Глюк или вирус?

[dok]

Когда я в командировках захожу на сайт с тел время от времени при первом входе перенаправляет на какойто сайт. Антивирус его блокирует. Сбрасываю захожу снова нормально. Полная проверка антивирусом результатов не дает.

Тел. Андроид. Антивирус ДрВеб

Так происходит только на карсе

[yellow_rabbit]

опять пришло письмо, типа от налоговой.

что я опять не оплатил налоги и не могу спать спокойно.

ситуация полностью аналогичная предыдущей ситуации (присылают раз в 3 недели)

в прошлый раз был взломан бразильский сайт, сегодня - испанский.

я теперь пишу письма владельцам сайтов, они хоть и не отвечают, но вирусы убирают.

 

в общем то хотел сказать не это.

вот сегодняшнее письмо с испанского сайта.

краткий анализ сайта выявил, что 

1. адмнка сайта легко доступна

2. без пароля

3. в редакторе есть серверный файловый браузер.

я даже не знаю как это обозвать.

тем не менее, отправил письмо на испанском, посмотрим реакцию.

 

PS: как обычно, будьте бдительны, ББ все видит.

[Strange]

Какой ты совестливый.

 

+

[yellow_rabbit]

 

 

опять пришло письмо, типа от налоговой.

ссылка на вирус, по прежнему на тот же испанский сайт и качается.

или мой испанский люди не поняли, либо сайт заброшен и данная рассылка будет продолжаться.

 

отличия от вчерашнего письма.

было добавлено большое описание ужасов и объяснений чего это такое и зачем надо.

 

важный апдейт.

если вчерашний компьютер отправитель (откуда фактически отправлено письмо) был из киева, то сейчас адрес отправителя Челябинск (!!!)

т.е. рассылка работает и заражает компьютеры и, как обычно, антивирусы ее не ловят (в т.ч. гугл не заблокировал скачку файла).

 

про бдительность, см. выше.

[ЧЕБУРЕК]

это тебе кара Господня

за то,што ты раз в неделю работаешь

и то-во вторник

[yellow_rabbit]

пришло письмецо.

 

Уважаемый клиент!

 

В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменом axm74.ru осуществляется лицом, указанным в качестве его администратора.

...

 

загуглил.

ответ на форуме ник.ру

подробней тут

 

как обычно, будьте бдительны

[striker]

 

 

будьте бдительны

 

мда, "лох - не мамонт"  

[yellow_rabbit]

 

 

опять пришло письмо, типа от налоговой.

с завидной регулярностью приходят эти письма.

может уже налоги заплатить?

 

я не перестаю делать мир лучше и захожу на сайты, ищу адреса (кстати, ломают чаще всего джумлу, поэтому, если у вас джумла, обратите внимание) обратной связи, пишу им письма с реального ящика, о том, что их сайт взломан и неплохо было бы его обновить и удалить вирус.

 

хоть бы одна редиска отписалась, какой я молодец

но пишу, только чтобы сделать мир лучше, можно и без обратной связи.

 

вирусные письма становятся все красивее, добавляются элементы социальной инженерии, меняется оформление.

скоро начну верить.

 

тут с НГ повысились стандартны безопасности и теперь в каждую ненужную фигню суют сертификат безопасности.

ну например как отправляются данные письма.

берут буржуйских хостинг (вполне может быть, что и бесплатный) с подтвержденным сертификатом безопасности и уже через него делают рассылку пока кто-нить не забанит данный ресурс (это пока не забанили p3plcpnl0809.prod.phx3.secureserver.net).

в нынешних реалиях (это отдельня ржака) это кибер атака неизвестных хакеров и, если отследить (попробовать отследить) источник возникновения угрозы, заинтересуется ли этим интерпол\фбр\фсб\управление к?

 

кстати, по поводу тора.

там какая суть, создаем распределенную сеть и все основывает на том, что неизвестна точка выхода, т.е. все мои действия могут быть из совсем другого источника.

но если пошла угроза, то эта точка выхода всегда светится в логах сервиса\провайдер, ждем событие, ловим точку выхода, делаем показательную порку 3 раза, количество пользователей тора упадет критически.

[kosmax]

тут с НГ повысились стандартны безопасности и теперь в каждую ненужную фигню суют сертификат безопасности.

ну например как отправляются данные письма.

берут буржуйских хостинг (вполне может быть, что и бесплатный) с подтвержденным сертификатом безопасности

дык щас SSL получить - дело 5ти минут

[yellow_rabbit]

@kosmax, согласен

но это кардинально увеличивает трудозатраты.

если раньше каждый мог на своем компе сделать почтовый сервер (ну поставил коня и шли с любого компа массово спам),

то сейчас надо довольно много (много, в относительно спамной технологии) ресурсов затратить, на каждый комп в бот сети сертификат не поставишь.

и резко увеличивает количество идентификационных данных.

[YurDos]

Молодец

[yellow_rabbit]

очередное письмецо, ну стандартно.

 

на что обратил внимание.

 

спамеры серьезно работают по линии социальной инженерии

теперь оно красиво оформлено

и более того!!!

помимо ФИО (тип отправителя), теперь еще и сберовские номера пишут в подписи.

ну т.е. теперь письмо полностью похоже на официальное.

там еще пустой xls файл во вложении есть.

типа открываешь, ошибка, думаешь ну криво дошло, схожу ка я по ссылке.

а там и прилетает

 

при проверке видно, что это новая модификация.

 

Данный файл уже был проверен в VirusTotal 2017-02-16 09:12:38 UTC (1 час, 29 минут ago) а самый первый анализ был проведён 2017-02-16 07:58:52 UTC.

 

Показатель выявления: 4/54

как обычно, результаты проверки удручают.

надо переходить на какой то такой антивирус:

Arcabit, Cyren, F-Prot, NANO-Antivirus

 

еще из интересного.

файл вируса располагался на итальянском сервере под управлением WP

причем меня заинтересовал адрес сервера

aziendaagricolacarpaneseclaudio

сначало подумал, что фейковый и набор букв специально зареганый под это дело.

оказалось, что это реальный сайт итальянской винодельческой компании.

адрес шикарен.

[Strange]

Недавно обнаружил на одном компе набор батников в C:\Windows

с названиями типа     A.bat,    miner.bat и т.д.

внутри упоминания сайтов, с которых безошибочно узнаются китаЁзы, типа huybaidu.com

как эта херь оказалась на компе, хз....

malware, KES10 на них не реагирует не реагировал.

Да и я-то обнаружил их случайно, решив поглядеть, чо это такое.

 

 

Это что, китайские шахтеры майнеры забавляются с чужими компьютерами?

[striker]

 

 

Это что, китайские шахтеры майнеры забавляются с чужими компьютерами?

 

http://s6.pikabu.ru/post_img/2015/06/05/11/1433530088_1880699977.jpg

[YurDos]

Вот вас прет...

[yellow_rabbit]

с налоговой результата нет.

теперь пришло письмо с, якобы, втб24,

суть та же, лица те же.

теперь в письме и номер телефона есть!!! даже верный и даже от 

опять ловят только широко известные в узких кругах 4 антивируса.

 

проверил файл месячной давности (зачем то не удалил), ловят уже 25 антивирусов, в т.ч. и разные касперы и вебы.

 

как обычно, см. выше.

[yellow_rabbit]

новости с правого фланга 2й линии обороны.

 

работал над одним проектом на битриксе.

там собирались лиды с лендинга для подписки на семинар.

количество левых записей стало больше живых людей.

при этом боты заполняли обязательные поля, писали нужные символы в нужные поля.

озадачили вопросом - поставил родную капчу от битрикса.

количество ботов упало на 10% (десять!).

т.к. капча позволяет менять настройки в довольно широких пределах, поиграл ей.

результат или не изменился или очень мало изменился.

 

загуглил.

наяндексил сервисы которые работают над прохождением капчи.

битриксовую проходят от 60 до 80% успешных распознаваний + еще пару десятков капч от известных сервисов и производителей.

гугловскую капчу не люблю, в ее вариантах найдите на картинке тото я ее не прохожу примерно в 60% случаев.

 

у меня есть свой сайт для приема спама.

видимо сайт раскрутился (теперь туда ходит 2.2 человека в день, видимо яндекс и гугл и бот, 2 раза в неделю) стали с формы обратной связи приходить спамовые вещи.

