Сообщений в теме: 61

[Matias]

Здравствуйте!
Полтора месяца назад произошла следующая ситуация:
1. На одном крупном форуме я случайно увидел сообщение, в которм присутствовала ссылка на архив, содержащий троян, о чем написал сам автор. В этом же сообщении был указан и пароль к архиву. Сначала я решил, что это просто розыгрыш, поскольку в правилах форума есть недвусмысленный запрет на публикацию сообщений, нарушающих законодательство РФ. Однако в архиве действительно оказался троян, причем архив на самом деле не был запаролен, в чем я убедился лично. Оповестив администрацию форума, я посмотрел профиль автора сообщения. Там было четко написано, что автор является экспертом в области информационной безопасности. Я вспомнил, что уже видел этого человека на другом форуме (как раз посвященном информационной безопасности) и отправился туда.
2. Я зашел на второй форум (в правилах которого также есть запрет на сообщения, нарушающие законодательство РФ), затем нашел все сообщения пользователя, о котором идет речь. В одном из этих сообщений была размещена ссылка на архив, содержащий одну из модификаций трояна Vundo. Как можно понять из энциклопедии Microsoft, посвященной вредоносному ПО, этот троян очень опасен. Я немедленно оповестил администрацию о найденном зловреде, и вскоре ссылка была удалена.
3. Обратив внимание, что автор сообщений давно не появлялся на этих двух форумах, я испытал вполне понятное беспокойство. Ведь неизвестно, где еще автор успел оставить подобные сообщения. Поэтому я решил найти его, чтобы попросить удалить зловредов с сайта. Я нашел его на третьем форуме, отправил личное сообщение с запросом на удаление зловредов, приведя для убедительности текст соответствующей статьи УК РФ, запрещающей распространение вредоносного ПО. В ответном сообщении этот человек согласился удалить со своего сайта каталог, содержащий вредоносное ПО. Возможно, коллекция зловредов не ограничивалась двумя экземплярами.
Как видно, все закончилось хорошо. А что было бы, если бы автор сайта не согласился удалить зловредов? Можно ли было написать письмо хостинговой компании сайта или пришлось бы подключать компетентные органы?
Примечание 1: сайт, на котором был размещен каталог со зловредами, принадлежит автору тех сообщений.
Примечание 2: сайт, на котором был размещен каталог со зловредами, хостится в РФ.
Примечание 3: каталог сайта, где было размещено вредоносное ПО, изначально был убран из публичного доступа (в него нельзя было попасть, используя навигационную систему сайта). Но благодаря ссылкам размещенным на общедоступных форумах, любой мог случайно скачать зловредов и заразить компьютер. Я, разумеется, не стал этого делать. Однако существуют разные пользователи, в том числе малоквалифицированные. Вот за них я и беспокоился в первую очередь.

Сообщение отредактировал Matias: 24 October 2012 - 19:24

[Matias]

Стоит добавить еще одну деталь. Когда я разговривал с автором вышеупомянутых сообщений, то поинтересовался с какой целью этот человек пошел на нарушение законодательства РФ. Оказывается, это было сделано в образовательных целях. Меня этот ответ, естественно, удивил. Ничего не имею против повышения компьютерной грамотности пользователей, но в данном случае существовал реальный риск заражения.

[Deceiver]

Вы меня извините, конечно, но, не вдаваясь в вопросы законодательства, мне кажется что вы реагируете чересчур сильно. Если человек честно предупреждал рядом, что по ссылке вирус, и если подобные ссылки были в тему идущего обсуждения, то ничего особенно криминального я во всей истории не вижу.

[Matias]

мне кажется что вы реагируете чересчур сильно. Если человек честно предупреждал рядом, что по ссылке вирус, и если подобные ссылки были в тему идущего обсуждения, то ничего особенно криминального я во всей истории не вижу.

Поясняю свою позицию:
1. В правилах тех форумов, о которых я говорил, есть недвусмысленный запрет на нарушение законодательства РФ
2. В правилах одного из них есть также запрет на размещение вредоносных программ в публичном доступе, поскольку форум посвящен информационной безопасности. Однако этот человек разместил ссылку на одну из модификаций трояна Vundo добавив, что он содержит руткит. Ссылку на описание семейства Vundo я привел в моем прошлом сообщении. Это очень опасный троян. Вот несколько цитат оттуда

Если у Вас имеется такой - может в личку пришлете?

