LINUX.ORG.RU

Шпионство в инете: «ClamAV: SecuriteInfo.com.JS.Privatelife-1»

 , , ,


1

2

http://rutor.info и прочие....

HAVP - Access Denied
  	
Access to the page has been denied

because the following virus was detected

ClamAV: SecuriteInfo.com.JS.Privatelife-1.UNOFFICIAL	

Почти все российские сайты с фильмами хотят что то узнать о своих посетителях...

В дополнение к официальным базам clamav использую:

https://github.com/extremeshok/clamav-unofficial-sigs

и костыль:

#!/bin/bash
# 20160309 yara-rules_update.sh
# GPL-3

workdir="/tmp/yara"
clamav_db=/var/lib/clamav

mkdir -p $workdir
cd $workdir
wget -qc https://github.com/Yara-Rules/rules/archive/master.zip
unzip -oqq master.zip

rm -f $clamav_db/yara-rules.yar master.zip
for f in `find rules-master -name *.yar`
    do
        if [[ "`grep -E '^import \"' $f`" == '' \
            && "`grep 'uint32be' $f`" == '' \
            && "`grep 'CorkowDLL' $f`" == '' \
            && "`grep 'ThreatGroup3390_C2' $f`" == '' \
            && "`grep 'possible_exploit' $f`" == '' \
            && "`grep 'rule android_meterpreter' $f`" == '' \
            && "`grep 'rule Potao' $f`" == '' \
            && "`grep 'rule with_sqlite' $f`" == '' \
            && "`grep 'rule without_' $f`" == '' \
            ]]
            then
                cat $f >> $clamav_db/yara-rules.yar
                echo '' >> $clamav_db/yara-rules.yar
        fi
    done

exit 0

multihead
() автор топика
Ответ на: комментарий от Esteban_Garcia

утебя просто этого виря в базе нет..

$ grep SecuriteInfo.com.JS.Privatelife-1 /var/lib/clamav/javascript.ndb 
SecuriteInfo.com.JS.Privatelife-1:3:*:2b65736361706528646f63756d656e742e7265666572726572292b2828747970656f662873637265656e293d3d22756e646566696e656422293f22223a223b73222b73637265656e2e77696474682b222a222b73637265656e2e6865696768742b222a222b2873637265656e2e636f6c6f7264657074683f73637265656e2e636f6c6f7264657074683a73637265656e2e706978656c646570746829292b223b75222b65736361706528646f63756d656e742e75726c29
Создай текстовый файл /var/lib/clamav/javascript.ndb и скопипасть туда инфу об этом вирусе.

multihead
() автор топика
Ответ на: комментарий от multihead

Я не много про другое, у меня другой костыль.

Создай текстовый файл /var/lib/clamav/javascript.ndb и скопипасть туда инфу об этом вирусе.

Так модно что-угодно вирусом назвать. Кстати, а зачем такие длинные хеши?

Esteban_Garcia
()
Ответ на: комментарий от Esteban_Garcia

Пол российского инета, лог длинный.

# grep SecuriteInfo.com.JS.Privatelife-1 /var/log/havp/access.log

multihead
() автор топика
Ответ на: комментарий от Esteban_Garcia

Не я его нашёл и вирём назвал :) Перед добавлением в базу виря его проверяют...

Это не совсем хеш, а сигнатура вируса, нужна для его точного определения и исключения ложных сработок.

multihead
() автор топика
Ответ на: комментарий от Esteban_Garcia

Ну ещё пару примеров?

http://torrentom.com/
http://vtorrents.net/
http://www.tvlend.net/
http://www.walkingdeadru.com/
http://online-freebee.ru/
http://onlainfilm.ucoz.ua/
http://bigcinema.tv/
http://zserials.tv/
http://ymka.tv/
http://oneline.tv/

Это уже форма монетизации

Поверь на слово я равноудалён от всех этих сайтов и людей стоящих за этим вирём.

Меня очень сильно бьют за то что не могут скачать кино... Вот потому и кричу здесь ;)

multihead
() автор топика

Я ничего не понял. Почему какой-то js-скриптик назван вирем? И что он хоть делает-то?

vazgen05 ★★★
()
Ответ на: комментарий от vazgen05

У меня для всех этих сайтов JS отключён noscript. То есть он вообще загружаться и проверятся антивирусником не должен... Но *ука как то лезет в окно что антивирусник его ловит.

Шпионит за посетителями этих, и многих других сайтов.

multihead
() автор топика
Ответ на: комментарий от Esteban_Garcia

yadro.ru и прочие шпионы у меня блокируется RequestPolicy так что исключено.

Вирь даёт именно сам сайт, причём сразу моментально при обращении.

multihead
() автор топика
Ответ на: комментарий от multihead

Вообще, это даже не JS потому-что. Ссылка формата домен/cайт/идентификатор_пользователя.

Я рекомендую пользоваться Request Policy Continued, uMatrix или подобным.

Esteban_Garcia
()
Ответ на: комментарий от multihead

А, не прочитал. Но дело в том что запрос формируется с сайта. Глянь на cсылки, какие запрашиваются с yadro.ru. Вот почему оно работает без JS.

Esteban_Garcia
()
Ответ на: комментарий от Esteban_Garcia

Пользуюсь этим списком: https://prism-break.org/en/categories/gnu-linux/#web-browser-addons

decentraleyes.png
Decentraleyes
Protects you against tracking through «free», centralized, content delivery. It prevents a lot of requests from reaching networks like Googl…

disconnect.png
Disconnect
Visualize and block invisible tracking of your search and browsing history.

https-everywhere.png
HTTPS Everywhere
Encrypts your communications from thousands of websites by enforcing HTTPS everywhere.

noscript.png
NoScript
Only enable JavaScript, Java, and Flash for sites you trust.

privacy-badger.png
Privacy Badger
Tracking blocker that tries to learn who is spying on you and then blocks these ads and invisible trackers.

ras.png
Random Agent Spoofer
A privacy enhancing firefox add-on which aims to hinder browser fingerprinting.

request-policy.png
Request Policy
Control which cross-site requests are allowed by sites you visit.
Experimental

self-destructing-cookies.png
Self-Destructing Cookies
Automatically delete cookies and local storage when they are no longer used by open browser tabs.

ublock-origin.png
uBlock Origin
An efficient blocker for Firefox and Chromium. Fast and lean.
multihead
() автор топика
Ответ на: комментарий от Esteban_Garcia

Глянь на cсылки, какие запрашиваются с yadro.ru.

yadro.ru. здесь ни причём! Все запросы к нему блокированы!!!

Вирь даёт именно сам сайт! Без перенаправлений, редиректов и прочего!

multihead
() автор топика
Ответ на: комментарий от multihead

yadro.ru. здесь ни причём! Все запросы к нему блокированы!!!

Они то блокированы, но ты думаешь, что тот кто добавлял это в базу ClamAV думал об этом? Надеюсь ты понял о чем я.

Вообще это очень плохо, что clamav не предоставляет информации о том, что он называет вредоносным ПО и держит пользователей за идиотов.

Esteban_Garcia
()
Ответ на: комментарий от Esteban_Garcia

Они то блокированы, но ты думаешь, что тот кто добавлял это в базу ClamAV думал об этом? Надеюсь ты понял о чем я.

Они то блокированы, но ты думаешь, что тот кто добавлял это в базу ClamAV думал об этом? Надеюсь ты понял о чем я.

Я чувствую только то что получаю люлей ибо народ не может скачать фильмы. Кто и по чьему приказу на сайты установил шпионского вируса не знаю. Может СРУ, а может и с другой стороны, а может сайты взломали... Доложить мне, забыли..

Их предназначение добавлать в базу вирей в независемости от источников их происхождения..

Вообще это очень плохо, что clamav не предоставляет информации о том, что он называет вредоносным ПО и держит пользователей за идиотов.

Конкретно этот вирь к организации clamav ничего общего не имеет!!! Он находится в базе javascript.ndb которую распространяет совершенно другая частная организация!!!

multihead
() автор топика
Ответ на: комментарий от multihead

По чьему нафиг приказу? Админы дураки и используют yadro.ru

Он находится в базе javascript.ndb которую распространяет совершенно другая частная организация!!!

И ты им доверяешь?

Esteban_Garcia
()
Ответ на: комментарий от Esteban_Garcia

Некоторые аддоны дублирующие скорее.

Это на первый взгляд, они покрываю разные аспекты, по разному работают и друг другу не мешают, а дополняют.

multihead
() автор топика
Ответ на: комментарий от Esteban_Garcia

По чьему нафиг приказу? Админы дураки и используют yadro.ru

yadro.ru здесь не причём! Вирь идёт напрямую с сайта!!! Запросы к yadro.ru у меня блокированы.

multihead
() автор топика
Ответ на: комментарий от multihead

Ну и скажи, зачем мне например нужен Privacy Badger, когда есть Request Policy. NoScript или Self-Destruction Cookies, если это настройками браузера сделано. Disconnect — вообще ненужно.

// за сайт спасибо, есть полезная инфа.

Esteban_Garcia
()

Ну, если бы ты немного подумал, то понял бы, что какой-то скрипт для сбора статистики нельзя назвать вирусом. JS способен снять с тебя отпечаток, но его возможности все равно ограничены пределами песочницы.

