gjf Nov 12 2010 at 19:16

Новый файловый вирус с инструкциями ММХ

2 min

2.7K

Antivirus protection*

+36

Comments 53

invidia Nov 12 2010 at 19:35

и зачем столько рекламы касперского?

+15

gjf Nov 12 2010 at 19:39

Ну, если Вы посмотрите другие мои статьи, то увидите, что я отнюдь не рекламирую Касперского. Даже скорее наоборот :)

Просто если в чём-то они преуспели — то тут грех не сказать. При любом отношении к ЛК надо быть объективным.

+11

invidia Nov 12 2010 at 19:59

Наверное, это справедливо, да.
Просто мне в последнее время все больше и больше не нравится их политика и грязноватое поведение (вспомните историю с viruslist, уж не знаю как было раньше, но сейчас там касперский на первом месте в списке рекомендуемых антивирусов, это наталкивает на размышления). Отсюда предвзятость и возмущение столькими упоминаниями лк в посте.

gjf Nov 12 2010 at 20:02

Мне самому многое что не нравится, но если эфристик сработал и утилита обновилась — что ж я могу поделать — это правда и это довольно оперативно.

brick812 Nov 12 2010 at 22:39

Sality.Nau самый интересный и тяжелый вирь с которым я когда либо боролся.
Месяца два изгонял его из сети. Но не каспером его точно удалось таки побороть. Находить то находил, но лечить не мог… и сканить 10 териков снова приходилось ))
У доктора он обозначался Sector17 и тоже не вылечил никак. Авира решила проблему и по сей день выручает )

Cheese Nov 12 2010 at 19:43

>Таким образом, становится ещё труднее определить, какой код служит для расшифровки вирусной составляющей, а какой — обычный >мусор, какие регистры содержать важную информацию, а какие просто запутывают дизассемблирование. Это предъявляет более серьёзные >требования к антивирусным программам.
хм, на вирустотале детектируют все нормальные антивирусы и даже всякие малопонятные типа nprotect и emsisoft, только symantec лажается, но он что-то меня давно не радует…

gjf Nov 12 2010 at 19:48

aSquarred от Emsisoft — отнюдь не малопонятный, а очень даже :)
Детектируют — сейчас, да. Никто же не знает, сколько вредонос не детектировался до этого in wild.
Плюс вопрос по лечению поражённых файлов — насколько оно успешное… Понятно, что 100% не даст никто, но хотелось бы приблизиться.

vilgeforce Nov 12 2010 at 19:53

Думаю, теперь пойдет-поедет… И SSE гаденыши юзать начнут.

Gorthauer87 Nov 12 2010 at 19:53

когда там первые процессоры с поддержкой MMX появились? В 1996 или 1997 году, напомните? И вообще, где ADM64 версия вируса?

gjf Nov 12 2010 at 19:58

Он там будет выполняться просто как любая программа под х86. Специфично-заточенных на ADM64 ждать вряд ли придётся — потеряется рынок Intel-based.

Gorthauer87 Nov 12 2010 at 20:02

Хм… советовал бы матчасть подучить. Для начала найти разницу между EMT64,AMD64,x86-64,x64, а потом вспомнить про совместимость ABI, длину указателей и тому подобное.

gjf Nov 12 2010 at 20:05

Скиньте мне в ПМ Вашу электронную почту, я Вам направлю сэмпл, Вы его запустите на тестовой системе под ADM64, а потом поговорим про матчасть :) Если, конечно, есть возможность потестить и систему потом поднять с посекторного бэкапа — сэмпл действительно очень вирулентен.

Gorthauer87 Nov 12 2010 at 20:08

Хотите сказать, что он сможет внедрится в код 64 битной библиотеки?

gjf Nov 12 2010 at 20:09

Нет, я этого не говорил. Хотите сказать, что в Вашей системе исключительно х64-файлы? ;) И ни одного usermode в х32?

Gorthauer87 Nov 12 2010 at 20:11

Практически да. Multilib конечно держу, но только для запуска скайпа.

gjf Nov 12 2010 at 20:14

Ну вот скайп и пойдёт первым ;)

Gorthauer87 Nov 12 2010 at 20:17

Не уверен, что вирь у меня вообще запустится и не упадет с сегфолтом. Система знаете ли плохо под него заточена ;)

gjf Nov 12 2010 at 20:20

Может Вы и правы — проверяйте ПМ. О результатах отпишитесь тут — всем будет интересно.

gjf Nov 13 2010 at 17:32

Что-то я уже пожалел, что выслал Вам сэмпл — Вы совсем пропали :(
Но я Вас честно предупреждал — так что без обид.

Gorthauer87 Nov 15 2010 at 13:07

)))) Я же говорил, не запускается, не находил lib3D.dll, без неё проверить не могу

UFO just landed and posted this here

amarao Nov 12 2010 at 21:25

С большим интересом жду вирусов, которые будут перепрограммировать IO-MMU/MMU для скрытия своих страниц. В принципе, такой микрогипервизор позволит реально спрятать код от операционной системы и железа.

amc Nov 14 2010 at 05:14

Ну были же «таблетки», якобы они вполне скрывали своё присутствие от «легитимного» гипервизора. ЕМНИП.

gionet Nov 12 2010 at 23:00

MMX
Мама моя дорогая, я уже думал, что никогда не услышу эти сочетания букв, когда-то имеющие очень больше значение

varnav Nov 15 2010 at 13:29

Они и сейчас имеют, просто прочно вошли в нашу жизнь и редко упоминаются.

gionet Nov 15 2010 at 13:57

Не, ну ясный перец — наследование никто не отменял

Однако же вы помните, наверное, как магически звучало это — 166 с поддержкой ММХ =)))

varnav Nov 15 2010 at 14:05

Подсветка дисплея у мобильника тоже в своё время была дополнительной фичей. А сейчас без неё как и без MMX никуда, просто уже можно не упоминать. :)

dom1n1k Nov 12 2010 at 23:18

вирусы этого семейства являются одними из наиболее технологичных и распространённых файловых вирусов, поражающих компьютеры пользователей Windows.

