Google Chrome Beta

Гугл сделал новый браузер, "убийцу" ослика и лисы. Лично я не слишком верю что он убьёт лису, но он оригинален свой простотой и скоростью. Можете скачать попробывать.

• Скачать Google Chrome
• Поподробней о браузере

Сообщение отредактировал Фломастер - 4.9.2008, 21:13

Благодаря своевременному сигналу (спасибо Лосту) все под контролем.

Один из сайтов который хостится на свспейсе был взломан. Этот сайт не имел собственного домена второго уровня и был на домене 3его уровня. имя_сайта.swspace.ru Сам сайт не указывается по этическим соображениям. А гугл что бы перестраховаться предупреждает обовсем где есть слово "swspace". Все кто ходили на джей си, на www.swspace.ru и другие сайты на хостинге свспейса могут не волноваться, никто не открывал зараженную страничку. Этот зараженный сайт новый и еще не участвует в рейтинге свспейса, так что 99% что вы его не посещали.

Вредоностная ссылка выглядела вот так:

Я на сегодняшний день все чаще и чаще встречаю случаи зарашения такого рода вирусами. Начиная от того что мне в одноклассниках и вконтакте частенько приходит предложения послать СМС на короткий номер, странные коды на сайте как iframe так и <script>document.write(unescape( вплодь до кражи паролей не только от ФТП, почты, но и к Webmoney.

Все это это один и тот же тип взлома. А вина в том что люди не хотят ставить 3ий сервис пак на Экспу, не ставят апдейты (а ведь все происходит через дыры в винде) и антивирусы.

Кому интересно, как же попал на тот сайт вирус?

iframe или "у меня на сайте вирусы!"


в последнее время участились случаи обращения в службу поддержки по данному вопросу. Пользователь, заходя на свой сайт обнаруживает:
1. изменённый код своей страницы (где чаще всего присутствует код <iframe> )
2. Антивирус ругается на наличие вируса на данной странице
3. не обнаруживает ничего, ничего хорошего для себя (иногда индексный файл нулевой длины, либо некорректно добавлен код в php файл и на экране высвечивается ошибка интрепретатора)

Кратко раскроем механизм того, как это происходит.
На большинство используемых уязвимостей Microsoft (а в большинстве случаев используются уязвимости именно в продуктах этого производителя ПО) уже давно выпустил заплатки
например* ,
http://www.viruslist.com/ru/viruses/encycl...a?virusid=78107

Код:

Exploit.HTML.Iframe.FileDownload
исправление выпущено компанией Microsoft 29 марта 2001 г.

*заплатка на данную уязвимость приведена как пример, полный список уязвимостей и заплаток ищите на сайте http://www.microsoft.com

Но не все пользователи заботятся об установке подобных исправлений.
Получая заражённое таким образом письмо или посещая сайт с таким эксплоитом Вы, сами того не ведая, загружаете на свой компьютер (и запускается он автоматически) другой вирус, чаще всего троян, который ворует Ваши пароли.

например такой
http://www.viruslist.com/ru/viruses/encycl...?virusid=147349

пароли на кошельки webmoney, Яндекс-деньги, ftp аккаунты Ваших сайтов и так далее оказываются вруках злоумышленника и в один прекрасный день Вы видите на своём сайте очередной код затрояненой странички (добавляется к вашей станичке пара строчек), а у себя в кошельке видите одни нули. Вычислить интернет-преступников очень тяжело, если сказать точнее, то практически невозможно. И если восстановить сайт достаточно просто из backup, то денег на электронных счетах Вам, практически, больше не увидеть.
http://mastertalk.ru/topic25547.html
http://forum.drweb.com/viewtopic.php?t=4406


продолжение следует....
[update 21 мая 2007]
некоторые вирусы используют запуск скрипта на Вашей странице, например таким способом:
Код:
<script>document.write(unescape(


ЧТО ДЕЛАТЬ?
1. прежде всего вычистить свой компьютер от различной "заразы", например, установив антивирус со свежими обновлениями. в критических случаях Вам придётся полностью переустановить систему, так как внедрение вирусов на Ваш компьютер может дойти до такой степени, что лечению это не поддаётся.
2. поставить ВСЕ ЗАПЛАТКИ (сервис-паки) на свою операционную систему, убирающие уязвимости windoцs известные компании microsoft до текущего времени.
3. сменить все свои пароли, в том числе и на почтовые ящики на бесплатных хостингах. пароли, полученные для доступа к нашим услугам, можете по этим инструкциям
http://forum.ruweb.net/viewthread.php?tid=1829
4. кардинальный способ: заблокировать ftp доступ к сайту. пример для тех серверов, где proftpd:
http://www.proftpd.org/localsite/Userguide/linked/x1021.html
создайте, например, файловым менеджером директадмина
http://site-helper.ru/uploading.html#filemanager
файл .ftpaccess
с таким содержанием
Цитата:

<Limit>
DenyAll
</Limit>

если же есть полная уверенность, что с Вашей сети, например, заражение не произойдёт, а от всех остальных хотелось бы закрыть доступ, то можете разрешить доступ с некоторго диапазона адресов, например так
Цитата:

<Limit>
Allow 192.168.0.1/32
DenyAll
</Limit>


Как Не Заразиться И Как Правильно Лечиться
* материал взят из поста ЗАРАЗА на локальном форуме sanet.nnov.ru 25.10.2007

Сейчас поколения троянских программ меняются по несколько раз в сутки, причем некоторых - автоматически при выходе обновленных баз к популярным антивирусам. Поэтому наличие антивируса, даже регулярно обновляемого, снижает риск, но совсем не гарантирует безопасности. Желательно, соблюдать элементарные меры гигиены. А именно:

