Похоже, на нашем форуме наблюдался повторный случай социальной инженерии: попытки втереться в доверие и воспользоваться добрым отношением участников. Речь идёт о ссылке на "файловый каталог", который, как сообщили, содержит троянские программы.
В связи с тем, что это уже второй случай, напоминаю: "Выживают только параноики!".
Несколько очевидных, казалось бы, советов, с упором на нашу специфику:
Как бы вы не хотели помочь незнакомому новичку, который спрашивает совета о своей только что написанной программе, уж точно не следует скачивать и запускать эту программу на том компьютере, где у вас могут храниться пароли к доменам, банковская информация, исходный код и вообще мало-мальски чувствительные данные.
То же самое касается ссылок по аське от друзей из контакт-листа. Несколько близких (и неглупых!) знакомых таки получили вирус таким образом.
Если уж понадобилось, посещайте мало-мальски подозрительные ресурсы, пользуясь альтернативными Web-клиентами: Opera, FF. Пожалуйста, не нужно флейма — просто большинство эксплойтов намеренно нацеливается на IE.
Почтовый клиент... До сих пор помню древний эксплойт, который "пробивал" Outlook Express просто при попытке прочитать заражённое письмо. Теперь у меня под сотню тысяч писем в The Bat! и ни одного такого инцидента.
Не используйте подозрительные онлайн ресурсы для оплаты по вашей основной кредитке. По крайней мере, в России крайне сложно отспорить у банка трату денег с вашей карточки (в целом, это касается и подозрительных оффлайн-магазинов, безлюдных банкоматов и т.д.).
То же самое касается сервисов по выводу денег и обмену. Доверяйте только тем ресурсам, которые порекомендовали ваши знакомые.
Модераторы не могут проверять добропорядочность всех публикуемых здесь сообщений и объявлений. Пожалуйста, "включайте голову", как говорит мой знакомый.
Здравствуйте, Albert Ka, Вы писали:
AK>А незнакомые программы imho лучше все таки тестировать под VM
Да, только учтите, что и это не панацея. У VM может быть (у VMWare — точно есть) API для интеграции с хост-системой (для сети, обмена клипбордом, и т.д.), позволяющий как определить наличие VM, так и выйти за её пределы (если задаться такой целью).
Можно не пороть Анонимов. Тем более с таким наглым стебом в сообщениях.
Я использую только Оперу. IE как бреднем ловит из сети всякую заразу + трафик больше чем у оперы.
Все ответственные операции выполняю из-под RedHat 8. Купил его когда он появился, настроил и работает до сих пор.
PKz>Все ответственные операции выполняю из-под RedHat 8. Купил его когда он появился, настроил и работает до сих пор.
такими темпами скоро тут будут обсуждать как в lynx гугл-аналитику лучше просматривать.
хотя, тема, конечно, правильная, деньги лучше держать отдельно от кода
расскажу еще об одном варианте распространения трояна на который накололся лично (я почти параноик — без фаерволла не лажу никуда и точно не иешкой )
скачал MP3 с довольно известного сайта, где есть MP3-обменник. в тотал коммандере рещил его просто послушать (f3, листером, не через запуск ассоциированного приложения). при прослушивании обнаружилось что это не ожидаемая музыка а набор щелчков! примерно через 3 секунды после прослушивания зонеаларм закричал что кто-то пытается вылезти в инет, но кто именно — я прочитать не успел, так как он умер, был просто убит. При этом, как я обнаружил чуть позже, был убит и экзешник зонеаларма. при этом любой файл если переименовать в zonealarm.exe то глазом не успеваешь моргнуть — он убивается (файл). ну в общем троян в действии думаю что одним зонеалармом в этом трояне дело не ограничивалось. у меня XP SP2 со всеми крит. апдейтами
т.е. кто-то знает об некоей ошибке в стандантном декодере MP3 (я не слышал что такие есть до сих пор) и распространяет под видом музыки файлы, которые через переполнение буфера (имхо) запускают любой код, содержащийся в тойже мп3шке. ниче не скажешь, придумано классно, работает на ура
П.С. такой вот крик души, не судите строго за лишние подробности. жаль часа потраченного на борьбу с трояном. а я всего лишь хотел послушать музыку
так что если вам пришлют ссылку на мп3 файл — ТОЖЕ не торопитесь его прослушивать
Re[2]: Напоминание: техника безопасности
От:
Аноним
Дата:
19.02.07 14:44
Оценка:
Здравствуйте, IPv6, Вы писали:
IP>т.е. кто-то знает об некоей ошибке в стандантном декодере MP3 (я не слышал что такие есть до сих пор) и распространяет под видом музыки файлы, которые через переполнение буфера (имхо) запускают любой код, содержащийся в тойже мп3шке. ниче не скажешь, придумано классно, работает на ура
IP>так что если вам пришлют ссылку на мп3 файл — ТОЖЕ не торопитесь его прослушивать
также хочу напомнить что можно написать любое имя в поле ОТ на форуме рсдн. поэтому ваще ... порка там какая то... завязывайте. меньше народу — больше кислороду.
Я ведь тоже с этого "сайтика" что-то скачал. Что за троян-то там был? Надеюсь, с не особо разрушительными возможностями? И как с этим гадом бороться (я имею в виду уже автора "файлопомойки")? Может завалить его сайт, чтоб не повадно было?
