Сначала опишу ситуацию. Несколько раз сегодня, при заходе на этот сайт, я получал от Trend Micro RUBotted (программа предотвращения заражения компьютера ботами через DNS-запросы) сообщения "Detected DNS query of malicious domain" ("Обнаружен DNS-запрос с зловредного домена"). Проверка компа (Avast, DrWeb-CureIt!, HijackThis, Spywareterminator, Malwarebytes' Anti-Malware) показала, что всё обошлось и никто ко мне не проник.

Необходимое пояснение: программа Trend Micro RUBotted ложными срабатываниями не страдает, хотя и это не исключено.

Можно ли как-то проверить кто "присосался" к этому сайту?

Открыта была одна вкладка или несколько (с другими сайтами)?

Были открыты две вкладки - Fast Dial и главная страница форума. Первая вкладка - это моя стартовая, она открыта всегда. Если думаете, что попытка запроса была сделана с другого сайта, то ошибаетесь. Предупреждение о запросе появилось ДО ввода моего логина и пароля, т.е. "притащить его с собой" я тоже не мог.

Первое, что приходит на ум: посмотреть, что скажет firewall. Например, Sygate даёт подробную информацию в отчётах. Скорее всего он сможет дать какую-то зацепку в плане "кто присосался" к сайту. Всё таки Trend Micro RUBotted не является firewall'ом в полном смысле этого слова.
Сделаем так: я сегодня поставлю Trend Micro RUBotted на свой компьютер и в течение недели буду отслеживать поведение системы в сети. Судить будем по результатам. ОК?

Алекс Тарантул
ОК, но уточняю: у меня нет внешнего фаервола - его функции выполняет системный фаервол, под управлением Vista Firewall Control, вместе с антивирусом Avast и режимом "предотвращение вторжения" в Spywareterminator.

Кое-что выяснилось уже сейчас. При каждом срабатывании ахтунга Trend Micro RUBotted (за 2,5 часа - 18 срабатываний) я проверял логи Sygate - он (Sygate) блокировал входящие запросы по протоколу UDP. Все IP принадлежат различным провайдерам, разбросанным по всему миру: Испания, Германия, Россия и т.д. Встречались ICMP-запросы от моего провайдера... Вот только что перезапустил систему и открыл во вкладках сайты Гугла и Яндекса. Выскочил ахтунг.... IMHO, DNS-серверы рассылают запросы "всем-всем-всем", а Trend Micro RUBotted срабатывает. Настораживает также отсутствие у Trend Micro RUBotted какого-либо подтверждения реальности угрозы. Моя претензия: если сработал, будь добр - поясни своё поведение! Trend Micro RUBotted этого не делает почему-то.
И ещё нашёл вот это: http://forum.avast.com/index.php?topic=40131.0
Там обсуждалась аналогичная ситуация. Суть одного из ответов: если программа не представит доказательств зловредности того, что она сочла таковым, то грош цена такой программе...

У кого какие соображения?

2George Yves
Мне продолжать наблюдение за "пациентом"?
Видимо, всё дело в критериях "зловредности". При работе с IE8 всё спокойно, при работе с Opera также спокойно. Странно это всё...

Алекс Тарантул
Поступайте по своему усмотрению. Я уже сделал выводы: TM RUBotted сейчас находится в бета-версии и пока только способен определять сам факт запроса и блокировать его; активность программы видимо зависит от какого-то вида активности посещаемого сервера. Удалять я программу не буду - дождусь основного релиза.

Кажется я что-то нашёл. Вот здесь, здесь и здесь говорится об одном и том же: по информации Websense Security Labs около 20 тыс. давно и исправно функционировавших подверглись скрытой хакерской атаке методом SQL-инъекции с домена, похожего по названию на google-analytics.com. В результате на заражённом сайте появляется джава-эксплоит (пример заражённого джава-скрипта - в первом сообщении).

ОК. Я прекращаю наблюдение. Пока  TM RUBotted не научится показывать адекватные логи с конкретным указанием угрозы и её источника, я буду относиться к работе сей программы весьма скептически. Я больше доверяю комплексу иных программ (в данном случае - Kaspersky и Sygate Personal Firewall), которые не находят ничего "зловредного". Sygate хотя бы логи показывает и даёт возможность проверки IP по whois...

Подскажите кто шарит.
Стоит Kaspersky Internet Security 2012 и раз в несколько месяцев он выдаёт красный алерт с сообщением типа такого: "Была предотвращена загрузка опасного объекта." Это происходило при открытии вкладки с поисковой выдачей, когда ищу что-нибудь через Гугл (https://www.google.com/webhp?complete=0&hl=ru). То есть я даже ещё не кликал ни на какие ссылки (вообще ни на что)!
Вот скрины с отчёта KIS:
   
Стоит Windows 7, - релиз, NoScript стоит (+ в нём даже запрещены iFrame !). И у меня даже в about:config отключена "предзагрузка ресурсов": (Если включена эта опция, ресурсы, помеченные rel="prefetch", браузер автоматически предзагружает и кэширует после окончания загрузки текущей страницы. Рекомендуется отключить для предотвращения утечки трафика, также, возможно, имеется угроза атаки)
Что-то я не врублюсь, выходит несмотря на NoScript и запрещённую предзагрузку ресурсов в мой комп пытаются загрузиться вредоносные скрипты? (я в этом особо не разбираюсь)
Сейчас я хочу сменить Каспера на бесплатный Comodo Internet Security (у него нет веб-сканера, у него эта функция возложена на свой DNS) и что теперь эта зловредная хрень в выдаче Гугла может проникнуть ко мне? Можно ли через about:config исправить эту брешь, или с помощью расширения?
Ай нид хэлп

нет, это просто spersky делает людей параноиками

тональ
Если оно есть, то оно не где-то, а уже на Вашем компьютере. Поскольку указанных объектов на странице Google быть не может.

Кстати и карантин пуст.

тональ
Я всё внимательно прочитал. Но поверьте мне, на www.google.com нет никаких опасных объектов. Либо у Вас включена предварительная проверка ссылок (то есть угроза где-то в списке найденных сайтов), либо вирус уже на компьютере и каспеский в лучшем случае пресекает его деятельность в браузере.
Вообще антивирус у Вас лицензионный?

Вот настройки проверки ссылок Каспера:

скрытый текст

 

99 % что "нет"

тональ
А можно в KIS отключить уведомления об обнаружении троянских программ веб-антивирусом?

А я давно использую Microsoft Security Essentials. Что в нём есть, а чего нет — не знаю, но работает и обычно не беспокоит уведомлениями.

Вы со своими вирусами и троянами скоро станете параноиками. Для защиты компьютера на виндоувс вполне хватает бесплатного аваста, прямых рук и хотябы чайной ложечки мозгов.

Квизац_Хадерач
Кто «вы»? Не обобщайте. MSE и CIS тоже бесплатны. Для флейма есть соответствующий раздел.

Проактивку и фаирвол поставить, смотреть что куда лезет.

поддержу - уже 4 года практики на более 10 домашних компах.

По сравнению с отключенными Флешем, Явой и правами админа любой антивирус дыра дырой, обычным пользователям именно это надо настраивать, оставить Флеш для пары сайтов только.

Нет

скрытый текст

То, что он не беспокоит - для меня это не главенствующий критерий. В вопросах безопасности у меня правило "Лучше перебдить, чем недобдить".

Тогда просто Каспер показывает, что "работает")