Комментарии 45
т.е. способ борьбы — почистить автозапуск и поставить заново броузер.
А откуда и главное как зараза пролезла?
А откуда и главное как зараза пролезла?
Побуду сегодня капитаном. Автозапуска мало. Службы, планировщик и тупо ярлыки обязательны к просмотру.
Очень часто в последнее время натыкаюсь как раз на прописанные в ярлыках сайты и/или ссылки на bat'ники.
Ещё забыл добавить про проверку «Дополнений» браузеров.
да это все понятно кэп, службы и планировщик это тоже автозапуск…
главный вопрос как оно залезает?
главный вопрос как оно залезает?
Все случаи что капитан видел, были последствием запуска как-нибудь странных программок, с именем вроде krutaya.mp3.exe или supergame.zip.exe
Разводы древние как мир до сих пор работают, дело LOVE-LETTER-FOR-YOU.TXT.vbs живо.
Разводы древние как мир до сих пор работают, дело LOVE-LETTER-FOR-YOU.TXT.vbs живо.
Если гобально — пользователь с админ правами для постоянной работы.
Крайне реже — уязвимости в системе. Это реально гораздо реже случается.
Крайне реже — уязвимости в системе. Это реально гораздо реже случается.
Наверно я использовал данный алгоритм:
1)Проверил службы, планировщики
2)Проверка путей в ярлыках
3)Проверка браузера на предмет сторонних дополнений.
Если не помогает, тогда переустановка с 0 браузера.
1)Проверил службы, планировщики
2)Проверка путей в ярлыках
3)Проверка браузера на предмет сторонних дополнений.
Если не помогает, тогда переустановка с 0 браузера.
> Однако для проверки папка была переименована и тут же установлен новый хром той же версии.
то есть для проверки вы использовали предоставленный вам компьютер, а не попытались тоже самое повторить на тестовой машине, где установлен полный мониторинг за всеми частями системы с аккаунтом жертвы?
то есть для проверки вы использовали предоставленный вам компьютер, а не попытались тоже самое повторить на тестовой машине, где установлен полный мониторинг за всеми частями системы с аккаунтом жертвы?
т.е. хром был установлен в профиль пользователя, так?
Судя по тому, что под другими учётками проблема была — хром установлен в целом на машину, а не для конкретного пользователя.
Вот имхо зря bitlz заминусовали ибо я, например, тоже не понял из статьи куда был установлен Chrome, а про новых пользователей подумал, что это относится к профилям в самом Chrome.
Помимо этого по умолчанию Chrome ставится именно в профиль пользователя.
В общем, мне тоже интересны подробности ибо у меня Chrome как раз в Program Files живёт, а SRP (локальные политики) блокируют запуск приложений из мест, куда можно писать без админ прав. В общем, пока, я предполагаю, что мне и моим хомячкам описанные в статье проблемы не грозят.
Помимо этого по умолчанию Chrome ставится именно в профиль пользователя.
В общем, мне тоже интересны подробности ибо у меня Chrome как раз в Program Files живёт, а SRP (локальные политики) блокируют запуск приложений из мест, куда можно писать без админ прав. В общем, пока, я предполагаю, что мне и моим хомячкам описанные в статье проблемы не грозят.
Проблема, думаю, в админ правах.
Наверняка были.
Похожая петрушка была как-то, но только добавлялась библиотека в %programfiles%\mozilla firefox
После этого так же левые страницы в ff и хроме. Сильно в механизме не разбирался. Но на машине, где отродясь не было ff, данная папка с 1 файлом смотрелась забавно.
И опять привет админским правам. Уж сколько раз твердили миру…
Наверняка были.
Похожая петрушка была как-то, но только добавлялась библиотека в %programfiles%\mozilla firefox
После этого так же левые страницы в ff и хроме. Сильно в механизме не разбирался. Но на машине, где отродясь не было ff, данная папка с 1 файлом смотрелась забавно.
И опять привет админским правам. Уж сколько раз твердили миру…
Возможно и в админ правах, но тогда возникает ещё более прозаичный вопрос куда делся по умолчанию включенный механизм UAC.
Не исключаю, конечно, вероятности, что зараза умудрилась вылезти из песочницы через очередную уязвимость Win32k из процесса Chrome, который при этом ещё был запущен с админ правами при включённом UAC, но тогда это уже какой-то слишком суровый и экзотический способ поставить именно адварь. Вариант повышения прав за счёт уязвимости я сразу исключаю ибо такие эксплойты обычно значительно сложнее.
Ну понятно, господа продвинутые юзеры и админы, похоже, расходимся. У меня этот файл в Program Files и просто так его не переписать.
P.S. Google «молодцы» конечно, ибо уже неоднократно нарушили всевозможные гайдлайны как по безопасности, так и по дизайну, от этого собственно и описанная в топике проблема.
P.S. Google «молодцы» конечно, ибо уже неоднократно нарушили всевозможные гайдлайны как по безопасности, так и по дизайну, от этого собственно и описанная в топике проблема.
Мне в таких случаях помогла данная штука http://virusinfo.info/showthread.php?t=146192
AdwCleaner поможет вычистить автозагрузку, службы, планировщик и т.п. Т.е. пути проникновения скрипта. Но вряд ли AdwCleaner (по крайней мере, текущая версия) найдёт скрипт в pak-файле Chrome.
