Я тоже. И тем не менее, если при проверке линка плюхин сообщает, что там живет пара VBS.PackFor, то это сразу говорит о многом.Сообщение от Зайцев Олег
Я тоже. И тем не менее, если при проверке линка плюхин сообщает, что там живет пара VBS.PackFor, то это сразу говорит о многом.
---
С уважением,
Borka.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если говорит - то это говорит обо всем сразу. Жаль, что пример с http://z-oleg.com/eicar.php не объяснил Вам, насколько легко вирусописателю защититься от этого плагина.
>>Жаль, что пример с http://z-oleg.com/eicar.php не объяснил Вам, насколько легко вирусописателю защититься от этого плагина
Странный разговор.
Говорят легко обмануть можно и любой антивирус, но при этом полностью отказываться от антивируса на венде не желательно.
Плагин не всегда, но работает, так же как и все антивирусы не знают 0-day вирусов, но никто не говорит, что антивирус нужно выкинуть.
Проблемы подобных плагинов, описанные здесь понятны, так же как и понятны проблемы необнаружения вирусов антивирусами.
То, что КЛ не будет делать подобный сервис тоже понятно. Нет, ну и не надо. Думаю, найдете куда потратить сэкономленное.
Так же понятно, что отказываться от сервиса вэба тоже смысла нет, поскольку он может быть иногда полезен.
Последний раз редактировалось icon; 26.09.2007 в 15:36.
Да нет, именно мне.
icon, Вы очень правильно резюмировали эту беседу. Спасибо.
Полагаю тему исчерпанной.
1. Скриптов на той странице на момент проверки не было, это я помню точно.
Потому как пришлось их тогда искать. Нашел, но не на том сайте.
2. DVi, если не очень сложно - корректнее, плиз, когда пишете о работе других.
3. Насчет упомянутых блэк-листов - на сайте с закладкой их не бывает.
Да и блокировки онлайна я ещё не видел. Даже наоборот - из дому мне трояны не отдаются, а онлайну - пожалуйста.
ЗЫ: Даже простейшая онлайн-проверка файлов и та с ограничением размера файла 1 мБ.
Это уже политика фирмы, и присутствующими здесь она никак не определяется, лишь добросовестно соблюдается. Даже чересчур добросовестно.
А упомянутые технические сложности работы плагина и онлайн-URL вполне решаемы - было бы желание.
Вероятно, я мог ошибиться, приведя ссылку на сообщение Alexey P. на форуме DrWeb в качестве доказательства неполной работоспособности плагина. Я приношу свои извинения Алексею за свои домыслы (вполне вероятно, что и не имевшие под собой оснований).
Поэтому ниже я даю ссылку на сообщение Alex Plutoff, недвусмысленно иллюстрирующее все вышесказанное. Alex Plutoff показал, что плагин не обнаружил зверька, а аналитическое исследование Alexey P. показало наличие целого зоопарка: http://forum.drweb.com/index.php?met...t.0&clearoff=1
>3. Насчет упомянутых блэк-листов - на сайте с закладкой их не бывает.
Ой как вы ошибаетесь.. еще как бывает.
Стоит ли рассказывать что вся закладка на сайте состиои из ифрейма на вредоносный пхп скрипт. а этот скрипт определяет версию браузера, банит 2йные обращения, фильтрует "нужные" ИП.
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
Наверное, не стоит.
Фильтр - не на сайте с закладкой, он на троянском сайте с мпак или аналогом.
А детектится уже тот первый айфрейм - думаю, видели. До вредоносного пхп скрипта в таком варианте дело уже не доходит.
В том то и дело что нифига не детектится
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
Это почему еще? Если ифрейм известен, то почему бы ему не детектиться?В том то и дело что нифига не детектится
---
С уважением,
Borka.
Тут вот какая загвоздка: многие интернет-счетчики используют механизмы <iframe src="" width=0 height=0>. Мы пробовали построить простенький эвристик на этих данных - и в тот же день получили большой поток фолсов. Пришлось убрать эту запись из антивирусных баз.
Похожая на этот "эвристик" (по замыслу, а не по исполнению) запись VBS.PackFor страдает ровно тем же самым. И если техподдержка DrWeb не получает жалоб своих пользователей по поводу этой записи, то лишь из-за несовпадения массива пользователей и массива ложняков.
Или Вы говорите о детекте конкретных УРЛов, указываемых в свойстве src этих фреймов?
Вы точно в этом не одиноки. Слышал, что такую же "эвристику" делал вебвашер.
Но до внедрения в фильтры у них дело вроде не дошло.
Да, я видел достаточно много честных ифреймов на вполне честных сайтах. Тут без фолсов не обойдется.
Это сигнатурный детект, насколько я понимаю.
Нет, я говорю о самой конструкции в целом. Например,
<iframe src="hттp://traffnew.biz/dl/adv659.php" width=1 height=1></iframe> и т. п. Если это вирусный ифрейм (Вирлаб определил), и он есть в базах (Вирлаб внес), то он будет найден при проверке страницы.
---
С уважением,
Borka.
Да, там положена сигнатура на скриптовый упаковщик, а не на его содержимое. Поэтому я назвал это "как бы эвристикой".
Понятно. Такие простые конструкции мы вносим прямиком в базу черных адресов в виде маски на домен (если выяснено, что весь домен является зловредным).
Как обещал Евгений Кузин, доработана онлайн-проверка Dr.Web плагинами.
Найденные в коде страницы скрипты и фреймы разбираются и проверяются также содержащиеся в них ссылки.
См. http://forum.drweb.com/message/6087/0/#63756
При проверке линка это выглядит следующим образом:
Размер файла: 19812 байт, с учётом скриптов и фреймов: 58046 байт
www.drweb.com - archive HTML
>www.drweb.com/Script.0 - OK
>www.drweb.com/Script.1 - OK
>www.drweb.com/Script.2 - OK
www.drweb.com - OK
Эта страница включает в себя внешние скрипты/ фреймы. Все они были также проверены:
http://www.google-analytics.com/urchin.js
http://www.drweb.com/wz_tooltip.js
---
С уважением,
Borka.
Простите, что поднимаю эту тему. Месяц назад я не заметил ее обновления.
Спасибо за информацию.
До какого уровня разбираются скрипты и фреймы?
Исполняются ли при этом скрипты типа document.write(unescape(eval(...))), которые составляют сейчас большинство инжектов на страницы?
Иными словами - если в странице лежит скрипт, который дописывает в конец страницы iframe, который в свою очередь содержит похожий скрипт, который опять-таки дописывает в конец страницы iframe (и так до десятка уровней вложенности - Вы ведь, Алексей, с этим знакомы), и в этом последнем iframe сидит детектируемый антивирусным движком VBS.PackFor, который и грузит реального зловреда - на каком уровне остановится проверяльщик УРЛов?
Если он не дойдет до конца - можно ли доверять результату его проверки и открывать проверенную страницу в браузере?
Эта страница содержит не только внешние скрипты и фреймы, но и другие потенциально опасные внешние мультимедиа-файлы. Просмотрите информацию, которую дает об этой странице Firefox - Вы увидите баннер с Рамблера. Он был проверен антивирусом?
DVi, всё проще - сделайте лучше, и люди будут Вам искренне благодарны.
Очень желательно тоже в виде бесплатного сервиса.
ЗЫ: А искать соринку в глазу ближнего, традиционно не замечая бруса в своём - не царское это дело.
Вопрос об этом стоЯл тогда же, когда появилась проверка скриптов и фреймов. Разбор этих структур обещались сделать. Не все сразу.
Последний раз редактировалось borka; 30.11.2007 в 13:25. Причина: исправлено
---
С уважением,
Borka.
Ваши права в разделе
