поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Mozilla Firefox 66.0.4 готовится к выпуску и содержит исправление для просроченного промежуточного сертификата подписи, из-за которого все дополнения отключались в пятницу.

В пятницу Mozilla допустила истечение промежуточного сертификата, который используется для подписи аддонов Firefox. Поскольку Firefox требует, чтобы надстройки были подписаны действующим сертификатом, после истечения срока действия сертификата пользователи неожиданно обнаружили, что все их надстройки Firefox отключены.

В качестве временного исправления Mozilla выпустила расширение через систему Normandy Study, которое установило новый промежуточный сертификат подписи. После установки исправления дополнения будут автоматически включены снова.

https://www.bleepingcomputer.com/news/software/firefox-6604-almost-ready-with-fix-for-disabled-addons/
Цитата
santy написал:
Mozilla Firefox

Дело в том, что отключились расширения на всех версиях браузера.

Люди пишут что отключились расширения на версии: 54 > 63
версия: 54... это июнь 2017 и совсем другие расширения.
Отключились у всех одновременно, при том, что проверка обновлений была отключена.
На всех версиях был один сертификат ?

Таким образом выход новой версии: 66.0.4 не исправит ситуацию для версий ниже.
А люди работают с некоторыми расширениями которые производители больше не поддерживают.
Да и сертификат очень удачно просрочился - на все выходные с отключением: Adblock Plus и т.д.
----------
https://www.comss.ru/page.php?id=6031
Изменено: RP55 RP55 - 06.05.2019 01:38:12
Ещё интересней.
Сейчас покопался в браузере и что же я нашёл ?
---------------
Полное имя                  C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\****.DEFAULT\FEATURES\{*****}\BAIDU-CODE-UPDATE@MOZILLAONLINE.COM.XPI
Имя файла                   BAIDU-CODE-UPDATE@MOZILLAONLINE.COM.XPI
Статус                      FireFox
Размер                      7833 байт
Создан                      04.05.2019 в 02:51:07
Изменен                     04.05.2019 в 02:51:07
Цифр. подпись               проверка не производилась
                           
Доп. информация             на момент обновления списка
SHA1                        7357E3C312EFF892E6288AD49C8FD1697115D0CF
                           
Extension_ID                baidu-code-update@mozillaonline.com
Extension_name              Baidu Search Update
Extension_type              extension
Extension_active            false
Extension_visible           false
Extension_version           2.66
Extension_installDate       2019-05-04 02:51
Extension_description       Urgent post-release fixes for web compatibility.
Extension_userDisabled      false
Extension_homepageURL       https://github.com/mozilla-services/screenshots
----------------
https://www.bleepingcomputer.com/forums/t/697154/am-i-infected/
FF Extension: (Baidu Search Update) - C:\Users\user09211715\AppData\Roaming\Mozilla\Firefox\Profiles­\fh1t9zuk.default\features\{83291d5f-ef1f-40b6-b8e2-a021cd4c3ab5}\baidu-code-update@mozillaonline.com.xpi [2019-05-03]

----------------
https://www.cjoint.com/c/IEex5Tvil0W

FF Extension: (Baidu Search Update) - C:\Users\Flavie\AppData\Roaming\Mozilla\Firefox\Profiles\y46yj­j5l.default\features\{98ab84da-045c-4c02-8019-154c8e4c3404}\baidu-code-update@mozillaonline.com.xpi [2019-05-05]
----------------
И у кого это ещё ?
Изменено: RP55 RP55 - 06.05.2019 01:37:31
Если посмотреть Baidu Search Update

https://www.virustotal.com/gui/file/3d2a41f5262dfd5640e06443125b2e55fdc64141b97f3f9­8d51634c571d2af19/details

First Submission
2019-05-04 03:28:46
Last Submission
2019-05-04 03:28:46

Extension_description       Urgent post-release fixes for web compatibility. ( Срочные исправления после выпуска для веб-совместимости )

Extension_homepageURL       https://github.com/mozilla-services/screenshots
Это судя по описанию - инструмент скриншота для Firefox
Так какое же отношение к этому имеет: Baidu Search ?

Здесь:
File baidu-code-update@mozillaonline.com-2.66-signed.xpi 7K 04-Apr-2019 14:03
https://ftp.mozilla.org/pub/system-addons/baidu-code-update/


------------
Если проблема была с сертификатом...
то почему не у всех, а выборочно ?
Ведь сертификат связан с датой.
Раз просрочен - то у всех должно было отключиться.

На сайте mozilla написано, что в релизе Firefox Setup 66.0.3 включена обновлённая версия поискового плагина.
------------
1) Удалил расширение
2) Установил новую версию браузера: 66.0.4
3) Проверил - расширения всё нормально. ( его там нет )
4) Через час:

Полное имя                  C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\****.DEFAULT\FEATURES\{****}\BAIDU-CODE-UPDATE@MOZILLAONLINE.COM.XPI
Имя файла                   BAIDU-CODE-UPDATE@MOZILLAONLINE.COM.XPI
Статус                      FireFox
Размер                      7833 байт
Создан                      06.05.2019 в 02:53:08
Изменен                     06.05.2019 в 02:53:08
Цифр. подпись               проверка не производилась
                           
Extension_ID                baidu-code-update@mozillaonline.com
Extension_name              Baidu Search Update
Extension_type              extension
Extension_active            true
Extension_visible           true
Extension_version           2.66
Extension_installDate       2019-05-06 02:53
Extension_description      
Extension_userDisabled      false
Extension_homepageURL       https://www.firefox.com.cn/

т.е. расширение повторно установилось.

