Перейти к содержанию

Подмена одного из файла торрента на зловреда


Рекомендуемые сообщения

Omnividente я всё-же думаю что-то с торрентом, а не комп заражён. Ведь куда-то две серии делись,

после перезапуска торрент файла?

 

Если ещё какие-то подозрительные моменты обнаружу, тогда обращусь в раздел "уничтожение", спасибо.

Сейчас всё работает вообще без каких-либо проблем. Система ведёт себя нормально.

Ссылка на комментарий
Поделиться на другие сайты

Вчера обновил базы и провёл полную проверку. Ничего не нашёл. А вот углублённый поиск руткитов

среагировал на файлы, которые 15 числа не трогал :)

Это ошибка? На скрине:

 

post-10787-1268984460_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Omnividente спасибо, но зачем? Думаю просто фолс. Я в эти папки уже месяца два не залазил.

А винду только чуть больше недели, как поставил...

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

Авторитетно заявляю, что подмена файла в торренте возможно, но толку от этого мало, потому что клиент тут же начнет кричать, что с закачкой какие-то не поладки, потому что файл ни разу не совпадает с хэшем.

Советую, добавить папку в исключения, потом её не трогать вообще до окончания закачки, остановить закачку, перехешировать с помощью торрент-клиента вручную остановить раздачу и проверить перехешировать. (В uTorrent и BitTorrent это делает из контекстного меню закачки, только надо обязательно раздачу остановить), проверить всё это дело антивирусом, а потом перехешировать еще раз.

Если первый раз всё прошло нормально, то бяка в раздаче, если нет, то бяка у вас на компе.

Ссылка на комментарий
Поделиться на другие сайты

Авторитетно заявляю, что подмена файла в торренте возможно
Легко, только после такой замены торрент клиент, у того кто сменил файл, не начнет раздачу, пока тот не пересоздаст торрент файл, следовательно смысла в такой замене просто нет.
потому что клиент тут же начнет кричать, что с закачкой какие-то не поладки, потому что файл ни разу не совпадает с хэшем.

Не будет он кричат, он либо начнет качать с сидов кто уже скачал нормальный файл полностью, либо просто перестанет качать и перейдет в режим ожидания сида.

Советую, добавить папку в исключения

не имеет смысла

Ссылка на комментарий
Поделиться на другие сайты

уже больше года качаю с торрента, но ни разу о подмене файлов не сышала

всегда скачивалось то, что и было заявлено

iriska

А у меня вот такая оказия произошла ;)

Всё бывает в первый раз :)

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...
Каспер пока молчит...

Опять двадцать пять :) Теперь уже другой торрент.

В общем закачалось всего 1% от размера файлов и я решил проверить папку.

Каспер нашёл то-же самое, что и в первый раз

 

post-10787-1270718684_thumb.png

 

Ну я нажал удалить все. Он вроде удалил.

 

post-10787-1270718831_thumb.png

 

При проверке папки опять то-же самое, т.е. он на самом деле ничего не удалял!

Почему так?

 

post-10787-1270718937_thumb.png

 

Опять произвёл процедуру "удаления"

 

post-10787-1270718993_thumb.png

 

Но всё осталось на местах. В итоге удалил все файлы вручную, и торрент файл тоже,

ибо пересчёт кэша не помог :)

Что это такое? Систему проверял - чистая.

 

Может быть подмена, или нет? Кто может ответить? Лежат торрент файлы, которые ещё ни разу не запускал,

