Похоже, на нашем форуме наблюдался повторный случай социальной инженерии: попытки втереться в доверие и воспользоваться добрым отношением участников. Речь идёт о ссылке на "файловый каталог", который, как сообщили, содержит троянские программы.
В связи с тем, что это уже второй случай, напоминаю: "Выживают только параноики!".
Несколько очевидных, казалось бы, советов, с упором на нашу специфику:
Как бы вы не хотели помочь незнакомому новичку, который спрашивает совета о своей только что написанной программе, уж точно не следует скачивать и запускать эту программу на том компьютере, где у вас могут храниться пароли к доменам, банковская информация, исходный код и вообще мало-мальски чувствительные данные.
То же самое касается ссылок по аське от друзей из контакт-листа. Несколько близких (и неглупых!) знакомых таки получили вирус таким образом.
Если уж понадобилось, посещайте мало-мальски подозрительные ресурсы, пользуясь альтернативными Web-клиентами: Opera, FF. Пожалуйста, не нужно флейма — просто большинство эксплойтов намеренно нацеливается на IE.
Почтовый клиент... До сих пор помню древний эксплойт, который "пробивал" Outlook Express просто при попытке прочитать заражённое письмо. Теперь у меня под сотню тысяч писем в The Bat! и ни одного такого инцидента.
Не используйте подозрительные онлайн ресурсы для оплаты по вашей основной кредитке. По крайней мере, в России крайне сложно отспорить у банка трату денег с вашей карточки (в целом, это касается и подозрительных оффлайн-магазинов, безлюдных банкоматов и т.д.).
То же самое касается сервисов по выводу денег и обмену. Доверяйте только тем ресурсам, которые порекомендовали ваши знакомые.
Модераторы не могут проверять добропорядочность всех публикуемых здесь сообщений и объявлений. Пожалуйста, "включайте голову", как говорит мой знакомый.
расскажу еще об одном варианте распространения трояна на который накололся лично (я почти параноик — без фаерволла не лажу никуда и точно не иешкой )
скачал MP3 с довольно известного сайта, где есть MP3-обменник. в тотал коммандере рещил его просто послушать (f3, листером, не через запуск ассоциированного приложения). при прослушивании обнаружилось что это не ожидаемая музыка а набор щелчков! примерно через 3 секунды после прослушивания зонеаларм закричал что кто-то пытается вылезти в инет, но кто именно — я прочитать не успел, так как он умер, был просто убит. При этом, как я обнаружил чуть позже, был убит и экзешник зонеаларма. при этом любой файл если переименовать в zonealarm.exe то глазом не успеваешь моргнуть — он убивается (файл). ну в общем троян в действии думаю что одним зонеалармом в этом трояне дело не ограничивалось. у меня XP SP2 со всеми крит. апдейтами
т.е. кто-то знает об некоей ошибке в стандантном декодере MP3 (я не слышал что такие есть до сих пор) и распространяет под видом музыки файлы, которые через переполнение буфера (имхо) запускают любой код, содержащийся в тойже мп3шке. ниче не скажешь, придумано классно, работает на ура
П.С. такой вот крик души, не судите строго за лишние подробности. жаль часа потраченного на борьбу с трояном. а я всего лишь хотел послушать музыку
так что если вам пришлют ссылку на мп3 файл — ТОЖЕ не торопитесь его прослушивать
"IPv6" <8841@users.rsdn.ru> wrote in message news:2359751@news.rsdn.ru... > 2Аноним 22 > Винамп пользуется тем же что и листер тотал коммандера — встроенным декодером. так что думаю эффект был бы тотже
Не так. Он использует in_mp3.dll который есть суть Nullsoft MPEG audio decoder.
XZ>Я не помню как он звался, я GriSoft AntiSpyware использовал триальную. Триал истёк, резидентный модуль отключился, потому отловил только сканом. XZ>А "завалить сайт" — это тоже статья.
Зачем заваливать — достаточно позвонить хостеру, регистратору домена и накатать абузов пару, если не дозвонишься. По звонку за час все уберут. Даже пищать не надо.
Здравствуйте, Albert Ka, Вы писали:
AK>А незнакомые программы imho лучше все таки тестировать под VM
Да, только учтите, что и это не панацея. У VM может быть (у VMWare — точно есть) API для интеграции с хост-системой (для сети, обмена клипбордом, и т.д.), позволяющий как определить наличие VM, так и выйти за её пределы (если задаться такой целью).
Можно не пороть Анонимов. Тем более с таким наглым стебом в сообщениях.
Я использую только Оперу. IE как бреднем ловит из сети всякую заразу + трафик больше чем у оперы.
Все ответственные операции выполняю из-под RedHat 8. Купил его когда он появился, настроил и работает до сих пор.
PKz>Все ответственные операции выполняю из-под RedHat 8. Купил его когда он появился, настроил и работает до сих пор.
такими темпами скоро тут будут обсуждать как в lynx гугл-аналитику лучше просматривать.
хотя, тема, конечно, правильная, деньги лучше держать отдельно от кода
Re[2]: Напоминание: техника безопасности
От:
Аноним
Дата:
19.02.07 14:44
Оценка:
Здравствуйте, IPv6, Вы писали:
IP>т.е. кто-то знает об некоей ошибке в стандантном декодере MP3 (я не слышал что такие есть до сих пор) и распространяет под видом музыки файлы, которые через переполнение буфера (имхо) запускают любой код, содержащийся в тойже мп3шке. ниче не скажешь, придумано классно, работает на ура
IP>так что если вам пришлют ссылку на мп3 файл — ТОЖЕ не торопитесь его прослушивать
также хочу напомнить что можно написать любое имя в поле ОТ на форуме рсдн. поэтому ваще ... порка там какая то... завязывайте. меньше народу — больше кислороду.
Я ведь тоже с этого "сайтика" что-то скачал. Что за троян-то там был? Надеюсь, с не особо разрушительными возможностями? И как с этим гадом бороться (я имею в виду уже автора "файлопомойки")? Может завалить его сайт, чтоб не повадно было?
Здравствуйте, Great_Vova, Вы писали:
G_V>Я ведь тоже с этого "сайтика" что-то скачал. Что за троян-то там был? Надеюсь, с не особо разрушительными возможностями? И как с этим гадом бороться (я имею в виду уже автора "файлопомойки")? Может завалить его сайт, чтоб не повадно было?
Я не помню как он звался, я GriSoft AntiSpyware использовал триальную. Триал истёк, резидентный модуль отключился, потому отловил только сканом.
А "завалить сайт" — это тоже статья.
Здравствуйте, retalik, Вы писали:
R>Коллеги,
R>Похоже, на нашем форуме наблюдался повторный случай социальной инженерии: попытки втереться в доверие и воспользоваться добрым отношением участников. Речь идёт о ссылке на "файловый каталог", который, как сообщили, содержит троянские программы.
Наконец таки узнал что такое социальная инженерия. Спасибо тому парню Иначе бы не знал
IP>П.С. такой вот крик души, не судите строго за лишние подробности. жаль часа потраченного на борьбу с трояном. а я всего лишь хотел послушать музыку IP>так что если вам пришлют ссылку на мп3 файл — ТОЖЕ не торопитесь его прослушивать
Здравствуйте, IPv6, Вы писали:
IP>Здравствуйте, retalik, Вы писали:
IP>расскажу еще об одном варианте распространения трояна на который накололся лично (я почти параноик — без фаерволла не лажу никуда и точно не иешкой ) IP>скачал MP3 с довольно известного сайта, где есть MP3-обменник. в тотал коммандере рещил его просто послушать (f3, листером, не через запуск ассоциированного приложения). при прослушивании обнаружилось что это не ожидаемая музыка а набор щелчков! примерно через 3 секунды после прослушивания зонеаларм закричал что кто-то пытается вылезти в инет, но кто именно — я прочитать не успел, так как он умер, был просто убит. При этом, как я обнаружил чуть позже, был убит и экзешник зонеаларма. при этом любой файл если переименовать в zonealarm.exe то глазом не успеваешь моргнуть — он убивается (файл). ну в общем троян в действии думаю что одним зонеалармом в этом трояне дело не ограничивалось. у меня XP SP2 со всеми крит. апдейтами
IP>т.е. кто-то знает об некоей ошибке в стандантном декодере MP3 (я не слышал что такие есть до сих пор) и распространяет под видом музыки файлы, которые через переполнение буфера (имхо) запускают любой код, содержащийся в тойже мп3шке. ниче не скажешь, придумано классно, работает на ура
IP>П.С. такой вот крик души, не судите строго за лишние подробности. жаль часа потраченного на борьбу с трояном. а я всего лишь хотел послушать музыку IP>так что если вам пришлют ссылку на мп3 файл — ТОЖЕ не торопитесь его прослушивать
прямо чудеса расчудесные, самоходный mp3. А название песенки и сайтец вспомнить можете ? Хочу в VMWare увидеть чудо это, а то как-то не верится.
