Шпионство в инете: «ClamAV: SecuriteInfo.com.JS.Privatelife-1»

У меня такого нет.

В дополнение к официальным базам clamav использую:

https://github.com/extremeshok/clamav-unofficial-sigs

и костыль:

#!/bin/bash
# 20160309 yara-rules_update.sh
# GPL-3

workdir="/tmp/yara"
clamav_db=/var/lib/clamav

mkdir -p $workdir
cd $workdir
wget -qc https://github.com/Yara-Rules/rules/archive/master.zip
unzip -oqq master.zip

rm -f $clamav_db/yara-rules.yar master.zip
for f in `find rules-master -name *.yar`
    do
        if [[ "`grep -E '^import \"' $f`" == '' \
            && "`grep 'uint32be' $f`" == '' \
            && "`grep 'CorkowDLL' $f`" == '' \
            && "`grep 'ThreatGroup3390_C2' $f`" == '' \
            && "`grep 'possible_exploit' $f`" == '' \
            && "`grep 'rule android_meterpreter' $f`" == '' \
            && "`grep 'rule Potao' $f`" == '' \
            && "`grep 'rule with_sqlite' $f`" == '' \
            && "`grep 'rule without_' $f`" == '' \
            ]]
            then
                cat $f >> $clamav_db/yara-rules.yar
                echo '' >> $clamav_db/yara-rules.yar
        fi
    done

exit 0

А еще на каких сайтах встрачалось.

утебя просто этого виря в базе нет..

$ grep SecuriteInfo.com.JS.Privatelife-1 /var/lib/clamav/javascript.ndb 
SecuriteInfo.com.JS.Privatelife-1:3:*:2b65736361706528646f63756d656e742e7265666572726572292b2828747970656f662873637265656e293d3d22756e646566696e656422293f22223a223b73222b73637265656e2e77696474682b222a222b73637265656e2e6865696768742b222a222b2873637265656e2e636f6c6f7264657074683f73637265656e2e636f6c6f7264657074683a73637265656e2e706978656c646570746829292b223b75222b65736361706528646f63756d656e742e75726c29

Я не много про другое, у меня другой костыль.

Создай текстовый файл /var/lib/clamav/javascript.ndb и скопипасть туда инфу об этом вирусе.

Так модно что-угодно вирусом назвать. Кстати, а зачем такие длинные хеши?

Пол российского инета, лог длинный.

# grep SecuriteInfo.com.JS.Privatelife-1 /var/log/havp/access.log

Не я его нашёл и вирём назвал :) Перед добавлением в базу виря его проверяют...

Это не совсем хеш, а сигнатура вируса, нужна для его точного определения и исключения ложных сработок.

Я хотел узнать, грузится он откуда. Кого ненавидеть.

Очень много сайтов в РФ раздаёт, думаю специально внедрили для слежки за своими посетителями.

Ну ещё пару примеров?

слежки за своими посетителями

Это уже форма монетизации

Ну ещё пару примеров?

http://torrentom.com/
http://vtorrents.net/
http://www.tvlend.net/
http://www.walkingdeadru.com/
http://online-freebee.ru/
http://onlainfilm.ucoz.ua/
http://bigcinema.tv/
http://zserials.tv/
http://ymka.tv/
http://oneline.tv/

Это уже форма монетизации

Поверь на слово я равноудалён от всех этих сайтов и людей стоящих за этим вирём.

Меня очень сильно бьют за то что не могут скачать кино... Вот потому и кричу здесь ;)

Я ничего не понял. Почему какой-то js-скриптик назван вирем? И что он хоть делает-то?

У меня для всех этих сайтов JS отключён noscript. То есть он вообще загружаться и проверятся антивирусником не должен... Но *ука как то лезет в окно что антивирусник его ловит.

Шпионит за посетителями этих, и многих других сайтов.

Похоже это из-за того что они яндекс-счетчиком пользуются. yadro.ru

yadro.ru и прочие шпионы у меня блокируется RequestPolicy так что исключено.

Вирь даёт именно сам сайт, причём сразу моментально при обращении.

Вообще, это даже не JS потому-что. Ссылка формата домен/cайт/идентификатор_пользователя.

