Показано с 1 по 13 из 13.

Форум mozilla-russia дает оценку статьи Security Lab. "SecLab раздула из мыши гору по отношению к Mozilla Firefox"

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Форум mozilla-russia дает оценку статьи Security Lab. "SecLab раздула из мыши гору по отношению к Mozilla Firefox"

    Форум mozilla-russia дает оценку статьи http://www.securitylab.ru/news/352666.php
    Security Lab опять доказал свою желтизну, публикуя новости типа "Moziila несколько месяцев распространяла Firefox с внедренным трояном", намекая на то, что, якобы, все сборки Mozilla Firefox были заражены. В реальности ни одна сборка Firefox заражена не была. Вирус был во вьетнамской локализации, которая распространялась с сайта обновлений и ставилась только теми, кому она была нужна.
    Заголовок "новости" лжёт вдвойне, говоря про троян. Xorer.O http://www.pandasecurity.com/homeuse...a=particularesявляется червём и всего навсего показывает баннеры.
    http://blog.mozilla.com/security/200...-for-firefox-2

    P.S. Они даже не осилили правильное написание слова Mozilla
    http://forum.mozilla-russia.org/viewtopic.php?id=23056
    Последний раз редактировалось anton_dr; 11.05.2008 в 09:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708
    Добавлено через 2 минуты

    Мда, всего-навсего "безобидный червь"
    Xorer.O

    Тип:
    Червь
    Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).
    Операционная система:
    Windows
    Уровень:
    низкий
    Размер:
    95.744 байта

    Признаки

    Производит следующие действия: проверяет наличие соединения с интернетом. В случае обнаружения, загружает с сайта http://js.k[???]02.com два файла - DATA.GIF (обновление червя) и ANTITOOL.EXE, записывающий в систему библиотеку перехвата трафика WinPCap и файл ALG.EXE, перехватывающий и модифицирующий трафик.
    Для маскировки использует руткит для сокрытия своих файлов, скрывает отображение системных файлов.
    Завершает процессы, в имени которых содержатся следующие текстовые строки:
    • #32770
    • 360anti
    • 360safe
    • AfxControlBar42s
    • antivir
    • bitdefender
    • cabinetwclass
    • dr.web
    • escan
    • ewido
    • facelesswndproc
    • firewall
    • ieframe
    • mcagent
    • metapad
    • monitor
    • mozillauiwindowclass
    • SREng
    • tapplication
    • thunderrt6formdc
    • thunderrt6main
    • ThunderRT6Timer


    Распространяется, создавая в корне всех дисков файлы PAGEFILE.PIF, 037589.LOG и AUTORUN.INF (файл, обеспечивающий автозапуск PAGEFILE.PIF при подключении к системе).
    Создает следующие файлы:
    • LSASS.EXE - в поддиректории Com системной директории Windows
    • ~????.EXE - в директории Автозапуска (? - случайные символы)


    Также создает файлы:
    • NETAPI000.SYS - в корне диска C: - руткит для сокрытия файлов, принадлежащих червю
    • NETCFG.000, NETCFG.DLL и SMSS.EXE - в поддиректории Com в системной директории Windows
    • DNSQ.DLL - в системной директории Windows


    Модифицирует следующие записи в реестре:
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ SuperHidden \ Type = radio ox b o x WinRAR\WinRAR.exe" "%1" R A R \ W i n R A R . e x e " "????. e x e "
    • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ ShowSuperHidden = 00, 00, 00, 00


    Удаляет из реестра следующие записи для отключения возможности загрузки системы в "Безопасном режиме" (Safe Mode):
    • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
    • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
    • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
    • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive


    Также удаляет из реестра все записи, принадлежащии ветви автозапуска (HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run).
    ЗАЩИТА

    • Отключить функцию "Восстановление системы" (для Windows ME и XP)
    • Полностью проверить систему антивирусом с обновлённой базой сигнатур
    • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
    Действие

    Червь для платформы Windows. Распространяется копированием себя на съемные и сетевые диски. Перехватывает интернет-трафик в локальной сети и модифицирует запрашиваемые веб-страницы, добавляя к ним всплывающее окно с текстом на китайском языке.
    источник: PandaSecurity.com
    Последний раз редактировалось ALEX(XX); 10.05.2008 в 20:35. Причина: Добавлено
    Left home for a few days and look what happens...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    ALEX(XX) это форум mozilla-russia дает оценку статьи http://www.securitylab.ru/news/352666.php, а не статьи http://security.compulenta.ru/356705/
    Эмоционально очень

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708
    Цитата Сообщение от SDA Посмотреть сообщение
    ALEX(XX) это форум mozilla-russia дает оценку статьи http://www.securitylab.ru/news/352666.php, а не статьи http://security.compulenta.ru/356705/
    Эмоционально очень
    Блин... Позор на мою седую голову.
    Left home for a few days and look what happens...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    Да ничего страшного

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Безупречная логика. Действительно, различие между трояном и вирусом с точки зрения рядового интернет-серфера столь велики, что автор статьи на Security Lab теперь обязан застрелиться.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -закономерный итог для Mozilla Firefox... удивительно, что случай единичный
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от Alex Plutoff Посмотреть сообщение
    -закономерный итог для Mozilla Firefox... удивительно, что случай единичный

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Цитата Сообщение от Alex Plutoff Посмотреть сообщение
    -закономерный итог для Mozilla Firefox... удивительно, что случай единичный
    Это ждет все приложения с открытой архитектурой.

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.05.2005
    Сообщений
    74
    Вес репутации
    59
    Да ладно вам, гораздо интереснее другое. Прочитав исходное сообщение, видим что

    All help pages (*.xhtml) are malicious script right after
    </html>:

    <script src="http://%6A%73..."></script>


    Совершенно непонятно, что заставляет обрабатывать скрипт ПОСЛЕ закрывающего </html>.
    Наверное, массовое следование некоторым дубовым традициям....

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для maXmo
    Регистрация
    21.09.2004
    Сообщений
    1,411
    Вес репутации
    292
    With info from Panda security, I think it just because the author's local
    network was infected with the virus, so it modified html files. The main virus
    is a Win32 program. The infected code just display annoying banner but it can't
    propagate.

    I think we might just remove the script and everything backs ok.
    я так понял, кроме банерного скрипта, там ничего не было.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Xorer - это не только банеры.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для maXmo
    Регистрация
    21.09.2004
    Сообщений
    1,411
    Вес репутации
    292
    именно это я имею в виду: по-видимому, от хорера там только баннеры и остались.

Похожие темы

  1. Ответов: 1
    Последнее сообщение: 18.04.2010, 20:00
  2. Ответов: 1
    Последнее сообщение: 22.08.2008, 23:51
  3. Mozilla Firefox "jar:" Protocol Handling Cross-Site Scripting Security Issue
    От ALEX(XX) в разделе Уязвимости
    Ответов: 19
    Последнее сообщение: 27.11.2007, 21:24
  4. Ответов: 1
    Последнее сообщение: 21.09.2004, 18:52

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00346 seconds with 16 queries