Здравствуйте, IID, Вы писали:
IID>прямо чудеса расчудесные, самоходный mp3. А название песенки и сайтец вспомнить можете ? Хочу в VMWare увидеть чудо это, а то как-то не верится.
сайт не помню а файлик могу прислать только за последствия при прослушивании не ручаюсь как он под вмварью себя поведет кстати действительно интересно!
2Аноним 22
Винамп пользуется тем же что и листер тотал коммандера — встроенным декодером. так что думаю эффект был бы тотже
2PaulMinelly
антивирус мне ничего не сказал. не знаю почему.
Re[2]: Напоминание: техника безопасности
От:
Аноним
Дата:
20.02.07 08:15
Оценка:
Здравствуйте, Kubyshev Andrey, Вы писали:
KA>также хочу напомнить что можно написать любое имя в поле ОТ на форуме рсдн. поэтому ваще ... порка там какая то... завязывайте. меньше народу — больше кислороду.
Целиком и полностью поддерживаю! Помогать новичкам? Да это же будущие конкуренты! Абсурд!
Здравствуйте, retalik, Вы писали:
R>Здравствуйте, Albert Ka, Вы писали:
AK>>А незнакомые программы imho лучше все таки тестировать под VM
R>VM, так и выйти за её пределы (если задаться такой целью).
Здравствуйте, Firstborn, Вы писали:
F>Мда? Ссылки в студию, плз
VMWare Tools — обычная программа, запускаемая на виртуалке. После установки позволяет достукиваться до клипборда хост-машины, получить доступ к полному экрану и курсору мыши.
Здравствуйте, IPv6, Вы писали:
IP>Здравствуйте, IID, Вы писали:
IID>>прямо чудеса расчудесные, самоходный mp3. А название песенки и сайтец вспомнить можете ? Хочу в VMWare увидеть чудо это, а то как-то не верится. IP>сайт не помню а файлик могу прислать только за последствия при прослушивании не ручаюсь как он под вмварью себя поведет кстати действительно интересно!
Здравствуйте, retalik, Вы писали:
R>не следует скачивать и запускать эту программу [/b]на том компьютере, где у вас могут храниться пароли к доменам, банковская информация, исходный код и вообще мало-мальски чувствительные данные. R>То же самое касается ссылок по аське от друзей из контакт-листа. Несколько близких (и неглупых!) знакомых таки получили вирус таким образом.
Обычно стоит сразу же написать хостеру на abuse@ и указать ссылку на дерьмософт и статью 273 УК РФ.
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Здравствуйте, wellwell, Вы писали:
W>"IPv6" <8841@users.rsdn.ru> wrote in message news:2359751@news.rsdn.ru... >> 2Аноним 22 >> Винамп пользуется тем же что и листер тотал коммандера — встроенным декодером. так что думаю эффект был бы тотже
W>Не так. Он использует in_mp3.dll который есть суть Nullsoft MPEG audio decoder.
тогда да. но видео он (винамп) играет стандартными кодеками. и думаю в стандартных кодеках тоже есть баги т.е. теоретически при просмотре видео тоже можно подхватить трояна, причем возможно кроме небольших артефактов в картинке ничего не увидеть будет. а в вещи типа XVida их можно прямо внести — код открыт!
блин, в каком мире мы живем! раньше, помнится дежурной шуткой у нас в школьном компьютерном классе было что для того чтобы заразить все компы достаточно с зараженной дискеткой войти в кабинет. а теперь достаточно послушать MP3... или видео (теоретически) посмотреть. кстати, с видео недалеко и до фильма "Звонок", правда на компьютерный манер:
— Мне вчера друг дал диск посмотреть... после просмотра зазвонил телефон и чейто голос сказал 'Огромное Вам спасибо за номера ваших кредиток! Если не передадите диск на просмотр трем вашим друзъям в течении недели, все ваши деньги, в добровольном порядке, уйдут на развитие пиратства'
файлик вышлю, вечером. я его удалил и теперь надо вспомнить где скачал (я сначала качал с кучки мест, потом слушал). но я найду эту мп3шку заново
Здравствуйте, IPv6, Вы писали: IP>файлик вышлю, вечером. я его удалил и теперь надо вспомнить где скачал (я сначала качал с кучки мест, потом слушал). но я найду эту мп3шку заново
Лучше, я думаю, будет выложить линк откуда скачал, а то надоест рассылать
)
