суббота, 11 января 2014 г.

Вирусные хранилища в сети DC++

Всем привет.
Обращаюсь к тем, кто качает различный софт из DC++
к сожалению в сети на некоторых хабах сидят пользователи(вероятно всего это боты) и раздают вирусы в виде
exe-шников переименованные под популярные программы/кряки.
Если вы скачали подобный исполняемый файл, то перед запуском обязательно проверьте его через https://www.virustotal.com
т.к. многие антивирусы могут реагировать с задержкой.

Я нашел одного такого пользователя и провел тест на файле
MAC OS X Snow Leopard v.10.6.7 Hackintosh Atkos s3v2.exe
TTH - 22HIIKYTW3YM7IH35MZK4YIIYGAZOYHNOMACH5A

Пока скачал и отправил на virustotal юзер уже пропал (возможно он пропадает сразу после того как с него что-то скачают :)
Проверка дала вот такой результат только 8 из 47 нашли в файле заразу. 
также обратите внимание что популярный халявный avast промолчал.
Следующий шаг - сделал поиск уже по имени файла т.к. мой первый TTH пропал из сети
скачал другую версию этого файла. на этот раз она оказалась более старой и 
ее детектировало большее кол-во антивирусов (35 из 47)


Пока не придумал как защититься от подобного в клиенте...
при открытии файл-листов можно легко детектировать рассадник, но ведь пользователи качают подобное сразу из окна поиска
без загрузки файл-листов... в общем пока думаю.
Если у вас есть идеи как флайлинк может помочь не качать вирусы неподготовленным пользователям
можете отписать соображения в данную тему, или мне на почту. pavel.pimenov@gmail.com

Замеченные особенности подобных вирусных хранилищ
 1. Если отрыть файл лист пользователя, то у него в шаре каталог и много (10-30 тыс)  exe файлов 
     с разными именами почти одинакового размера 0.5Мб-1Мб
     у некоторых файлов одинаковый TTH









 2. Подобные пользователи сидят на большом кол-ве хабов и периодически меняют ники
и скорость от них очень хорошая.
















3. Если поискать по имени файла, то TTH и размеры файлов у разных пользователей отличаются.





Отправить комментарий