«Поражающих» — в смысле «удивляющих» (своей технологичностью :)

gjf Nov 12 2010 at 23:35

Нет, в смысле он работает только под Windows. В отличие от темы прошлой статьи ;)

lolmaus Nov 13 2010 at 01:54

Что такое «файловый» вирус?

gjf Nov 13 2010 at 02:03

Вредоносная программа, заражающая другие файлы (в данном случае — исполняемые) с целью собственного распространения.

1amer Nov 13 2010 at 09:26

кстати да, если ух он весь такой технологичный, то почему не разобрать по косточкам, хотябы ту же систему внедрения в исполняемые файлы, ведь чтобы код внедрить в EXE, чтоб не бросался в глаза, нужно ещё попотеть (хотябы секцию text расширить и таблицу импорта отсортировать в зависимости от гениратора оригинального EXE, ещё чексумы поправить, адреса и тд). думаю вышла бы познавательная статья

gjf Nov 13 2010 at 17:34

По джойнерам есть масса литературы. Таких вирусов куча — на данный момент наиболее интересны Virut и Sality. Тут на самом деле ничего сложного — интересен троянский механизм и противодействие антивирусам. Ах да — у Вирута ещё интересно, что он html заражает (по типу iframe).

1amer Nov 13 2010 at 23:24

да я знаю что много инфы, просто в топике сказано «вирусы этого семейства являются одними из наиболее технологичных», но описан только использование MMX для полиморфизма… в этом вся технологичность? кстати я бы от линка на бинарник не отказался…

gjf Nov 14 2010 at 12:41

«Технологичными» не в плане того, что они — просто файловые вирусы. Там постоянно обновляется процедура защиты от антивирусов, интересный троянский механизм.

Они интересны в комплексе, а не по отдельным частям.

1amer Nov 14 2010 at 15:13

Спасибо за разьяснение. а вы не в курсе случаем где интересных вирусов можно скачать? или только honeypot на виртуалке городить который будет по злачным местам ползать?

akirsanov Nov 13 2010 at 05:45

Скорее всего это очередной сторонний криптор, даже отношения не имеющий к sality.

gjf Nov 13 2010 at 17:35

При чём здесь криптор? Это — файловый вирус, он «присоединяется» ко всем исполняемым файлом — он не криптуется. Вы немного перепутали.

Хотя аналогия некоторая есть — фактически расшифровывается, но только код вируса. Код исходного файла остаётся нетронутым — и в этом отличие от обычных протов/крипторов.

akirsanov Nov 13 2010 at 18:28

Если он распаковывает исходный бинарник, а с sse инструкциями и метаморфный

akirsanov Nov 13 2010 at 18:30

Если он распаковывает исходный бинарник, а с sse инструкциями напичкан метаморфный стаб, который достает исходный бинарник из секции, оверлея либо ресурсов и маппит в память, то это самый что ни на есть криптор. Утверждать не буду что тут такое, в глаза не видел.

gjf Nov 14 2010 at 12:42

Он не распаковывает исходный бинарник целиком, а только ту часть, что относится к вредоносу.

fogx Nov 13 2010 at 10:32

Win32.Legacy вышел в 2000 году и тоже использовал MMX для расшифровки.

Мало того, если погуглить «MMX polymorphic», без труда находится целая серия таких движков. Навскидку
Prizzy Polymorphic Engine — Jul 1999
MMXE 1.01 by Billy Belcebu / Spain — September 1999

jurok04 Nov 13 2010 at 10:56

Мне нравится информация о нем на securelist.com

www.securelist.com/ru/descriptions/15312802/Virus.Win32.Sality.bh

Время детекта многим позже времени выпуска обновления баз — это результат синергии эвристики с экстрасенсорикой, получается?

gjf Nov 13 2010 at 17:36

Нет, просто был небольшой сбой с серверами — в итого обновление вышло позже, чем ожидалось, хотя процедура была написана раньше.

jurok04 Nov 15 2010 at 10:35

Я не о том, там время выпуска обновлений для детекта сего чуда на полтора месяца раньше, чем время детектирования.

Umnik_ADS Dec 24 2010 at 10:41

Я так понял, ошибку уже исправили? Просто сейчас я не вижу ничего необычного по ссылке.

jurok04 Dec 24 2010 at 13:53

Да, сейчас информацию исправили и добавили описание вируса.

KAdot Nov 13 2010 at 11:15

идея использования расширенных инструкций процессора для обхода антивирусных эмуляторов далеко не нова. еще лет 7 назад про это читал.

Gorthauer87 Nov 15 2010 at 13:08

Пора уже переходить на 128битные SSE регистры, чего уж там))

zhuk Nov 13 2010 at 11:40

Автор, замените «функционал» на «функциональность».
ru.wikipedia.org/wiki/%D0%A4%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D0%BE%D0%BD%D0%B0%D0%BB

-1

Ves Nov 19 2010 at 18:12

там же: ru.wikipedia.org/wiki/Функционал_%28значения%29
> синоним слова Функциональность

zhuk Nov 19 2010 at 18:36

Хм… не знал. Спасибо.

darkslesh Nov 14 2010 at 00:05

Что-то я не понял. И что тут такого нового? Еще в конце 2007 года крипторы уже использовали MMX инструкции такие как CVTPI2PS для обхода антивирусный эмуляторов, чтобы скрыть расшифровку кода. Далее начали юзать вообще SSE.

Show the best of all time