т.к. ип у меня логгируется, то я вижу, что все эти разные сообщения приходят с одного ип (с ридной немечиины), не имеющего публичного сервиса.

 

а как вы боретесь с ботами?

[Strange]

 

 

у меня есть свой сайт для приема спама.

видимо сайт раскрутился

 

[yellow_rabbit]

у пары знакомых взломали скайп (не знаю как произошло)

суть, что мне пришли от них ссылочки вида

 

 

 

https://www.google.com/url?sa=t&url=%68%74%74%70%3A%2F%2F%63%32%36%34%2E%72%75&usg=AFQjCNFczxOu-pqCubz7HJppKMWrNYbi5Q

https://www.google.com/url?sa=t&url=%68%74%74%70%3A%2F%2F%63%32%36%34%2E%72%75&usg=AFQjCNFczxOu-pqCubz7HJppKMWrNYbi5Q

 

 

сразу, я сходил уже по ссылкам, сайт казино.

но это 

1. ссылочка на гугл

т.е. у меня даже мысли не возникло о подвохе, ну я бы все равно пошел по ссылке, но хотя бы с какой то долей осторожности.

а значит данный метод обходит и опыт и простую осторожность

2. ссылочка проходит все валидности

 

краткий анализ показал следующее

1. параметр в ссылке url - это кодированная строка адреса (ну тут все просто)

2. а вот параметр usg - это какой то валидный ключ, видимо от гугла.

потому как, если убрать этот параметр, то гугл прямым текстом говорит о текущем перенаправлении на внешний ресурс.

3. погуглив данный вопрос, узнал, что это специально для этого и создан параметр, причем

- его формирует сам гугл при индексации

- создан для перенаправления без предупреждения

 

считаю, что это какая то недоработка гугла (пока не понял зачем она сделана).

тем не менее:

PS: ну как обычно.

 

UPD: тема найдена с помощью предложенной вуру технологии

Изменено 1 мая, 2017 пользователем yellow_rabbit

[Strange]

Хорошо, когда ник не склоняеца, как например:

 

- предложенной кроликом технологии

- предложенной кролику технологии

 

А тут (скучно):

"предложенной вуру технологии

 

 

А вопрос у меня такой:

Как скайпы-то ломают?

 

 

Или банальнейшая неосторожность пользователей?

[yellow_rabbit]

 

 

Хорошо, когда ник не склоняеца, как например:

склоняется, я просто неграмотно пишу, т.к. разные диктанты не сдавал и вообще в школе немецкий учил.

 

"по вуриной технологии"

"вурина технология"

"написанный вурой диктант" (дальше сами склоняйте, я пальцы сломал и кровь из глаз брызжет).

 

какие способы видел - это подбор пароля

читал - это какая то установка аддона на скайп, который отправляет мессаги в контакт лист.

[unsed]

В течении прошлых пары недель, сломали скайп примерно у десяти знакомых причем из РФ и не из РФ. 
Самое безобидное, от них всем летел спам с такой же ссылкой. 
От одного уважаемого и многим знакомого, шла рассылка типа "срочно нужен безнал 500р\ 2 тыр переведи на карту, сегодня вечером\завтра верну".
Т.к многие с ним работали давно, и знают как порядочного человека , отправляли, благо суммы не большие. 
Из тех кому ломанули скайп, не все смогли восстановить 

[Aland]

склоняется, я просто неграмотно пишу, т.к. разные диктанты не сдавал и вообще в школе немецкий учил.

 

"по вуриной технологии"

"вурина технология"

"написанный вурой диктант" (дальше сами склоняйте, я пальцы сломал и кровь из глаз брызжет).

 

какие способы видел - это подбор пароля

читал - это какая то установка аддона на скайп, который отправляет мессаги в контакт лист.

Натюрлих? Ду бист дойч шпрехен?

[YurDos]

Начнаме, титле, ауфгабе?!

[Strange]

Нащальнике

Эщхельме бехельме

[yellow_rabbit]

дальнейшее развитие социальных технологий.

1. в письме размещена политика конфидециальности (бдят за законами)

2. при ссылке, кроме скачивания идет перенаправление на сайт сбера (красавцы!)

3. Показатель выявления: 2 / 53 (всем ставить срочно Fortinet, не знаю что это).

4. атака нулевого дня.

 

PS: ну как обычно.