Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 3 subscribers
  • Views 7559 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A little disgusted.

techtwo
Been using Astaro at home for a while, nice bit of software, running 7.503.

Today, at a clients, an ids triggered on scareware.
The client had done a search for "american country music awards 2010"
The browser showed the 'virus scan' and gave a popup to repair, so they left it for me to look at without following through.

That office and the ids sit behind Untangle, and the Untangle install didn't even notice.

Later I spent some time with these sites and downloading these installers from behind untangle, occasionally the Untangle Phishing module would throw a block page, since it's block db comes from google, those would correlate with the search links in the google results that were marked with "this site may harm your computer".

Not real impressed with the Untangle solution.

Went home, and ran the same 'test' from behind my Astaro install.

Downloaded over a dozen of these installers, Astaro didn't even notice, just happily passed along every single request and downloaded installer.
2010:04:19-18:58:18 astaro httpproxy[12865]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.115" user="" statuscode="200" cached="0" 
profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter 
action)" size="535" time="211 ms" request="0xad561060" url="www2.secyresyscare2.com/build9_195.php
cmd=sendFile&counter=1&=p52dcWltbV%2FCj8bYbnOCdVik12qbVp%2FZatrauJ%2BCoKXcz4mbm5h2lpd6fl%2FVodCjZGGRaGRvll7IaWGMoNfF16aqb1zWnomtm6ilmXVanqLNkqGMp5mSq29ezZ2fZmiUX5aVkWVlY2ebh9WemHGhqKykcmiQpNvdX5eco5mkyVv
Fn52VoMjF1ZSfcaeiwtCepJ2claZfm6jWm9jYqluaqaWhx1jDp5HYkdaPlWFoYlzGztN0lKine3WHnZrTkMyMkp2db5qkoZLQVpHTnZ7Hz5qcoKqix8
yrl5qorGWVXprOnZ%2FOpG1moIBexZrSa6LSoKDH0p5lp5jaz9euV2d6maZhjYyGYKXVl5aWl5uZ0FPDnaChoMShlVerpXOWk5pqaWZxanBoXq3UX6GXY2dea2RwmmWWVpPJari3iaiglnOdk5U" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized" content-type="text/html"

The only current tools I have running at home or these offices that do trigger are the snort installations with emerging-virus.rules, as well as the desktop av's NOD32 and Prevx3.

Since Untangle uses Clam and Kaspersky, and Astaro uses Clam and Antivir?,  it's no wonder that neither of their AV catch these installers, but nothing in Astaro content filter or ips triggers either. Of the three installer I uploaded to virustotal, only 7 of 41 av would trigger, additionally, neither do the other two desktop AV's I use here and there, MSE and Norton 2010, as verified by virustotal.com.

This entire business is lame, they shouldn't be clicking through these stupid links but these gateway solutions ought to be doing something, from everything I read on the net this is becoming the most prevalent attack vector and has been for some time.

When are security solutions going to actually start catching up with these attack methods?


This thread was automatically locked due to age.
Parents
  • 0
    Been using Astaro at home for a while, nice bit of software, running 7.503.

    Today, at a clients, an ids triggered on scareware.
    The client had done a search for "american country music awards 2010"
    The browser showed the 'virus scan' and gave a popup to repair, so they left it for me to look at without following through.

    That office and the ids sit behind Untangle, and the Untangle install didn't even notice.

    Later I spent some time with these sites and downloading these installers from behind untangle, occasionally the Untangle Phishing module would throw a block page, since it's block db comes from google, those would correlate with the search links in the google results that were marked with "this site may harm your computer".

    Not real impressed with the Untangle solution.

    Went home, and ran the same 'test' from behind my Astaro install.

