[deleted by p2u]
[deleted by p2u]
Последний раз редактировалось XP user; 17.08.2008 в 11:05.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Возвращаясь к теме.
Получил письмо как бы с "Одноклассников":
From: "Одноклассники.ru" <[email protected]>
Date: Sat, August 16, 2008 12:07
To: мой адрес
Subject: Новое сообщение для Вас!
Поскольку меня там нет, то совершенно очевидно, что это за письмо.
Тело письма:
Уважаемый пользователь, borka!
Информируем Вас, что Вы получили новое письмо от:
Katya
Чтобы прочитать сообщение перейдите по линку:
хттп://www.odnoklassniki.ru/45?7=OS70P9118919836GDB0NLLW249153U8MJ07J8JM50
--
С уважением,
служба поддержки Odnoklassniki.ru
Ссылка ведет на несколько более другой сайт (хттп://fmfipduqubqy.blogspot.com/). Дай, думаю, проверю - может, там что-то есть?Проверяю:
Версия антивирусного ядра: 4.44.0.9170
Размер файла: 25198 байт, с учётом скриптов и фреймов: 100.8K
fmfipduqubqy.blogspot.com - archive HTML
>fmfipduqubqy.blogspot.com/Script.0 - OK
В файле >fmfipduqubqy.blogspot.com/javascript.1 обнаружен вирус Trojan.Click.19749
>fmfipduqubqy.blogspot.com/Script.2 - OK
>fmfipduqubqy.blogspot.com/Script.3 - OK
>fmfipduqubqy.blogspot.com/Script.4 - OK
>fmfipduqubqy.blogspot.com/Script.5 - OK
>fmfipduqubqy.blogspot.com/Script.6 - OK
...
Можно ссылку не нажимать и на сайт не ходить.
---
С уважением,
Borka.
надо бы поэкспериментировать - посохранять как тхт разные страницы на которые ругаются каспер или др.веб и проверить их на виртотале - посмотреть много ли других авлабов также думают и отслеживают скрипты сигнатурно.
Кстати, хороший пример - "другой сайт" (не тот, что на блогспоте, а следующий, который загружается при заходе на блогспот) при каждом запросе выдает новый скрипт.Сообщение от borka
P.S. Борис, у Вас ведь есть доступ к закрытому разделу. На Вирусинфо не принято выкладывать ссылки на зараженные сайты в открытом доступе. Обсуждение зараженных сайтов у нас происходит в этом топике.
Добавлено через 12 минут
Кстати, вирус на "третьем сайте" отдается только живым людям. На скриншоте результат проверки линк-чеккером этого сайта. Тут видно, что ему на проверку вообще ничего не отдалось.
Последний раз редактировалось DVi; 18.08.2008 в 20:34. Причина: Добавлено
в двух словах, пожалуйста, опишите что там...Кстати, вирус на "третьем сайте" отдается только живым людям.
связка сплоетов?... если так - то тут сильно ограничен способ проверки на то человек это или нет - например некоторые смотрят на User-Agent - его можно и подделать - т.е проверяльщику страницы на вирусы забить ослом шестым эту переменную, реферер поставить и т.д - т.е все по правилам, так сказать - и вообще - забить валидными данными все что может извлечь пхп скрипт из браузера.
все это сделать достаточно просто как с той, так и с другой стороны (как накодить такое в связку сплоетов, так и проверялку на вири если делать ее на пхп + сервак с поставленными антивирями для проверки.
всем этим я хотел спросить: как тот "другой сайт" определял живой это человек или проверялка от др.веба?..
или он действует более примитивно чем описал я? может у него просто реферер доктор веб забит в черный список или айпишники по маске забанены, так сказать??..
priv8v, По моему там банально дрвеб банят
в качестве контр-меры надо сделать так чтобы плагин подключался к проверяемому сайту через анонимный прокси- который сможет выбрать сам пользователь- чтобы уменьшить вероятность попадания IP к плохим хакерам
Последний раз редактировалось drongo; 18.08.2008 в 22:25.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Проверив этот сайт (blogspot) и получив детект скрипта, пользователь на следующий сайт не попадет.
Возможно, я и неправ, но во-первых, ссылка деактивирована (кстати, такого рода ссылок достаточно в разделе "Мошенничество в сети"). Во-вторых, как еще было показать работоспособность линк-чекера? Каждый, кто хочет проверить, сможет это сделать.
Это, конечно, хорошо.Кстати, вирус на "третьем сайте" отдается только живым людям. На скриншоте результат проверки линк-чеккером этого сайта. Тут видно, что ему на проверку вообще ничего не отдалось.
Виталий, ну почему Вы не хотите признать того, что при проверке ссылок не обязятельно детектить конечного зловреда, если промежуточные ифреймы детектятся, и пользователь, получив предупреждение антивируса, туда не пойдет?
Добавлено через 11 минут
Ифрейм на ифрейме сидит и ифреймом погоняет.