Я искренне вам сочувствую, но, к сожалению, под рукой есть только самый обычный Virtumonde: Win32.Virtumonde.hr
Но о технической стороне используемого им руткита (мало ли пригодится)

Один из участников форума просил прислать ссылку на зловреда в ЛС. Однако эта ссылка была опубликована непосредственно на форуме. Кстати, администрация форума сразу же удалила ее по моему запросу, за что ей огромное спасибо.
3. Я, разумется, не стану запускать зловреда, поскольку более-менее разбираюсь во вредоносном ПО. Однако автор тех сообщений, несомненно, разбирается в нем гораздо лучше меня.
4. Я постоянно посещаю форумы, посвященные информационной безопасности (например, VirusInfo). На них и так очень много неопытных пользователей. На мой взгляд, ни к чему увеличивать их число.

Сообщение отредактировал Matias: 18 November 2012 - 14:36

[Matias]

Чтобы совсем прояснить свою позицию, кратко перечислю известные мне факты:
1. Упомянутый мной троян Vundo лежал на личном сайте, того человека, о котором идет речь в теме. Директория tests, в которой был размещен этот зловред (и, возможно, другое вредоносное ПО), разумеется, была убрана из публичного доступа.
2. Вот тема, в одном из сообщений которой была размещена ссылка на зловред.
3. В правилах форума, как я уже говорил, есть запрет на размещение вредоносного ПО (либо ссылок на такое ПО) в публичной части форума. Поэтому ссылка, естественно, была удалена администрацией сразу после получения моего запроса.
4. Следовательно, та женщина по непонятной мне причине не позаботилась прочитать правила.
5. Опасаясь, что она могла оставить подобные сообщения и на других форумах, я решил разыскать ее, чтобы попросить удалить весь каталог.
6. Через некоторое время я разыскал ее на другом форуме. Тогда я написал ей личное сообщение с соответствующей просьбой.
7. Спустя несколько дней каталог со зловредами был удален
Таким образом, эта история закончилась вполне благополучно. Однако у меня есть серьезные сомнения в квалификации этой женщины как эксперта, поскольку у меня не укладывается в голове, как опытнейший специалист по борьбе с вредоносным ПО мог допустить такую непростительную ошибку. Впрочем, мои сомнения не имеют отношения к данной теме.

Сообщение отредактировал Matias: 16 December 2012 - 15:56

[Matias]

Вот какие действия я предпринял бы в случае отрицательного ответа владельца вышеупомянутого сайта.
1. Сперва проверим данные WHOIS:

domain: SAULE-SPB.RU
nserver: ns1.saule-spb.ru. 195.28.57.70
nserver: ns.saule-spb.ru. 195.28.33.5
state: REGISTERED, DELEGATED, VERIFIED
person: Private Person
registrar: R01-REG-RIPN
admin-contact: https://partner.r01....act_admin.khtml
created: 2006.12.25
paid-till: 2012.12.25
free-date: 2013.01.25
source: TCI

nic-hdl: R01-REG-RIPN
org: Registrator R01
phone: +7 495 7833783
fax-no: +7 495 9308800
e-mail: info@r01.ru
www: https://partner.r01....act_admin.khtml
whois: whois.r01.ru
source: TCI

2. Теперь вычислим хостинг- провайдера сайта по IP адресу. Если используется браузер Firefox, то для вычисления IP этого сайта, а также хостинг-провайдера можно воспользоваться дополнением FlagFox
Вот вся необходимая информация.
IP: 91.213.196.10
Хостинг-провайдер: OOO "Hosterov".
3. Теперь достаточно зайти на сайт хостинг-провайдера, затем перейти в раздел контактов и написать письмо. В этом письме достаточно просто уведомить хостера, что на сайте одного из его клиентов размещен каталог с вредоносным ПО. В доказательство этого можно привести ссылку на экземпляр такого ПО вместе с паролем к архиву. Уверен, что хостинг-провайдер заблокировал бы доступ к этому сайту немедленно после получения соответствующего письма.

Сообщение отредактировал Matias: 16 December 2012 - 17:11

[Matias]

Только что выяснился совершенно неожиданный факт. Оказывается, электронный адрес, указанный на сайте, о котором идет речь в теме, не работает. В ответ на мое письмо пришло автоматическое сообщение от робота о невозможности его (письма) доставки. Следовательно, если бы я попытался отправить автору сайта запрос на удаление зловредов, то он, естественно, тоже был бы возвращен с аналогичной формулировкой.

Сообщение отредактировал Matias: 18 December 2012 - 15:50

[Matias]

Вот описание троянов семейства Vundo. Там четко написано, что представители данного семейства троянов используют особые технологии, чтобы затруднить процесс удаления. А вот статья с общей информацией о руткитах, в которой простым языком описывается, что это такое, а также перечисляются свойства, которыми они обладают. Очевидно, что если бы тот зловред с руткитом на борту попал бы на компьютер обычного среднестатистического пользователя, то такой пользователь оказался бы в очень сложной ситуации.

Сообщение отредактировал Matias: 18 December 2012 - 16:16

[Matias]

Вот еще несколько фактов:
1. Обратите внимание на тот факт, что на сайте есть множество статей, посвященных информационной безопасности. Среди них есть статья с описанием одной довольно неплохой программы. Кроме того, на сайте есть баннер, ведущий на сайт разработчика программы.
2. На сайте, естественно, имеется форум. Сейчас он почему-то отключен, но раньше работал.
3. Вот страница с архивной копией профиля одного из модераторов. Там указан и статус - Malware Analyst. Очевидно, этот человек работал в отделе аналитики компании. Я специально употребил глагол "работать" в прошедшем времени. Даже при беглом анализе сайта компании становится ясно, что дела у нее идут отнюдь не блестяще. В частности, на сайте нет никакой базы знаний по их продуктам, ссылки на электронные магазины (в которых можно было купить один из продуктов этой компании) не работают.
4. Так уж получилось, что несколько лет назад я пару раз заходил форум компании. Правда, я не счел нужным регистрироваться. В один из таких визитов я случайно наткнулся на тему, в которой человек жаловался, что в результате вирусного заражения оказался подменен один из важных системных файлов. Кажется, речь шла о dmserver.dll, но сейчас я уже не уверен в этом. Модератор, ссылку на профиль которого я привел, предложил заменить файл. Кроме того, он дал ссылку на сайт, куда предварительно залил его. Не знаю, почему он это сделал, возможно, у того пользователя не оказалось под рукой установочного диска Windows XP. Важно другое: ссылка, опубликованная в теме, вела на тот самый сайт, о котором я говорил ранее.

Выводы:
1. Модератор того форума компании действительно является профессиональным аналитиком. Я бы даже сказал, что он является специалистом высочайшего класса.
2. Модератор того форума одновременно является автором сайта, на котором было размещено вредоносное ПО.
3. Автор сайта является именно тем человеком, который и выложил ссылку на один из самых опасных троянов в сообщении, размещенном на публичном форуме.
4. Логика этого человека вообще не поддается пониманию. Человеку, обладающему стандартным логическим мышлением никогда не пришло бы в голову выложить подобную ссылку (ведущую на собственный сайт) на публичный форум, да вдобавок указать на этом сайте неработающий e-mail.
Остается непонятным, почему эта женщина пошла на такой риск. Ведь если бы кто-то пострадал, случайно запустив зловреда, то ее вполне можно было бы привлечь к уголовной ответственности на основании статьи 273 УК РФ. Или добиться отключения ее сайта.
Ей очень повезло, что на зловред наткнулся именно я. Поскольку я ее немного знал, то решил разыскать. Если бы на зловреды наткнулся посторонний человек, то (учитывая неработоспособность контактного e-mail) он обратился бы прямо к провайдеру хостинга или даже непосредственно в правоохранительные органы. Мне, как я уже говорил, удалось уговорить ее удалить каталог с вредоносным ПО, чего я и добивался.

Сообщение отредактировал Matias: 18 December 2012 - 19:45

[korn]

Отправлено 24 Октябрь 2012 - 16:12

Отправлено 25 Октябрь 2012 - 16:11

Отправлено 18 Ноябрь 2012 - 11:18

Отправлено 16 Декабрь 2012 - 12:56

Отправлено 16 Декабрь 2012 - 14:00

Отправлено Сегодня, 12:43

Отправлено Сегодня, 13:04

Отправлено Сегодня, 16:14

Всегда приятно видеть, как умный человек общается с умным человеком

[Джермук]

Всегда приятно видеть, как умный человек общается с умным человеком

Я сперва не догнал. Потом, когда догнал поставил Вам + за доставленную радость общения.

[Matias]

Всегда приятно видеть, как умный человек общается с умным человеком

Мне, в отличие от вас, ситуация не кажется смешной. Я же написал, что троян, о котором я говорю, является одним из самых трудноудаляемых. Я знаю, что говорю, поскольку довольно прилично разбираюсь в этом вопросе. Для получения дополнительной информации о руткитах можете прочитать статью известного антивирусного эксперта Олега Зайцева. А вот пошаговая инструкция по удалению типичного представителя семейства Vundo на английском языке. .

