Сообщений в теме: 93

[serge_linkov]

А это нормальная ситуация, что файл-бэкап с плагинами не проходит 100% проверку на вирустотале, переживать не стоит?

 

https://www.virustot...ff15b/detection

Очень интересное наблюдение. Предлагаю найти "вредителя". Восстановите этот Бэкап, а потом создайте множество одиночных Бэкапов (через Подраздел "Одиночные плагины"). Затем прогоните каждый из этих Бэкапов через Антивир, надеюсь так мы найдем супостата.

Да и от Дюны наверняка будет вам приз, наконец то будет найдена уязвимость именитого Шелла.

[Cryptor]

Очень интересное наблюдение. Предлагаю найти "вредителя". Восстановите этот Бэкап, а потом создайте множество одиночных Бэкапов (через Подраздел "Одиночные плагины"). Затем прогоните каждый из этих Бэкапов через Антивир, надеюсь так мы найдем супостата.

Да и от Дюны наверняка будет вам приз, наконец то будет найдена уязвимость именитого Шелла.

Воспользовался советом и супостат был найден! А точней их найдено два с идентичными детектами. Не прошли проверку плагины FreeTV v1.1.3 и Widget Ext v1.5.7.

FreeTV - https://www.virustot...f7175/detection

Widget Ext - https://www.virustot...10f4f/detection

Как на это реагировать теперь? Кто-нибудь ещё проверит свои копии бэкапов?

[Старый]

Да и от Дюны наверняка будет вам приз, наконец то будет найдена уязвимость именитого Шелла.

Вот, непонятка, вас именитость напрягает, либо косяки Фри и  Виджета.

Зы Эт я  со своей колокольни.

[serge_linkov]

Воспользовался советом и супостат был найден! А точней их найдено два с идентичными детектами. Не прошли проверку плагины FreeTV v1.1.3 и Widget Ext v1.5.7.

FreeTV - https://www.virustot...f7175/detection
Widget Ext - https://www.virustot...10f4f/detection

Как на это реагировать теперь? Кто-нибудь ещё проверит свои копии бэкапов?

Ну автор одного жив и здравствует, передайте ему на исследование и анализы. Со вторым сложнее, авторство потеряно в годах.

[Cryptor]

Ну автор одного жив и здравствует, передайте ему на исследование и анализы. Со вторым сложнее, авторство потеряно в годах.

Пока ещё никто не повторил это тест и не поделился результатом. Мне нужно понимание, так у всех или я один "везучий"...

[DmNat]

Пока ещё никто не повторил это тест и не поделился результатом. Мне нужно понимание, так у всех или я один "везучий"...

 

Если на Вирустотале проверить сам плагин в зипе, а не с бэкапа, реакция неизвестных мне антивирусов такая же.

[Cryptor]

Если на Вирустотале проверить сам плагин в зипе, а не с бэкапа, реакция неизвестных мне антивирусов такая же.

Да, действительно, также 6 детектов от "ноунейм" антивирусов. Думаю обсуждение здесь этого более не нужно.   Конкретно к самому бэкаперу вопросов у меня нет.

[serge_linkov]

Да, действительно, также 6 детектов от "ноунейм" антивирусов. Думаю обсуждение здесь этого более не нужно. Конкретно к самому бэкаперу вопросов у меня нет.

Дык, это и понятно, какие претензии могут быть к архиватору, коим по сути Бэкапер и является. А уж если серьезно, то все Дюновские плагины это по факту открытый текстовый код на языке php. Там надо очень сильно измудриться что бы написать нечто вирусное, и что бы другие это не увидели даже вооружённым взглядом. Плагины не компилируются в "exe" файлы, в коих реально можно нафулюганить ))

[DmNat]

Дык, это и понятно, какие претензии могут быть к архиватору, коим по сути Бэкапер и является. А уж если серьезно, то все Дюновские плагины это по факту открытый текстовый код на языке php. Там надо очень сильно измудриться что бы написать нечто вирусное, и что бы другие это не увидели даже вооружённым взглядом. Плагины не компилируются в "exe" файлы, в коих реально можно нафулюганить ))

 

Вот на этот файл антивирусы ругаются - https://www.virustot...0b220469abe26b1

 

В папке - bin эти файлы лежат.