    Downloaded over a dozen of these installers, Astaro didn't even notice, just happily passed along every single request and downloaded installer.
    2010:04:19-18:58:18 astaro httpproxy[12865]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.115" user="" statuscode="200" cached="0" 
    profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter 
    action)" size="535" time="211 ms" request="0xad561060" url="http://www2.secyresyscare2.com/build9_195.php?
    cmd=sendFile&counter=1&=p52dcWltbV%2FCj8bYbnOCdVik12qbVp%2FZatrauJ%2BCoKXcz4mbm5h2lpd6fl%2FVodCjZGGRaGRvll7IaWGMoNfF16aqb1zWnomtm6ilmXVanqLNkqGMp5mSq29ezZ2fZmiUX5aVkWVlY2ebh9WemHGhqKykcmiQpNvdX5eco5mkyVv
    Fn52VoMjF1ZSfcaeiwtCepJ2claZfm6jWm9jYqluaqaWhx1jDp5HYkdaPlWFoYlzGztN0lKine3WHnZrTkMyMkp2db5qkoZLQVpHTnZ7Hz5qcoKqix8
    yrl5qorGWVXprOnZ%2FOpG1moIBexZrSa6LSoKDH0p5lp5jaz9euV2d6maZhjYyGYKXVl5aWl5uZ0FPDnaChoMShlVerpXOWk5pqaWZxanBoXq3UX6GXY2dea2RwmmWWVpPJari3iaiglnOdk5U" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized" content-type="text/html"

    The only current tools I have running at home or these offices that do trigger are the snort installations with emerging-virus.rules, as well as the desktop av's NOD32 and Prevx3.

    Since Untangle uses Clam and Kaspersky, and Astaro uses Clam and Antivir?,  it's no wonder that neither of their AV catch these installers, but nothing in Astaro content filter or ips triggers either. Of the three installer I uploaded to virustotal, only 7 of 41 av would trigger, additionally, neither do the other two desktop AV's I use here and there, MSE and Norton 2010, as verified by virustotal.com.

    This entire business is lame, they shouldn't be clicking through these stupid links but these gateway solutions ought to be doing something, from everything I read on the net this is becoming the most prevalent attack vector and has been for some time.

    When are security solutions going to actually start catching up with these attack methods?

    Want to know the easiest way to avoid getting these scareware products?  

    1. Don't use IE.  Activex even with all it's "fixes" is still a direct conduit to ring zero.  The administrator is not god on the box..SYSTEM is and activex can get to system.  SYSTEM will bypass everything..including client based and server based(AKA UTM most times)security software.  Be aware that security software is like law enforcement..they are REACTIVE not PROACTIVE by nature.

    2.  Use google chrome or Firefox.  They do NOT have access to SYSTEM.

    3.  If you have AD remove the ability for folks to install anything via Group Policy.  This is done two fold.  First of all don't allow anyone but admins to run as admin.  This means BOTH network admin AND local admin(which windows runs everyone as local admin by default).  Secondly as noted remove the ability for users to install anything via Group Policy.

    Follow these three steps and your need for anti-anything will be reduced by up to 90%.  The only thing you'll need to be wary of is usb based devices and external sources of files(aka cd's. flash drives, ext hard disks..etc etc.  If you follow the above you also won't need a/v on your servers provided you have proper physical access controls in place and strictly enforced.  I have not run desktop, server a/v for nearly 7 years now...
Reply
  • 0
    Been using Astaro at home for a while, nice bit of software, running 7.503.

    Today, at a clients, an ids triggered on scareware.
    The client had done a search for "american country music awards 2010"
    The browser showed the 'virus scan' and gave a popup to repair, so they left it for me to look at without following through.

    That office and the ids sit behind Untangle, and the Untangle install didn't even notice.

    Later I spent some time with these sites and downloading these installers from behind untangle, occasionally the Untangle Phishing module would throw a block page, since it's block db comes from google, those would correlate with the search links in the google results that were marked with "this site may harm your computer".

    Not real impressed with the Untangle solution.

    Went home, and ran the same 'test' from behind my Astaro install.

    Downloaded over a dozen of these installers, Astaro didn't even notice, just happily passed along every single request and downloaded installer.
    2010:04:19-18:58:18 astaro httpproxy[12865]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.115" user="" statuscode="200" cached="0" 
    profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter 
    action)" size="535" time="211 ms" request="0xad561060" url="http://www2.secyresyscare2.com/build9_195.php?
    cmd=sendFile&counter=1&=p52dcWltbV%2FCj8bYbnOCdVik12qbVp%2FZatrauJ%2BCoKXcz4mbm5h2lpd6fl%2FVodCjZGGRaGRvll7IaWGMoNfF16aqb1zWnomtm6ilmXVanqLNkqGMp5mSq29ezZ2fZmiUX5aVkWVlY2ebh9WemHGhqKykcmiQpNvdX5eco5mkyVv
    Fn52VoMjF1ZSfcaeiwtCepJ2claZfm6jWm9jYqluaqaWhx1jDp5HYkdaPlWFoYlzGztN0lKine3WHnZrTkMyMkp2db5qkoZLQVpHTnZ7Hz5qcoKqix8
    yrl5qorGWVXprOnZ%2FOpG1moIBexZrSa6LSoKDH0p5lp5jaz9euV2d6maZhjYyGYKXVl5aWl5uZ0FPDnaChoMShlVerpXOWk5pqaWZxanBoXq3UX6GXY2dea2RwmmWWVpPJari3iaiglnOdk5U" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized" content-type="text/html"

    The only current tools I have running at home or these offices that do trigger are the snort installations with emerging-virus.rules, as well as the desktop av's NOD32 and Prevx3.

    Since Untangle uses Clam and Kaspersky, and Astaro uses Clam and Antivir?,  it's no wonder that neither of their AV catch these installers, but nothing in Astaro content filter or ips triggers either. Of the three installer I uploaded to virustotal, only 7 of 41 av would trigger, additionally, neither do the other two desktop AV's I use here and there, MSE and Norton 2010, as verified by virustotal.com.

    This entire business is lame, they shouldn't be clicking through these stupid links but these gateway solutions ought to be doing something, from everything I read on the net this is becoming the most prevalent attack vector and has been for some time.

    When are security solutions going to actually start catching up with these attack methods?

    Want to know the easiest way to avoid getting these scareware products?  

    1. Don't use IE.  Activex even with all it's "fixes" is still a direct conduit to ring zero.  The administrator is not god on the box..SYSTEM is and activex can get to system.  SYSTEM will bypass everything..including client based and server based(AKA UTM most times)security software.  Be aware that security software is like law enforcement..they are REACTIVE not PROACTIVE by nature.

    2.  Use google chrome or Firefox.  They do NOT have access to SYSTEM.

    3.  If you have AD remove the ability for folks to install anything via Group Policy.  This is done two fold.  First of all don't allow anyone but admins to run as admin.  This means BOTH network admin AND local admin(which windows runs everyone as local admin by default).  Secondly as noted remove the ability for users to install anything via Group Policy.

    Follow these three steps and your need for anti-anything will be reduced by up to 90%.  The only thing you'll need to be wary of is usb based devices and external sources of files(aka cd's. flash drives, ext hard disks..etc etc.  If you follow the above you also won't need a/v on your servers provided you have proper physical access controls in place and strictly enforced.  I have not run desktop, server a/v for nearly 7 years now...
Children
  • 0 in reply to William Warren
    Want to know the easiest way to avoid getting these scareware products?  

    1. Don't use IE..........


    Once I started testing, I surfed to these web pages, clicked through the dialogs and dl'd every one of these samples from a Ubuntu 9.10 live boot disk using Firefox. So I'm not clear on how that's a solution.

    While none of my offices use IE, there are some installs, but by and large it's all FF, I won't use chrome, or google's dns, because, google has quite enough info already and I have an attitude problem towards them. I understand there's a chrome derivative whereby the authors have attempted to strip all the tracking functionality from chrome, but I haven't had time to research it. Regardless, there are some governmental/ Customs applications that require IE.
  • 0 in reply to techtwo
    Not using IE would be silly...especially in the enterprise

    Any modern version in conjunction with UAC stops active-x installs cold...
  • 0 in reply to Kingbuzzo
    Not using IE would be silly...especially in the enterprise

    Any modern version in conjunction with UAC stops active-x installs cold...

    Further more in the "enterprise: IE specific apps are falling by the wayside...which means Firefox and others are a viable alternative to IE and Activex.