Полезная информация

Общайтесь со знакомыми и друзьями в нашем сообществе в Facebook.

№128-09-2011 18:19:34

kostyanet
Участник
 
Группа: Members
Зарегистрирован: 27-09-2009
Сообщений: 148
UA: Firefox 3.6

По безопасности версия 6 лучше?

Недавно подцепил вируса просто зайдя на сайт. Дело было так. После загрузки страницы ФФ завис намертво. Завис - вырубим и снова запустим. Работаю дальше. Вдруг в корне С появляется папка с бесмысленным названием, набор латинских букф. Ну, все, попал. Так и было. Каспер ничего не нашел, с помощью Process Explorer'а я сам нашел процесс мимикриющий под svchost с набором данных от ctfmon.exe. Там же нашлась и ссылка на файлик, igfxtray.exe, который предельно тупо базировался в папке автозапуска. Удалил процесс, удалил файлик, перезагрузился, все Ок. Какая-то модификация Trojan-Spy.Win32.Carberp.

Во-первых очевидно есть потрясающая дыра в ФФ которым я пользуюсь, через которую можно записать екзешник на диск и запустить его без вопросов к пользователю. Во-вторых сразу возникла мысль перейти на 6-ку из расчета что такие дыры там заделали.

Однако, когда выяснял чем заражен (ну, в смысле имя героя), то оказалось это волна этого вируса прокатилась в период май-июнь нынешнего года. А сейчас уже сентябрь. Выходит дыра до сих пор не заделана.

Можно быть уверенным что она заделана в 6-ке? Или я что-то не понимаю в версиях?

Отсутствует

 

№228-09-2011 19:26:29

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9558
UA: Firefox 3.6

Re: По безопасности версия 6 лучше?

kostyanet пишет

Недавно подцепил вируса просто зайдя на сайт. Дело было так. После загрузки страницы ФФ завис намертво. Завис - вырубим и снова запустим. Работаю дальше. Вдруг в корне С появляется папка с бесмысленным названием, набор латинских букф. Ну, все, попал. Так и было. Каспер ничего не нашел, с помощью Process Explorer'а я сам нашел процесс мимикриющий под svchost с набором данных от ctfmon.exe. Там же нашлась и ссылка на файлик, igfxtray.exe, который предельно тупо базировался в папке автозапуска. Удалил процесс, удалил файлик, перезагрузился, все Ок. Какая-то модификация Trojan-Spy.Win32.Carberp.

полную белиберду написали с расчетом на тех кто не разбирается.


для тех кто не шарит парочка пояснений
мимикриющий под svchost с набором данных от ctfmon.exe
это всёравно что сказать велосипед маскирующийся под МИГ-21 с ковшом экскаватора

igfxtray.exe это служебный файлик от интеловского видеоадаптера отображает значок настроек видяхи в трее
Вдруг в корне С появляется папка с бесмысленным названием
мне вот интересно как и когда эта папка была обнаружена? кто постоянно мониторит содержимое корня диска С поднимите руки!
Каспер ничего не нашел->Удалил процесс, удалил файлик,->Какая-то модификация Trojan-Spy.Win32.Carberp.
А теперь внимание вопрос: как аффтар внезапно узнал название вируса? ога.

очевидно есть потрясающая дыра лексика кагбэ намекает нам что ктото зубастый и ушастый хочет кушать.
а выражаясь нормальным языком использованные эпитеты призваны вызвать эмоциональный отклик у читателя,то бишь попытка манипуляции.

зы на данный момент в ФФ подобных дыр нет а все случаи заражения связаны с использованием либо криво написанных дополнений либо таких же плагинов от сторонних разработчиков (как правило это флэш)

а вот ослик ИЕ некоторое время назад страдал чудесным багом где внутрь картинки можно было вставить любой хтмл код
и при последующем открытии картинки с диска он мог исполняться с повышенными правами и заражать систему(это один из самых известных багов коих в осле тысячи).


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3

Отсутствует

 

№328-09-2011 19:54:11

kostyanet
Участник
 
Группа: Members
Зарегистрирован: 27-09-2009
Сообщений: 148
UA: Firefox 3.6

Re: По безопасности версия 6 лучше?

На святое покусились... бывает.

Мимикрирующий это значит вместо ctfmon стоит svchost cо всеми обычными параметрами ctfmon, но вместо file: C:\Documents and Settings\%USER% стоит путь к файлу igfxtray.exe в папке автозагрузки.

Разумеется igfxtray.exe никакого отношения к интелловской видеокарте не имеет, поскольку никакой такой карты у меня сроду не было. И самое прикольное в свойствах файла. Производитель Opera Inc, остальные поля заполнены бнопней типа JhSgaP, gQaIsT и тп.

Разумеется и дыра есть, поскольку я очень узкий, ненастроенный пользователь ФФ. Из аддонов только Гризманки, ливХТТП хедер (отключен, включается по необходимости) и Вью Сорц Чарт. В плугинах только стандартное, что подхватывает сам ФФ, да и то все выключено кроме шоквари флэш и дефолтного плугина. Покажите пальцем на подозреваемого из списка выше.

а вот ослик

Говорю же, на святое наступили. Это когда было с осликом-то? При царе горохе. А тут считай с мая по сентрябрь екзешники через браузер устанавливаются.

Отсутствует

 

№428-09-2011 20:24:56

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9558
UA: Firefox 3.6

Re: По безопасности версия 6 лучше?

kostyanet пишет

Мимикрирующий это значит вместо ctfmon стоит svchost cо всеми обычными параметрами ctfmon, но вместо file: C:\Documents and Settings\%USER% стоит путь к файлу igfxtray.exe в папке автозагрузки.

опять поток бессвязного бреда напичканного для важности непонятными терминами.

kostyanet пишет

И самое прикольное в свойствах файла. Производитель Opera Inc, остальные поля заполнены бнопней типа JhSgaP, gQaIsT и тп.

ого аффтар вернулся в прошлое пока еще файл не был удалён и посмотрел в свойства вернулся сюда и запостил их.

kostyanet пишет

А тут считай с мая по сентрябрь екзешники через браузер устанавливаются.

а пацаны то и не знают! чудеса! за столько времени ни одного багрепорта на эту тему!


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3

Отсутствует

 

№528-09-2011 20:32:19

kostyanet
Участник
 
Группа: Members
Зарегистрирован: 27-09-2009
Сообщений: 148
UA: Firefox 3.6

Re: По безопасности версия 6 лучше?

Блин, главное забыл: так что, 6-ка лучше по безопасности?

ЗЫ Легенды о непробиваемости ФФ восходят к временам когда этот браузер влачил сугубо маргинальное существование и не было никакого смысла рыться в его дырах. Слишком мало навара было. Сейчас он стал весьма популярным и смысл появился. Если какая-нить Опера, вылезет из небытия, в ней так же обнаружится целое решето.

Добавлено 28-09-2011 20:41:54
Откройте Process Explorer и увидите весь этот бред сами.

ого аффтар вернулся в прошлое пока еще файл не был удалён и посмотрел в свойства вернулся сюда и запостил их.

Вы как будто на измене. Говорю же: еще тогда посмотрел свойства. И вообще он у меня лежал некоторое время на столе (вместо .exe написал ._ на всякий случай): думал сдать на анализ куда-нить. Но потыкавшись понял что это никому не интересно, поскольку и так все заранее известно.

Фишка PE в том, что можно убить какой угодно хэндл. Что я и сделал. А файл просто перетащил из автозагрузки на рабочий стол. На следующий день удалил уже.

Да, надо было сохранить и вам подарить. :)

Отредактировано kostyanet (28-09-2011 20:41:54)

Отсутствует

 

№628-09-2011 20:43:26

тональ
Забанен
 
Группа: Members
Зарегистрирован: 10-02-2011
Сообщений: 273
UA: unknown 0.0

Re: По безопасности версия 6 лучше?

kostyanet пишет

Недавно подцепил вируса просто зайдя на сайт

Может вредоносный скрипт был на странице? Я лично давно использую NoScript и вообще давно ничего не ловил, Вам просто не повезло.

NoScript - Блокирует все скрипты на странице, запоминает на каком сайте они разрешены. (Нужно разбираться как работает расширение, а то некоторые графические элементы на странице не будут отображаться или срабатывать). Синхронизация с другими ПК через закладки: http://forum.mozilla-russia.org/viewtop … pid=414014. Для нормальной работы других расширений нужно, чтобы в глобальных настройках JavaScript был включен (кстати, при использовании NoScript нет смысла его отключать). https://addons.mozilla.org/ru/firefox/addon/noscript/

Отредактировано тональ (28-09-2011 21:55:36)

Отсутствует

 

№728-09-2011 20:46:03

kostyanet
Участник
 
Группа: Members
Зарегистрирован: 27-09-2009
Сообщений: 148
UA: Firefox 3.6

Re: По безопасности версия 6 лучше?

В общем, кто знает из-за чего надо ставить 6-ку, отзовитесь.

Дизайн и вкладки не интересуют. Чисто по функционалу.

Например будет ли 6-ка изображать из себя сверхбыстрый браузер, как это делает 3.6 сейчас, а потом после запуска, минуты через три, коварно вычищать кэш треща винтом на все лады и тормозя загрузку?

Добавлено 28-09-2011 20:52:43

тональ пишет

Может вредоносный скрипт был на странице?

Ну, натурально был, и вредоносный. Как же иначе, не хтмл же.

Что значит NoScript? У меня столько времени нет чтобы где-то кому-то разрешать, а кому-то запрещать. Бывает за день сотню сайтов пролетаешь собирая инфо не разбирая урлов. Если я еще начну каждый из них обсасывать семафорами: лучше тогда сразу в сисадмины подаваться.

Скрипты выполняются в браузере. Вот только не очень понятно почему не в режиме отладки. Очень ведь просто можно вас прямо сейчас нахлобучить: заводим prompt, с которого однозначно попадаем на prompt. Все, вы НИКОГДА не закроете эту страницу.

Отредактировано kostyanet (28-09-2011 20:52:43)

Отсутствует

 

№828-09-2011 20:59:45

Крошка Ру
Участник
 
Группа: Extensions
Зарегистрирован: 19-10-2008
Сообщений: 8718
UA: Nightly 10.0

Отсутствует

 

№928-09-2011 20:59:55

kostyanet
Участник
 
Группа: Members
Зарегистрирован: 27-09-2009
Сообщений: 148
UA: Firefox 3.6

Re: По безопасности версия 6 лучше?

Попробуйте сами. http://www.w3schools.com/js/tryit.asp?filename=tryjs_confirm

Вместо alert("You pressed OK!"); поставьте в обоих ветках show_confirm(); и будет вечный кайф. :)

Добавлено 28-09-2011 21:02:02

Крошка Ру пишет

kostyanet ,Безопасность: браузер, почтовый и IM-клиенты, шифрование, анонимность

Оптимальный вариант - полный отказ от использования проприетарных (платных или freeware, но с закрытыми программными кодами) операционных систем и прикладных программ, то есть глобальный переход с Windows на  Linux

Спасибо, сыты по уши советами как избавляться от вшей через отрубание головы.

С кибергигиеной (слова до которого автор статьи не допер) я сам хорошо знаком. Но вот как через браузер екзешники проникают - это не моих уже силах остановить. И прикол-то в том, что хваленый Касперовский его не увидел в упор.

Добавлено 28-09-2011 21:09:46
Конкретно ФФ приходится юзать из-за единственной важной для меня фитчи: можно сохранить картинку или вообще файл на диск и закрыть окно. Пока хотя бы один тред живой - докачается само. Очень удобно. Проверял Хром - такого нет. ИЕ - подавно нет, и еще Осел забывает папку назначения. Еще условно (если это хорошо) хорошая фитча что текст из таблицы сразу копируется с табуляторами. То есть можно из таблицы вставить в таблицу, например в Ёкзель.

Отредактировано kostyanet (28-09-2011 21:09:46)

Отсутствует

 

№1028-09-2011 21:20:04

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9558
UA: Firefox 3.6

Re: По безопасности версия 6 лучше?

kostyanet пишет

Все, вы НИКОГДА не закроете эту страницу.

бугога.
превед троцкий!


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3

Отсутствует

 

№1128-09-2011 21:26:22

kostyanet
Участник
 
Группа: Members
Зарегистрирован: 27-09-2009
Сообщений: 148
UA: Firefox 3.6

Re: По безопасности версия 6 лучше?

Закрыли что ли?

Отсутствует

 

№1228-09-2011 21:46:47

Sid
Участник
 
Группа: Extensions
Зарегистрирован: 10-05-2007
Сообщений: 5676
UA: Nightly 10.0

Re: По безопасности версия 6 лучше?

kostyanet пишет

Закрыли что ли?

Разумеется. Начиная с Firefox 4, такую вкладку можно просто закрыть.

Дай, пожалуйста, ссылку на страницу, через которую автоматически загружается и выполняется вирус. Рассказывать можно всё, что угодно, но хотелось бы пруфлинк.

