Gray Jack the Fixxxer @gjf
Разнообразный по необходимости
Оценка вредоносности файлов с помощью песочниц: Часть 2. Анализ в оффлайн
8 min
20KИтак, ранее мы познакомились с основными ресурсами, доступными в сети для анализа файлов.
Однако на практике случается довольно много случаев, когда использование онлайн-песочниц не позволяет решить задачу. Это может быть связано с самыми различными факторами, например:
— Доступ к интернет затруднителен
— Онлайн-песочницы в данный момент перегружены, а выполнение анализа критично по времени
— Выполнение в онлайн песочницах блокируется изучаемым файлом
— Необходима более тонкая настройка режима выполнения файла при анализе, например — увеличение времени задержки с момента запуска
В этом случае на помощь нам приходит оффлайн-решение проблемы.
Однако на практике случается довольно много случаев, когда использование онлайн-песочниц не позволяет решить задачу. Это может быть связано с самыми различными факторами, например:
— Доступ к интернет затруднителен
— Онлайн-песочницы в данный момент перегружены, а выполнение анализа критично по времени
— Выполнение в онлайн песочницах блокируется изучаемым файлом
— Необходима более тонкая настройка режима выполнения файла при анализе, например — увеличение времени задержки с момента запуска
В этом случае на помощь нам приходит оффлайн-решение проблемы.
+26
Ручное удаление Smitnyl.A
2 min
1KВсем привет!
Поскольку раньше, в первой части, было дано обещание указать общие принципы ручного удаления Smitnyl.A, обещание выполняю. Да, у коммента не набралось 20 плюсов, но думаю, что и 14 человек должны получить то, что их интересовало. Тем более, что при удалении выяснились некоторые особенности работы этого зловреда.
Поскольку раньше, в первой части, было дано обещание указать общие принципы ручного удаления Smitnyl.A, обещание выполняю. Да, у коммента не набралось 20 плюсов, но думаю, что и 14 человек должны получить то, что их интересовало. Тем более, что при удалении выяснились некоторые особенности работы этого зловреда.
+45
Анализ Smitnyl.A — первого гибрида буткита и файлового инфектора
4 min
1.2KВсем привет!
Меня немного воодушевила реакция общества на мою статью об онлайн-песочницах, а также интересный пост от hormold, где стало возможным проанализировать существующие варианты заражения компьютеров в онлайн. И на почве этого я решил, что, возможно, интерес представит материал о некоторых современных механизмах работы вредоносных программ.
Думаю, большинству не будет секретом механизм работы существующих файловых инфекторов типа Sality и Virut. Безусловно, суть работы таких инфекторов хорошо описана, а потому разработать новую версию легко, отладка её не вызывает проблем. Куда более интересным будет описание нового механизма — заражения файла из загрузчика в MBR. Во-первых, такой вредонос должен быть более сложным, имеется ограничение по длине кода — 62 сектора (7C00H), а кроме того предъявляются особые требования к отсутствию багов — малейшая ошибка может привести к сбою загрузки системы.
Единственным уникальным на данный момент примером такого вредоноса является Trojan:W32/Smitnyl.A, распространяемый по некоторым файлообменым сетям. Его мы и рассмотрим сегодня.
Меня немного воодушевила реакция общества на мою статью об онлайн-песочницах, а также интересный пост от hormold, где стало возможным проанализировать существующие варианты заражения компьютеров в онлайн. И на почве этого я решил, что, возможно, интерес представит материал о некоторых современных механизмах работы вредоносных программ.
Думаю, большинству не будет секретом механизм работы существующих файловых инфекторов типа Sality и Virut. Безусловно, суть работы таких инфекторов хорошо описана, а потому разработать новую версию легко, отладка её не вызывает проблем. Куда более интересным будет описание нового механизма — заражения файла из загрузчика в MBR. Во-первых, такой вредонос должен быть более сложным, имеется ограничение по длине кода — 62 сектора (7C00H), а кроме того предъявляются особые требования к отсутствию багов — малейшая ошибка может привести к сбою загрузки системы.
Единственным уникальным на данный момент примером такого вредоноса является Trojan:W32/Smitnyl.A, распространяемый по некоторым файлообменым сетям. Его мы и рассмотрим сегодня.
+60
Оценка вредоносности файлов с помощью песочниц: Часть 1. Онлайн-сервисы
6 min
31KВ практике исследования исполняемых файлов с возможным вредоносным функционалом имеется богатый арсенал инструментария — от статического анализа с дизассемблированием до динамического анализа с отладчиками. В настоящем обзоре я не буду пытаться дать информацию по всем возможным приёмам, поскольку они требуют некоторых специфических знаний, однако я хотел бы вооружить неискушённого пользователя набором приёмов, которые позволяют довольно быстро провести анализ неизвестного файла.