[serge_linkov]

Вот на этот файл антивирусы ругаются - https://www.virustot...0b220469abe26b1

 

В папке - bin эти файлы лежат.

Это так называемый "бинарник" curl (почти "exe" файл  ) для одной из архитектур старых Сигм, который отсутствует в штатной прошивке. Мне неизвестна история его изготовления, так что все возможно. За разъяснениями надо обращаться к первоисточникам, к тем кто его изготовил.

 

Вообще то ситуация не шуточная, если реально файл инфицирован, да еще и в одном из самых распространенных плагинов.  Радует только то, что это актуально для ограниченного круга древних Сигм на процессорах линейки 865x (Dune HD Max, Dune HD Base 3D)

 

Trojan[Backdoor]/Linux.Mirai.b — это вредоносная программа из семейства Mirai, предназначенная для заражения устройств на базе Linux, особенно IoT-устройств (маршрутизаторы, камеры, Смарт-ТВ и т.п.).

Кратко о угрозе:

• Тип: Бэкдор / троян / бот

• Цель: Включение устройства в ботнет для DDoS-атак

• Платформа: Linux (в основном ARM, MIPS, x86)

• Распространение: Через слабые пароли (telnet/ssh), уязвимости в веб-интерфейсах

• Поведение:

  • Сканирует сеть в поиске уязвимых устройств

  • Подключается по telnet/ssh с использованием списка паролей по умолчанию

  • Инфицирует систему и скрывает своё присутствие

  • Ждёт команд от C&C-сервера (управления)

⚠ Основные признаки заражения:

• Устройство участвует в DDoS-атаках

• Высокий сетевой трафик без видимых причин

• Медленная работа сети

• Подозрительные процессы в системе

• Открытые порты, не относящиеся к функционалу устройства

 

Linux/Tsunami.Btr — это бэкдор из семейства Tsunami, предназначенный для заражения Linux-устройств, особенно серверов и IoT-устройств (маршрутизаторы, камеры, приставки).

Кратко:

• Тип: Бэкдор (Backdoor)

• Платформа: Linux (в основном архитектуры ARM, x86, MIPS)

• Цель: Удалённое управление устройством, участие в DDoS-атаках

• Метод заражения: Через уязвимости или слабые пароли (SSH, Telnet)

⚠ Что делает:

• Подключается к IRC-серверу (или C&C) и ожидает команд

• Может:

  • Запускать DDoS-атаки (UDP flood, SYN flood, HTTP flood)

  • Скачивать и запускать дополнительные вредоносные модули

  • Обновлять себя

  • Сканировать сеть в поиске новых жертв

  • Выполнять произвольные команды от злоумышленника

[sharky72]

Расслабьтесь. этот бинарник curl не менялся с незапамятных времен

То что на вирустотале периодически вылазят неизвестные антивири с криво прописанными сигнатурами поиска - ни для кого не секрет. Ориентироваться надо в первую очередь на 10 самых известных. 3-4 false-positive срабатывания среди 2 десятков других это не более чем информационный шум. Учитывая что один из антивирей детектирует как Trojan.Win32.Agent.V89l - т.е. виндовый (сразу можно игнорировать. Там у файла сигнатура ELF - исполняемый файл Linux, а не MZ - exe файл Windows, так что доверия к этому "антивирю" вообще ноль, если он даже не разобрался для чего бинарник). Скорее всего ему не нравится что файл упакован UPX. На него часто ругаются антивири.

[serge_linkov]

Ну и отлично, пришел дядька с бородой и дубиной, и все разрулил и всех успокоил ))

[sharky72]

У меня в редакторе лежат те же самые файлы curl для разных старых платформ. С теми же хэшами SHA-256. Они же во всех старых плагинах FreeTV, Kino-pub, Widget_ext. Мало того curl для платформы .864x вообще лежит внутри прошивки для shell_ext.

Так что нет там вируса, не разгоняйте панику.

[serge_linkov]

У меня в редакторе лежат те же самые файлы curl для разных старых платформ. С теми же хэшами SHA-256. Они же во всех старых плагинах FreeTV, Kino-pub, Widget_ext. Мало того curl для платформы .864x вообще лежит внутри прошивки для shell_ext.
Так что нет там вируса, не разгоняйте панику.

Дохтур, ну что вы так серьезно о смешном, ну постебался народ немного, расслабился, настроение улучшил, скоро ПраздникЪ ))