FireFox 3.6.13 был со старым профилем без расширений, я в него поставил AdBlock Plus и FlashBlock

открывают playground.ru, выключаю флашблокер и адблокер и снова перегружаю плайграунд что бы сравнить

и тут вылезли всякие КУПИ КУПИ ВЫИГРАЙ, заиграли ролики, музыка и спустя пару сек trojan.winlock.2741 появился (самый первый у ДрВеба http://www.drweb.com/unlocker/index/)

я его убрал, но мне просто интересно (что б не попадать больше) как такое возможно? кто виноват? вроде ж ФФ безопасный, на каждом углу кричат!

стоит ЕSET  - молчал все время, проверил потом винду Каспером и ЕСЕТом - тишина! (вроде должен быть .ехе где то зараженый)

я потом снова лазил на плайгарунд без защиты несколько раз для тестов - но ничего уже не поймал
так что даже не знаю кто виноват, могло ли что то из прошлых открытых страниц прейти?
хотя проявилось только после перезагрузки плайграунда....

Вы сами и виноваты. Наверняка ведь зашли на какой нибудь сомнительный ресурс, или скачали что нибудь варезное...
А про безопасность ФФ - без головы на плечах её нет, равно как и при работе с любой другой программой.

Кхм... Написал было про "прослойку"... но сам удалил...

и что? мало ли, что я качал когда то...
за весь день этим профилем ничего не делалось ТАКОГО, а в момент заражения тем более, кроме описаного
или вы хотите сказать, что я месяц назад с депозита что-то скачал, а теперь вирус проснулся...
тем более щас и варзных то сайтов таких нет, весь варез на шароварниках, а их проверяют...

ну вообщем какое то предположение ни о чем

с чего бы? я его себе специально не загружал! загрузил фаирфокс сам каким то скриптом откуда то...

а вот это мне как раз и интересно!

просто я раньше думал, что такого в ФФ в принципе быть не может...
он у меня уже 3-4 год, где только не лазал - ничего подобного не было! даже антивирус за это время сработал и то раз 5 всего (пытается загрузиться что то неправильное)
я не имею ввиду вирусы в архиве, по ссылке как обычная загрузка допустим, а именно те программы которые загружаются через эксполиты и сразу запускаются без спроса! просто мне казалось что и антиврь должен это перехватывать, но как вышло, что и ему побарабану! ну фф обманули и он скачал, но ЕСЕТ то должен былт присечь! вирус то не новый - в БД есть навреняка

А в этот день вы лазили только на playground.ru?

Да что вы говорите

Знаете, вариант с тем что вы "специально" загрузили вирус куда более правдоподобен...
Хотя... А откуда вы скачали инсталлятор браузера?

WinLock - это хорошо, тем более с playground,a.
Сайт уже провонял своими флеш.троянами и вирусами.
А то, что не дополняют блокираторами\базами подобных ресурсов, это плохо.
В "Настройки - Защита" есть пункт "Блокировать сайты подозреваемые в атаке\мошенничестве" - так вот он вообще не работает.
Зачем нужна опция "Защита" вообще, если она не работает ?

Najlus
Человек привел конкретный пример с сайтом.
При чем тут "в этот день... еще куда нибудь..." ?

аддон.мозила, ПГ (первый раз на этом профиле), и старые закладки, которые висели с прошлого запуска
фф не раз перегружался сегодня, старницы нормально обновлялись

имеется ввиду не содержание, а интерфейс. уж рапида какая нить не будет клиентам вирусы всаживать через интерфесные и скрытые скрипты, если ее только не поломают, но это уже другая тема

да я бы щас даже специально его загрузить попробовал, но больше не смог обнаружить при тех же условиях
инсталятор с офф, с этим все ок

Хотите я вам на спор передам несколько вирусов так, что никакая антивирусная проверка на файлопомойках даже и не подумает пикнуть?

Тогда темболее обвинять браузер бессмысленно. Вы сами где-то подцепили вирус и теперь пытаетесь свалить вину за это с собственной неосторожностью на абсолютно не виноватую в заражении программу.

я никуда не валю, я наоборот хочу понять как мы

в системе постоянно работает и обновляется ЕСЕТ, щас проверяется Каспером - никаких следов вируса НЕТ
неужели я подцепил что то новое, чего еще нет в БД антивирусников и оно загрузило мне старый винлокер?

19-12-2010 20:28:23

мы наверное говорим о разных вещах, ты хочешь скзать что летибид, рапида, депозит подсаживают вирусы просто через открытие своих страниц? (или могут) я об этом
в любом случае ничего такого уже давно не делалось, последний новый прогой был Dataram_RAMDisk_V3.5.130RC13a.msi скаченый с оффа

обычный серфинг - юутб, гугль, аддон.мозила, пг, новости, торренты
(но все это с другого профиля)

mike2003
Тут больше всех виноват плэйграунд, что непонятного? Ресурс старый, посещаемый, всяких бяк не ожидаешь, а они вона как... Админам ихним, думаю, писать бесполезно. Стучите Гуглю, Мозилле, WOTу, ООН и вообще всем подряд.
ESET — фигня на постном масле.
Najlus
Почему "где-то"? На вполне конкретном сайте, расположенном по адресу playground.ru.

Антивирус далеко не панацея, темболее от ЕСЕТ (Какой нибудь "сектор" без проблем убивает этот "антивирус")

Если проверяли после удаления вируса, то он и не может найти того, чего нет.

Нет, вы всего лишь утверждаете что браузер обрёл разум и самостоятельно загрузил вам вирус.

Вирус прописывается не в профиле, а в системе.

mike2003 Браузер абсолютно не обязан, не может и не должен защищать вас от любых вирусов. Для этого есть антивирусы, файерволы, веб-экраны итд, в общем средства проактивной защиты.

Безопасность заключается в блокировке опасных скриптов, защите от кражи личных данных. Но это не значит, что можно ходить на любые сайты с сотнями вирусов и троянов и абсолютно ничего не бояться.

А вы не думали о том, что "не работает" потому, что нет информации о том, что сайт подозревается?
Если информация есть, то выдается предупреждение, так что всё работает.

я так и не нашел никих следов вируса - ни один файл не заражен, ничто не подозревается... так что и удалять нечего было

ТРОЛЛЬ чтоль пришел? зачем все выворачивать?

допустим виноват сайт ПГ, но почему я еще раз не могу вирус схватить тогда?
я на этом сайте давно и никаких подозрение не было, адблок+ делает его достаточно читабельным и не назойливым...
есет прозевал? ну наверное он такое может, правада вирус то не новый...
правда и следы его я пока не нашел в системе...
ну хз кароче

19-12-2010 20:41:47

ну так все стоит и работает, качество ЕСЕТа другой вопрос )

ну так что ж он не заблокировал тот срипт, что скачал мне ВинЛокер? да еще и позволил коду исполниться без моего ведома (все равно с какого сайта)

меня полнует на самом деле то что выделил в последней строчке - почему ФФ запустил втихоря, а ЕСЕТ не распознал... в заражение вирусом "на той неделе", а теперь он вдруг проснулся - я не верю

Это была ирония . В названии темы вы ясно указали что вирус вам загрузил никто иной, как сам Firefox. А так как обычная версия этого сделать не могла а вы рьяно отстаиваете свою невиновность...

Может быть потому что он не знал что этот скрипт качает ВинЛокер на компьютер mike2003? Всётаки это браузер, а не антивирус. Хотите блокировать скрипты: ставьте NoScript.

Firefox не отвечает за запуск приложений, так как это браузер.

я хочу безопасности!

блин, это не мой профиль и не я им пользуюсь!я только сегодня поставил туда эти дополнения (до этого там вообще все по дефолту было и нормально лазилось), а при отключении их получил ТАКОЕ, носкриптом пользоваться надо уметь, а хозяин профиля с этим не справится слишком сложно

я думал, ЕСЕТ вместе с ФФ обеспечат безопасность, если не лазить по варезникам и проч., но видать все равно остается возможность запуска подобных программ

Пожалуйста

Может быть хозяин профиля заразил систему?

Firefox по определению не может защитить вас от вирусов. Его защита сводится к блокированию проникновения злоумышленника ЧЕРЕЗ браузер к вас в систему. Да и помимо антивируса есть ещё фаерволы, антишпионы, антитрояны и много чего ещё.
Если вы действительно беспокоитесь о безопасности компьютера, то проконсультируйтесь с Rosenfeld'ом (Он неофициальный эксперт по безопасности нашего форума)

Najlus уже ответил. Я с ним полностью согласен.

конечно мог... на его же профиле все таки это произошло...
только вот нету в системе вирусов (судя по результату тестов Каспера и есета)
с одной стороны это радует, с друго напрягает - "куда же он делся то???"

А как вы узнали что "FF вам винлокер зугрузил"? Антивирус среагировал? дак вот он его и удалил - все нету больше вируса, зачем паника?

возникло окно "дай 400р, а то через 12 часов кабзцец", мышь заблокировалась, диспетчер пропадать стал
антивир не среагировал - он у меня в режиме "сообщать" работает
вируса то нет (хотя не понятно куда он делся), но волнует проблема повторного заражения
винлокер не самое страшное

Ещё раз проясним: вы удаляли вирус (сами либо антивирусом) или он пропал "ни с того ни с сего"?

я имеюю ввиду, что тот пользователь никаких программ не качает и запускает только те, что уже есть на компе от меня, если он и скачает вирус то только через обход безопасности браузера (как и вышло в этот раз) без его ведома. вообщем сам вирус не запустит - не будет качать и запускать ничего нового
к профилю я привязался, потому что там не стояло никаких блокираторов

я ничего не делал, закрыл фарфокс и весь вечер проверял систему антивирусами - ноль эффекта
даже shell в реестре не тронут, как пишут он там должен себя прописать
и ТЕМПы без .ехе в виде цефр
даже поиск ново созданых .ехе запускал - тоже ничего

Может быть это был вовсе и не вирус, а простая web-страничка? pg зачастую грешит "плохой" рекламой.

я все таки надеюсь, что странички пока не научились блокировать мышь и запрещать диспетчер задач!

упс... извиняюсь... Но всётаки ещё раз проверьте компьютер с помощью DrWeb CureIt (причём желательно в LiveCD-виде).

и дохтор ничего не нашел
правда следует заметить, что у меня выключен дисковый кеш и работает только кеш в памяти
может когда ФФ закачал вирус он лежал в кеше (т.е. памяти), а не в ТЕМПе юзера...
ну и соответственно следов поэтому и не оставил

Тема перенесена из форума «Firefox» в форум «Флейм».

Ну как бы да. Если бяка в темп юзера прорывается, тогда бы было о чем расписываться. А в кеш бряузеров любое Г всегда без проблем зайдёт. Так уж это работает, кеширование.

А нафиг с правами Админа в системе сидеть?

Скорей всего просто повелись на сообщение "Для воспроизведения этого ролика нужно обновить Flash"

21-12-2010 17:15:26
На самом ПГ опасных скриптов быть не может, потому что их в Инете не существует.

P.S. Если найдете возможность загрузить на компьютер жертвы файл и запустить его через браузер, то можете... много чего сможете сделать...

Косвенно — научились. Страничка может дать такую нагрузку, что повесит всю систему. С 3.* такого не встречал, а 2 при открытии странички с особым образом отмасштабированной картинкой сначала вешал (насколько помню, как раз с невозможностью открыть диспетчер задач и даже остановкой курсора), а затем крашил Виндовс (синий экран смерти или перезагрузка).
Хотя думаю, что здесь не тот случай. Конечно, проблема в , но нормальный антивирус поможет. Эзет и Аваст к нормальным не относятся.

21-12-2010 19:33:26

Да что Вы говорите.