Здравствуйте, Great_Vova, Вы писали:
G_V>Я ведь тоже с этого "сайтика" что-то скачал. Что за троян-то там был? Надеюсь, с не особо разрушительными возможностями? И как с этим гадом бороться (я имею в виду уже автора "файлопомойки")? Может завалить его сайт, чтоб не повадно было?
Я не помню как он звался, я GriSoft AntiSpyware использовал триальную. Триал истёк, резидентный модуль отключился, потому отловил только сканом.
А "завалить сайт" — это тоже статья.
Здравствуйте, retalik, Вы писали:
R>Коллеги,
R>Похоже, на нашем форуме наблюдался повторный случай социальной инженерии: попытки втереться в доверие и воспользоваться добрым отношением участников. Речь идёт о ссылке на "файловый каталог", который, как сообщили, содержит троянские программы.
Наконец таки узнал что такое социальная инженерия. Спасибо тому парню Иначе бы не знал
IP>П.С. такой вот крик души, не судите строго за лишние подробности. жаль часа потраченного на борьбу с трояном. а я всего лишь хотел послушать музыку IP>так что если вам пришлют ссылку на мп3 файл — ТОЖЕ не торопитесь его прослушивать
XZ>Я не помню как он звался, я GriSoft AntiSpyware использовал триальную. Триал истёк, резидентный модуль отключился, потому отловил только сканом. XZ>А "завалить сайт" — это тоже статья.
Зачем заваливать — достаточно позвонить хостеру, регистратору домена и накатать абузов пару, если не дозвонишься. По звонку за час все уберут. Даже пищать не надо.
Здравствуйте, IPv6, Вы писали:
IP>Здравствуйте, retalik, Вы писали:
IP>расскажу еще об одном варианте распространения трояна на который накололся лично (я почти параноик — без фаерволла не лажу никуда и точно не иешкой ) IP>скачал MP3 с довольно известного сайта, где есть MP3-обменник. в тотал коммандере рещил его просто послушать (f3, листером, не через запуск ассоциированного приложения). при прослушивании обнаружилось что это не ожидаемая музыка а набор щелчков! примерно через 3 секунды после прослушивания зонеаларм закричал что кто-то пытается вылезти в инет, но кто именно — я прочитать не успел, так как он умер, был просто убит. При этом, как я обнаружил чуть позже, был убит и экзешник зонеаларма. при этом любой файл если переименовать в zonealarm.exe то глазом не успеваешь моргнуть — он убивается (файл). ну в общем троян в действии думаю что одним зонеалармом в этом трояне дело не ограничивалось. у меня XP SP2 со всеми крит. апдейтами
IP>т.е. кто-то знает об некоей ошибке в стандантном декодере MP3 (я не слышал что такие есть до сих пор) и распространяет под видом музыки файлы, которые через переполнение буфера (имхо) запускают любой код, содержащийся в тойже мп3шке. ниче не скажешь, придумано классно, работает на ура
IP>П.С. такой вот крик души, не судите строго за лишние подробности. жаль часа потраченного на борьбу с трояном. а я всего лишь хотел послушать музыку IP>так что если вам пришлют ссылку на мп3 файл — ТОЖЕ не торопитесь его прослушивать
прямо чудеса расчудесные, самоходный mp3. А название песенки и сайтец вспомнить можете ? Хочу в VMWare увидеть чудо это, а то как-то не верится.
Здравствуйте, IID, Вы писали:
IID>прямо чудеса расчудесные, самоходный mp3. А название песенки и сайтец вспомнить можете ? Хочу в VMWare увидеть чудо это, а то как-то не верится.
сайт не помню а файлик могу прислать только за последствия при прослушивании не ручаюсь как он под вмварью себя поведет кстати действительно интересно!
2Аноним 22
Винамп пользуется тем же что и листер тотал коммандера — встроенным декодером. так что думаю эффект был бы тотже
2PaulMinelly
антивирус мне ничего не сказал. не знаю почему.
Re[2]: Напоминание: техника безопасности
От:
Аноним
Дата:
20.02.07 08:15
Оценка:
Здравствуйте, Kubyshev Andrey, Вы писали:
KA>также хочу напомнить что можно написать любое имя в поле ОТ на форуме рсдн. поэтому ваще ... порка там какая то... завязывайте. меньше народу — больше кислороду.
Целиком и полностью поддерживаю! Помогать новичкам? Да это же будущие конкуренты! Абсурд!
Здравствуйте, retalik, Вы писали:
R>Здравствуйте, Albert Ka, Вы писали:
AK>>А незнакомые программы imho лучше все таки тестировать под VM
R>VM, так и выйти за её пределы (если задаться такой целью).
Здравствуйте, Firstborn, Вы писали:
F>Мда? Ссылки в студию, плз
VMWare Tools — обычная программа, запускаемая на виртуалке. После установки позволяет достукиваться до клипборда хост-машины, получить доступ к полному экрану и курсору мыши.
"IPv6" <8841@users.rsdn.ru> wrote in message news:2359751@news.rsdn.ru... > 2Аноним 22 > Винамп пользуется тем же что и листер тотал коммандера — встроенным декодером. так что думаю эффект был бы тотже
Не так. Он использует in_mp3.dll который есть суть Nullsoft MPEG audio decoder.