How to become an author
Search
Write a publication
Pull to refresh

Comments 35

UFO just landed and posted this here
Довольно большой, периодически вижу создание мьютексов троянами.
Total votes 1: ↑1 and ↓0+1
А можно ли использовать эти мьютексы, чтобы избежать заражения? Специально все на целевой системе установить и все… profit!
Total votes 18: ↑18 and ↓0+18
Главное чтобы антивирусы от такого не вопили удивленно :)
Total votes 1: ↑1 and ↓0+1
И только самый храбрый антивирус дойдет до конца установки увидев все известные мьютексы сразу.
Total votes 6: ↑6 and ↓0+6
Я не думаю, что серьезные вирусмейкеры будут использовать такой способ, больно топорный и легко обнаруживаемый. Так часто прикладные приложения препятствуют нескольким одновременным запускам.
This comment wasn’t rated yet0
Вы считаете авторов TDSS и Sality начинающими бойцами? ;)
Я сам удивлён, но тем не менее это работает. Кстати, некоторые консольные утилиты для лечения однотипной инфекции работают именно на детекте мьютексов.
This comment wasn’t rated yet0
Я честно говоря не знаю, кто это. Просто очень примитивный метод, как только я прочитал, у меня тут же родилось несколько идей по довольно простому его усовершенствованию.
This comment wasn’t rated yet0
Не забудьте прибавить и Kido/Conficker/Downadup к этому списку :)
This comment wasn’t rated yet0
UFO just landed and posted this here
Можно, кстати, улучшить данный метод, например использовать не константу, а вычислимое значение. Например брать ID какого-нибудь девайса на компе и преобразовывать его по хитрому алгоритму. Это как минимум затруднит поиск.
Total votes 4: ↑4 and ↓0+4
Интересная идея, но… Был бы я вирмейкером — я бы просто альтернативный файловый поток к какому нибудь ntoskrnl.exe дописал и его проверял… Не так заметно ИМХО.
This comment wasn’t rated yet0
по-моему все просто найти если знать где и что искать
This comment wasn’t rated yet0
«Знал бы прикуп — жил бы в Сочи» :)
Ясен хрен что найти можно все. Другой вопрос:
А) Кто будет искать?
Б) Кто будет перелопачивать огромную помойку файлов на винте?
Взял, приписал файловый поток к какому нибудь Desktop.ini в жопе диска — и хрен кто даже догадается туда полезть если знать не будет.
This comment wasn’t rated yet0
Не наю как с этим обстоит в Vista/7 но для XP применение системой альтернативных потоков нетипично и их появление уже может вызвать подозрения. И не забываем, что есть компьютеры где только FAT.
This comment wasn’t rated yet0
даже ХР по умолчанию ставится на NTFS. Виста/7 — только на нтфс. а насчет их появления — да кто их заметит? а ведь есть еще менее известные аналоги, которые остались как наследие чуть ли не от OS/2 емнип…
This comment wasn’t rated yet0
Суть статьи в том, что мьютексы для некоторых вирусов уже известны. Искать неизвестный мьютек не легче чем альт. поток.
Total votes 1: ↑1 and ↓0+1
в целом легче, так как список общесистемных именованных мьютексов не так велик…
This comment wasn’t rated yet0
так любое невредоносное приложение может насоздовать мьютексов.
This comment wasn’t rated yet0
как то это неэлегантно. Любое изменение файла отследить легче, чем маркеры в памяти. Лучше уж регистрировать в системе какой нибудь хитрый хоткей, и проверять его наличие.
Total votes 2: ↑2 and ↓0+2
не легче, т.к. файлов намного больше. а если антивирус например будет перехватывать всякое обращение к файлу — представляете какие лаги будут? :)
Total votes 1: ↑0 and ↓1-1
Палится на раз и давно известно (Русток и ещё какой-то винлокер был год назад, забыл название).
Total votes 1: ↑1 and ↓0+1
Да? Не знал, буду знать, спасибо
This comment wasn’t rated yet0
Тема с альтернативными файловыми потоками уже по-моему разобрана несколько лет назад. К тому же прописывать в системных файлах заметно, а «в жопе диска» не надежно.
Total votes 2: ↑2 and ↓0+2
Бреееееед же, не юзабельно ниразу.
Total votes 3: ↑0 and ↓3-3
по-моему достаточно просто какой-нибудь любой другой объект ядра вместо мьютекса регистрировать — в общем-то это изменение одной строки кода
This comment wasn’t rated yet0
Обойти можно всё — и сигнатурный детект, и эмулятор и эвристику. Но будут бить — будем плакать ©
Total votes 2: ↑2 and ↓0+2
UFO just landed and posted this here
handle.exe -a > log.txt
handle.exe: команда не найдена
Total votes 6: ↑0 and ↓6-6
Читайте внимательней — утилиту нужно скачать, что бы «команда была найдена».
Total votes 1: ↑1 and ↓0+1
А где можно найти более обширный список известных «специфических» мьютексов?
This comment wasn’t rated yet0
Мьютексы это частный случай. Также довольно часто используется именованный CreateFileMapping, который по факту при этом использовании даёт те же результаты. Если разбирать проблему более подробнее, то можно выявить следующие варианты проверки зараженности:
  • Именованные мьютексы
  • Именованный FileMapping
  • Именованные Семафоры
  • Наличие определенного Атома
  • Ключ в реестре
  • Файл на винте
  • Наличие окна с определенным классом/именем

Total votes 1: ↑1 and ↓0+1
И еще много всего. Хотя судя по виду, сейчас вирмейкеры стали отказываться от постоянных имен. Недавно встретил трояна, который использовал именованный FileMapping, для которого имя генерировалось в зависимости от серийного номера тома на котором была установлена Windows. Таким образом на разных компьютерах были разные имена (оформленные в стиле GUID), что полностью мешало выявлению его на других компьютерах.
Total votes 2: ↑2 and ↓0+2
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr