То ли новоя дыра эксплорера, то ли старые не все закрыли. Зашёл по вот этой ссылке: hттp://buddies.smileycentral.com/?ZRxdm297XXIL и мгновенно получил на комп какую-то гадость. Хорошо антивирус выловил.

Может немного не в тему, подскажите софт для отлавливания такого рода эксплоитов (ActiveX, Java-аплеты), а то Outpost позволяет либо блокировать либо пропускать, а создать копию на диске не заразив систему не получается. Можно конечно анализировать код страницы в поисках адресов активного содержимого, но это муторно и не всегда возможно.

Может немного не в тему, подскажите софт для отлавливания такого рода эксплоитов (ActiveX, Java-аплеты), а то Outpost позволяет либо блокировать либо пропускать, а создать копию на диске не заразив систему не получается. Можно конечно анализировать код страницы в поисках адресов активного содержимого, но это муторно и не всегда возможно.

Никогда не слыхал о таком. Темболее експлоит часто состоит из нескольких страниц.

Никогда не слыхал о таком. Темболее експлоит часто состоит из нескольких страниц.

Да, но в случае ActiveX и Java всегда существует модуль выполняющийся на стороне клиента, его и надо отловить.

Да, но в случае ActiveX и Java всегда существует модуль выполняющийся на стороне клиента, его и надо отловить.

Это нужно что бы у антивируса была опция делать бекап страницы :) Они же обычно такие вещи режут. У кого есть скриптчекер, конечно.

Это нужно что бы у антивируса была опция делать бекап страницы :) Они же обычно такие вещи режут. У кого есть скриптчекер, конечно.

Да и приличные стенки это умеют делать. Уничтожить много ума не надо, вот как сохранить подозрительные модули, зачастую эта гадость лезет с сайтов с "ну, очень нужной" информацией, а решить безопвсно ли использование их модулей можно решить только на собственной шкуре (а с учетом отставания антивирусов от вирусописателей бывает очень "больно").

Да и приличные стенки это умеют делать. Уничтожить много ума не надо, вот как сохранить подозрительные модули, зачастую эта гадость лезет с сайтов с "ну, очень нужной" информацией, а решить безопвсно ли использование их модулей можно решить только на собственной шкуре (а с учетом отставания антивирусов от вирусописателей бывает очень "больно").

Ставишь програмку для создания виртуального компа, и по всем левым сайтам гуляешь из под него :)

То ли новоя дыра эксплорера, то ли старые не все закрыли. Зашёл по вот этой ссылке: hттp://buddies.smileycentral.com/?ZRxdm297XXIL и мгновенно получил на комп какую-то гадость. Хорошо антивирус выловил.

Да, эта зараза явно под IE. На Оперу обижается:
It appears that you are not currently using Internet Explorer to browse the Internet.

Да, эта зараза явно под IE. На Оперу обижается:
It appears that you are not currently using Internet Explorer to browse the Internet.



На мозиллу тоже обиделась. Самое веселое, что она дальше на этой странице предлагает вручную скачать и запустить программку... :D

подскажите софт для отлавливания такого рода эксплоитов (ActiveX, Java-аплеты), а то Outpost позволяет либо блокировать либо пропускать, а создать копию на диске не заразив систему не получается.не получается?.. даже если настроить антивирь на перемещение заражённых и подозрительных файлов? Ловил я как-то istbar... ну не я ловил, а спидер, при этом он почему-то спрашивал, что с ним делать, я отвечал, перемещать - и никакого заражения не наблюдаю. А откуда аутпост может знать, хороший ах качается или плохой?

На мозиллу тоже обиделась. Самое веселое, что она дальше на этой странице предлагает вручную скачать и запустить программку... :D

Ага. С улыбками. Обхохочешься :).

Results of a file scan
This is the report of the scanning done over "SmileyCentralSetup2.0.2.7.zip" file that VirusTotal processed on 10/17/2004 at 21:15:49.

Antivirus ***Version*** Update***Result***
BitDefender ***7.0*** 10.17.2004***Trojan.Dropper.Small.SN***
ClamWin*** devel-20040922***10.17.2004***Trojan.Spy.Websa.A***
eTrust-Iris ***7.1.194.0 ***10.17.2004***-***
F-Prot*** 3.15b *** 10.14.2004***-***
Kaspersky*** 4.0.2.24*** 10.17.2004***-***
McAfee*** 4399 *** 10.14.2004***-***
NOD32v2*** 1.896 *** 10.15.2004***-***
Norman*** 5.70.10*** 10.14.2004***-***
Panda*** 7.02.00*** 10.17.2004***-***
Sybari*** 7.5.1314*** 10.17.2004***-***
Symantec ***8.0 *** 10.17.2004***-***
TrendMicro ***7.000 *** 10.14.2004***-

Ха, а Vba оказывается получше многих антивирусов. Он эту гадость отловил :)

Ха, а Vba оказывается получше многих антивирусов. Он эту гадость отловил :)

Да, дрвеб мой тоже его пока не ловит.
Мои поздравления вирус-аналитикам VBA. Такие вещи - лучшая реклама.

Да, дрвеб мой тоже его пока не ловит.
Мои поздравления вирус-аналитикам VBA. Такие вещи - лучшая реклама.


Хм, у меня скачивается SmileyCentralInitialSetup1.0.0.8[1].exe. Его ДрВеб тоже знает. А ты где взял SmileyCentralSetup2.0.2.7.?

Хм, у меня скачивается SmileyCentralInitialSetup1.0.0.8[1].exe. Его ДрВеб тоже знает. А ты где взял SmileyCentralSetup2.0.2.7.?


Я сейчас уже по этой ссылке скачал SmileyCentralSetup2.0.3.3... Оперативно обновляются. ;D
Отправил на [email protected] - посмотрю, что ответят.

Ставишь програмку для создания виртуального компа, и по всем левым сайтам гуляешь из под него :)

Ну ленивый я человек, не охота вылавливать гадость на просторах всей машины, хоть и вертуальной, хотелось ее на входе перехватывать.


не получается?.. даже если настроить антивирь на перемещение заражённых и подозрительных файлов? Ловил я как-то istbar... ну не я ловил, а спидер, при этом он почему-то спрашивал, что с ним делать, я отвечал, перемещать - и никакого заражения не наблюдаю. А откуда аутпост может знать, хороший ах качается или плохой?

Антивирусы отлавливают только известное, а судить об аплете можно и по источнику получения и по действиям этого самого аплета. Хочется отлавливать нечесть, неизвестную антивирусам. ;).

нужен trojan downloader? не слышал о таком. при первом рассмотрении бесполезный софт. потому и нету. можете надеяться, что Саня налабает что-нить подобное.
Пока можно настроить ИЕ, чтобы спрашивал, скачивать ли неподписанные ах контролы.
А что, были прецеденты, когда джава-аплет получал доступ к диску?

нужен trojan downloader? не слышал о таком. при первом рассмотрении бесполезный софт. потому и нету. можете надеяться, что Саня налабает что-нить подобное.
Пока можно настроить ИЕ, чтобы спрашивал, скачивать ли неподписанные ах контролы.
А что, были прецеденты, когда джава-аплет получал доступ к диску?

джава-аплет ..., нет в общем то небыло, но были прициденты когда аплет скачивал какую-то гадость, а она уже творила много черных дел (под IE).

какую гадость, ActiveX или ехешник? куда качал, в память? это в свой-то byte[] - буфер? :o

какую гадость, ActiveX или ехешник? куда качал, в память? это в свой-то byte[] - буфер? :o

По молодости пользовался MS Java, там была дырка позволяющая обращаться к жесткому диску, через нее трояновский exe и записало. Че за гадость была не помню, через какое-то время ее Каспер засек.