Итак, ситуация: у нас есть странный файл с подозрением на вредоносность, при этом существующий мультисканеры типа VirusTotal не дают никакой информации. Что же делать?
Итак, ситуация: у нас есть странный файл с подозрением на вредоносность, при этом существующий мультисканеры типа VirusTotal не дают никакой информации. Что же делать?
+83
Как воруют данные с банкомата
2 min
20KОдним февральским днём, пользователь славного банкомата славного американского Bank of America в Калифорнии обнаружил странное серебристое устройство из оргстекла, приделанное к слоту приёма карт. Устройство напоминало специальную заглушку от воровства карт.
Однако наш герой не растерялся и обратился в банк, в результате чего было обнаружено ещё одно устройство: камера, работающая от батареек и включаемая датчиком движения. Эта камера была спрятана в специальную коробку и прикреплена к углу банкомата в месте, где можно удобно наблюдать за вводимым ПИН-кодом.
Однако наш герой не растерялся и обратился в банк, в результате чего было обнаружено ещё одно устройство: камера, работающая от батареек и включаемая датчиком движения. Эта камера была спрятана в специальную коробку и прикреплена к углу банкомата в месте, где можно удобно наблюдать за вводимым ПИН-кодом.
+53
Исходники Zeus проданы за $100000?
2 min
5.9KВ конце прошлого года на хакерских форумах прошёл слух, что разработка одного из наиболее известных троянов Zeus (или ZBot) прекращена, а разработчик передал исходники программы другому вирусописателю. При этом говорилось, что счастливчик-новообладатель — автор другого троянца SpyEye — усиленно старается объединить эти два семейства в новый, более мощный продукт.
Однако новые свидетельства утверждают, что исходный кода Зевса был продан или передан третьему лицу, которое сейчас активно ищет новых покупателей среди киберпреступности. Это может привести к разработке абсолютно новых версий Zeus/ZBot.
+54
Утечка кодов Касперского — теперь в паблике
1 min
6.5KВсем привет!
Сразу оговорюсь: не знаю, как к этому отнесутся, если такое не принято — просьба не пинать, а спокойно сообщить, и сообщение уйдёт в черновики. Я не имею отношения к описываемому, а просто умею пользоваться поиском.
Ранее на Хабре уже выплывало сообщение от том, что в Сети появилась информация об утечке исходного кода продуктов «Лаборатории Касперского». Ну пошумели, ну пообсуждали — и будет.
Совершенно недавно в Твиттере появилась шумиха вокруг появления в паблике этих же самых исходников.
И вот — СВЕРШИЛОСЬ! Исходники всплыли в сети, любой может скачать их тут.
Ждём комментарии злых и въедливых дебаггеров-программистов.
Сразу оговорюсь: не знаю, как к этому отнесутся, если такое не принято — просьба не пинать, а спокойно сообщить, и сообщение уйдёт в черновики. Я не имею отношения к описываемому, а просто умею пользоваться поиском.
Ранее на Хабре уже выплывало сообщение от том, что в Сети появилась информация об утечке исходного кода продуктов «Лаборатории Касперского». Ну пошумели, ну пообсуждали — и будет.
Совершенно недавно в Твиттере появилась шумиха вокруг появления в паблике этих же самых исходников.
И вот — СВЕРШИЛОСЬ! Исходники всплыли в сети, любой может скачать их тут.
Ждём комментарии злых и въедливых дебаггеров-программистов.
+119
Неудаляемые папки, защита от вирусов на флешках и все-все-все
8 min
14KВсем привет!
Сегодня речь пойдёт о так называемых «иммунизаторах» и «вакцинаторах» флеш-носителей от автозапускаемых вирусов — о том, как они работают, нужны ли они вообще. Ну и конечно мы рассмотрим один из простых способов создания такой «вакцины».
-5
Цифровые подписи в исполняемых файлах и обход этой защиты во вредоносных программах
8 min
80KХабрапривет!
Ну вроде как удалось решить вопросы с кармой, но они ником образом не касаются сегодняшней темы, а лишь объясняют некоторое опоздание её выхода на свет (исходные планы были на ноябрь прошлого года).
Сегодня я предлагаю Вашему вниманию небольшой обзор по системе электронных подписей исполняемых файлов и способам обхода и фальсификации этой системы. Также будет рассмотрен в деталях один из весьма действенных способов обхода. Несмотря на то, что описываемой инфе уже несколько месяцев, знают о ней не все. Производители описываемых ниже продуктов были уведомлены об описываемом материале, так что решение этой проблемы, если они вообще считают это проблемой, на их ответственности. Потому как времени было предостаточно.