Сообщение отредактировал Matias: 19 December 2012 - 00:00

[Ионыч]

Matias, это голова!

[Джермук]

Мне, в отличие от вас, ситуация не кажется смешной.

Да Вы не обижайтесь.
Просто Вы сами с собой беседуете, это вызывает некое удивление, т.к. вроде Вы сами себя убеждаете.

[Matias]

Вы не обижайтесь.

Я не обижаюсь из-за подобных пустяков. Однако не буду скрывать, что меня удивила реакция Deceiver. Он отреагировал так, словно считает размещение ссылок на вредоносное ПО в открытом доступе чем-то совершенно обычным.

Сообщение отредактировал Matias: 18 December 2012 - 23:53

[Deceiver]

Я не обижаюсь из-за подобных пустяков. Однако не буду скрывать, что меня удивила реакция Deceiver. Он отреагировал так, словно считает размещение ссылок на вредоносное ПО в открытом доступе чем-то совершенно обычным.

Да, считаю. С размещением соответствующих комментариев и предостережений.
Оградить ослов, запускающих все файлы подряд по неизвестно каким ссылкам, от вирусов все равно совершенно невозможно. Такие люди хватали вирусы и будут хватать до тех пор, пока коренным образом не изменится архитектура ОС.
Ваши настойчивые попытки выставить этого несчастного трояна какой-то неверотной опасностью вызывают у меня, как у грамотного пользователя (не профессионала, а лишь грамотного пользователя), только улыбку. Из всего видно, что этот ваш разлюбезный Vundo - зауряднейший троян, коих на незащиненном компе чайника обычно дясяток. Лечится он в два элементарнейших хода:
1) Запуск в безопасном режиме.
2) Прогон любого сносного антивируса.
Все ваши "мануалы" по избавлению от вируса годятся только для полного имбецила, поскольку требуют установки какого-то левого софта совершенно непонятного происхождения. Ответственность за безопасность этих левых утилит, а также отсутствие в них закладок и собственных руткитов, естественно, никто не несет.

Более того, уже давно пора было убедиться, что ваши излияния никого здесь не интересуют. К чему истерика-то?

Сообщение отредактировал Deceiver: 18 December 2012 - 23:55

[Matias]

MBAM по праву является одной из лучших программ в своем классе. Я ежедневно посещаю специализированны компьютерные форумы, посвященные лечению от вирусов. Там очень много пользователей, уровень компьютерной грамотности которых, к сожалению, оставляет желать лучшего. Я-то прекрасно знаю, как избавиться от данного зловреда. Я не просто так написал, что не отношу себя к новичкам. Кроме того, я и не думал устраивать истерику. Однако не буду скрывать, что крайне удивлен поступком автора вышеупомянутого сайта. С одной стороны она много лет помогает другим пользователям вылечить ПК от вирусов, с другой - сама же и распространяет их. Что меня особенно удивило, так это проявленная этой женщиной невнимательность. Ведь если бы она внимательно прочитала ту тему, то преспокойно передала бы ссылку через личные сообщения, о чем ее и просили.

Сообщение отредактировал Matias: 19 December 2012 - 00:16

[Deceiver]

Безусловно, такие ссылки, если они предназначаются не широкому кругу пользователей, лучше давать приватно, но еще раз повторю, что в деле инфицирования компов чайников такие скромные ссылки с честными предостережениями играют НАМНОГО меньшую роль, чем дыры в флеше и яваскрипте, чем устаревшие антивирусы с протухшими базами, чем отученная от обновлений ОС и просто общая безграмотность пользователя, готового бездумно кликать по любой ссылке вконтакте с комментарием "Погляди, какой прикол". Так что тема, имхо, не стоит обсуждения ввиду полнейшей незначительности инцидента.

Сообщение отредактировал Deceiver: 19 December 2012 - 00:13

[FreeCat]

Я-то прекрасно знаю, как избавиться от данного зловреда.

Все эти "неизвлекаемые" руткиты, трояны и вируы прекрасно лечаться из другой системы, с помощью LiveCD, например .

Там очень много пользователей, уровень компьютерной грамотности которых, к сожалению, оставляет желать лучшего.

С помощью этого LiveCD можно лечитить компьютер и оюдям такого уровня ... я многократно использовал как раз для того чтобы такие люди сами лечили, без меня ... я уж в самом сложном случае выезжаю ...

[Matias]

Из всего видно, что этот ваш разлюбезный Vundo - зауряднейший троян, коих на незащиненном компе чайника обычно дясяток. Лечится он в два элементарнейших хода:
1) Запуск в безопасном режиме.
2) Прогон любого сносного антивируса.

Я не могу с вами согласиться сразу по нескольким причинам:
1. Разработчик этого мерзкого трояна постоянно совершенствует его.
2. Обычные антивирусные программы вообще не могут с ним справиться. Это, признает даже тот эксперт, который и выложил ссылку. Вот инструкция по удалению типичного представителя семейства Vundo, опубликованная на том самом сайте. А вот тема на Virusinfo, автор которой жалуется как раз на то, что установленный антивирус не может удалить зловреда. При этом он сам пишет, что довольно слабо разбирается в компьютерах. Уверяю вас, что если бы речь шла о каком-нибудь заурядном трояне, я не стал бы утруждать себя поисками автора тех сообщений.

Сообщение отредактировал Matias: 19 December 2012 - 14:49

[alexso]

Предлагаю ТС направить бурную энергию в другое русло. Этот вирус даже насморк не вызовет, а в магазинах ножики продают, вот возьмет неопытный пользователь, сделает себе харакири, вместо того чтобы колбаску нарезать. ужс

[korn]

Matias,
Не серчайте, просто это действительно выглядит забавно. Зато смотрите, и тема оживилась

[Deceiver]

Я не могу с вами согласиться сразу по нескольким причинам:
1. Разработчик этого мерзкого трояна постоянно совершенствует его.

Все совершенствуется. Вирусы совершенствуются, антивирусы тоже. Именно для этого придумали регулярное обновление баз.

2. Обычные антивирусные программы вообще не могут с ним справиться.

Бросайте заливать. Цитата из одной из ваших ссылок для чайников:

The Vundo family of Trojans is one of the most common infections we find on user's computers.

Это было сказано в 2009 году. Больше говорить тут не о чем. Конечно, всегда случаются альтернативно одаренные единицы, которым по какой-то причине нужна помощь в ручном режиме, но в подавляющем большинстве случаев, как высказался коллега:

Этот вирус даже насморк не вызовет.

Если бы вы не были столь настойчивы в попытках удалить все следы несчастной микробы из интернетов, я бы даже не поленился специально для вас погонять этот вирусняк в виртуалке. Но увы и ах.

[offtop mode on]У хто тута модыратыр? В теме-то ничего от ИС толком и нету...[offtop mode off]

[Matias]

Несколько уточнений:
1. Антивирусы действительно совершенствуются. В этом я с вами полностью согласен. Но, видимо, они все еще не могут эффективно бороться с троянами семейства Vundo. Дело в том, что тема на форуме Virusinfo, на которую я дал ссылку, создана только вчера. Причем у автора темы установлен антивирус компании ESET. Однако же он не смог предотвратить заражение.
2. Разумеется, любой руткит можно удалить, загрузившись с любого приличного Live CD. Однако этот способ годится для профессионалов, но никак не для новичков.
3. Если бы речь шла о каком-нибудь пустяковом зловреде, я не стал бы утруждать себя поисками той женщины, которая и разместила ссылку. Я ограничился бы простой отправкой жалобы администрации форума.
4. Раз уж кто-то сказал про нож, то у меня и на это есть ответ. Ведь с этим ножом надо уметь обращаться. В противном случае можно получить серьезную травму. То же применимо и к вредоносному ПО.

Сообщение отредактировал Matias: 20 December 2012 - 18:46

[Matias]

Deceiver,
Ваши ответы позволяют предположить, что вы являйтесь профессионалом довольно высокого уровня. Поэтому вы воспринимаете любого серьезного зловреда всего лишь как объект для исследования. Другими словами, вы рассуждаете примерно так же, как женщина, о которой и идет речь в теме. Ваша точка зрения, безусловно имеет право на существование.
Однако я рассматриваю этот случай исключительно с позиции юриста. Поэтому для меня публикация ссылок на опасные зловреды в открытом доступе является грубейшим нарушением как правил того форума, так и законодательства РФ.
Что, по-вашему, станет делать малоквалифицированный пользователь, случайно запустивший вышеупомянутого трояна? Он будет вынужден обратиться в ближайшую компьютерную фирму. Большинство этих контор занимаются банальным разводом. Я, разумеется, не стану отрицать, что и в них могут работать вполне добросовестные люди. Однако если человек обратиться в первую попавшуюся фирму, то шанс попасть на кого-нибудь из последователей Остапа Бендера (который, как известно, знал четыреста способов сравнительно честного отъема денег у населения) будет очень высок.

Сообщение отредактировал Matias: 20 December 2012 - 19:03