Я рекомендую пользоваться Request Policy Continued, uMatrix или подобным.

А, не прочитал. Но дело в том что запрос формируется с сайта. Глянь на cсылки, какие запрашиваются с yadro.ru. Вот почему оно работает без JS.

Пользуюсь этим списком: https://prism-break.org/en/categories/gnu-linux/#web-browser-addons

decentraleyes.png
Decentraleyes
Protects you against tracking through «free», centralized, content delivery. It prevents a lot of requests from reaching networks like Googl…

disconnect.png
Disconnect
Visualize and block invisible tracking of your search and browsing history.

https-everywhere.png
HTTPS Everywhere
Encrypts your communications from thousands of websites by enforcing HTTPS everywhere.

noscript.png
NoScript
Only enable JavaScript, Java, and Flash for sites you trust.

privacy-badger.png
Privacy Badger
Tracking blocker that tries to learn who is spying on you and then blocks these ads and invisible trackers.

ras.png
Random Agent Spoofer
A privacy enhancing firefox add-on which aims to hinder browser fingerprinting.

request-policy.png
Request Policy
Control which cross-site requests are allowed by sites you visit.
Experimental

self-destructing-cookies.png
Self-Destructing Cookies
Automatically delete cookies and local storage when they are no longer used by open browser tabs.

ublock-origin.png
uBlock Origin
An efficient blocker for Firefox and Chromium. Fast and lean.

Глянь на cсылки, какие запрашиваются с yadro.ru.

yadro.ru. здесь ни причём! Все запросы к нему блокированы!!!

Вирь даёт именно сам сайт! Без перенаправлений, редиректов и прочего!

yadro.ru. здесь ни причём! Все запросы к нему блокированы!!!

Они то блокированы, но ты думаешь, что тот кто добавлял это в базу ClamAV думал об этом? Надеюсь ты понял о чем я.

Вообще это очень плохо, что clamav не предоставляет информации о том, что он называет вредоносным ПО и держит пользователей за идиотов.

Некоторые аддоны дублирующие скорее.

Они то блокированы, но ты думаешь, что тот кто добавлял это в базу ClamAV думал об этом? Надеюсь ты понял о чем я.

Они то блокированы, но ты думаешь, что тот кто добавлял это в базу ClamAV думал об этом? Надеюсь ты понял о чем я.

Я чувствую только то что получаю люлей ибо народ не может скачать фильмы. Кто и по чьему приказу на сайты установил шпионского вируса не знаю. Может СРУ, а может и с другой стороны, а может сайты взломали... Доложить мне, забыли..

Их предназначение добавлать в базу вирей в независемости от источников их происхождения..

Вообще это очень плохо, что clamav не предоставляет информации о том, что он называет вредоносным ПО и держит пользователей за идиотов.

Конкретно этот вирь к организации clamav ничего общего не имеет!!! Он находится в базе javascript.ndb которую распространяет совершенно другая частная организация!!!

По чьему нафиг приказу? Админы дураки и используют yadro.ru

Он находится в базе javascript.ndb которую распространяет совершенно другая частная организация!!!

И ты им доверяешь?

Некоторые аддоны дублирующие скорее.

Это на первый взгляд, они покрываю разные аспекты, по разному работают и друг другу не мешают, а дополняют.

И ты им доверяешь?

Да!

По чьему нафиг приказу? Админы дураки и используют yadro.ru

yadro.ru здесь не причём! Вирь идёт напрямую с сайта!!! Запросы к yadro.ru у меня блокированы.

Ну и скажи, зачем мне например нужен Privacy Badger, когда есть Request Policy. NoScript или Self-Destruction Cookies, если это настройками браузера сделано. Disconnect — вообще ненужно.

// за сайт спасибо, есть полезная инфа.

Ну, если бы ты немного подумал, то понял бы, что какой-то скрипт для сбора статистики нельзя назвать вирусом. JS способен снять с тебя отпечаток, но его возможности все равно ограничены пределами песочницы.

То, что подобные икнлюды от гугла\контакта\фейсбука и яндекса не занесены в твои базы, хотя при этом внедрены куда на больших сайтах (считай везде, даже на ЛОРе), тебя почему-то не пугает.

Просыпайся.

ClamAV

Это даже не антивирус. Попробуй NOD32, у него эвристика крутая.

https://www.eff.org/privacybadger#faq-How-is-Privacy-Badger-different-to-Disc...

Я знаю что он отличен, но это не означает нужности использвания его совместно.

Это даже не антивирус

Так и то, что он тут принес не вирус. Обыкновенный счетчик\скрипт аналитики

У меня JS блокированы NoScript! JS код вообще не должен загружатся!!!

Когда люди немогут скачать фильм ибо:

Access to the page has been denied

because the following virus was detected

...................

То, что подобные икнлюды

Я создам сертификат, добавлю его во все бровзеры и перед HAVP буду расшифровывать весь https трафик! Наверно количество вирей значительно возрастёт.

Я пытаюсь ему объяснить это, что у него трижды продублирована блокирова его работы. Request Policy, Затем NoScript, и затем ClamAV.

У меня JS блокированы NoScript! JS код вообще не должен загружатся!!!

Он не должен выполняться а загружаться ему ничто не мешает.

Спать не дадут.

я не понял, так это на твоем сайте?

privacybadger необходимо использовать по мимо других!

https://www.eff.org/privacybadger#faq-Does-Privacy-Badger-contain-a-"black-li...

zero-day - другие основаны на списках, кто то должен их создать, а privacybadger типа эвристики, способен самообучаться и обнаруживать то что ещё не известно другим!

У меня JS блокированы NoScript! JS код вообще не должен загружатся!!!

Ну иди посмотри список доверенных серверов NoScript и обраддуйся, что раз скрипт загрузился, то сервер находится в доверенных у носкрипта.

Алсо, то что ты отключаешь JS не мешает отслеживать перемещения твоего ip по сайтам, и логгировать все запросы с него. А уж аналитически разделить эти запросы по отдельным персонажам (особенно если у тебя есть аккаунты все в тех же гуглах\яндексах и прочих корпорациях) совсем не сложно.

Так что не переживай, все большие компании прекрасно знают где ты был и что делал.

privacybadger необходимо использовать по мимо других!

Аргументировать сможешь?

я не понял, так это на твоем сайте?

HAVP я со стороны юзера

а privacybadger типа эвристики, способен самообучаться и обнаруживать то что ещё не известно другим!

PrivacyBadger отслеживает внешние трекеры, что игнорируют Do Not Track. Работает крайне упорото. А Request Policy их просто режет. И зачем мне первый?

Аргументировать сможешь?

По моему предельно понятно: Шпионство в инете: «ClamAV: SecuriteInfo.com.JS.Privatelife-1» (комментарий)

random-agent-spoofer - этот очень хорошо защищает TOR пользователей от утечек.

защищает TOR пользователей

Ну, тебе, в таком случае, нечего бояться. Ты же все ноды, через которые проходят твои запросы, лично проверял.

Делая их уникальними, ога.

Request Policy тоже по разному можно настроить, вот и PrivacyBadger сможет подчищать дыры в настройках.

Но даже при идиальных настройках нет гарантий что сайт не **учится и ранее добавленный в белый список вдруг начнёт шпионить...

Но даже при идиальных настройках нет гарантий что сайт не **учится и ранее добавленный в белый список вдруг начнёт шпионить...

И PB тогда не спасет.

Вот он твой ужасный вирус.

<script type="text/javascript">document.write("<img src='//counter.yadro.ru/hit?t11.6;r" + escape(document.referrer) + ((typeof(screen)=="undefined")?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth)) + ";u" + escape(document.URL) + ";" + Math.random() + "' border=0 width=1 height=1 style='visibility:hidden;position:absolute;top:0;left:0;' alt='' title=''>")</script>

твой ужасный вирус.

Вся суть носителей шапочек из фольги. Вместо изучения устройства того, от чего они хотят защититься, они просто обвешивают себя всяким дерьмом.

Почему не спасёт? Privacy Badger не статический, у ниго нет черных/белых списков, он способен обнаруживать слежку в случае её возникновения.

Да его стоит использовать совместно с другим,он довольно лёгкий.

В html впаяли редирект для учёта шпионажа...

В него впаяли передачу информации через GET-запрос.