И главное, как записи то отличаются...

И почему оно скрытое ?

И Отключил: автоматически обновлять поисковые системы.
Изменено: RP55 RP55 - 06.05.2019 02:23:26
Обновление: Mozilla выпустила версию 66.0.4, которая включает исправление для просроченного сертификата и отключенные дополнения. Вы можете использовать функцию автоматического обновления Firefox или скачать ее здесь. Эта статья была обновлена, чтобы отразить это.

Mozilla Firefox 66.0.4 был выпущен для стабильного канала и содержит исправление для просроченного промежуточного сертификата подписи, из-за которого все дополнения отключались в пятницу.

https://www.bleepingcomputer.com/news/software/firefox-6604-released-with-fix-for-disabled-addons/

Я обновил Firefox до 66.0.4
мой расширения, которые были отключены в версии 66.0.3 включились (AddBlock, NoScript) и пока работают нормально
(честно говоря, утомили рекламные банеры за эти два дня)
--------
p.s. если расширения исчезли с панели инструментов через некоторое время работы, можно еще раз их отключить и включить.
Tor выпустил Tor Browser 8.0.9, который исправляет истекший сертификат подписи мультимедиа, который вызывал отключение надстроек NoScript и HTTPS-Everywhere.

В прошлую пятницу пользователи Firefox обнаружили, что их аддоны были внезапно отключены, потому что Mozilla забыла обновить сертификат с истекшим сроком действия, используемый для подписи своих аддонов. Поскольку надстройки должны быть подписаны действительной подписью, прежде чем их можно будет использовать в Firefox, надстройки были отключены.

Так как Tor основан на Firefox, его NoScript, HTTP-Everywhere и другие дополнения, подписанные Mozilla, также были отключены. Это вызвало больший риск для отслеживания или снижения уровня конфиденциальности из-за отсутствия NoScript.

https://www.bleepingcomputer.com/news/software/tor-browser-809-released-to-fix-disabled-noscript-addon/
Вышел: Mozilla Firefox 66.0.5, Firefox ESR 60.6.3 для Windows
https://www.comss.ru/page.php?id=6039
Dharma Ransomware использует легальный антивирусный инструмент для отвлечения жертв

Цитата
A new Dharma ransomware strain is using ESET AV Remover installations as a "smoke screen" technique designed to distract victims while their files are encrypted in the background as detailed by Trend Micro.

The ransomware is pushed by the attackers on their targets' computers using a spam campaign which delivers email attachments containing a Dharma dropper binary packed as a password-protected self-extracting archive named Defender.exe and hosted on the hacked server of link[.]fivetier[.]com.

Новый штамм вымогателей Dharma использует установку ESET AV Remover в качестве метода «дымовой завесы», предназначенного для отвлечения жертв, пока их файлы зашифрованы в фоновом режиме.

Вымогатели распространяются злоумышленниками на компьютерах их целей с помощью спам-кампании, которая доставляет вложения электронной почты, содержащие двоичный файл дроппера Dharma, упакованный в виде самораспаковывающегося архива с защитой паролем с именем Defender.exe и размещенный на взломанном сервере

https://www.bleepingcomputer.com/news/security/dharma-ransomware-uses-legit-antivirus-tool-to-distract-victims/
Похоже BAIDU в Firefox прописалось навечно.
При удалении восстанавливается.
По информации в компании Firefox решили не заморачиваться, а отправлять это всем. ( с китайских же серверов )
Изменено: RP55 RP55 - 08.05.2019 22:02:02
Цитата
santy написал:
Новый штамм вымогателей Dharma использует установку ESET AV Remover в качестве метода «дымовой завесы», предназначенного для отвлечения жертв, пока их файлы зашифрованы в фоновом режиме.

ESET по этому поводу ответил:

В статье описывается общеизвестная практика использования вредоносных программ в сочетании с легальными приложениями. В конкретном случае документация Trend Micro использовалась официальная и неизмененная ESET AV Remover. Тем не менее, любое другое приложение может быть использовано таким образом. Основная причина заключается в том, чтобы отвлечь пользователя, это приложение используется в качестве приложения-приманки. Инженеры ESET по обнаружению угроз недавно видели несколько случаев вымогателей, упакованных в самораспаковывающийся пакет вместе с некоторыми чистыми файлами или файлом hack / keygen / crack Так что в этом нет ничего нового.
В конкретном случае, описанном Trend Micro, вымогатель запускается сразу после нашего приложения для удаления, но средство удаления имеет диалоговое окно и ожидает взаимодействия с пользователем, поэтому нет никакой возможности удалить какое-либо AV-решение до полного запуска вымогателя.

https://blog.trendmicro.com/trendlabs-security-intelligence/dharma-ransomware-uses-av-tool-to-distract-from-malicious-activities/
Читают тему (гостей: 13)