вот и думаю, может и они подменены? Или это фолс КИСа?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Muk4ltin
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • o089901
      Автор o089901
      после вынужденной перезагрузки сервера перестали работать базы 1с, как оказалось файлы на сервере зашифрованы вирусом
      FRST.txt virus.7z
      AppData.7z N-Save-XJOZE.7z
    • KL FC Bot
      Автор KL FC Bot
      Не так давно на нашем блоге для ИБ-исследователей Securelist вышел пост об атаке на российские промышленные предприятия с использованием бэкдора PhantomPyramid, которую наши эксперты с высокой степенью уверенности атрибутируют группе Head Mare. Атака была достаточно стандартной — письмо, якобы содержащее конфиденциальную информацию плюс архив со зловредом, пароль для распаковки которого находится прямо в теле письма. Но интересен способ, при помощи которого злоумышленники прятали свой вредоносный код в, казалось бы, безобидном файле, — для этого они использовали технику polyglot.
      Что такое техника polyglot
      В матрице MITRE ATT&CK polyglot-файлы описываются как файлы, относящиеся сразу к нескольким типам и работающие по-разному в зависимости от приложения, в котором они запущены. Используются они для маскировки зловредов — для пользователя, а также для некоторых защитных механизмов они могут выглядеть как что-то совершенно безопасное, например картинка или документ. А по факту внутри находится вредоносный код. Причем код может быть написан сразу на нескольких языках программирования.
      Злоумышленники используют самое разное сочетание форматов. Компания Unit42 исследовала атаку с применением файла контекстной справки в формате Microsoft Compiled HTML Help (расширение .chm), который одновременно является HTML-приложением (файлом в формате .hta). Исследователи также описывают применение картинки в формате .jpeg, внутри которой по факту находится PHP-архив .phar. В случае с атакой, исследованной нашими экспертами, внутри архива .zip был спрятан исполняемый код.
      .
      View the full article
    • robocop1974
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
    • ВладиславFox
      Автор ВладиславFox
      Звиняюсь за форму подачи информации (это был запрос в поддержку, помощи по которому я жду уже второй день, а сроки горят)
      Если кто то ставил уже ksmg не как отдельную систему (физическую или логическую), а интегрированно в сам почтовый сервер физический/логический (одна и та же ос, без виртуалок, гипервизоров и тд) прошу подсказать.


      Не видит постфикс на шаге интеграции с почтовым сервером
      предлогает только ручную интеграцию (которая не описана в инструкции)

      Пункт инструкции:
      Если Postfix отсутствует в списке доступных почтовых серверов для интеграции, но при этом он установлен на сервере, необходимо вернуть конфигурационный файл /etc/postfix/master.cf в исходное состояние и повторно запустить скрипт первоначальной настройки.

      Проблема в том что мы не изменяли конфигурационный файл.


      (напоминание ос Debian 12, почтовое решение Iredmail, postfix, dovecoat, sogo, nginx, clamav -шли одним установочным комплектом. Требуется чтоб антивирусное решение Касперсокого (KMSG) стояло на том же сервере, в той же системе и защищало почту)
      Выполненые шаги скрипта установки:
      Select web server [1]:
      [1] Nginx
      [2] Abort setup
      > 1

      Setup will use the following web server configuration:
      | type: Nginx
      | config_dir: /etc/nginx
      | config_file: nginx.conf
      | systemd_name: nginx
      | binary_name: /usr/sbin/nginx
      | sites_dir: /etc/nginx/conf.d
      | user: www-data
      Continue setup using this configuration? [1]:
      [1] Continue setup
      [2] Abort setup
      > 1

      Specify IP address of the current node
      The IP address will be used to communicate with other nodes [10.10.0.10]:
      >

      Specify the port number of the current node
      The port number will be used to communicate with other nodes [9045]:
      >

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      >
      Port 443 is already in use.

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      > 445

      Select MTA [1]:
      [1] Manual integration
      Note that by selecting "Manual integration", you will skip automatic integration with an MTA, so you will have to change the MTA configuration files manually.
      > 1

      при запуске всех служб ksmg отключаются все системы удаленного управления cockpit/webmin, так и должно быть ?
      но прописанный в скрипте установке порт веб интерфейса ksmg (в нашем случае 445) ничего не выводит ни удаленно, ни с самого сервера.

      среди ошибок есть что то про лицензию (как и куда прописать код нашей лицензии)

      и все та же проблема что пр установке скрипт, не видит почтового сервера(ПО) postfix, только мануальная интеграция. как говорил ранее мы не меняли конфиг постфикса, он изначально шел комплектом с кучей других пакетов (и они уже интегрированы друг в друга).

      напомню нашу ситуацию
      у нас всего один сервер и одна ос (никаких вирутальных машин, гипервизоров, кластеров)
      и почтовый сервер и ksmg должны стоять на одном и том же сервере и в одной и той же ос.
      setup-250415-102638.log traceback-250415-105029.txt master.txt
×
×
  • Создать...