Полезная информация
№128-09-2011 18:19:34
По безопасности версия 6 лучше?
Недавно подцепил вируса просто зайдя на сайт. Дело было так. После загрузки страницы ФФ завис намертво. Завис - вырубим и снова запустим. Работаю дальше. Вдруг в корне С появляется папка с бесмысленным названием, набор латинских букф. Ну, все, попал. Так и было. Каспер ничего не нашел, с помощью Process Explorer'а я сам нашел процесс мимикриющий под svchost с набором данных от ctfmon.exe. Там же нашлась и ссылка на файлик, igfxtray.exe, который предельно тупо базировался в папке автозапуска. Удалил процесс, удалил файлик, перезагрузился, все Ок. Какая-то модификация Trojan-Spy.Win32.Carberp.
Во-первых очевидно есть потрясающая дыра в ФФ которым я пользуюсь, через которую можно записать екзешник на диск и запустить его без вопросов к пользователю. Во-вторых сразу возникла мысль перейти на 6-ку из расчета что такие дыры там заделали.
Однако, когда выяснял чем заражен (ну, в смысле имя героя), то оказалось это волна этого вируса прокатилась в период май-июнь нынешнего года. А сейчас уже сентябрь. Выходит дыра до сих пор не заделана.
Можно быть уверенным что она заделана в 6-ке? Или я что-то не понимаю в версиях?
Отсутствует
№228-09-2011 19:26:29
- okkamas_knife
- We are the Borg. Resistance is futile.
- Группа: Members
- Зарегистрирован: 21-10-2009
- Сообщений: 9523
- UA:
3.6
Re: По безопасности версия 6 лучше?
kostyanet пишет:
Недавно подцепил вируса просто зайдя на сайт. Дело было так. После загрузки страницы ФФ завис намертво. Завис - вырубим и снова запустим. Работаю дальше. Вдруг в корне С появляется папка с бесмысленным названием, набор латинских букф. Ну, все, попал. Так и было. Каспер ничего не нашел, с помощью Process Explorer'а я сам нашел процесс мимикриющий под svchost с набором данных от ctfmon.exe. Там же нашлась и ссылка на файлик, igfxtray.exe, который предельно тупо базировался в папке автозапуска. Удалил процесс, удалил файлик, перезагрузился, все Ок. Какая-то модификация Trojan-Spy.Win32.Carberp.
полную белиберду написали с расчетом на тех кто не разбирается.
это всёравно что сказать велосипед маскирующийся под МИГ-21 с ковшом экскаватора
igfxtray.exe это служебный файлик от интеловского видеоадаптера отображает значок настроек видяхи в трее
Вдруг в корне С появляется папка с бесмысленным названием
мне вот интересно как и когда эта папка была обнаружена? кто постоянно мониторит содержимое корня диска С поднимите руки!
Каспер ничего не нашел->Удалил процесс, удалил файлик,->Какая-то модификация Trojan-Spy.Win32.Carberp.
А теперь внимание вопрос: как аффтар внезапно узнал название вируса? ога.
очевидно есть потрясающая дыра лексика кагбэ намекает нам что ктото зубастый и ушастый хочет кушать.
а выражаясь нормальным языком использованные эпитеты призваны вызвать эмоциональный отклик у читателя,то бишь попытка манипуляции.
зы на данный момент в ФФ подобных дыр нет а все случаи заражения связаны с использованием либо криво написанных дополнений либо таких же плагинов от сторонних разработчиков (как правило это флэш)
а вот ослик ИЕ некоторое время назад страдал чудесным багом где внутрь картинки можно было вставить любой хтмл код
и при последующем открытии картинки с диска он мог исполняться с повышенными правами и заражать систему(это один из самых известных багов коих в осле тысячи).
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
Отсутствует
№328-09-2011 19:54:11
Re: По безопасности версия 6 лучше?
На святое покусились... бывает.
Мимикрирующий это значит вместо ctfmon стоит svchost cо всеми обычными параметрами ctfmon, но вместо file: C:\Documents and Settings\%USER% стоит путь к файлу igfxtray.exe в папке автозагрузки.
Разумеется igfxtray.exe никакого отношения к интелловской видеокарте не имеет, поскольку никакой такой карты у меня сроду не было. И самое прикольное в свойствах файла. Производитель Opera Inc, остальные поля заполнены бнопней типа JhSgaP, gQaIsT и тп.
Разумеется и дыра есть, поскольку я очень узкий, ненастроенный пользователь ФФ. Из аддонов только Гризманки, ливХТТП хедер (отключен, включается по необходимости) и Вью Сорц Чарт. В плугинах только стандартное, что подхватывает сам ФФ, да и то все выключено кроме шоквари флэш и дефолтного плугина. Покажите пальцем на подозреваемого из списка выше.