Ну дай хотяб один рабочий пример.
Мне, как web-программисту, действительно интересно увидеть это чудо.

А пока примера нет, то можно считать это фейком.

Не забывайте, что странички состоят из текстовых файлов, а не из бинарно-запускаемых.

Keepun
Примера не дам, но почему тогда в регулярно устраняются уязвимости, позволяющие, ЕМНИП, запуск произвольного кода?

Классика жанра - переполнение буфера в Firefox 1.5. Подробнее о переполнении буфера в Википедии.

Кажется, были примеры и посвежее…

я не понимаю что тут обсуждают?
в самом первом посте было же написано что использовался флэш который есть жуткая дыра и имеет дофига возможностей
напакостить в системе(уже одно то что изменение настроек флэш плагина возможно со странички уже о многом говорит) и фф со скриптами тут нипричём.

C тоже проходило. Правда рандомом, в отличие от 2. Как правило под ишаком машины с очень слабыми видеокартами гнулись. 'e вообще пофиг было.

Практика показывает, что таки, может быть и причем . Правда, пока, об эксплуатируемых уязвимостях Firefox 3.6.13 широким массам не известно.
А уязвимости во Flash, Java Runtime, Silverlight и т.д., это само-сабой.

Переполнение буффера может быть вызвано чем угодно - даже левым плагином.
Чаще переполнение просто валит программу без серьезных последствий для системы.

Только как это по вашему состыкуется с возможностью закачки и запуска вируса?

Критически уязвимости в Лисе больше относятся к проблемам неправильного обработки кода. Понастоящиму опасных уязвимостей, которые позволят заразить комп вирусом, вы не найдете.

Чисто к слову: синий экран свидетельствует об ошибке в коде, работающем на уровне ядра ОС. FF такого кода не имеет. И эту ошибку в принципе может "воспроизвести" любое другое приложение, в т.ч. специально для этого разработанное

Антивирус-то тут при чём? Типичная проблема приложения.

Современные браузеры берут текстовый файл JavaScript и компилируют его в байт-код для исполнения. Аналогию с компиляцией программ из исходного кода продолжать?

Не нужно ибо мало общего между полноценной компиляцием и таким байт-кодом.
Или ты считаешь,  что при перегонке JavaScript в байт-код можно вставить свою последовательность байтов?

21-12-2010 22:59:39
И байт-код - это не машинная команда, а проста распарсенный "человеческий" код.

А вот антивирус тут реально ни при чем Насколько помню дело было в перегрузе видеокарты с фатальными последствиями для видеодрайвера, и сосбтна блюскрин. Только хз почему именно на 2 срабатывало со 100% вероятностью. Нужно бы проверить этот приход с 2 на vista+, XDDM и WDM  это всё же не только разный набор буковок. Да неть под рукой ничего из nt 6.0-6.1

lump, цитата не моя.

Keepun

Вижу. Опаньки движка?

Это что за поток сознания?

Байткод байткоду рознь. man JVM, man .NET.

и?
Ты сам-то байт-код .NET хоть раз видел?

Вот он:

.class private auto ansi beforefieldinit Hello.Program
       extends [mscorlib]System.Object
{
  .method private hidebysig static void  Main(string[] args) cil managed
  {
    .entrypoint
    // Code size       13 (0xd)
    .maxstack  8
    IL_0000:  nop
    IL_0001:  ldstr      "Hello World!"
    IL_0006:  call       void [mscorlib]System.Console::WriteLine(string)
    IL_000b:  nop
    IL_000c:  ret
  } // end of method Program::Main
} // end of class Hello.Program

А дизассемблированный код видел?

Keepun
Приехали, байткод с CIL путаем.

А из чего по твоему IL Disassembler тогда получает CIL?
Байт-код в exe находится.

Без понятия. Подозреваю, что из байт-кода он получает CIL, который приведён выше.

И что?

Байт-код напрямую не выполняется, поэтому твое утверждение

неверно
Перегонка в байт-код != компиляции в машинный код.

Keepun
Кто говорил, что напрямую выполняется? И вообще, какое это для безопасности имеет значение, хотелось бы знать?

Ты не можешь добавить в язык свои конструкции.
Например, в JavaScript ты не добавишь возможность сохранять и запускать файлы, потому парсер Лисы не знает таких функций.

А вот взять бинарный код и заменить байты NOP на свои можно - этим вирусы и занимаются.

lump

В описанном Вами (и выше — мной) случае действительно ни при чём и я это понимал. А вот в случае топикстартера думаю, что при чём. Я же написал:

А Ваш пример с картинкой кто-то из форумчан проверял на Windows 2000 (если точно помню). Не сработало. Но какая там видеокарта была и процессор (от него тоже зависеть может), не интересовался, потому что не знал тех подробностей, которые Вы сообщили сейчас. У меня на XP срабатывало каждый раз, видеокарта слабая и процессор не супер (Intel Celeron 2.00 ГГц).

А кнопку "цитировать" в нужном сообщении нажали?

странно работает форум, почему мне уведомления не приходят? после переноса стерлась подписка?? но вверху горит "отписаться"....
тут уже на две старницы наговорили! глупостями типа "Скорей всего просто повелись на сообщение "Для воспроизведения этого ролика нужно обновить Flash"
для слепых - НИЧЕГО НЕ НАЖИМАЛОСЬ! все автоматом! читать чтоль не умеют люди...

меня напрягает такое нашествие вирусов в кеше java, все эти jar! Да что за дела??? если антивирус их видит и распознает, то какого черта они туда попадают? разве не для этого существует защита файловых систем в реальнмо времени?? разве в момент записи подобного меня не должны информировать или блокировать распознаный код?

Ммм, хороший вопрос. Глаза трясутся, руки тоже.. а хз.

Вот недавно на win 2003 x86 проверял. Вроде дрова от xp, т.е. выделенных под 2003 x86 у nv нету. И ничего не случилось. Может дело в карте, ПЕЧ 275 с нестандартным объёмом памяти в 1792. Брал ее когда-то, чтобы в GTA4 на максимальной детализации погамать, при случае кое кого подразнить (правда еще и проц пришлось до 4 гигагерц разгонять, такой идиотский движок как у этой игрульки еще хорошо поискать надо xD ). И даже не спрашивайте что win 2003 делает на компе с этой печкой, просто на столько дурацкая история, лучше без подробностей

http://www.securelist.com/ru/descriptio … 010-0094.c

А браузер тут не причем

у меня кажется как раз 6.17 стоит

А нынче 6 23 на дворе. Так что сам себе злой ...

да ну эту жаву... не понятно чего она не обновлялась только... в опциях стоит ежемесячное (по умолчанию) значение, "а в ответ тишина"

А jucheck.exe (жучёк xD ) случаем не убран из автозагрузки?

ааааа!
конечно убран! ладно будем знать и руками проверять

Так к сведению, этот несчастный "жучёк" потребляет меньше мегабайта оперативки + нулевая загрузка почти любого проца, да на P3 и т.п. не проверял. Не сдалось какбэ. Смысл его валить? Не журю, спрашиваю. А может таки есть.

ну как бы зачем мне пустой процесс, кторый срабытывает раз в месяц? (по дефалту) а грузится каждый день
да и просто привычка убираться все лишнее из автостарта

а раз в месяц я и сам проверю, мне не "в падло"

А зачем вы это Яву для Инета юзаете?
В Лисе в Плагинах эту Яву можно включать/отключать при необходимости.

У меня Ява только ради Eclipse стоит...

м... а что разве не надо?

Флеш и Сервелат в этом плане лучше заточены под Веб чем Ява, которая у единиц стоит...

Нет.

Больше походит на атаку сервера-зомби. У меня подобное тоже было.

Судя по статистике SpyLog'а , это не так.

Сомнительная статистика...
Аудитория сайта - компании, а не обычные юзеры.