Перейти к содержимому


Фото
- - - - -

в данных (HTTP) был обнаружен вирус или вредоносная программа

Автор Antowe4ka , сен 15 2008 19:59

  • Please log in to reply
39 ответов в этой теме

#21 Antowe4ka

Antowe4ka

    Member

  • Posters
  • 121 Сообщений:

Отправлено 17 Сентябрь 2008 - 19:49

Ладно, тему можно закрывать. Вывод сделан следующий: Авира Дохтору не конкурент. :-)

#22 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 17 Сентябрь 2008 - 20:04

Хм... Точно фигня какая-то! :-)

#23 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 19 Сентябрь 2008 - 00:10

а чего там эксперементировать. у авиры есть генерик запись, на строки такого вида:



именно это и есть на haltec.ru сейчас. т.е. скрытый ифрайм с тайной подгрузкой левой страницы, дальше она не смотрит грузится там реально вирус или нет, не важно, им лишь бы задетектить подозрительную страницу. на самом деле у честного сайта вот такого вот кода быть не должно, так что тут мнение на счет авиры двоякое, с одной стороны вируса то и нет впринципе, но его следы остались, а может и ложняк, судя по коду какой то счетчик грузится.

--
With best regards, Konstantin Yudin
TestLab, Doctor Web, Ltd.


#24 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 19 Сентябрь 2008 - 12:41

Ну я бы сказал, что неверный это подход. Либо со стороны рекламщегов, либо со стороны авиры. Скорее и тех и других.

#25 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 19 Сентябрь 2008 - 12:51

Ну я бы сказал, что неверный это подход.

Почему? Разве на честных страницах такое есть?

---
С уважением,
Borka.

#26 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 19 Сентябрь 2008 - 12:58

Да, вот как раз пример добавления счетчика таким способом. Рекламщики, гады, и обфускацию применяют...

#27 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 19 Сентябрь 2008 - 13:03

Вот и давить их!

---
С уважением,
Borka.

#28 ILNARus

ILNARus

    Advanced Member

  • Posters
  • 636 Сообщений:

Отправлено 19 Сентябрь 2008 - 13:19

так делают, чтобы резалки всякие не работали...

#29 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 19 Сентябрь 2008 - 13:42

Вот потому и давить их вдвойне. :)

---
С уважением,
Borka.

#30 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 19 Сентябрь 2008 - 13:43

Но говорить о вирусе не надо :-)

#31 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 19 Сентябрь 2008 - 13:45

Не знаю, не знаю... Если честных ифреймов такого плана нет, то... ? ;)

---
С уважением,
Borka.

#32 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 20 Сентябрь 2008 - 00:30

Да, вот как раз пример добавления счетчика таким способом.

а вот нифига не счетчик, реально выходим в итоге через еще один iframe на горячо любимый yo..rtraff.biz, правда там уже ничего не раздают.

--
With best regards, Konstantin Yudin
TestLab, Doctor Web, Ltd.


#33 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 20 Сентябрь 2008 - 00:34

Нужен анализ документа, который будет загружен для определения вредоносности данной страницы :-(

#34 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 20 Сентябрь 2008 - 00:41

а вот нифига не счетчик

Как это? counter.php! :)

---
С уважением,
Borka.

#35 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 20 Сентябрь 2008 - 00:43

Думаю, поэтому и детектят такие ифреймы как trojan.downloader...

---
С уважением,
Borka.

#36 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 20 Сентябрь 2008 - 00:46

Я бы сказал, что Trojan.Click - перенаправляет пользователя, типа. Но без обфускации это - не вирус, детектитсо должно то, что будет нести "боевую часть". Но это все мечты :-)

#37 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 20 Сентябрь 2008 - 01:38

Как это? counter.php! :)

а в код смотрели его ;) там iframe на бизз

--
With best regards, Konstantin Yudin
TestLab, Doctor Web, Ltd.


#38 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 20 Сентябрь 2008 - 01:40

я думаю в эвристик гейта можно такой детект запихнуть, в паронаидальном режим каком нить.

--
With best regards, Konstantin Yudin
TestLab, Doctor Web, Ltd.


#39 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 20 Сентябрь 2008 - 01:43

Ну разве что так :-) Но со скриптами проблемы есть... Я сейчас на коленке дома пытаюсь что-то сделать, но не факт что выйдет и выйдет как надо :-)

#40 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 20 Сентябрь 2008 - 17:42

а в код смотрели его ;) там iframe на бизз

Ага, видел. :)

---
С уважением,
Borka.
Назад к Общие вопросы

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Общие вопросы
  4. Privacy Policy
  5. Terms & Rules ·