а вот ослик
Говорю же, на святое наступили. Это когда было с осликом-то? При царе горохе. А тут считай с мая по сентрябрь екзешники через браузер устанавливаются.
Отсутствует
№428-09-2011 20:24:56
- okkamas_knife
- We are the Borg. Resistance is futile.
- Группа: Members
- Зарегистрирован: 21-10-2009
- Сообщений: 9523
- UA: 3.6
Re: По безопасности версия 6 лучше?
kostyanet пишет:
Мимикрирующий это значит вместо ctfmon стоит svchost cо всеми обычными параметрами ctfmon, но вместо file: C:\Documents and Settings\%USER% стоит путь к файлу igfxtray.exe в папке автозагрузки.
опять поток бессвязного бреда напичканного для важности непонятными терминами.
kostyanet пишет:
И самое прикольное в свойствах файла. Производитель Opera Inc, остальные поля заполнены бнопней типа JhSgaP, gQaIsT и тп.
ого аффтар вернулся в прошлое пока еще файл не был удалён и посмотрел в свойства вернулся сюда и запостил их.
kostyanet пишет:
А тут считай с мая по сентрябрь екзешники через браузер устанавливаются.
а пацаны то и не знают! чудеса! за столько времени ни одного багрепорта на эту тему!
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
Отсутствует
№528-09-2011 20:32:19
Re: По безопасности версия 6 лучше?
Блин, главное забыл: так что, 6-ка лучше по безопасности?
ЗЫ Легенды о непробиваемости ФФ восходят к временам когда этот браузер влачил сугубо маргинальное существование и не было никакого смысла рыться в его дырах. Слишком мало навара было. Сейчас он стал весьма популярным и смысл появился. Если какая-нить Опера, вылезет из небытия, в ней так же обнаружится целое решето.
Добавлено 28-09-2011 20:41:54
Откройте Process Explorer и увидите весь этот бред сами.
ого аффтар вернулся в прошлое пока еще файл не был удалён и посмотрел в свойства вернулся сюда и запостил их.
Вы как будто на измене. Говорю же: еще тогда посмотрел свойства. И вообще он у меня лежал некоторое время на столе (вместо .exe написал ._ на всякий случай): думал сдать на анализ куда-нить. Но потыкавшись понял что это никому не интересно, поскольку и так все заранее известно.
Фишка PE в том, что можно убить какой угодно хэндл. Что я и сделал. А файл просто перетащил из автозагрузки на рабочий стол. На следующий день удалил уже.
Да, надо было сохранить и вам подарить. 
Отредактировано kostyanet (28-09-2011 20:41:54)
Отсутствует
№628-09-2011 20:43:26
Re: По безопасности версия 6 лучше?
kostyanet пишет:
Недавно подцепил вируса просто зайдя на сайт
Может вредоносный скрипт был на странице? Я лично давно использую NoScript и вообще давно ничего не ловил, Вам просто не повезло.
NoScript - Блокирует все скрипты на странице, запоминает на каком сайте они разрешены. (Нужно разбираться как работает расширение, а то некоторые графические элементы на странице не будут отображаться или срабатывать). Синхронизация с другими ПК через закладки: http://forum.mozilla-russia.org/viewtop … pid=414014. Для нормальной работы других расширений нужно, чтобы в глобальных настройках JavaScript был включен (кстати, при использовании NoScript нет смысла его отключать). https://addons.mozilla.org/ru/firefox/addon/noscript/
Отредактировано тональ (28-09-2011 21:55:36)
Отсутствует
№728-09-2011 20:46:03
Re: По безопасности версия 6 лучше?
В общем, кто знает из-за чего надо ставить 6-ку, отзовитесь.
Дизайн и вкладки не интересуют. Чисто по функционалу.
Например будет ли 6-ка изображать из себя сверхбыстрый браузер, как это делает 3.6 сейчас, а потом после запуска, минуты через три, коварно вычищать кэш треща винтом на все лады и тормозя загрузку?
Добавлено 28-09-2011 20:52:43
тональ пишет:
Может вредоносный скрипт был на странице?
Ну, натурально был, и вредоносный. Как же иначе, не хтмл же.
Что значит NoScript? У меня столько времени нет чтобы где-то кому-то разрешать, а кому-то запрещать. Бывает за день сотню сайтов пролетаешь собирая инфо не разбирая урлов. Если я еще начну каждый из них обсасывать семафорами: лучше тогда сразу в сисадмины подаваться.
Скрипты выполняются в браузере. Вот только не очень понятно почему не в режиме отладки. Очень ведь просто можно вас прямо сейчас нахлобучить: заводим prompt, с которого однозначно попадаем на prompt. Все, вы НИКОГДА не закроете эту страницу.
Отредактировано kostyanet (28-09-2011 20:52:43)
Отсутствует
№828-09-2011 20:59:45
Re: По безопасности версия 6 лучше?
