Предисловие

Многие администраторы и серверостроители тщательно относятся к выбору плагинов, если и пробуется что то новое и неизвестное - то сначала проверяется по максимуму, чтоб не было ничего плохого, что может повредить ваш сервер - так делает каждый хороший админ своего проекта.

Бывают случаи, когда в плагинах находятся вирусы.. А вы не задавались вопросом - А там точно вирус? Ведь плагин такой офигенный, и он идеально вписывается в тематику моего сервера. А вдруг сработает...

На этом моменте обычно два варианта развития событий - либо ваш сервер ломается, либо работает как работал. Чаще всего второй вариант, почему так?

С вами я, Снупи 🏴‍☠️, я расскажу вам о том, как же на самом деле антивирусы проверяют Jar-файлы.

VirusTotal показал, что там троян!

Скажу вам честно, очень часто несколько антивирусов из списка VirusTotal - ошибаются, очень часто, пробейте любой exe файл игры скачанной с торрента, везде там будет троян! Однако это просто потому, что так сказал антивирус, на деле же просто антивирусы воспринимают кряк внутри exe файла как троян, хотя он им и не является.

Мне на глаза попался один из плагинов на форуме, в котором VirusTotal таки обнаружил троян, давайте разберёмся, а есть ли он там на самом деле?
Сам плагин: ТЫКЪ

Покопавшись в коде, я никаких System.DESTROY методов не обнаружил, но всё таки же почему то VirusTotal показывает, что там троян?

 

Я полез в VirusTotal Graph, который полностью показывает структуру Jar-Node, и показывает какие файлы заражены нашим мистическим трояном.

Очень странная ситуация, не правда ли? Все файлы окрашены чёрным цветом, и лишь сам Jar-Node имеет красный оттенок, что же это значит?

Ответ на этот вопрос, банально простой - Meta-данные, которые хранятся внутри Jar просто не понравились паре наших антивирусов.

Meta-Данные, просто являются подписью файла, и не несут никаких угроз вашему компьютеру и серверу, просто потому что эти данные никогда не будут запущены, это просто информация.

На самом ли деле в плагинах есть вирусы? Как обнаружить вирус своими силами?

К сожалению, вы можете наткнуться на вирус в плагине который вы хотите использовать, но обычно такие плагины скачиваются с сайтов по типу BlackSpigot, именно там чаще всего вы можете обнаружить плагин с майнером внутри (чаще всего именно с ним)

В первую очередь обратите внимание на размер Jar файла скачанного с сайта, и размер оригинального файла на том сайте, где он продаётся, если есть различия, то скорее всего со скачанным файлом что то не так. Однако вирус в таком файле встречается в 20% случаев, чаще всего размер файла отличается потому что это Nulled/Cracked версия, в которой вырезана проверка лицензии плагина.

Посмотрите как подписаны файлы внутри Jar, если вдруг файлы внутри имеют вид по типу iIiIIIiIIiIII или непонятный набор символов qie28QSj91l3_khQ-u, то тут есть два варианта. Первый - если ВСЕ файлы так подписаны, значит плагин так обфусцирован изначально, если же есть файлы подписанные адекватно, то скорее всего тут вы наткнулись на майнер криптовалюты, и лучше этот плагин не использовать.

ВАЖНО! Есть ещё один вариант подписи, это когда файлы подписаны буквами, типа a,A,b,B,c,C, и так далее, в этом случае просто был использован обфускатор, и плагин с такими файлами можно использовать спокойно.

Однако, не умея читать код, вы никак не сможете 100% понять, есть ли вирус в плагине, всё на первый взгляд может казаться безобидным, вы запускаете сервер, и вот уже ваш компьютер показывает номер куда надо скинуть 5000 рублей. К большому сожалению, ни VirusTotal, ни антивирус на вашем компьютере, не может ещё досконально анализировать код Java, и если разработчик захочет запихнуть туда вирус который уничтожит вашу винду, или не дай бог сломает вам что то из комплектующих, он это сделает, и вручит вам такой подарок с сюрпризом.

Заключение.

Ну вот мы и подходим к концу, я рассказал всё максимально просто, коротко, и понятно. Вывод у нас таков:

1. Качайте плагины только с доверенных ресурсов, именно Black-Minecraft, Spigot и dev.bukkit/curseforge такими являются.

2. Старайтесь качать в основном популярные плагины, как минимум со 100+ скачиваниями.

3. Не используйте Nulled/Cracked версии плагинов, которые вы можете найти на том же BlackSpigot, чаще всего это чревато плохими последствиями.

4. Заказывайте плагины у частных разработчиков ТОЛЬКО с хорошими отзывами.

Благодарю за внимание, ты молодец если таки дочитал новость до конца :)

Если хочешь действительно максимально обезопасить себя - Заказывай плагины у нашей студии, мы всегда делаем качественно, оптимизированно, и без вирусов! Мы за чистый Minecraft!

Связь со мной: Snoop1CattZ69#6559
Оформить заказ на разработку плагина: ТЫКЪ
Discord Сервер студии: ВОТ ТУТ
Discord Сервер Black-Minecraft: ВОТ ТУТ