1. Иметь в системе несколько учетных записей. Для работы с Интернет и закачки подозрительного содержимого держать отдельную учетную запись без прав администратора. Мера по надежности лучше любого антивируса.
2. Загружать исполняемый файлы только из известных и проверенных источников. Если качается какая-то новая программа - найти через Google официальный сайт и скачать оттуда. Ни в коем разе не с торрентов, тем более внешних, даже если это свежая игрушка. Если по другому ну совсем никак - закачать, подождать пару дней, проверить свежим антивирусом. Тоже касается кряков к программам.
3. Лучше использовать альтернативный браузер, Mozilla или Opera. Особенно любителям porno, warez, кряков и иже с ним. Ошибок в них не меньше, но ломают их реже.
4. Обновлять антивирус перед каждым выходом в интернет и не реже чем раз в 3 часа при активном браузинге. Лучше чаще.
5. Использовать какие-либо альтернативы антивирусам. Например http://www.gentlesecurity.com/ - достаточно надежный способ защиты.

Если все-таки заразились, то лечиться следующим образом. Антивирусом с самыми последними базами (причем иметь ввиду, что Dr.Web, AVG, NOD32, McAfee работают очень неоперативно, даже если выпускают обновления часто. Kaspersky, Symantec выпускает обновления достаточно шустро. Panda - сносно). Убедиться, что боновление баз прошло успешно. Лучше скачать пару антивирусов, хотя бы триальных версий того же Касперского.

1. Перегрузиться в безопасный режим. Найти/удалить троянцев.
2. Перегрузиться в обычный режим. Подождать немного.
3. Перегрузиться опять в безопасный режим. Если троянцы опять есть - oops. Если не умеем чистить вручную, то форматируем диск.
4. Достаточно свежая утилитка, можно потестировать:
http://www.online-solutions.ru/osam_autorun.php
5. Для очень продвинутых пользователей - AVZ ( http://www.z-oleg.com/secur/avz/ ). Обязательно включать AVZGuard.
6. По окончании лечения проверить c:\windows\system32\drivers\etc\hosts - удалить лишние записи.


update от 04.06.2009
очень часто от клиентов, когда даём данный материал к ознакомлению, слышим примерно следующее:
Цитата:

быть такого не может, у меня стоит на компьютере антивирус и никаких троянов он не обнаруживает.
А каким собственно образом злоумышленник (троянская программа) вытащила у меня логин/пароль? Первый раз слышу чтобы трояны были наделены искусственным интеллектом. Ftp клиентов у меня не стоит. Трояны научились читать и анализировать тексты?


И то что на Вашем компьютере не обнаружено троянов ещё не значит что их у Вас нет. Трояны в базу антивируса каким-то образом должны попасть.


О том как воруют пароли к FTP


дополнение к статье iframe или "у меня на сайте вирусы!"

© Тимур Маркидонов

Многие FTP-клиенты позволяют сохранять пароли к FTP-аккаунтам. С одной стороны это удобство, а с другой - потенциальная опасность. Давайте рассмотрим это на примере FTP-клиента, встроенного в популярный файловый менеджер Total Commander.

Устанавливаем самую последнюю на данный момент версию - 7.04a (от 08.08.2008), создаем подключение к хосту example.com, логин делаем user, а пароль - abrakadabra. Подключение создано. А теперь, собственно, вопрос - а куда Total Commander сохранил наш пароль?
После недолгих поисков обнаруживаем, что программа создала файл C:\WINDOWS\wcx_ftp.ini со следующим содержимым:

[connections]
default=example.com
1=example.com
[default]
pasvmode=0
[example.com]
host=example.com
username=user
password=C9A7435D1752E07C2E9D4E2F48FADB
pasvmode=0

Несложно догадаться, что C9A7435D1752E07C2E9D4E2F48FADB - это и есть наш пароль abrakadabra, только в зашифрованном виде. Причем шифрование является обратимым, т.к. Total Commander для успешного подключения должен по какому-то известному ему алгоритму однозначно расшифровать его как abrakadabra.
Теперь рассмотрим, как всем этим может воспользоваться злоумышленник. Ему всего лишь необходимо написать небольшую программу, которая при попадании на компьютер жертвы перешлет ему файл C:\WINDOWS\wcx_ftp.ini. В результате он получит список хостов к которым подключалась жертва, а также логины и зашифрованные пароли к ним.
Останется только расшифровать пароли. А за этим даже далеко ходить не надо. Ввеедм в Google запрос "total commander ftp crack", и первые же ссылки приведут нас на фанатские сайты Total Commander, где среди статей и плагинов можно найти утилиту "Windows Commander FTP crack", описываемую как "удобное средство восстановления забытых FTP-паролей в Total Commaner". Несмотря на то что написана она еще в 2003-м (!) году, она до сих пор работает. В одно окошко вводим C9A7435D1752E07C2E9D4E2F48FADB, а в другом успешно получаем наш реальный пароль abrakadabra.

Таким образом, чтобы безопасно хранить FTP-пароли в Total Commander (да и вообще любые пароли в любых программах, например пароль к почтовому ящику в браузере Opera - принцип сохранения паролей в большинстве случаев схож с описанным выше), необходимо на 100% быть уверенным, что ваш компьюер надежно защищен. Иначе в один прекрасный день вы можете обнаружить на своем сайте сторонний код, который будет пытаться загрузить вирус на компьютеры всех ваших посетителей.