+54
Перипетии детектирования и распаковки
2 min
1.6KВсем привет!
Разбирая работу недавно появившегося Sality.bh, я обнаружил интересный момент с детектированием его компонентов, о котором хотелось бы поговорить. Воистину, пути вирлабов неисповедимы! :)
Разбирая работу недавно появившегося Sality.bh, я обнаружил интересный момент с детектированием его компонентов, о котором хотелось бы поговорить. Воистину, пути вирлабов неисповедимы! :)
+26
Новый файловый вирус с инструкциями ММХ
2 min
2.7KNguyen Ngoc Dung, вирусный аналитик вьетнамской компании Bkis, специализирующейся на компьютерной безопасности, в своём блоге написал о появлении новой разновидности файлового вируса семейства Sality. На данный момент, вирусы этого семейства являются одними из наиболее технологичных и распространённых файловых вирусов, поражающих компьютеры пользователей Windows.
На этот раз ситуация интересна тем, что в метаморфном коде вируса присутствуют некоторые инструкции MMX (MultiMedia eXtension), которые ранее не импользовались ни в одном из вредоносов-инфекторов.
На этот раз ситуация интересна тем, что в метаморфном коде вируса присутствуют некоторые инструкции MMX (MultiMedia eXtension), которые ранее не импользовались ни в одном из вредоносов-инфекторов.
+36
Кроссплатформенный зловред: Linux, MacOS, Windows
2 min
5.5KУчитывая недавний спор и требования показать вирус не под Windows, позволю себе небольшой перевод интересного блога Джерома Сегуры, специалиста по безопасности компании ParetoLogic.
+59
Национальные символы в адресах — рай для фишинга?
3 min
908Всем привет!
На материал этой маленькой статейки навела другая, подобной тематики, которую я прочёл довольно давно. И решил я немного поиграться с случайно пойманной темой и посвятить в свои игры хабронарод.
Речь пойдёт сегодня преимущественно о зоне.рф. И играть мы будем с сайтом уважаемого Президента Российской Федерации, за что ему большое спасибо!
Безусловно, данные «игры» могут быть масштабированы для любого другого сайта с национальными символами в доменных именах. И вообще, данная статья — не способ взломать сайт Президента, а просто доказательство и обсуждению некоторого момента, который вполне возможно, что может быть эффективно использован злоумышленниками.
+7
Злоумышленники превратили офсайт Касперского в рассадник заразы
2 min
2.5KПо информации Дэна Гудина, американское зеркало офсайта Касперского в течение трёх с половиной часов в воскресенье занималось распространением вирусов. Причиной этого был взлом неизвестными хакерами.
+91
Публикация найденных уязвимостей: за и против
2 min
1.7KИдея поднять эту тему была навеяна высказываниям одного из представителей одной из известных контор-производителей программного обеспечения. Кто это — умолчим.
Суть следующая: по мнению этого представителя, публикация информация о найденных уязвимостях в популярных программных продуктах — есть зло, поскольку если уязвимость действительно критичная, то ею скорее успеют воспользоваться злоумышленники, чем исправить производитель. В таком ракурсе некий энтузиаст, найдя уязвимость, обязан уведомить об этом производителя ПО и спокойно ждать, когда эту ошибку исправят. Когда это произойдёт — никто не знает, зависит от «занятости» разработчика.
Не знаю, как думают все, но мне кажется это в корне неправильным.
+42
Один из примеров отработанного мошенничества
3 min
1.1KПривет всем!
Захотелось дать информацию всем читателям Хабра, поскольку сам чуть не попался на «утку».
Речь пойдёт о сайте Imidge, предлагающем «копии швейцарских часов и эксклюзивные аксессуары». Исходно я набрёл на этот сайт, когда в Google искал информацию по часам. Так как пришлось разобраться в теме, с интересом просмотрел сайт, после чего понял, что передо мной — пример хорошо отработанной мошеннической схемы. Ну а теперь — по пунктам.
Захотелось дать информацию всем читателям Хабра, поскольку сам чуть не попался на «утку».
Речь пойдёт о сайте Imidge, предлагающем «копии швейцарских часов и эксклюзивные аксессуары». Исходно я набрёл на этот сайт, когда в Google искал информацию по часам. Так как пришлось разобраться в теме, с интересом просмотрел сайт, после чего понял, что передо мной — пример хорошо отработанной мошеннической схемы. Ну а теперь — по пунктам.
