Итак, ранее мы познакомились с основными ресурсами, доступными в сети для анализа файлов.

Однако на практике случается довольно много случаев, когда использование онлайн-песочниц не позволяет решить задачу. Это может быть связано с самыми различными факторами, например:

— Доступ к интернет затруднителен
— Онлайн-песочницы в данный момент перегружены, а выполнение анализа критично по времени
— Выполнение в онлайн песочницах блокируется изучаемым файлом
— Необходима более тонкая настройка режима выполнения файла при анализе, например — увеличение времени задержки с момента запуска

В этом случае на помощь нам приходит оффлайн-решение проблемы.

Всем привет!

Поскольку раньше, в первой части, было дано обещание указать общие принципы ручного удаления Smitnyl.A, обещание выполняю. Да, у коммента не набралось 20 плюсов, но думаю, что и 14 человек должны получить то, что их интересовало. Тем более, что при удалении выяснились некоторые особенности работы этого зловреда.

Всем привет!

Меня немного воодушевила реакция общества на мою статью об онлайн-песочницах, а также интересный пост от hormold, где стало возможным проанализировать существующие варианты заражения компьютеров в онлайн. И на почве этого я решил, что, возможно, интерес представит материал о некоторых современных механизмах работы вредоносных программ.

Думаю, большинству не будет секретом механизм работы существующих файловых инфекторов типа Sality и Virut. Безусловно, суть работы таких инфекторов хорошо описана, а потому разработать новую версию легко, отладка её не вызывает проблем. Куда более интересным будет описание нового механизма — заражения файла из загрузчика в MBR. Во-первых, такой вредонос должен быть более сложным, имеется ограничение по длине кода — 62 сектора (7C00H), а кроме того предъявляются особые требования к отсутствию багов — малейшая ошибка может привести к сбою загрузки системы.

Единственным уникальным на данный момент примером такого вредоноса является Trojan:W32/Smitnyl.A, распространяемый по некоторым файлообменым сетям. Его мы и рассмотрим сегодня.

В практике исследования исполняемых файлов с возможным вредоносным функционалом имеется богатый арсенал инструментария — от статического анализа с дизассемблированием до динамического анализа с отладчиками. В настоящем обзоре я не буду пытаться дать информацию по всем возможным приёмам, поскольку они требуют некоторых специфических знаний, однако я хотел бы вооружить неискушённого пользователя набором приёмов, которые позволяют довольно быстро провести анализ неизвестного файла.

Итак, ситуация: у нас есть странный файл с подозрением на вредоносность, при этом существующий мультисканеры типа VirusTotal не дают никакой информации. Что же делать?

Одним февральским днём, пользователь славного банкомата славного американского Bank of America в Калифорнии обнаружил странное серебристое устройство из оргстекла, приделанное к слоту приёма карт. Устройство напоминало специальную заглушку от воровства карт.

Однако наш герой не растерялся и обратился в банк, в результате чего было обнаружено ещё одно устройство: камера, работающая от батареек и включаемая датчиком движения. Эта камера была спрятана в специальную коробку и прикреплена к углу банкомата в месте, где можно удобно наблюдать за вводимым ПИН-кодом.

В конце прошлого года на хакерских форумах прошёл слух, что разработка одного из наиболее известных троянов Zeus (или ZBot) прекращена, а разработчик передал исходники программы другому вирусописателю. При этом говорилось, что счастливчик-новообладатель — автор другого троянца SpyEye — усиленно старается объединить эти два семейства в новый, более мощный продукт.

Однако новые свидетельства утверждают, что исходный кода Зевса был продан или передан третьему лицу, которое сейчас активно ищет новых покупателей среди киберпреступности. Это может привести к разработке абсолютно новых версий Zeus/ZBot.

Всем привет!

Сразу оговорюсь: не знаю, как к этому отнесутся, если такое не принято — просьба не пинать, а спокойно сообщить, и сообщение уйдёт в черновики. Я не имею отношения к описываемому, а просто умею пользоваться поиском.

Ранее на Хабре уже выплывало сообщение от том, что в Сети появилась информация об утечке исходного кода продуктов «Лаборатории Касперского». Ну пошумели, ну пообсуждали — и будет.

Совершенно недавно в Твиттере появилась шумиха вокруг появления в паблике этих же самых исходников.


И вот — СВЕРШИЛОСЬ! Исходники всплыли в сети, любой может скачать их тут.

Ждём комментарии злых и въедливых дебаггеров-программистов.

Всем привет!

Сегодня речь пойдёт о так называемых «иммунизаторах» и «вакцинаторах» флеш-носителей от автозапускаемых вирусов — о том, как они работают, нужны ли они вообще. Ну и конечно мы рассмотрим один из простых способов создания такой «вакцины».

Хабрапривет!

Ну вроде как удалось решить вопросы с кармой, но они ником образом не касаются сегодняшней темы, а лишь объясняют некоторое опоздание её выхода на свет (исходные планы были на ноябрь прошлого года).

Сегодня я предлагаю Вашему вниманию небольшой обзор по системе электронных подписей исполняемых файлов и способам обхода и фальсификации этой системы. Также будет рассмотрен в деталях один из весьма действенных способов обхода. Несмотря на то, что описываемой инфе уже несколько месяцев, знают о ней не все. Производители описываемых ниже продуктов были уведомлены об описываемом материале, так что решение этой проблемы, если они вообще считают это проблемой, на их ответственности. Потому как времени было предостаточно.

Всем привет!

Разбирая работу недавно появившегося Sality.bh, я обнаружил интересный момент с детектированием его компонентов, о котором хотелось бы поговорить. Воистину, пути вирлабов неисповедимы! :)

Nguyen Ngoc Dung, вирусный аналитик вьетнамской компании Bkis, специализирующейся на компьютерной безопасности, в своём блоге написал о появлении новой разновидности файлового вируса семейства Sality. На данный момент, вирусы этого семейства являются одними из наиболее технологичных и распространённых файловых вирусов, поражающих компьютеры пользователей Windows.

На этот раз ситуация интересна тем, что в метаморфном коде вируса присутствуют некоторые инструкции MMX (MultiMedia eXtension), которые ранее не импользовались ни в одном из вредоносов-инфекторов.

Учитывая недавний спор и требования показать вирус не под Windows, позволю себе небольшой перевод интересного блога Джерома Сегуры, специалиста по безопасности компании ParetoLogic.

Всем привет!

На материал этой маленькой статейки навела другая, подобной тематики, которую я прочёл довольно давно. И решил я немного поиграться с случайно пойманной темой и посвятить в свои игры хабронарод.

Речь пойдёт сегодня преимущественно о зоне.рф. И играть мы будем с сайтом уважаемого Президента Российской Федерации, за что ему большое спасибо!

Безусловно, данные «игры» могут быть масштабированы для любого другого сайта с национальными символами в доменных именах. И вообще, данная статья — не способ взломать сайт Президента, а просто доказательство и обсуждению некоторого момента, который вполне возможно, что может быть эффективно использован злоумышленниками.

По информации Дэна Гудина, американское зеркало офсайта Касперского в течение трёх с половиной часов в воскресенье занималось распространением вирусов. Причиной этого был взлом неизвестными хакерами.

Идея поднять эту тему была навеяна высказываниям одного из представителей одной из известных контор-производителей программного обеспечения. Кто это — умолчим.

Суть следующая: по мнению этого представителя, публикация информация о найденных уязвимостях в популярных программных продуктах — есть зло, поскольку если уязвимость действительно критичная, то ею скорее успеют воспользоваться злоумышленники, чем исправить производитель. В таком ракурсе некий энтузиаст, найдя уязвимость, обязан уведомить об этом производителя ПО и спокойно ждать, когда эту ошибку исправят. Когда это произойдёт — никто не знает, зависит от «занятости» разработчика.

Не знаю, как думают все, но мне кажется это в корне неправильным.

Привет всем!

Захотелось дать информацию всем читателям Хабра, поскольку сам чуть не попался на «утку».

Речь пойдёт о сайте Imidge, предлагающем «копии швейцарских часов и эксклюзивные аксессуары». Исходно я набрёл на этот сайт, когда в Google искал информацию по часам. Так как пришлось разобраться в теме, с интересом просмотрел сайт, после чего понял, что передо мной — пример хорошо отработанной мошеннической схемы. Ну а теперь — по пунктам.

В последнее время в сети стало распространённым выкладывание различных файлов на различные ресурсы-«файлопомойки». Сейчас я не хочу обсуждать проблемы, связанные с просмотром рекламы при или перед скачиванием, проблемы получения премиум-эккаунтов и удаление файлов по претензиям правообладателей. Найденный мной способ может использоваться как во благо — для автоматического распространения файлов внутри группы, так и во вред — для распространения вирусов, патчей и кряков и т.д. Виноват не изобретатель пистолета, а рука, его держащая.

Некоторое время назад, специалисты «ВирусБлокАда» сообщили об обнаружении нового вируса, распространяемого через USB-носители. Особенностью работы этого вредоноса является следующее:

Привет всем!

Недавно мы уже обсудили могущество эвристических технологий современных антивирусов и пришли к мнению, что верить никому нельзя. Даже иногда себе :)

Сегодня мы поговорим о другом спорном моменте антивирусов — самозащите. Некоторые вендоры очень серьёзно относятся к этому моменту, и их продукты выстаивают даже в сложных комплексных случаях активного заражения, эффективно снимая вирусные перехваты, устанавливаясь в систему и даже в последующем удаляя уже изрядно прописавшихся зловредов. Другие считают, что активное заражение — это битва с ветряными мельницами, не приводящая ни к чему путному, а потому — LiveCD, а в ряде случаев и format c:

Отдадим должное обоим оппонентам: безусловно, если есть возможность победить вирусное противостояние — это хорошо. Если только это не приводит к бсодам и загрузке системы на пару-тройку дней. И абсолютно очевидно, что при серьёзном и комплексном заражении зачастую невозможно пробиться через активную массу перехватов, вредоносных процессов на уровне ядра и прочего — а потому часто действительно разумнее провести лечение неактивной системы (с LiveCD или сканируя винчестер на незаражённой машине), ну а в случае разношёрстной файловой инфекции — и задуматься о полной переустановке ОС.

Но не будем предаваться спорам — оставим это для следующей статьи :) Поговорим о простом: о самозащите системы даже на заведомо незаражённой системе. И примем априори:

1) имеется комплексный продукт антивирус+хипс+файервол;
2) система была незаражена, но каким-то образом проник вредоносный код;
3) вредоносный код имеет своим намерением удалить антивирус или повредить его настолько, чтобы обеспечить полную неработоспособность.

Вариант действий будет самым простым — попытка удаления жизненно важных файлов антивируса с правами Local System. Идея такого подхода принадлежит моему хорошему другу Алексею Баранову, который сообщил о ней в закрытых кругах некоторое время назад. Время прошло, будем считать, что вендоры подтянулись — проверим это.