Отсутствует
№928-09-2011 20:59:55
Re: По безопасности версия 6 лучше?
Попробуйте сами. http://www.w3schools.com/js/tryit.asp?filename=tryjs_confirm
Вместо alert("You pressed OK!"); поставьте в обоих ветках show_confirm(); и будет вечный кайф.
Добавлено 28-09-2011 21:02:02
Крошка Ру пишет:
kostyanet ,Безопасность: браузер, почтовый и IM-клиенты, шифрование, анонимность
Оптимальный вариант - полный отказ от использования проприетарных (платных или freeware, но с закрытыми программными кодами) операционных систем и прикладных программ, то есть глобальный переход с Windows на Linux
Спасибо, сыты по уши советами как избавляться от вшей через отрубание головы.
С кибергигиеной (слова до которого автор статьи не допер) я сам хорошо знаком. Но вот как через браузер екзешники проникают - это не моих уже силах остановить. И прикол-то в том, что хваленый Касперовский его не увидел в упор.
Добавлено 28-09-2011 21:09:46
Конкретно ФФ приходится юзать из-за единственной важной для меня фитчи: можно сохранить картинку или вообще файл на диск и закрыть окно. Пока хотя бы один тред живой - докачается само. Очень удобно. Проверял Хром - такого нет. ИЕ - подавно нет, и еще Осел забывает папку назначения. Еще условно (если это хорошо) хорошая фитча что текст из таблицы сразу копируется с табуляторами. То есть можно из таблицы вставить в таблицу, например в Ёкзель.
Отредактировано kostyanet (28-09-2011 21:09:46)
Отсутствует
№1028-09-2011 21:20:04
- okkamas_knife
- We are the Borg. Resistance is futile.
- Группа: Members
- Зарегистрирован: 21-10-2009
- Сообщений: 9523
- UA: 3.6
Re: По безопасности версия 6 лучше?
kostyanet пишет:
Все, вы НИКОГДА не закроете эту страницу.
бугога.
превед троцкий!
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
Отсутствует
№1228-09-2011 21:46:47
Re: По безопасности версия 6 лучше?
kostyanet пишет:
Закрыли что ли?
Разумеется. Начиная с Firefox 4, такую вкладку можно просто закрыть.
Дай, пожалуйста, ссылку на страницу, через которую автоматически загружается и выполняется вирус. Рассказывать можно всё, что угодно, но хотелось бы пруфлинк.
Отсутствует
№1628-09-2011 22:16:29
Re: По безопасности версия 6 лучше?
kostyanet пишет:
Что значит NoScript? У меня столько времени нет чтобы где-то кому-то разрешать, а кому-то запрещать. Бывает за день сотню сайтов пролетаешь собирая инфо не разбирая урлов. Если я еще начну каждый из них обсасывать семафорами: лучше тогда сразу в сисадмины подаваться
Вы не поняли, NoScript по-умолчанию запрещает все скрипты на всех сайтах (кроме тех, которые уже есть в белом списке, но лично я и их запрещаю, кроме некоторых, типа about:blank). Вам нужно только разрешить скрипты (1 раз - для Ваших постоянных сайтов, или "временно" для разовых сайтов) и то не все, а лишь некоторые на странице и лишь на тех сайтах, на которых что-то не работает из-за отключённых скриптов. Да, первоначально потребуется потратить время чтоб понять как работает расширение, но это окупается меньшей загрузкой проца, экономией трафика, отсутствием мусора на странице и повышением безопасности. Кстати из-за применения NoScript безопастность Лисы повышается с 12 до 14 баллов (по 17-бальной шкале теста "security") (17 баллов не набирает ни один браузер) http://www.browserscope.org/?category=s … &v=top
Отсутствует
№1728-09-2011 22:26:50
- okkamas_knife
- We are the Borg. Resistance is futile.
- Группа: Members
- Зарегистрирован: 21-10-2009
- Сообщений: 9523
- UA: 3.6
Re: По безопасности версия 6 лучше?
Pegasus пишет:
это не так делается вот пример. http://sadas2323-34-435s.narod.ru/
требование должны быть включены скрипты + в коне должна быть открыта любая еще 1 или более вкладок.
и? где там запуск без участия пользователя? даже на сохранение запрос остаётся.
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
Отсутствует
№1828-09-2011 22:28:29
Re: По безопасности версия 6 лучше?
класс
Sid пишет:
Ага, вешается Firefox. Точно так же вешается IE и Chrome, но там можно отдельную вкладку выгрузить, а Firefox в этом плане изначально ущербный, к сожалению.
и прям сразу же
banbot пишет:
Тема перенесена из форума «Firefox» в форум «Флейм».
NoScript хорошо, но если страница без скрипта не может, то неизвестно какой скрипт на странице и только 1 выбор включить скрипты, а там уже 12баллов.
