Что за вирус обнаружил Яндекс?
Модератор: Модераторы разделов
Что за вирус обнаружил Яндекс?
Решил разобраться с программой вёрстки Scribus.
На сайте "Linux по русски" нашёл набор статей из 9 частей Изучаем Scribus. Сохранил все страницы, чтобы потом в автономе их поизучать (9 файлов и 9 каталогов)
Сохранил всё в отдельном каталоге и запаковал командой tar cf Scribus.tar.gz Scribus. (точнее, через меню в mc)
И залил на Яндекс диск. Чтобы будучи в другом месте изучать.
Потом решил проверить. Пытаюсь скачать -- этот файл помечен красным, И при попытке скачать выдаёт "Файл заражён вирусом и может нанести вред вашему компьютеру. Всё равно скачать?"
Скачиваю. Распаковывыаю -- всё совпадает с тем, что сохранял.
В чём может быть причина?
На сайте "Linux по русски" нашёл набор статей из 9 частей Изучаем Scribus. Сохранил все страницы, чтобы потом в автономе их поизучать (9 файлов и 9 каталогов)
Сохранил всё в отдельном каталоге и запаковал командой tar cf Scribus.tar.gz Scribus. (точнее, через меню в mc)
И залил на Яндекс диск. Чтобы будучи в другом месте изучать.
Потом решил проверить. Пытаюсь скачать -- этот файл помечен красным, И при попытке скачать выдаёт "Файл заражён вирусом и может нанести вред вашему компьютеру. Всё равно скачать?"
Скачиваю. Распаковывыаю -- всё совпадает с тем, что сохранял.
В чём может быть причина?
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Что за вирус обнаружил Яндекс?
Контрольные суммы не создавали?
В скриптах, например.
У разного рода антивирусов бывают ложные срабатывания на самые разные файлы.
Когда я только перешёл на линукс, я гонял антивирус Dr.Web (виндовая привычка),
так он мне нашёл вирусы в установочных образах Мандривы.
Проверив, что это за файлы, я обнаружил, что это метрики шрифтов.
После этого я в линуксах антивирусами больше не пользовался. Ибо без толку.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Что за вирус обнаружил Яндекс?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Что за вирус обнаружил Яндекс?
Проверил. Из 72 антивирусов 8 выдали наличие вируса:
Код: Выделить всё
AegisLab Trojan.Script.Agent.4!c
Baidu Multi.Threats.InArchive
Comodo TrojWare.JS.Agent.OAZ@83c1qu
ESET-NOD32 JS/Agent.OAY
Fortinet JS/Agent.OAY!tr
Kaspersky Trojan.Script.Agent.an
Microsoft TrojanDownloader:JS/Nemucod
ZoneAlarm by Check Point Trojan.Script.Agent.an
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Что за вирус обнаружил Яндекс?
Можете ссылку дать на свой тарбол?
Re: Что за вирус обнаружил Яндекс?
Ссылку на именно этот файл дать не могу. Так как Яндекс из-за наличия вируса её не даёт.
Вот ссылка на RARовский архив этого файла: https://yadi.sk/d/pnaAvpnrsYQsjA
Пароль -- Dbhec?
Сжат RARом 5.40
(пока ещё не научился шифровать файлы в линуксе)
Для проверки:
Shell
$ md5sum *
c976733928be292d7c87d89ca863f1fd Scribus.tar.gz
3aea9a1151f72ddafb04b78eb807b8ae STG.rar
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Что за вирус обнаружил Яндекс?
Хоть 7-zip'ом запакуйте, что ли. Чем прикажете это открывать?
Upd. Отчёт нашёл: https://www.virustotal.com/gui/file/f0ac22b86414db6888bb5cae18bbcda2bf2084b0b4d8f8463ce0899f34545523/detection
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Что за вирус обнаружил Яндекс?
Вот ссылка на архив Sc.7z. Пароль тот же.
Да, это именно тот отчёт, который мне выдал этот сайт.Bizdelnick писал: ↑03.06.2019 16:05Upd. Отчёт нашёл: https://www.virustotal.com/gui/file/f0ac22b86414db6888bb5cae18bbcda2bf2084b0b4d8f8463ce0899f34545523/detection
P.S. Я довольно много лет работал с виндой (начиная ещё с 3.1) и мне очень нравились две программы Рошала: FAR и RAR. Поэтому я и привык все архивы делать RARом. И когда перешёл на Linux для передачи файлов виндовым пользователям стал использовать RAR.
Один раз столкнулся с проблемой, когда у меня стоял ещё 4-й rar, а попался архив сделанный 5-м. Не мог понять почему не могу распаковать.
Но оказалось, что в линуксе уже есть и 5-й rar.
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Что за вирус обнаружил Яндекс?
Да будет Вам. Линуксовый unrar вполне нормально это распаковал.
Я ни в коем случае не агитирую за rar. Но уж один файлик при случае распаковать можно.
Это не только между 4 и 5 и не только на линуксах. Совместимость там ломали не единожды.
По теме:
На рабочей машине есть лицензионный касперский.
Скормил ему Ваш архив. Он нашёл и удалил (вылечить не смог) 9 объектов (9 файлов).
Обнаружен Trojan.Script.Agent.an - этот же результат за касперским числится в отчёте, упомянутом Вами.
Все 9 файлов - это один и тот же скрипт - src.js, расположенный в разных каталогах.
Я в JS не силён, но насколько я понял, это относится к рекламным блокам на страницах.
На мой непросвещённый в JS взгляд, я не увидел в этом модуле ничего подозрительного,
за исключением обращения по адресу:
_http://press.connectioncdn.com
в первом каталоге и
_http://king.connectioncdn.com
в остальных каталогах.
Кроме различия в этих адресах все копии скрипта src.js идентичны.
Не исключено, что действительно в скриптах может вызываться какая-нибудь зловредная хрень со сторонних ресурсов.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Что за вирус обнаружил Яндекс?
Тот, который проприетарный? Свободный отродясь не понимал шифрованые архивы.
Похоже, там ещё что-то есть. На src.js ругаются 6 антивирусов: https://www.virustotal.com/gui/file/3beaa73465b47903d99403afce4cbe79c7b33575ceaa9889250e80304f8f3221/detectionHephaestus писал: ↑03.06.2019 18:25это один и тот же скрипт - src.js, расположенный в разных каталогах
Двух не хватает. Но вряд ли там что-то серьёзное.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Что за вирус обнаружил Яндекс?
А чёрт его знает...
Вот этот:
https://slackbuilds.org/repository/14.2/system/unrar/
Вроде нормальные исходники. Блобов не замечено.
Ну вот в данном случае он нормально распаковал архив с паролем.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Что за вирус обнаружил Яндекс?
The source code of UnRAR utility is freeware.
Недоложили 2 из 4 свобод.UnRAR source code may be used in any software to handle RAR archives without limitations free of charge, but cannot be used to develop RAR (WinRAR) compatible archiver and to re-create RAR compression algorithm, which is proprietary.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Что за вирус обнаружил Яндекс?
Меня гораздо больше насторожил src_.js, потому что он...
бинарный, скажем так. Там шестнадцатеричные значения - на адреса похоже.
Вызов нормальных модулей в коде страницы имеет комментарии - упоминается автор скрипта или Гугель.
А вот эти два src.js и src_.js какие-то бесхозные - не пойми, откуда.
Добавлено (19:53):
Ну, насчет этогокак бы всё правильно. Это же Unrar, а не просто rar.
А unrar'ит он вполне нормально.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Что за вирус обнаружил Яндекс?
Я и не спорю, что unrar'ит он нормально. Я к тому, что он проприетарный. А свободный тут: https://web.archive.org/web/20170318011939/https://gna.org/projects/unrar/ (сайт что-то лежит). 15 лет как заброшен.Hephaestus писал: ↑03.06.2019 19:46как бы всё правильно. Это же Unrar, а не просто rar.
А unrar'ит он вполне нормально.
Добавлено (20:53):
Ну никто же не мешает пойти на rus-linux.net и посмотреть на оригинальные страницы. src.js — счётчик с какого-то flipdigital.ru, а src_.js — скрипт от некого Андрея Андреева, загружается с u2tshop.ru и, насколько я понимаю, должен показывать какой-то баннер.Hephaestus писал: ↑03.06.2019 19:46А вот эти два src.js и src_.js какие-то бесхозные - не пойми, откуда.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Что за вирус обнаружил Яндекс?
С точки зрения лицензии - пожалуй, да. Лицензия несвободная.
С точки зрения доступности исходников - вот они, доступны.
Непонятно как-то. Проприетарное ПО обычно исходниками не разбрасывается.
По-моему, это не он. Там вроде есть ещё один. Вызывается отдельно. Или это один и тот же?Bizdelnick писал: ↑03.06.2019 20:44src_.js — скрипт от некого Андрея Андреева, загружается с u2tshop.ru
А, да. Это один и тот же. Ну, тогда, значит, ничего интересного.
Re: Что за вирус обнаружил Яндекс?
А где они доступны?Hephaestus писал: ↑03.06.2019 22:06С точки зрения лицензии - пожалуй, да. Лицензия несвободная.
С точки зрения доступности исходников - вот они, доступны.
Непонятно как-то. Проприетарное ПО обычно исходниками не разбрасывается.
В каталоге pool/non-free/r/rar/ на сайте с пакетами Debian я исходников не увидел. Только готовые программы.
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Что за вирус обнаружил Яндекс?
Я выше давал ссылку на slackbuild.
Вот ссылка на исходники
https://www.rarlab.com/rar/unrarsrc-5.6.1.tar.gz
но это именно unrar, а не rar, если что.
Под собственной лицензией, не под свободной.
Ещё бы Вы в non-free исходники увидели. Нет их там, понятное дело.
UPD: Не, вру. Есть ссылка на тарбол. Похоже, те же исходники, что и на slackbuilds.org, только версия постарше.
А вот свободный unrar, про который говорил Bizdelnick.
https://packages.debian.org/stretch/unrar-free
Судя по именам тарболов на странице debian-пакета
там версия cvs20140707, так что заброшен он лет 5, а не 15.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Что за вирус обнаружил Яндекс?
pool/non-free/u/unrar-nonfree/
Ну, может быть, в CVS и бывают изменения. Я посмотрел на дату последнего (он же первый и единственный) релиза.Hephaestus писал: ↑04.06.2019 06:46Судя по именам тарболов на странице debian-пакета
там версия cvs20140707, так что заброшен он лет 5, а не 15.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Что за вирус обнаружил Яндекс?
Действительно Нашёл там архив с исходниками. И даже собрал unrar.
И он распаковал запароленный архив. А при запуске выдаёт:
Shell
$ ./unrar | head -n2
UNRAR 5.61 beta 1 freeware Copyright (c) 1993-2018 Alexander Roshal
Интересно, кто из них разработчик, а кто -- менеджер