Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 2 из 2

Тема: был блокирован z-oleg.com

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23

    был блокирован z-oleg.com

    Как-то в асе меня спросили, почему домен z-oleg.com не отвечает, я не обратил внимания и сегодня роясь на просторах инета налетел на ссылку, с соответствующим мнением Олега Зайцева:


    Сегодня мне пришло два письма - от саппорта agava.ru (с данными о том, что мой домен заблокирован за распространение вирусов) и от Publicdomainregistry.com Abuse Desk <abuse@publicdomainregistry.com>:
    Hello,

    We have been made aware that the domain name 'z-oleg.com' registered under you is involved in spreading malware. Any domain names involved in any such activity, is strictly against Registrar PublicDomainRegistry.com's AUP.

    Malicious Url/url's :
    z-oleg.com/leaktest.exe



    We have currently Suspended this domain name due to such abuse.

    Regards,

    PDR Abuse Desk.
    Ticket ID: 22871
    Я страшно удивился, проверил - а вдруг и вправду сайт хакнули и там уже вирусяка какая лежит - оказалось, что нет - там лежит там самая древняя заглушка, которую мы применяли в тестах эмуляторов и эвристиков на АМ - http://www.anti-malware.ru/forum/ind...showtopic=3192 (там самая, которая выводит на экран сообщение о том, что это "Virus demo stub for AV test" и завершает работу. Я про него уже и думать забыл - тестирование то 4 года назад было ... Когда я проверил файл на VT - http://www.virustotal.com/file-scan/report...c985-1311523883 - то был поражен, 30 детектов из 42 возможных. Большинство правда детектят это как *AVtest*, содержимое этого EXE:
    Код:
    CODE:00407DC8                 push    ebp
    CODE:00407DC9                 mov     ebp, esp
    CODE:00407DCB                 add     esp, 0FFFFFFF0h
    CODE:00407DCE                 mov     eax, ds:off_4083A8
    CODE:00407DD3                 mov     byte ptr [eax], 1
    CODE:00407DD6                 mov     eax, offset dword_407D68
    CODE:00407DDB                 call    @Sysinit@@InitExe$qqrpv; Sysinit::__linkproc__ InitExe(void *)
    CODE:00407DE0                 push    0
    CODE:00407DE2                 push    offset aVirusDemoStubF; "Virus demo stub for AV test !"
    CODE:00407DE7                 push    offset aHelloThisIsDem; "Hello, this is demo file !!"
    CODE:00407DEC                 push    0
    CODE:00407DEE                 call    MessageBoxA_0
    CODE:00407DF3                 call    @System@@Halt0$qqrv; System::__linkproc__ Halt0(void)
    CODE:00407DF3; ---------------------------------------------------------------------------
    CODE:00407DF8 aVirusDemoStubF db 'Virus demo stub for AV test !',0
    CODE:00407DF8                                ; DATA XREF: CODE:00407DE2o
    CODE:00407E16                 align 4
    CODE:00407E18 aHelloThisIsDem db 'Hello, this is demo file !!',0; DATA XREF: CODE:00407DE7o
    CODE:00407E34                 align 200h
    CODE:00407E34 CODE            ends

    Вот так вот я пострадал за тесты был блокирован z-oleg.com Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.

  2. 2 пользователей сказали cпасибо Александр за это полезное сообщение:

    Aibolit (09.08.2011), dexter (10.08.2011)

  3. #2
    ANDYBOND вне форума

    Местный
    Регистрация
    22.03.2011
    Адрес
    Кому надо - знают, остальным - не положено.
    Сообщений
    146
    Поблагодарил(а)
    366
    Благодарностей
    66
    Считаю блокировку правильной: надоели эти игры Лаборатории Касперского и её нынешних сотрудников с вирусами и псевдовирусами! Тем более, что делается это без предупреждения. И, не вникая в подробности (а почему я должен в них вникать), детект большинством антивирусов есть повод поднять тревогу. Так что Вы не правы, господин Зайцев! За такое надо блокировать места размещения, что и было сделано.

    ---------- Сообщение добавлено в 12:21 ---------- Предыдущее сообщение размещено в 12:21 ----------

    30 антивирусов дали детект. Это показатель.

    ---------- Сообщение добавлено в 12:22 ---------- Предыдущее сообщение размещено в 12:21 ----------

    Цитата(Сергей Ильин @ 07.08.2011, 16:28)
    Кто конкретно правильного то, поясните. Правильно блокировать безобидные тестовые утилиты или может быть правильно воровать детект друг у друга? Что именно правильно из этого?
    Правильно такие сайты блокировать, правильно реагировать на жалобы на такие сайты, правильно наводить порядок в Интернете, избегая двойных стандартов, и не правильно, когда ЛК призывает к определённым действиям, а потом, и всегда якобы случайно, её отдельные представители жалуются на совершение таких действий в отношении их самих.

    Изначально меня эта тема привлекала тем, что я, наконец, увидел, что в России есть хоть один прецедент подобного рода. Наконец. И вместо того, чтобы вести речь об упорядочивании деятельности по такого рода тестированию антивирусов, где используются публичные ресурсы (к счастью, я к этой деятельности АМ никакого отношения не имею, равно как не располагаю информацией, где там что у кого, пусть и тестовое, лежит), вместо признания тем же Зайцевым своей вины в фактически недобросовестном использовании публичных ресурсов, ибо не помню, что б на его сайте было публичное и прямое указание на наличие каких-то тестовых вирусов, вместо этого всего тут звучит, какой плохой хостер, какая зараза регистратор домена, в общем, виноваты все, кроме виновного, а виновного надо пожалеть за умышленные ошибки. Не зря я EICAR упоминал: там столько всего понаписано, в том числе и об отказе от ответственности за вред, который могут принести размещённые там тестовые вирусы, что не остаётся никаких сомнений в том, что то за сайт, каково его содержание и для чего это содержание служит. Я не сказал бы ни слова против гражданина Зайцева, если б на его сайте были бы размещены аналогичные прямые и чёткие указания. Вот тогда, если б такая ситуация, как сейчас обсуждается, всё равно возникла, я бы поддержал гражданина Зайцева в плане правильности и справедливости его такой вот публичной жалобы на действия регистратора домена и не только. Но поскольку тестовые вирусы были размещены на обсуждаемом сайте скрыто, без каких-либо о том предупреждений, я не могу пожалеть виновного и назвать его невиновным, а вот регистратор домена и хостер правы: с сайтами, распространяющими вирусы, надо бороться. И совершенно не имеет значения, кто является владельцем того или иного сайта.

    ---------- Сообщение добавлено в 12:23 ---------- Предыдущее сообщение размещено в 12:22 ----------

    Цитата(Сергей Ильин @ 07.08.2011, 17:49)
    Андрей, я бы полностью согласился, если бы не одно маленькое, но существенное НО. Мы же знаем, что эта утилита неопасная в принципе. Инцидент не говорит об отсутствии двойных стандартов, он говорит о другом.
    Я понимаю, что:
    1. Утилита безвредная;
    2. Имеем коллективный сбой.

    По пунктам.

    1. Да, утилита безвредная. Но если я, простой пользователь, не знающий подробностей, вижу 30 детектов на неё, я, если считаю себя умным человеком, воздержусь от её скачивания и использования, ибо у меня есть все основания считать её вредоносной.

    2. В данном случае, да, имеем коллективное перебдение. Оставим в стороне его причины. Рассмотрим сам факт. Опять же, по моему личному мнению, в случае с вирусами, особенно, если речь об угрозах нулевого дня, лучше перебдеть, что и было сделано. В итоге, простой пользователь защищён. Иными словами, тут, как мне видится, вендоры сработали правильно. Но EICAR тоже всеми должен детектиться, и, к слову, почти всеми, а не всеми, детектится. Но сайт не отключают. А почему? А потому что как хостер, так и регистратор домена, равно как и любой желающий может прочесть о том, что на том сайте за содержание и для чего оно служит. Значит, простым и логичным решением является размещение аналогичных предупреждений о содержании сайта на сайтах, где по факту размещено что-то подобное. Тогда детекты на VT автоматически перестают иметь отношение к вопросу, а все спорные моменты можно урегулировать перепиской с инженерными кадрами хостера и регистратора домена. Собственно, тогда скорее всего и вопросов-то с их стороны не возникнет. Тут же имеем, прекрасно понимаю, просто размещение, просто тестовое использование, просто расчёт на то, что никто и никогда на это не обратит внимание. Всё просто. Но вот нашёлся один "Виталик", и из-за отсутствия таких, как на EICAR, прямых и явных предупреждений, в один миг всё стало сложно, как только информация дошла до Европы.

    Вывод: прямые и явные предупреждения, как на сайте EICAR, на сайтах аналогичного назначения быть обязаны. При этом наличие или отсутствие ссылок на размещённые тестовые образцы значения не имеет.

    ---------- Сообщение добавлено в 12:24 ---------- Предыдущее сообщение размещено в 12:23 ----------

    Цитата(Valery Ledovskoy @ 07.08.2011, 18:31)
    Обязаны - это неправильное слово по-любому.
    Да, несовершенное законодательство - это проблема. В Европе есть такие требования, не то, что тут. Что, конечно же, не значит, что тут не надо ориентировать на там. Интернет границ не имеет, что не значит, что у кого-то есть право ссылаться на несовершенное законодательство страны проживания и творить в Интернете по такому случаю беспредел. Раз на сайте EICAR есть необходимое правовое сопровождение, значит, оно, да, обязано быть и на аналогичных сайтах. При этом, к слову, никто о взломе сайта EICAR при размещении необходимых пояснений не думал. Почему? Да потому что от взлома защищаются вовсе не сокрытием содержания сайта, а совершенно иными методами. И Вы это знаете. Потому взлом тут совершенно не по теме, а вот необходимость полной декларации содержания сайта или хостинга и содержание либо форма такого рода декларации, вот это как раз то, что, считаю, обсуждения и заслуживает. При этом всем будет только лучше, ибо любой на сайт зашедший сможет чётко уяснить содержание, которое он может встретить. И сразу всё станет гораздо проще для всех.

    ---------- Сообщение добавлено в 12:24 ---------- Предыдущее сообщение размещено в 12:24 ----------

    Цитата(Kapral @ 07.08.2011, 20:22)
    Разве????
    А зачем? Жалоба плюс детект на VT: что им должно быть ещё нужно? Думаю, этого достаточно. Гражданские правоотношения исходят из презумпции виновности ответчика.

    ---------- Сообщение добавлено в 12:29 ---------- Предыдущее сообщение размещено в 12:24 ----------

    Цитата(K_Mikhail @ 07.08.2011, 21:02)
    ANDYBOND

    Не флейма ради, сугубо личный вопрос -- если бы подобная ситуация случилась с каким-то другим ресурсом, например, относящемуся к Symantec, были бы Вы столь же многоречивы в своих обвинительных интонациях или сделали бы вид, что никакой крамолы нет?
    Извините, сразу не обратил внимание на вопрос. Думаю, мои сообщения в этой теме уже весьма красноречиво показали общность моих подходов в таких случаях независимо от вендора. Я не давал кому-либо обязательств не высказывать своё мнение, подменяя его неким "правильным" мнением.

    ---------- Сообщение добавлено в 12:31 ---------- Предыдущее сообщение размещено в 12:29 ----------

    Цитата(Mr. Justice @ 08.08.2011, 15:13)
    Флейм уделен. Давайте стараться контролировать свои эмоции.

    Прошу прощения, не знал, что сайт AVZ принадлежит ЛК, точнее, наверное, забыл.
    Domain name z-oleg.com is unsuspended.

    Please note that if we encounter any such instance again then we shall
    suspend this domain permanently.

    However, we request you to take all necessary precautions to avoid any
    such inconvenience in future.You may get in touch with your hosting
    service provider for the same.

    Thank you for your co-operation.

    Regards,
    PDR Abuse Desk

    ---------- Сообщение добавлено в 12:32 ---------- Предыдущее сообщение размещено в 12:31 ----------

    Цитата(sww @ 08.08.2011, 11:26)
    Предлагаю ANDYBOND'у написать заявление в прокуратуру и ФСБ, дабы посадить Олега Зайцева за распространение вредоносных программ. Доказательства для суда готовы - это 30 гавноантивирусов на virustotal.
    Нет никакого распространения никаких вирусов, а есть добросовестное заблуждение регистратора домена и хостера на основе данных уважаемого источника в виде VirusTotal. Потому, во-первых, всё идёт в поле гражданского законодательства, во-вторых, по моему мнению, виноват тот, кто не предупредил о наличии чего-то детектящегося на своём сайте, равно как нет предупреждения об истинном содержании и целях размещения этого содержания. Потому тут как раз тот случай, когда спасибо, что разблокировали, ибо изначально имеет место неправота владельца сайта, следствием которой уже стала вся та цепочка событий, которую мы тут уже который день обсуждаем.

    Печально лишь, что ЛК и её представители вместо решения вопросов подобного рода по существу сразу считают нужным на этом пропиариться, втягивая нас, сторонних лиц, в это обсуждение. Понимаю: выходные дни, скучно, но тем не менее в переписке, представленной в начале темы, было прямо указано, что вопрос возможно решить лишь в день рабочий. Вот и надо было спокойно дождаться сегодняшнего дня, получить разблокировку домена, сделать выводы, и лишь потом, если уж так хочется, пост-фактум рассказать нам, сообществу, о том, что и когда произошло. А так пиар, пиар, и ещё раз пиар, и основание значения не имеет: лишь бы пиар.

    ---------- Сообщение добавлено в 12:35 ---------- Предыдущее сообщение размещено в 12:32 ----------

    Администратору на заметку: склейка сообщений работает весьма странно.

  4. 4 пользователей сказали cпасибо ANDYBOND за это полезное сообщение:

    Aibolit (09.08.2011), Bern (09.08.2011), dexter (10.08.2011), Александр (21.09.2011)

 

 

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •