Обращаюсь к тем, кто качает различный софт из DC++
к сожалению в сети на некоторых хабах сидят пользователи(вероятно всего это боты) и раздают вирусы в виде
exe-шников переименованные под популярные программы/кряки.
Если вы скачали подобный исполняемый файл, то перед запуском обязательно проверьте его через https://www.virustotal.com
т.к. многие антивирусы могут реагировать с задержкой.
Я нашел одного такого пользователя и провел тест на файле
MAC OS X Snow Leopard v.10.6.7 Hackintosh Atkos s3v2.exe
TTH - 22HIIKYTW3YM7IH35MZK4YIIYGAZOYHNOMACH5A
Пока скачал и отправил на virustotal юзер уже пропал (возможно он пропадает сразу после того как с него что-то скачают :)
Проверка дала вот такой результат только 8 из 47 нашли в файле заразу.
также обратите внимание что популярный халявный avast промолчал.
Следующий шаг - сделал поиск уже по имени файла т.к. мой первый TTH пропал из сети
скачал другую версию этого файла. на этот раз она оказалась более старой и
ее детектировало большее кол-во антивирусов (35 из 47)
Пока не придумал как защититься от подобного в клиенте...
при открытии файл-листов можно легко детектировать рассадник, но ведь пользователи качают подобное сразу из окна поиска
без загрузки файл-листов... в общем пока думаю.
Если у вас есть идеи как флайлинк может помочь не качать вирусы неподготовленным пользователям
можете отписать соображения в данную тему, или мне на почту. pavel.pimenov@gmail.com
Замеченные особенности подобных вирусных хранилищ
1. Если отрыть файл лист пользователя, то у него в шаре каталог и много (10-30 тыс) exe файлов
с разными именами почти одинакового размера 0.5Мб-1Мб
у некоторых файлов одинаковый TTH
2. Подобные пользователи сидят на большом кол-ве хабов и периодически меняют ники
и скорость от них очень хорошая.
3. Если поискать по имени файла, то TTH и размеры файлов у разных пользователей отличаются.
Сообщения
Комментариев нет:
Отправить комментарий