То, что подобные икнлюды от гугла\контакта\фейсбука и яндекса не занесены в твои базы, хотя при этом внедрены куда на больших сайтах (считай везде, даже на ЛОРе), тебя почему-то не пугает.

Просыпайся.

anonymous
()
Ответ на: комментарий от jori

Это даже не антивирус

Так и то, что он тут принес не вирус. Обыкновенный счетчик\скрипт аналитики

anonymous
()
Ответ на: комментарий от anonymous

У меня JS блокированы NoScript! JS код вообще не должен загружатся!!!

Когда люди немогут скачать фильм ибо:

Access to the page has been denied

because the following virus was detected

...................
Спать не дадут.

То, что подобные икнлюды

Я создам сертификат, добавлю его во все бровзеры и перед HAVP буду расшифровывать весь https трафик! Наверно количество вирей значительно возрастёт.

multihead
() автор топика
Ответ на: комментарий от multihead

У меня JS блокированы NoScript! JS код вообще не должен загружатся!!!

Он не должен выполняться а загружаться ему ничто не мешает.

Спать не дадут.

я не понял, так это на твоем сайте?

Esteban_Garcia
()
Ответ на: комментарий от Esteban_Garcia

privacybadger необходимо использовать по мимо других!

https://www.eff.org/privacybadger#faq-Does-Privacy-Badger-contain-a-"black-li...

zero-day - другие основаны на списках, кто то должен их создать, а privacybadger типа эвристики, способен самообучаться и обнаруживать то что ещё не известно другим!

multihead
() автор топика
Ответ на: комментарий от multihead

У меня JS блокированы NoScript! JS код вообще не должен загружатся!!!

Ну иди посмотри список доверенных серверов NoScript и обраддуйся, что раз скрипт загрузился, то сервер находится в доверенных у носкрипта.

Алсо, то что ты отключаешь JS не мешает отслеживать перемещения твоего ip по сайтам, и логгировать все запросы с него. А уж аналитически разделить эти запросы по отдельным персонажам (особенно если у тебя есть аккаунты все в тех же гуглах\яндексах и прочих корпорациях) совсем не сложно.

Так что не переживай, все большие компании прекрасно знают где ты был и что делал.

anonymous
()
Ответ на: комментарий от Esteban_Garcia

я не понял, так это на твоем сайте?

HAVP я со стороны юзера

multihead
() автор топика
Ответ на: комментарий от multihead

а privacybadger типа эвристики, способен самообучаться и обнаруживать то что ещё не известно другим!

PrivacyBadger отслеживает внешние трекеры, что игнорируют Do Not Track. Работает крайне упорото. А Request Policy их просто режет. И зачем мне первый?

Esteban_Garcia
()
Ответ на: комментарий от Esteban_Garcia

Аргументировать сможешь?

По моему предельно понятно: Шпионство в инете: «ClamAV: SecuriteInfo.com.JS.Privatelife-1» (комментарий)

random-agent-spoofer - этот очень хорошо защищает TOR пользователей от утечек.

multihead
() автор топика
Ответ на: комментарий от multihead

защищает TOR пользователей

Ну, тебе, в таком случае, нечего бояться. Ты же все ноды, через которые проходят твои запросы, лично проверял.

anonymous
()
Ответ на: комментарий от Esteban_Garcia

Request Policy тоже по разному можно настроить, вот и PrivacyBadger сможет подчищать дыры в настройках.

Но даже при идиальных настройках нет гарантий что сайт не **учится и ранее добавленный в белый список вдруг начнёт шпионить...

multihead
() автор топика
Ответ на: комментарий от multihead

Но даже при идиальных настройках нет гарантий что сайт не **учится и ранее добавленный в белый список вдруг начнёт шпионить...

И PB тогда не спасет.

Esteban_Garcia
()

Вот он твой ужасный вирус.

<script type="text/javascript">document.write("<img src='//counter.yadro.ru/hit?t11.6;r" + escape(document.referrer) + ((typeof(screen)=="undefined")?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth)) + ";u" + escape(document.URL) + ";" + Math.random() + "' border=0 width=1 height=1 style='visibility:hidden;position:absolute;top:0;left:0;' alt='' title=''>")</script>
Esteban_Garcia
()
Ответ на: комментарий от Esteban_Garcia

твой ужасный вирус.

Вся суть носителей шапочек из фольги. Вместо изучения устройства того, от чего они хотят защититься, они просто обвешивают себя всяким дерьмом.

anonymous
()
Ответ на: комментарий от Esteban_Garcia

Почему не спасёт? Privacy Badger не статический, у ниго нет черных/белых списков, он способен обнаруживать слежку в случае её возникновения.

Да его стоит использовать совместно с другим,он довольно лёгкий.

multihead
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.