Отсутствует

 

№1328-09-2011 21:53:26

Pegasus
Участник
 
Группа: Members
Зарегистрирован: 24-09-2011
Сообщений: 8
UA: Aurora 8.0

Re: По безопасности версия 6 лучше?

это не так делается вот пример.  http://sadas2323-34-435s.narod.ru/
требование должны быть включены скрипты + в коне должна быть открыта любая еще 1 или более вкладок.

Отсутствует

 

№1428-09-2011 22:13:53

Sid
Участник
 
Группа: Extensions
Зарегистрирован: 10-05-2007
Сообщений: 5676
UA: Nightly 10.0

Re: По безопасности версия 6 лучше?

Pegasus
Ага, вешается Firefox. Точно так же вешается IE и Chrome, но там можно отдельную вкладку выгрузить, а Firefox в этом плане изначально ущербный, к сожалению. :)

Отсутствует

 

№1528-09-2011 22:15:34

banbot
Moderator
 
Группа: Moderators
Зарегистрирован: 23-12-2007
Сообщений: 5245

Re: По безопасности версия 6 лучше?

Тема перенесена из форума «Firefox» в форум «Флейм».


Do you feel lucky, punk?

Отсутствует

 

№1628-09-2011 22:16:29

тональ
Забанен
 
Группа: Members
Зарегистрирован: 10-02-2011
Сообщений: 273
UA: unknown 0.0

Re: По безопасности версия 6 лучше?

kostyanet пишет

Что значит NoScript? У меня столько времени нет чтобы где-то кому-то разрешать, а кому-то запрещать. Бывает за день сотню сайтов пролетаешь собирая инфо не разбирая урлов. Если я еще начну каждый из них обсасывать семафорами: лучше тогда сразу в сисадмины подаваться

Вы не поняли, NoScript по-умолчанию запрещает все скрипты на всех сайтах (кроме тех, которые уже есть в белом списке, но лично я и их запрещаю, кроме некоторых, типа about:blank). Вам нужно только разрешить скрипты (1 раз - для Ваших постоянных сайтов, или "временно" для разовых сайтов) и то не все, а лишь некоторые на странице и лишь на тех сайтах, на которых что-то не работает из-за отключённых скриптов. Да, первоначально потребуется потратить время чтоб понять как работает расширение, но это окупается меньшей загрузкой проца, экономией трафика, отсутствием мусора на странице и повышением безопасности. Кстати из-за применения NoScript безопастность Лисы повышается с 12 до 14 баллов (по 17-бальной шкале теста "security") (17 баллов не набирает ни один браузер) http://www.browserscope.org/?category=security&v=top

Отсутствует

 

№1728-09-2011 22:26:50

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9558
UA: Firefox 3.6

Re: По безопасности версия 6 лучше?

Pegasus пишет

это не так делается вот пример.  http://sadas2323-34-435s.narod.ru/
требование должны быть включены скрипты + в коне должна быть открыта любая еще 1 или более вкладок.

и? где там запуск без участия пользователя? даже на сохранение запрос остаётся.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3

Отсутствует

 

№1828-09-2011 22:28:29

Pegasus
Участник
 
Группа: Members
Зарегистрирован: 24-09-2011
Сообщений: 8
UA: Aurora 8.0

Re: По безопасности версия 6 лучше?

класс 

Sid пишет

Ага, вешается Firefox. Точно так же вешается IE и Chrome, но там можно отдельную вкладку выгрузить, а Firefox в этом плане изначально ущербный, к сожалению. :)

и прям сразу же

banbot пишет

Тема перенесена из форума «Firefox» в форум «Флейм».

NoScript хорошо, но если страница без скрипта не может, то неизвестно какой скрипт на странице и только 1 выбор включить скрипты, а там уже 12баллов.
Где нежелательные скрипты там страница без скриптов не будет работать.
Где безопасные скрипты то там можно и не отключать.

Отсутствует

 

№1928-09-2011 22:57:33

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9558
UA: Firefox 3.6

Re: По безопасности версия 6 лучше?

Pegasus пишет

NoScript хорошо, но если страница без скрипта не может, то неизвестно какой скрипт на странице и только 1 выбор включить скрипты, а там уже 12баллов.
Где нежелательные скрипты там страница без скриптов не будет работать.
Где безопасные скрипты то там можно и не отключать.

