Как стать автором
Обновить

Комментарии 19

Напрягает ввод обязательный номера телефона при регистрации. Я думаю, что эта строка многих отпугнет.
Check Me показывает мою полную уязвимость всему. Оказывается, что возможность скачать PDF из Интернета — это ZERO DAY VULNERABILITY. Буду знать.
Это не обычная pdf, а специально подготовленная.

И чем она отличается от специально неподготовленной? Уязвимость-то в чём?

Думаю, что речь идет об использовании ROP. Т.е. когда после эксплуатации уязвимости adobe, зловред собирается непосредственно на компьютере жертвы из уже имеющихся функций и процессов. Такие файлы потоковые антивирусы не детектируют, т.к. в вирусного кода просто нет.
Но это только мои догадки. Я к сожалению не обладаю более точной информацией.
Полагаю, что уязвимость заключается в отсутствии на компе антивируса, который отловил бы этот специально подготовленный, типа «инфицированный», файл.
По идее антивирус тоже должен облажаться, иначе это уже не 0-day.
Я скачал pdf-ник по ссылке из Вашей статьи и заслал его на virustotal. Вот результат. Так что на зиродэй это и правда не тянет.
Да, но если посмотреть чуть ниже, то увидим, что многие антивирусы его по прежнему не детектируют. Скорее всего еще пару недель назад это был 0-day, а сейчас сигнатура потихоньку расходится по всем антивирусным базам.

Хорошо, но как система Check Me определила отсутствие у меня такого антивируса? Извне, из Интернета? Без загрузки этого специально подготовленного файла ко мне на компьютер? Я не думаю, что он без моего ведома уже лежит где-то у меня в системе и сам по себе тихонько собирается в адский зловред только из-за того, что я нажал кнопку Check Security Now.

Проверил только что комп с установленным каспером:

вот результат
image

При проверке каспер несколько раз открывал окошко с информацией о том, что только что заблокировал загрузку какого-то файла или заблокировал переход по ссылке.
Аналогичный тест сделал с ESET-NOD32. Тот вообще ничего не сказал.
Проверил на актуальном Доктор Веб. Странно то, что тест скажем на обнаружение Eicar антивирус проходит, а вот при попытке открыть ссылки из статьи ничего не происходит. Они точно корректные?
Вот лог каспера:
image

Зиродей, кстати, в результатах проверки вcё равно светится красным, хотя каспер, судя по отчёту, заблокировал загрузку этого pdf-ника.
CheckMe использует функции JavaScript, которые выполняются в контексте страницы и выполняет следующие действия:
1.Скачивает «вредоносный» файл (в распакованном виде и архивированном виде) из cpcheckme.com через HTTP, HTTPS
2.Сообщает “чувствительные” данные в cpcheckme.com
3.Загрузка изображений с доменов с плохой репутацией
http://tssolution.ru/check-point-checkme/
Детальное описание работы скрипта и рекомендации по настройке, чтобы все атаки блокировались.
Я правильно понимаю, что по мнению cpcheckme свежайший debian testing является полностью уязвимой системой? По той причине что на нем нету антивируса?
Ну ативирусный тест в данном случае будет нечестным, т.к. там наверняка сидит вирус для винды. В остальном пожалуй все актуально.

В полном отчете мне написал, что не смог скачать с Андроида через мобильную сеть инфицированных файл по https. С учетом отсутствия у меня на телефоне каких-либо​ антивирусов и успешности остальных попыток качать малварь, очень странно рисовать тут зеленую галочку.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.