Пан Зайцев показал, что это вполне возможно.
Вот и все...
Последний раз редактировалось borka; 18.08.2008 в 23:04. Причина: Добавлено
---
С уважением,
Borka.
В случае линк-чеккера фраза "промежуточные ифреймы" должна звучать как "первый ифрейм на сайте, не защищенном от линк-чеккера".
Почувствуйте разницу.
казуистика....
Left home for a few days and look what happens...
+1. Виталий, поясните, пожалуйста.
---
С уважением,
Borka.
Сколько же можно повторять?
Линк-чеккер проверяет только первый фрейм. И только если фрейм не защищается (не блокирует линк-чеккер по IP, например). Второй, третий и т.д. фреймы линк-чеккер сейчас не проверяет вовсе.
Добавлено через 6 минут
Систему можно улучшать до бесконечности - вплоть до захода на сайт настоящим непропатченным IE через TOR под виртуальной машиной (но это совсем уже идеальный линк-чеккер получится).в качестве контр-меры надо сделать так чтобы плагин подключался к проверяемому сайту через анонимный прокси- который сможет выбрать сам пользователь- чтобы уменьшить вероятность попадания IP к плохим хакерам
Но все эти улучшения не отменят главного недостатка:
1. Линк-чеккер будет проверять тот файл, который ему отдаст сервер.
2. Пользователь будет скачивать тот файл, который ему отдаст сервер.
3. И эти два файла в общем случае будут разными.
Последний раз редактировалось DVi; 18.08.2008 в 23:58. Причина: Добавлено
Что это меняет, если первый ифрейм детектится?
Разве с этим кто-то спорит?
Я уже сказал - Ваш тезис о полной бесполезности нужно немножко ослабить.
---
С уважением,
Borka.
Вы только что утверждали, что достаточно детектировать любой из N фреймов. Линк-чеккер этого не делает.
Добавлено через 3 минуты
Борис, я на Вас удивляюсь - Вы умеете в двух соседних предложениях сказать две взаимоисключающие мысли.Разве с этим кто-то спорит?
Я уже сказал - Ваш тезис о полной бесполезности нужно немножко ослабить.
Если Вы согласны с перечисленными мной тремя пунктами, то на основании чего считаете, что линк-чеккер может гарантировать пользователю безопасность посещения указанного адреса?
Последний раз редактировалось DVi; 19.08.2008 в 00:24. Причина: Добавлено
Теперь я понял, что Вы имели в виду.
Что исключает что? Если детектируется первый скрипт дальнейшая проверка теряет смысл. Как правило, это простой ифрейм, без защит и наворотов.
Гарантию нынче не дает и страховой полис.
---
С уважением,
Borka.
Вы только что утверждали, что необходимо проверять N вложенных фреймов - чтобы распознать хотя бы один из них и запретить запуск конечного зловреда. Теперь Вы утверждаете прямо обратное.
Как раз наоборот.Гарантию нынче не дает и страховой полис.
Страховой договор гарантирует исполнение сторонами своих обязательств. В нем, в частности, регламентируются, при каких условиях и в каком размере будет выплачено страховое возмещение при наступлении страхового случая.
DVi, извините, что вмешиваюсь в ваш разговор, но....(взгляд со стороны) как Вы не поймете, что link-checker дает НЕ ГАРАНТИЮ безопасности посещаемого сайта, а гарантию НЕБЕЗОПАСНОСТИ такого мероприятия (если определит вредоносный скрипт). И этого вполне достаточно от него (link-checker-a).
...а можно ли узнать механизм по которому Др.Веб проверяет урл?..
просто мне не верится, что он действует таким вот тупым методом:
просто из спора тут спорящих получается так...PHP код:скачивает себе страницу по указанному урлу и затем проверяет ее Др.Вебом - и исходя из этого выносит вердикт
если Др.Веб действует именно так, то это просто неимоверно тупо.
даже при эвристических способах не будет 100% гарантии в чистоте сайта, НО ...
Понимая как заражаются сайты можно придумать и эвристические методы - это не столь сложно.
Вот именно так он и работает ...
Что пишет эта служба, проверяя http://z-oleg.com/eicar.php ? Пишет "вирусов нет", а там сидит злобный EICAR. Я не публикую исходник этой PHP, так как придерживаюсь неписанного "кодекса чести", но могу сказать, что он весьма и весьма несложный.
Я это отлично понимаю.
Но пресс-релиз ООО "Доктор Веб" утверждает обратное: http://info.drweb.com/show/3462/ru
Для использования Dr.Web LinkChecker нет необходимости устанавливать антивирус Dr.Web. ... По результатам проверки пользователь Mozilla Firefox может принять решение о ... посещении интересующей страницы, не опасаясь вирусной атаки.
скажите принцип работы Вашей странички. набрать в пхп я смогу и сам.Пишет "вирусов нет", а там сидит злобный EICAR.
или там просто идет бан по айпи (по маске или по стране)?
Ваши права в разделе
