Comments 21
Черт побери, да все использовали VT для отладки малвари чуть ли не с момента создания проекта. До этого не мог додуматься только идиот — какой смысл рисковать, когда у тебя под рукой есть сервис, где ты заранее можешь наглядно посмотреть детект. Достаточно почитать соответствующие ресурсы / форумы.
Более того, мне вспоминается что кто-то автоматизировал процесс проверки результата через VT API для своего криптора.
Более того, мне вспоминается что кто-то автоматизировал процесс проверки результата через VT API для своего криптора.
VirusTotal по-моему давно начал отправлять образцы на сигнатурный анализ антивирусным компаниям (ну или это дефолтная функция некоторых антивирусов), так что на некоторых хак-форумах рекомендуют не проверять им пробив.
Не совсем так. AV компании оформляют подписку и им ежедневно предоставляются ссылки на архивы (если не ошибаюсь, то есть варианты: за день, за неделю, за месяц и т.д.) также можно скачать конкретный файл зная его хэш. Еще есть функция отправки недетектов, если я не ошибаюсь, работает по принципу — кто-то детектит, вы нет, то получите файлик.
Я бы проверял свой вирус на «пробив», а потом бы просто перепаковывал его по другому, чтобы хеш изменился. И чтобы он не собирал данные обо мне, использовал бы TOR или VPN.
Еще на VirusTotal есть платный сервис — Malware Intelligence. На этом сервисе можно задать YARA правила, при срабатывании которых будут приходить нотификации на почту о появлении новых файлов.
Хреновые хакеры — ни vpn, ни tor
ORLY? «А мужики то и не знали».
Думаю что ключевая фраза здесь
… но Диксону удалось по крайней мере определить хеши IP-адресов...И, о чудо! Есть множественные загрузки.
Есть же альтернативный сервис, который делает то же, но не «отстукивает» «кому следует». Дети?
А файл, на котором хакеры остановились автоматически добавляется в антивирусную базу :-).
Нет. Автоматически ни один файл не добавляется в базы. Цикл любого executables это прохождение в первую очередь через «руки» автоматики и затем к авер-эксперту. Если файл «варил» достаточно опытный малварщик, то велика вероятность, что файл автоматику пройдет. Да и авер-эксперт эксперту рознь! Другими словами время жизни малвари из рук опытного малварщика, как правило, больше 2 дней, а некоторые «заказчики» в некоторых ситуациях рады даже и 1 дню.
Но те, которые не прошли автодетект, отправляются? Значит, их будут анализировать и появление такого файла даже с другой сигнатурой будет ожидаемым.
Не совсем понятно, что Вы хотели узнать задавая вопрос:
>>Но те, которые не прошли автодетект, отправляются?
1) В авер-конторах нет понятия «авто-детект»
2) Куда конкретно отправляются? В базы? Вир-лабораторию? В /dev/null?
>>Но те, которые не прошли автодетект, отправляются?
1) В авер-конторах нет понятия «авто-детект»
2) Куда конкретно отправляются? В базы? Вир-лабораторию? В /dev/null?
1) В авер-конторах нет понятия «авто-детект»
На здоровье, я же со стороны рассуждаю, по слухам.
2) Куда конкретно отправляются? В базы? Вир-лабораторию? В /dev/null?
Во множестве мест видел упоминание, что VirusTotal отправляет какие-то образцы ав лабораториям. Пытаюсь разобраться — так это или нет, и по какому признаку отбираются кандидаты на отправку. Множество людей говорит, что есть такое; мне интересно — слух это или нет. К тому же, если бы такого не было, не было бы альтернативных, «теневых» сервисов с таким же функционалом.
Не совсем понятно, что Вы хотели узнать задавая вопрос:
Я имею в виду, что те образцы, которые были признаны АВ ПО вредоносными не по сигнатурам, а по шаблонному поведению — первые кандидаты на рассмотрение человеком, нет?
>>по шаблонному поведению — первые кандидаты на рассмотрение человеком, нет?
Нет, не первые. У каждой авер-конторы свои внутренние процессы. Но, как правило, первыми в руки эксперта попадает то, на что указал руководитель какой-либо группы экспертов. Если Васе сказали «Надо пиариться вот тебе файл», то он будет писать пиар-ресеч ибо деньги
>>что VirusTotal отправляет какие-то образцы ав лабораториям
Да, файлы VirusTotal могут быть посланы в авер-контору. Об этом уже упоминалось в этом комментарии.
Нет, не первые. У каждой авер-конторы свои внутренние процессы. Но, как правило, первыми в руки эксперта попадает то, на что указал руководитель какой-либо группы экспертов. Если Васе сказали «Надо пиариться вот тебе файл», то он будет писать пиар-ресеч ибо деньги
>>что VirusTotal отправляет какие-то образцы ав лабораториям
Да, файлы VirusTotal могут быть посланы в авер-контору. Об этом уже упоминалось в этом комментарии.
Ну, вот мне был интересен принцип отбора этих файлов.
" Еще есть функция отправки недетектов, если я не ошибаюсь, работает по принципу — кто-то детектит, вы нет, то получите файлик. "
Это самое простое — файл опознан как вредоносный кем-то, вами нет: получите, распишитесь. Я думал, есть и другие принципы выбора файлов для отправки.
" Еще есть функция отправки недетектов, если я не ошибаюсь, работает по принципу — кто-то детектит, вы нет, то получите файлик. "
Это самое простое — файл опознан как вредоносный кем-то, вами нет: получите, распишитесь. Я думал, есть и другие принципы выбора файлов для отправки.
Это какие-то начинающие скрипт-кидди были, а не хакеры.
В андеграунде для этих задач уже много лет есть свои сервисы-аналоги вирустотала, которые не отправляют семплы антивирусным компаниям.
В андеграунде для этих задач уже много лет есть свои сервисы-аналоги вирустотала, которые не отправляют семплы антивирусным компаниям.
Злоумышленники использовали дрель Makita, с помощью которой потерпевший был засверлен до смерти.
Sign up to leave a comment.
Хакеры использовали сайт Google для отладки вредоносного софта