?.. даже если настроить антивирь на перемещение заражённых и подозрительных файлов? Ловил я как-то istbar... ну не я ловил, а спидер, при этом он почему-то спрашивал, что с ним делать, я отвечал, перемещать - и никакого заражения не наблюдаю. А откуда аутпост может знать, хороший ах качается или плохой?


Антивирусы отлавливают только известное, а судить об аплете можно и по источнику получения и по действиям этого самого аплета. Хочется отлавливать нечесть, неизвестную антивирусам.   :Wink: .

----------


## maXmo

нужен trojan downloader? не слышал о таком. при первом рассмотрении бесполезный софт. потому и нету. можете надеяться, что Саня налабает что-нить подобное.
Пока можно настроить ИЕ, чтобы спрашивал, скачивать ли неподписанные ах контролы.
А что, были прецеденты, когда джава-аплет получал доступ к диску?

----------


## Minos

> нужен trojan downloader? не слышал о таком. при первом рассмотрении бесполезный софт. потому и нету. можете надеяться, что Саня налабает что-нить подобное.
> Пока можно настроить ИЕ, чтобы спрашивал, скачивать ли неподписанные ах контролы.
> А что, были прецеденты, когда джава-аплет получал доступ к диску?


джава-аплет ..., нет в общем то небыло, но были прициденты когда аплет скачивал какую-то гадость, а она уже творила много черных дел (под IE).

----------


## maXmo

какую гадость, ActiveX или ехешник? куда качал, в память? это в свой-то byte[] - буфер? :o

----------


## Minos

> какую гадость, ActiveX или ехешник? куда качал, в память? это в свой-то byte[] - буфер? :o


По молодости пользовался MS Java, там была дырка позволяющая обращаться к жесткому диску, через нее трояновский exe и записало. Че за гадость была не помню, через какое-то время ее Каспер засек.

----------

