senseisekai (senseisekai) wrote,
senseisekai
senseisekai

Categories:

вирус-локер на сайтах Юкоза и не только - помогите понять!!!!

Последнее время, примерно несколько месяцев, как начали поступать жалобы от людей, кто пытался переходить по моим ссылкам из вКонтакте, ЖЖ и Твиттера, что на сайте (сайтах - ибо это не только при переходе на chakra но и на sekai) они поймали вирус-локер, требующий для разблокировки компьютера перечислить деньги по телефону.
Михаил Абасов
...если уже несколько человек говорят что на вашем форуме вмрусы.то лучше принимать меры...

eugenyshultz

сенсей, я уже не раз говорил что на ваших сайтах ловлю локеров... РЕально по вашим ссылкам не перехожу теперь никогда, ибо шанс подцепить локер 70%
Галия Галиева
можно запросить у ucoz проверку вашего сайта на наличие вирусов или к-л неверных настроек - мой антивирус также не пускает меня на этот форум
Казалось бы все просто - на сайте вирус сидит. Но...
1. я сам как админ до 15 часов в сутки пребываю на сайте и ни разу никакого вируса не поймал там
2.
постоянные форумчане ни разу не поймали вирус
3. все, кто жаловался на вирус -
все из России

Поначалу я провел расследование и обнаружил с помощью популярного вирусного сканера в Сети http://2ip.ru/site-virus-scaner/ что На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
Однако при этом как Гугль, так и Яндекс считают сайт безопасным. Проверка и анализ с помощью ряда сайтов доказали что это не вирус, а обфусицированный код от роликов в Ютюб. Они недавно сменили код на обозначение как iframе-окно. Это и опознается некоторыми антивирусниками как типа вирус или iframe-вставки, ссылающиеся на сомнительные сайты. Пример из жизни ITишника http://smr24.ru/?p=325
Я лично на один из сайтов, на котором не было ни одного Ютюбовского ролика и распознаваемом 2ip.ru/site-virus-scaner/-ом как безопасным, загрузил ютюб-ролик и перепроверил на вирус. 2ip.ru тут же показало, что обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код. Удалил видео и снова - вирусов нет.
Увы я не могу все ролики Ютюба на сайте переделать на object - это физически нереально. Заводите более разумные антивирусники и доверяйте проверке Гуглем: по проверке Google.com и Yandex.ru относят данный сайт к безопасным


Однако все это  не объясняет локеры http://chakra.do.am/forum/71-301-43857-16-1336852691
Вот из Сети по поводу известного сайта на котором тоже такое поймали http://wordpressario.ru/2012/05/05/virus-na-sajte-favicon-ru/
Может ли такое быть, что это навешивается на траффик не на сайте, а где-то между сайтом и юзером на пути (у провайдеров сети)?
Не может быть чтоб Юкоз не заметил и потерпел бы оное, если бы было на сайте. Тем более сами они предупреждают, чтоб всплывающие баннеры не размещали мы-пользователи на своих сайтах - значит как то это отслеживают...

Сам юкоз вряд ли будет такое вешать - зачем им портить отношение к своему хостингу у гостей-хостеров и у гостей-заходильников? Я уверен все же, что спецы Юкоза на сайтах ничего НЕ найдут. 
Ведь будь что на сайте, то оно появлялось бы в любой стране, не только в России.
Плюс
один их важных показателей, что зарегистрированные на сайте (в Юкоз всеобщая регистрация) еще никогда не поймали вирус такой. Получается тогда ты какбэ под защитой уже Юкоза чтоль. А если мы заходим даже как гость, то IP то тот же самый, опознается системой (см что пингвин вас о вас показует).
И стал я тогда логически размышлять:
между юзером и сайтом ведь на пути в Сети столько всяких посредников. Видимо на этом отрезке на каком-то звене и вешают вирус-локер. К этой мысли меня привел случай в Твиттере. Одному фоловеру я дал сокращенную ссылку на сайт фэн-шуй. А тот заходил с мобильника и ссылка его привела на порно. Я дал прямую ссылку вместо сокращенной - зашел нормально сразу. Повидимому на пути через сокращенную ссылку висит прога перенаправления. Не на самом сайте сокращения ссылок, ибо я ей пользуюсь постоянно и жалоб на подобное никогда не было. Перенаправлялку явно повесили не на сайте сокращений, а где-то ближе к юзеру, у провайдеров.
Всё это объясняет почему наш постоянный форумчанин Гоша, заходя с другого IP с работы, поймал локер. А издому - никогда.
Gosha
Сам я сегодня - с служебного компа - хотел зайти на сайт Валекса, как только заходить начал - выскочил баннер, типа такого:

и никак его убрать нельзя! пришлось вырубать, заново включать комп, заходить в безопасном режиме, позвать айтишника-прогера у кого права администратора, показывать ему проблему, заходить как администратор и удалять из реестра энтого подлого баннера! (а еще объяснить куды я лазил и шос смотрел! biggrin )
Возможно это опять Валекса сайт атакуют - отводят так посетителей что ли? хотя с домашнего компа у меня ни разу ничего на chakre не было плохого! ;)

Получается, если бы то сидело на сайте, то локер поймать мог бы любой без разбора. А так  постоянники на форуме чакры  НИКОГДА не поймали локера.
Косвенно тоже сказал и спец - только вывод необходимый не сделал, гонит на сканеры:

Кстати, что характерно: попробовал проверить эту сайтину на вирусы с помощью 5-6 различных онлайн-сервисов для сканирования ресурсов на наличие зловредов - итог: ни один из них ничего подозрительного так и не обнаружил... так-то..

Возможно это одна из продуманных моментов мошенников-хозяев вируса. Постоянник (зарегистрированный пользователь, по закладкам ходящий и т.п.) заинтересован в посещении сайта и может пожаловаться, а случайный пассажир просто больше заходить не будет - жаловаться не будет точно.

Так что я обращаюсь к всему Интернет-сообществу. Давайте решим это задачку вместе. Моих знаний не хватает, а я не программист. Только логические размышления могут быть ложными.
Помогите знаниями и опытом.
Кстати Онлайн-сканер лаборатории Касперского тоже не видит никаких вирусов.

Сменный аналитический модуль в целом определяет модель хроматографа. Он вмещает в себя одиночный детектор, либо мультидетектор, инжекторы и дополнительные линии. Подробнее на http://www.npc-eridan.ru/products/analit_moduli/smennye_moduli/ можно прочесть.
А алюминиевые радиаторы в Киеве можно купить без проблем. Высокого украинского качества.
Качественный Электрошокеры для самообороны в подворотнях. Не убьете, но отобьетесь от насильника. Не тыкать в область сердца.
Tags: Интернет, вКонтакте, вирус, мошенничество, форумы
Subscribe
promo senseisekai june 23, 2018 21:41 1
Buy for 20 tokens
Первая промышленная революция в XVIII—XIX веках (переход от ручного труда к машинному) привела к первому разделу мира - колониализму, охватившему практически весь мир. Вторая промышленная революция — трансформация в мировой промышленности, охватывающая вторую половину XIX и начало XX…
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 16 comments