Что за вирус обнаружил Яндекс?

Любые разговоры которые хоть как-то связаны с тематикой форума

Модератор: Модераторы разделов

MiK13
Сообщения: 750
ОС: Linux Debian

Что за вирус обнаружил Яндекс?

Сообщение MiK13 » 03.06.2019 00:33

Решил разобраться с программой вёрстки Scribus.
На сайте "Linux по русски" нашёл набор статей из 9 частей Изучаем Scribus. Сохранил все страницы, чтобы потом в автономе их поизучать (9 файлов и 9 каталогов)
Сохранил всё в отдельном каталоге и запаковал командой tar cf Scribus.tar.gz Scribus. (точнее, через меню в mc)
И залил на Яндекс диск. Чтобы будучи в другом месте изучать.
Потом решил проверить. Пытаюсь скачать -- этот файл помечен красным, И при попытке скачать выдаёт "Файл заражён вирусом и может нанести вред вашему компьютеру. Всё равно скачать?"
Скачиваю. Распаковывыаю -- всё совпадает с тем, что сохранял.
В чём может быть причина?
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2516
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: Что за вирус обнаружил Яндекс?

Сообщение Hephaestus » 03.06.2019 06:45

MiK13 писал:
03.06.2019 00:33
Скачиваю. Распаковывыаю -- всё совпадает с тем, что сохранял.
Контрольные суммы не создавали?
MiK13 писал:
03.06.2019 00:33
В чём может быть причина?
В скриптах, например.
У разного рода антивирусов бывают ложные срабатывания на самые разные файлы.
Когда я только перешёл на линукс, я гонял антивирус Dr.Web (виндовая привычка),
так он мне нашёл вирусы в установочных образах Мандривы.
Проверив, что это за файлы, я обнаружил, что это метрики шрифтов.
После этого я в линуксах антивирусами больше не пользовался. Ибо без толку.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15522
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Что за вирус обнаружил Яндекс?

Сообщение Bizdelnick » 03.06.2019 07:52

Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

MiK13
Сообщения: 750
ОС: Linux Debian

Re: Что за вирус обнаружил Яндекс?

Сообщение MiK13 » 03.06.2019 12:42

Bizdelnick писал:
03.06.2019 07:52
https://www.virustotal.com/
Проверил. Из 72 антивирусов 8 выдали наличие вируса:

Код: Выделить всё

AegisLab                 Trojan.Script.Agent.4!c
Baidu                    Multi.Threats.InArchive
Comodo                   TrojWare.JS.Agent.OAZ@83c1qu
ESET-NOD32               JS/Agent.OAY
Fortinet                 JS/Agent.OAY!tr
Kaspersky                Trojan.Script.Agent.an
Microsoft                TrojanDownloader:JS/Nemucod
ZoneAlarm by Check Point Trojan.Script.Agent.an
44 не обнаружили ничего (Undetected), 5 сообщили о тайм-ауте, и 14 не смогли обработать файл этого типа.
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2516
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: Что за вирус обнаружил Яндекс?

Сообщение Hephaestus » 03.06.2019 12:48

MiK13 писал:
03.06.2019 12:42
Проверил. Из 72 антивирусов 8 выдали наличие вируса
Можете ссылку дать на свой тарбол?
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

Аватара пользователя
algri14
Сообщения: 369
ОС: Mageia 5.1 & 6 x86_64, KDE

Re: Что за вирус обнаружил Яндекс?

Сообщение algri14 » 03.06.2019 15:34

MiK13 писал:
03.06.2019 12:42
Проверил. Из 72 антивирусов 8 выдали наличие вируса:
Лишний раз показывает что из себя представляет большинство антивирусов, а виндовые хомячки думают что антивирус панацея. Но оказывается, что не "все йогурты одинаково полезны" :D
Спасибо сказали:

MiK13
Сообщения: 750
ОС: Linux Debian

Re: Что за вирус обнаружил Яндекс?

Сообщение MiK13 » 03.06.2019 15:53

Hephaestus писал:
03.06.2019 12:48
MiK13 писал:
03.06.2019 12:42
Проверил. Из 72 антивирусов 8 выдали наличие вируса
Можете ссылку дать на свой тарбол?
Ссылку на именно этот файл дать не могу. Так как Яндекс из-за наличия вируса её не даёт.
Вот ссылка на RARовский архив этого файла: https://yadi.sk/d/pnaAvpnrsYQsjA
Пароль -- Dbhec?
Сжат RARом 5.40
(пока ещё не научился шифровать файлы в линуксе)
Для проверки:

Shell

$ md5sum *
c976733928be292d7c87d89ca863f1fd Scribus.tar.gz
3aea9a1151f72ddafb04b78eb807b8ae STG.rar
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15522
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Что за вирус обнаружил Яндекс?

Сообщение Bizdelnick » 03.06.2019 16:05

MiK13 писал:
03.06.2019 15:53
(пока ещё не научился шифровать файлы в линуксе)
Хоть 7-zip'ом запакуйте, что ли. Чем прикажете это открывать?
Upd. Отчёт нашёл: https://www.virustotal.com/gui/file/f0ac22b86414db6888bb5cae18bbcda2bf2084b0b4d8f8463ce0899f34545523/detection
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

MiK13
Сообщения: 750
ОС: Linux Debian

Re: Что за вирус обнаружил Яндекс?

Сообщение MiK13 » 03.06.2019 16:33

Bizdelnick писал:
03.06.2019 16:05
MiK13 писал:
03.06.2019 15:53
(пока ещё не научился шифровать файлы в линуксе)
Хоть 7-zip'ом запакуйте, что ли. Чем прикажете это открывать?
Вот ссылка на архив Sc.7z. Пароль тот же.
Да, это именно тот отчёт, который мне выдал этот сайт.

P.S. Я довольно много лет работал с виндой (начиная ещё с 3.1) и мне очень нравились две программы Рошала: FAR и RAR. Поэтому я и привык все архивы делать RARом. И когда перешёл на Linux для передачи файлов виндовым пользователям стал использовать RAR.
Один раз столкнулся с проблемой, когда у меня стоял ещё 4-й rar, а попался архив сделанный 5-м. Не мог понять почему не могу распаковать.
Но оказалось, что в линуксе уже есть и 5-й rar.
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2516
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: Что за вирус обнаружил Яндекс?

Сообщение Hephaestus » 03.06.2019 18:25

Bizdelnick писал:
03.06.2019 16:05
Чем прикажете это открывать?
Да будет Вам. Линуксовый unrar вполне нормально это распаковал.
Я ни в коем случае не агитирую за rar. Но уж один файлик при случае распаковать можно.
MiK13 писал:
03.06.2019 16:33
Один раз столкнулся с проблемой, когда у меня стоял ещё 4-й rar, а попался архив сделанный 5-м. Не мог понять почему не могу распаковать.
Это не только между 4 и 5 и не только на линуксах. Совместимость там ломали не единожды.

По теме:
На рабочей машине есть лицензионный касперский.
Скормил ему Ваш архив. Он нашёл и удалил (вылечить не смог) 9 объектов (9 файлов).
Обнаружен Trojan.Script.Agent.an - этот же результат за касперским числится в отчёте, упомянутом Вами.

Все 9 файлов - это один и тот же скрипт - src.js, расположенный в разных каталогах.
Я в JS не силён, но насколько я понял, это относится к рекламным блокам на страницах.

На мой непросвещённый в JS взгляд, я не увидел в этом модуле ничего подозрительного,
за исключением обращения по адресу:
_http://press.connectioncdn.com
в первом каталоге и
_http://king.connectioncdn.com
в остальных каталогах.

Кроме различия в этих адресах все копии скрипта src.js идентичны.

Не исключено, что действительно в скриптах может вызываться какая-нибудь зловредная хрень со сторонних ресурсов.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15522
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Что за вирус обнаружил Яндекс?

Сообщение Bizdelnick » 03.06.2019 18:39

Hephaestus писал:
03.06.2019 18:25
Линуксовый unrar вполне нормально это распаковал.
Тот, который проприетарный? Свободный отродясь не понимал шифрованые архивы.
Hephaestus писал:
03.06.2019 18:25
это один и тот же скрипт - src.js, расположенный в разных каталогах
Похоже, там ещё что-то есть. На src.js ругаются 6 антивирусов: https://www.virustotal.com/gui/file/3beaa73465b47903d99403afce4cbe79c7b33575ceaa9889250e80304f8f3221/detection
Двух не хватает. Но вряд ли там что-то серьёзное.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2516
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: Что за вирус обнаружил Яндекс?

Сообщение Hephaestus » 03.06.2019 19:35

Bizdelnick писал:
03.06.2019 18:39
Тот, который проприетарный?
А чёрт его знает...
Вот этот:
https://slackbuilds.org/repository/14.2/system/unrar/
Вроде нормальные исходники. Блобов не замечено.
Bizdelnick писал:
03.06.2019 18:39
Свободный отродясь не понимал шифрованые архивы.
Ну вот в данном случае он нормально распаковал архив с паролем.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15522
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Что за вирус обнаружил Яндекс?

Сообщение Bizdelnick » 03.06.2019 19:45

Hephaestus писал:
03.06.2019 19:35
Вот этот
The source code of UnRAR utility is freeware.
UnRAR source code may be used in any software to handle RAR archives without limitations free of charge, but cannot be used to develop RAR (WinRAR) compatible archiver and to re-create RAR compression algorithm, which is proprietary.
Недоложили 2 из 4 свобод.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2516
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: Что за вирус обнаружил Яндекс?

Сообщение Hephaestus » 03.06.2019 19:46

Bizdelnick писал:
03.06.2019 18:39
Но вряд ли там что-то серьёзное.
Меня гораздо больше насторожил src_.js, потому что он...
бинарный, скажем так. Там шестнадцатеричные значения - на адреса похоже.

Вызов нормальных модулей в коде страницы имеет комментарии - упоминается автор скрипта или Гугель.
А вот эти два src.js и src_.js какие-то бесхозные - не пойми, откуда.
Добавлено (19:53):
Ну, насчет этого
Bizdelnick писал:
03.06.2019 19:45
to re-create RAR compression algorithm, which is proprietary
как бы всё правильно. Это же Unrar, а не просто rar.
А unrar'ит он вполне нормально.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15522
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Что за вирус обнаружил Яндекс?

Сообщение Bizdelnick » 03.06.2019 20:44

Hephaestus писал:
03.06.2019 19:46
как бы всё правильно. Это же Unrar, а не просто rar.
А unrar'ит он вполне нормально.
Я и не спорю, что unrar'ит он нормально. Я к тому, что он проприетарный. А свободный тут: https://web.archive.org/web/20170318011939/https://gna.org/projects/unrar/ (сайт что-то лежит). 15 лет как заброшен.
Добавлено (20:53):
Hephaestus писал:
03.06.2019 19:46
А вот эти два src.js и src_.js какие-то бесхозные - не пойми, откуда.
Ну никто же не мешает пойти на rus-linux.net и посмотреть на оригинальные страницы. src.js — счётчик с какого-то flipdigital.ru, а src_.js — скрипт от некого Андрея Андреева, загружается с u2tshop.ru и, насколько я понимаю, должен показывать какой-то баннер.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2516
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: Что за вирус обнаружил Яндекс?

Сообщение Hephaestus » 03.06.2019 22:06

Bizdelnick писал:
03.06.2019 20:44
Я к тому, что он проприетарный.
С точки зрения лицензии - пожалуй, да. Лицензия несвободная.
С точки зрения доступности исходников - вот они, доступны.
Непонятно как-то. Проприетарное ПО обычно исходниками не разбрасывается.
Bizdelnick писал:
03.06.2019 20:44
src_.js — скрипт от некого Андрея Андреева, загружается с u2tshop.ru
По-моему, это не он. Там вроде есть ещё один. Вызывается отдельно. Или это один и тот же?
А, да. Это один и тот же. Ну, тогда, значит, ничего интересного.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

MiK13
Сообщения: 750
ОС: Linux Debian

Re: Что за вирус обнаружил Яндекс?

Сообщение MiK13 » 04.06.2019 02:17

Hephaestus писал:
03.06.2019 22:06
С точки зрения лицензии - пожалуй, да. Лицензия несвободная.
С точки зрения доступности исходников - вот они, доступны.
Непонятно как-то. Проприетарное ПО обычно исходниками не разбрасывается.
А где они доступны?
В каталоге pool/non-free/r/rar/ на сайте с пакетами Debian я исходников не увидел. Только готовые программы.
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2516
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: Что за вирус обнаружил Яндекс?

Сообщение Hephaestus » 04.06.2019 06:46

MiK13 писал:
04.06.2019 02:17
А где они доступны?
Я выше давал ссылку на slackbuild.
Вот ссылка на исходники
https://www.rarlab.com/rar/unrarsrc-5.6.1.tar.gz
но это именно unrar, а не rar, если что.
Под собственной лицензией, не под свободной.
MiK13 писал:
04.06.2019 02:17
В каталоге pool/non-free/r/rar/ на сайте с пакетами Debian я исходников не увидел.
Ещё бы Вы в non-free исходники увидели. Нет их там, понятное дело.
UPD: Не, вру. Есть ссылка на тарбол. Похоже, те же исходники, что и на slackbuilds.org, только версия постарше.

А вот свободный unrar, про который говорил Bizdelnick.
https://packages.debian.org/stretch/unrar-free


Bizdelnick писал:
03.06.2019 20:44
15 лет как заброшен.
Судя по именам тарболов на странице debian-пакета
там версия cvs20140707, так что заброшен он лет 5, а не 15.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15522
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Что за вирус обнаружил Яндекс?

Сообщение Bizdelnick » 04.06.2019 09:15

MiK13 писал:
04.06.2019 02:17
А где они доступны?
В каталоге pool/non-free/r/rar/ на сайте с пакетами Debian я исходников не увидел.
pool/non-free/u/unrar-nonfree/
Hephaestus писал:
04.06.2019 06:46
Судя по именам тарболов на странице debian-пакета
там версия cvs20140707, так что заброшен он лет 5, а не 15.
Ну, может быть, в CVS и бывают изменения. Я посмотрел на дату последнего (он же первый и единственный) релиза.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

MiK13
Сообщения: 750
ОС: Linux Debian

Re: Что за вирус обнаружил Яндекс?

Сообщение MiK13 » 04.06.2019 15:09

Bizdelnick писал:
04.06.2019 09:15
pool/non-free/u/unrar-nonfree/
Действительно :) Нашёл там архив с исходниками. И даже собрал unrar.
И он распаковал запароленный архив. А при запуске выдаёт:

Shell

$ ./unrar | head -n2

UNRAR 5.61 beta 1 freeware Copyright (c) 1993-2018 Alexander Roshal
Удивило слово Alexander. Но в интернете нашёл, что Александр -- брат Евгения.
Интересно, кто из них разработчик, а кто -- менеджер :)
Спасибо сказали: