PDA

Просмотр полной версии : обход бана exe в chrome


dotz
27.01.2014, 04:03
Добрый день

нашел пп loadmoney\profitraf они как то обходят бан

пример ссылки
horses.hot-goes.ru/get_file?sid=12500&url=aHR0cDovL3NpdGUucnUvc2t5cGUuZXhl&name=c2t5cGUuZXhl&type=c2V0dXA=&size=OTI4MDAw

страница скачивает файл по адресу
http://thisgo.ru/nICAhM7b25ybhoeRh9qQm4OamJuVkIfZkYyEhpGHh9qGgduTkY CrkJuDmpiblZCrjJmYq8fLnZDJ/setup/5629940/170534288/skype.exe
(автозамена доменов)

так вот, если скачать в хроме по первой ссылки бана их exe нет
а если скачивать по второй только то банит

есть догадки\предположения как такое сделать?

m0Hze
27.01.2014, 11:28
Редирект ведет на чистую сылку и чистый билд файла, вот и все. Сравни ссылки, ресурсы разные. Наверное и md5 у файлов тоже разный.

dotz
27.01.2014, 17:54
b3, обошел несколько форумов уже, тут хоть кто то ответил.

m0Hze,

http://forces.bigfiler.ru/NDkwOTtodHRwJTNBJTJGJTJGZXhhbXBsZS5jb20lMkZpY3EuZX hlO25hbWU9aWNxLmV4ZTtzaXplPTQ1MDg4NzY7dHlwZT1hcmNo aXZl
при опере\фф дают грязный файл\ссылку
при хроме дают другую ссылку, что даже перейти на прямую бана не наблюдается

http://dlc.mails-search.ru/download2/da/o7Gnra+xreSnp/7gprukoej8+7O5pbu8qfW4sqmxjI6Dh5fIg5+Ym4+Yn8Ocmt+W l4erjZubx4qOmcHO2JtpZT82PTQwNDA9Mj0qa2djdU57dykKU2 qO/icq.exe?referer=kubanfiler.ru

Но, файлы одинаковые
мд5 сумма одна (10D5F89970601297B0EB8E8A1ED071EE)

m0Hze
28.01.2014, 08:20
Ну значит файл чистый, новый и чистый билд(крипт), и его сигнатур еще нет в базе браузеров.
А вот ссылка уже спалилась и является баненой, а ту которую отдают для хрома, она чистая, и в базе подозрительных сайтов ее нет, вот и все.
А вообще, я бы посоветовал юзать свои домены для отдачи файла, с помощью выкачивания целевого файла на свой домен, через определенный интервал времени. Самый простой вариант, берем любой шелл, льем туда скрипт для автовыдачи файла, и юзаем. Шелл в случае необходимости меяем == получаем чистую ссылку, а с учетом автообновления файла (если конечно овнеры пп своевременно криптуют новый билд), имеем чистый файл.

dotz
28.01.2014, 17:52
Файлы одинаковые, т.к пробовал заменять их. банит обоих
Пробовал шеллы - эффект такой же.
похоже что дело в домене, mir-loadings.ru - нет бана.
http://dlc.mir-loadings.ru/download2/da/o7Gnra+xreSnp/7gprukoej8+7O5pbu8qfWyvK23mcyLjZeRh4uEx5iew4qLm6+J n5/LhoKVxcrcn5WZw8o5NTUyMDw1My5vY2dpUmdrLQpTao4/icq.exe?referer=youinstalls.ru
только вот чем отличается домен youinstalls.ru от mir-loadings.ru?

12309
28.01.2014, 21:19
IP-адресами?

забавная тема:
IP: 5.254.99.7
Origin-AS: 39743
Prefix: 5.254.96.0/21
AS-Path: 11686 19151 39743
AS-Org-Name: Voxility S.R.L.
Org-Name: mail.ru software distributor
Net-Name: profitraf_ru
Cache-Date: 1390902088
Latitude: 44.432250
Longitude: 26.106260
City: NULL
Region: NULL
Country: ROMANIA
Country-Code: RO

> mail.ru software distributor

.while
06.02.2014, 21:17
тс все проще чем ты думаешь, че ты заморачиваешься домены поддомены IP адреса, что еще?

Aels
12.02.2014, 05:16
ЕХЕ подписал сертом LLC Mail.ru
То-есть чтобы хром не банил ехе, его нужно подписать ключиком хотя бы васи пупкина.

12309
12.02.2014, 13:44
лол, серт мыла.ру слили?

Enigma
18.02.2014, 08:29
лол, серт мыла.ру слили?

Вроде нет, на хабре было

http://habrahabr.ru/post/172393/
http://habrahabr.ru/post/188894/
и другие топики