-26
Альтернативный способ распространения файлов
3 min
3.4KВ последнее время в сети стало распространённым выкладывание различных файлов на различные ресурсы-«файлопомойки». Сейчас я не хочу обсуждать проблемы, связанные с просмотром рекламы при или перед скачиванием, проблемы получения премиум-эккаунтов и удаление файлов по претензиям правообладателей. Найденный мной способ может использоваться как во благо — для автоматического распространения файлов внутри группы, так и во вред — для распространения вирусов, патчей и кряков и т.д. Виноват не изобретатель пистолета, а рука, его держащая.
+56
Новый вирус, распространяющийся через флешки
2 min
2.2KНекоторое время назад, специалисты «ВирусБлокАда» сообщили об обнаружении нового вируса, распространяемого через USB-носители. Особенностью работы этого вредоноса является следующее:
-4
Самозащита антивирусов или режем антивирус без ножа
4 min
8.4KПривет всем!
Недавно мы уже обсудили могущество эвристических технологий современных антивирусов и пришли к мнению, что верить никому нельзя. Даже иногда себе :)
Сегодня мы поговорим о другом спорном моменте антивирусов — самозащите. Некоторые вендоры очень серьёзно относятся к этому моменту, и их продукты выстаивают даже в сложных комплексных случаях активного заражения, эффективно снимая вирусные перехваты, устанавливаясь в систему и даже в последующем удаляя уже изрядно прописавшихся зловредов. Другие считают, что активное заражение — это битва с ветряными мельницами, не приводящая ни к чему путному, а потому — LiveCD, а в ряде случаев и format c:
Отдадим должное обоим оппонентам: безусловно, если есть возможность победить вирусное противостояние — это хорошо. Если только это не приводит к бсодам и загрузке системы на пару-тройку дней. И абсолютно очевидно, что при серьёзном и комплексном заражении зачастую невозможно пробиться через активную массу перехватов, вредоносных процессов на уровне ядра и прочего — а потому часто действительно разумнее провести лечение неактивной системы (с LiveCD или сканируя винчестер на незаражённой машине), ну а в случае разношёрстной файловой инфекции — и задуматься о полной переустановке ОС.
Но не будем предаваться спорам — оставим это для следующей статьи :) Поговорим о простом: о самозащите системы даже на заведомо незаражённой системе. И примем априори:
1) имеется комплексный продукт антивирус+хипс+файервол;
2) система была незаражена, но каким-то образом проник вредоносный код;
3) вредоносный код имеет своим намерением удалить антивирус или повредить его настолько, чтобы обеспечить полную неработоспособность.
Вариант действий будет самым простым — попытка удаления жизненно важных файлов антивируса с правами Local System. Идея такого подхода принадлежит моему хорошему другу Алексею Баранову, который сообщил о ней в закрытых кругах некоторое время назад. Время прошло, будем считать, что вендоры подтянулись — проверим это.
Недавно мы уже обсудили могущество эвристических технологий современных антивирусов и пришли к мнению, что верить никому нельзя. Даже иногда себе :)
Сегодня мы поговорим о другом спорном моменте антивирусов — самозащите. Некоторые вендоры очень серьёзно относятся к этому моменту, и их продукты выстаивают даже в сложных комплексных случаях активного заражения, эффективно снимая вирусные перехваты, устанавливаясь в систему и даже в последующем удаляя уже изрядно прописавшихся зловредов. Другие считают, что активное заражение — это битва с ветряными мельницами, не приводящая ни к чему путному, а потому — LiveCD, а в ряде случаев и format c:
Отдадим должное обоим оппонентам: безусловно, если есть возможность победить вирусное противостояние — это хорошо. Если только это не приводит к бсодам и загрузке системы на пару-тройку дней. И абсолютно очевидно, что при серьёзном и комплексном заражении зачастую невозможно пробиться через активную массу перехватов, вредоносных процессов на уровне ядра и прочего — а потому часто действительно разумнее провести лечение неактивной системы (с LiveCD или сканируя винчестер на незаражённой машине), ну а в случае разношёрстной файловой инфекции — и задуматься о полной переустановке ОС.
Но не будем предаваться спорам — оставим это для следующей статьи :) Поговорим о простом: о самозащите системы даже на заведомо незаражённой системе. И примем априори:
1) имеется комплексный продукт антивирус+хипс+файервол;
2) система была незаражена, но каким-то образом проник вредоносный код;
3) вредоносный код имеет своим намерением удалить антивирус или повредить его настолько, чтобы обеспечить полную неработоспособность.
Вариант действий будет самым простым — попытка удаления жизненно важных файлов антивируса с правами Local System. Идея такого подхода принадлежит моему хорошему другу Алексею Баранову, который сообщил о ней в закрытых кругах некоторое время назад. Время прошло, будем считать, что вендоры подтянулись — проверим это.
+20
Information
- Rating
- Does not participate
- Location
- Антарктика
- Date of birth
- Registered
- Activity