вощемта в конфиге есть установка таймаутов для выполнения скриптов и просто надо дождаться сообщения что скрипт не отвечает и остановить его.
зы на нормальных сайтах гадость подвешивающую фф на некоторое время никто ставить не будет
а на левых если разрешил то самдурак.
опять же долго такой сайт не проживёт его просто добавят в базу вредоносных о чем фф сообщит.
ну и скачивания и запуска экзешника без участия пользователя необходимых для заражения я чота так и не увидел.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3

Отсутствует

 

№2028-09-2011 23:06:05

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Rekonq 0.6

Re: По безопасности версия 6 лучше?

Недавно подцепил вируса просто зайдя на сайт. Дело было так. После загрузки страницы ФФ завис намертво. Завис - вырубим и снова запустим.

Давайте ссылочку на сайт. Поисследуем. Лучше в личку, а то модераторы заволнуются. :)

Отредактировано sentaus (28-09-2011 23:45:29)

Отсутствует

 

№2128-09-2011 23:36:57

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 6.0
Веб-сайт

Re: По безопасности версия 6 лучше?

Неужели опять выяснится, что чувак Java давно не обновлял и включена она у него плагинах? Была тут такая "эпидемия" из-за старой (закрытой) дыры в самой Java...

Adoba Flash автоматически часто обновляется, в отличии от Java.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№2228-09-2011 23:57:16

Pegasus
Участник
 
Группа: Members
Зарегистрирован: 24-09-2011
Сообщений: 8
UA: Aurora 8.0

Re: По безопасности версия 6 лучше?

okkamas_knife пишет

и? где там запуск без участия пользователя? даже на сохранение запрос остаётся.

я на народ залил для теста, а там свой скрипт сует перед тегом <html> может из за этого и предлагает скачать. ( поправил )

okkamas_knife пишет

вощемта в конфиге есть установка таймаутов для выполнения скриптов и просто надо дождаться сообщения что скрипт не отвечает и остановить его.

но скрипт на это и рассчитан, он делает тайм аут в методе закрытия вкладки, его останавливают, вкладка почти закрылась, но почему та  еще метод по таймеру отрабатывает вот он и делает гадость в убиваемой вкладке.
что удивительно если в окне открыта только одна вкладка система не вешаться, а если 2 и более то вешается.
на 3.6 может и не работать. но 6/7/8 вешает.

Отсутствует

 

№2329-09-2011 00:06:33

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9558
UA: Firefox 3.6

Re: По безопасности версия 6 лучше?

Pegasus пишет

на 3.6 может и не работать. но 6/7/8 вешает.

завешивание это конечно замечательно но вернёмся к основной теме

okkamas_knife пишет

скачивания и запуска экзешника без участия пользователя необходимых для заражения я чота так и не увидел.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3

Отсутствует

 

№2414-10-2011 13:48:22

kostyanet
Участник
 
Группа: Members
Зарегистрирован: 27-09-2009
Сообщений: 148
UA: Firefox 3.6

Re: По безопасности версия 6 лучше?

Сайт пытался отыскать в хронологии, но обломился проверять все подряд. Дело же было просто вот так: открыл фотку с сайта через гугль, подумал открыть сам сайт. Для чего нажал соответствующую ссыль в гугле с шифтом и тут же переключился на окно поиска пока то загружается. Начал там открывать страницы еще и тут возникают лаги, прислушался - винт молотит и трещит. Тогда уже начал искать страницу которая грузит, дошел до той и понял что она зависла. Не глядя никуда убил процесс (поскольку все равно он убьется вместе с тредом), снова запустил ФФ и продолжил работу. Заметил проявления вируса только через пару часов. За это время еще полсотни или больше сайтов упало в хронологию. Так что ссылку дать не могу.

Но тогда назовите мне канал проникновения вируса. Апликухи у меня стоят годами, Винда патчится регулярно полуавтоматом.

Зашел я вот за чем. Расскажите кто юзат топовую версию: там наконец-то победили попандеры?

Там наконец-то сделали кнопку Stop Script?

Добавлено 14-10-2011 13:55:38
Можно сказать после не значит вследствии, но сугубый зависон и после него вирус это очень похоже на вследствии.

Отредактировано kostyanet (14-10-2011 13:55:38)

Отсутствует

 

№2514-10-2011 14:25:31

Йцукен
  
 
Группа: Extensions
Зарегистрирован: 05-06-2008
Сообщений: 4799
UA: Aurora 8.0

Re: По безопасности версия 6 лучше?

kostyanet
Там — это тут, на этом форуме поиск. Adblock Plus вместе с Adblock Plus Popup Addon; YesScript — каждый ставит то, что ему нужно, причём давно.

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]