Спасибо. Не знал про такое, тоже помогло. А то не знал как эту заразу на ноуте девушки прибить уже.
Столкнулся с такой же проблемой. У меня установлен flash block и ad block и я пользуюсь Ubuntu.
С некоторых пор стала появляться иконка заблокированного флеша в левом верхнем углу. Так же я во время работы в инст. разработчика в хроме заметил, что на странице генерируется iframe, которого нет у меня в коде.
Стал смотреть куда ведет адрес с флеша через flash block. И он точно такой же как в этой статье — akamaihd.net
Я думал это от какого-то расширения, пробовал отключать — все остается так же.
В итоге я просто добавил правило в adblock и блокировал этот элемент с флеш. Сгенерированный iframe так и появляется в коде страницы, но его не видно и он не мешает…
Так что проблема действительно существует.
С некоторых пор стала появляться иконка заблокированного флеша в левом верхнем углу. Так же я во время работы в инст. разработчика в хроме заметил, что на странице генерируется iframe, которого нет у меня в коде.
Стал смотреть куда ведет адрес с флеша через flash block. И он точно такой же как в этой статье — akamaihd.net
Я думал это от какого-то расширения, пробовал отключать — все остается так же.
В итоге я просто добавил правило в adblock и блокировал этот элемент с флеш. Сгенерированный iframe так и появляется в коде страницы, но его не видно и он не мешает…
Так что проблема действительно существует.
akamaihd.net это просто CDN Akamai. Очень большой и распространенный. Там много чего может быть от кого угодно.
А могут с Akamai какие-нибудь гадости заливаться? Сталкивались когда-нибудь?
Туда что угодно можно залить, оно для этого и предназначено. Заливаешь один файл, его выкачивают, он распространяется по огромному количеству кеширующих серверов по всему миру, предоставляя возможность юзерам качать максимально быстро без всяких p2p. Только за трафик плати.
Но не думаю, что Акамаи очень уж абузоустойчив. Подозреваю, что если накатать жалобу на этот expressfind из статьи выше, предоставить доказательства, может с ними и разберутся.
Вы главное не вздумайте весь акамаи блочить по домену, много чего полезного распространяется через него. Максимум — поддомен, в нашем случае, «expressfind-a.akamaihd.net».
Но не думаю, что Акамаи очень уж абузоустойчив. Подозреваю, что если накатать жалобу на этот expressfind из статьи выше, предоставить доказательства, может с ними и разберутся.
Вы главное не вздумайте весь акамаи блочить по домену, много чего полезного распространяется через него. Максимум — поддомен, в нашем случае, «expressfind-a.akamaihd.net».
А хром у вас был последней версии? Вроде как обновление проверяет CRC.
Интересно все-таки узнать способ проникновения. Может тот Хром скачали с левого сайта?
Файлы случайно не этими сертификатами подписаны?
habrahabr.ru/company/infopulse/blog/255251/
habrahabr.ru/company/infopulse/blog/255251/
Google SRT попробуйте в следующий раз)
НЛО прилетело и опубликовало эту надпись здесь
Кстати, а что за поставщик рекламы здесь используется? И почему он не против такого вида размещения рекламы?
Новый adware встраивается непосредственно в браузерПо заголовку поста ожидал увидеть сам механизм встраивания, либо хоть какой-то намек на это. Думал, что в хроме есть какая-то уязвимость, либо что-то вроде этого, позволяющая зловреду так прописаться
И, кстати…
Быстрый поиск для распаковки ресурсов показал следующий скрипт на питонеНесколько раз перечитал предложение. Спасибо, мой мозг взорван
Это плохой перевод с рекламой.
Quick search for unpacking resources showed the following script in Python — в оригинале
Quick search for unpacking resources showed the following script in Python — в оригинале
Вы правы, и вправду перевод: it-supernova.com/new-adware-that-integrates-directly-into-the-browser
Получается, что пост нарушает сразу несколько правил Хабра: реклама, отсутствие метки перевод. Из «моральных» правил: выдача чужой статьи за свою. Некрасиво
Получается, что пост нарушает сразу несколько правил Хабра: реклама, отсутствие метки перевод. Из «моральных» правил: выдача чужой статьи за свою. Некрасиво
Вы что, с ума посходили? Какой-то сайт украл у меня статью, сделав перевод с русского на английский. А рекламу где увидели?
Реклама в первом же абзаце — не делайте вид, что не в курсе.
Хорошо, пусть статья ваша — почему комментарии к коду на английском? Учитывая, что писали на русском, правильным тоном было бы дать и комментарии к коду на русском
Хорошо, пусть статья ваша — почему комментарии к коду на английском? Учитывая, что писали на русском, правильным тоном было бы дать и комментарии к коду на русском
Если нет рекламы и статья всё-таки ваша — зачем мне карму минуснули?
Будь я на вашем месте и, если бы статья была моей, я бы и значения не придал таким комментариям
Будь я на вашем месте и, если бы статья была моей, я бы и значения не придал таким комментариям
Пост про борьбу с рекламой, а все ради рекламной ссылки автора, в первом же абзаце до ката…
Интересно, что скажет akamai, пустивший в свой CDN такое, да ещё и согласился отдавать по https.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новый adware встраивается непосредственно в браузер