Где нежелательные скрипты там страница без скриптов не будет работать.
Где безопасные скрипты то там можно и не отключать.
Отсутствует
№1928-09-2011 22:57:33
- okkamas_knife
- We are the Borg. Resistance is futile.
- Группа: Members
- Зарегистрирован: 21-10-2009
- Сообщений: 9523
- UA: 3.6
Re: По безопасности версия 6 лучше?
Pegasus пишет:
NoScript хорошо, но если страница без скрипта не может, то неизвестно какой скрипт на странице и только 1 выбор включить скрипты, а там уже 12баллов.
Где нежелательные скрипты там страница без скриптов не будет работать.
Где безопасные скрипты то там можно и не отключать.
вощемта в конфиге есть установка таймаутов для выполнения скриптов и просто надо дождаться сообщения что скрипт не отвечает и остановить его.
зы на нормальных сайтах гадость подвешивающую фф на некоторое время никто ставить не будет
а на левых если разрешил то самдурак.
опять же долго такой сайт не проживёт его просто добавят в базу вредоносных о чем фф сообщит.
ну и скачивания и запуска экзешника без участия пользователя необходимых для заражения я чота так и не увидел.
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
Отсутствует
№2028-09-2011 23:06:05
Re: По безопасности версия 6 лучше?
Недавно подцепил вируса просто зайдя на сайт. Дело было так. После загрузки страницы ФФ завис намертво. Завис - вырубим и снова запустим.
Давайте ссылочку на сайт. Поисследуем. Лучше в личку, а то модераторы заволнуются.
Отредактировано sentaus (28-09-2011 23:45:29)
Отсутствует
№2128-09-2011 23:36:57
Re: По безопасности версия 6 лучше?
Неужели опять выяснится, что чувак Java давно не обновлял и включена она у него плагинах? Была тут такая "эпидемия" из-за старой (закрытой) дыры в самой Java...
Adoba Flash автоматически часто обновляется, в отличии от Java.
Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?
Отсутствует
№2228-09-2011 23:57:16
Re: По безопасности версия 6 лучше?
okkamas_knife пишет:
и? где там запуск без участия пользователя? даже на сохранение запрос остаётся.
я на народ залил для теста, а там свой скрипт сует перед тегом <html> может из за этого и предлагает скачать. ( поправил )
okkamas_knife пишет:
вощемта в конфиге есть установка таймаутов для выполнения скриптов и просто надо дождаться сообщения что скрипт не отвечает и остановить его.
но скрипт на это и рассчитан, он делает тайм аут в методе закрытия вкладки, его останавливают, вкладка почти закрылась, но почему та еще метод по таймеру отрабатывает вот он и делает гадость в убиваемой вкладке.
что удивительно если в окне открыта только одна вкладка система не вешаться, а если 2 и более то вешается.
на 3.6 может и не работать. но 6/7/8 вешает.
Отсутствует
№2329-09-2011 00:06:33
- okkamas_knife
- We are the Borg. Resistance is futile.
- Группа: Members
- Зарегистрирован: 21-10-2009
- Сообщений: 9523
- UA: 3.6
Re: По безопасности версия 6 лучше?
Pegasus пишет:
на 3.6 может и не работать. но 6/7/8 вешает.
завешивание это конечно замечательно но вернёмся к основной теме
okkamas_knife пишет:
скачивания и запуска экзешника без участия пользователя необходимых для заражения я чота так и не увидел.
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
Отсутствует
№2414-10-2011 13:48:22
Re: По безопасности версия 6 лучше?
Сайт пытался отыскать в хронологии, но обломился проверять все подряд. Дело же было просто вот так: открыл фотку с сайта через гугль, подумал открыть сам сайт. Для чего нажал соответствующую ссыль в гугле с шифтом и тут же переключился на окно поиска пока то загружается. Начал там открывать страницы еще и тут возникают лаги, прислушался - винт молотит и трещит. Тогда уже начал искать страницу которая грузит, дошел до той и понял что она зависла. Не глядя никуда убил процесс (поскольку все равно он убьется вместе с тредом), снова запустил ФФ и продолжил работу. Заметил проявления вируса только через пару часов. За это время еще полсотни или больше сайтов упало в хронологию. Так что ссылку дать не могу.
Но тогда назовите мне канал проникновения вируса. Апликухи у меня стоят годами, Винда патчится регулярно полуавтоматом.
Зашел я вот за чем. Расскажите кто юзат топовую версию: там наконец-то победили попандеры?
Там наконец-то сделали кнопку Stop Script?
Добавлено 14-10-2011 13:55:38
Можно сказать после не значит вследствии, но сугубый зависон и после него вирус это очень похоже на вследствии.
Отредактировано kostyanet (14-10-2011 13:55:38)
Отсутствует