Pull to refresh
  • by relevance
  • by date
  • by rating

Новый файловый вирус с инструкциями ММХ

Antivirus protection
Nguyen Ngoc Dung, вирусный аналитик вьетнамской компании Bkis, специализирующейся на компьютерной безопасности, в своём блоге написал о появлении новой разновидности файлового вируса семейства Sality. На данный момент, вирусы этого семейства являются одними из наиболее технологичных и распространённых файловых вирусов, поражающих компьютеры пользователей Windows.

На этот раз ситуация интересна тем, что в метаморфном коде вируса присутствуют некоторые инструкции MMX (MultiMedia eXtension), которые ранее не импользовались ни в одном из вредоносов-инфекторов.
Читать дальше →
Total votes 60: ↑48 and ↓12 +36
Views2K
Comments 53

Перипетии детектирования и распаковки

Antivirus protection
Всем привет!

Разбирая работу недавно появившегося Sality.bh, я обнаружил интересный момент с детектированием его компонентов, о котором хотелось бы поговорить. Воистину, пути вирлабов неисповедимы! :)
Читать дальше →
Total votes 42: ↑34 and ↓8 +26
Views1.4K
Comments 20

Что вы знаете о Sality?

Information Security
Sality — одно из наиболее известных семейств вредоносного программного обеспечения. В своем развитии ВПО Sality прошло несколько стадий.
Первое упоминание о нем датируется июлем 2003 года. В своей первоначальной версии Sality заражал исполняемые файлы путем добавления своего кода, упакованного с помощью UPX. В качестве полезной нагрузки выступал кейлоггер, перехваченные данные отсылались по протоколу SMTP на один из серверов, размещенных в России. Название является производной от английского названия города — «Salavat City» (Салават, Республика Башкортостан). Предположительно прозвище разработчика — Sector — дало название в классификации компании Dr.Web. На тот момент Sality не представлял интереса в техническом плане, автор использовал довольно примитивные механизмы — файловый инфектор был относительно простым по сравнению с другими образцами ВПО того времени, адрес SMTP сервера был жестко задан внутри кода и не мог быть изменен, так же не могла быть изменена полезная нагрузка.
С 2004 по 2008 год автор много работал над усовершенствованием Sality. Значительно изменилась методика инфицирования, а вирус стал полиморфным без изменения точки входа (техника entry-point obscuring), затрудняя тем самым процесс обнаружения и лечения. Вредоносные функции были выделены в отдельные модули, которые могли дополнительно загружаться с ряда URL-адресов, жестко прописанных в коде. Также были включены процедуры противодействия механизмам защиты: блокировка или отключение некоторых межсетевых экранов, утилит и антивирусных программ. Начиная с 2008 года (возможно, конца 2007) автор кардинально изменил схему распространения, вместо заранее заданных адресов, которые могли быть легко заблокированы антивирусными компаниями, был реализован механизм peer-to-peer обновления модулей и загрузки сторонних вредоносных программ для последующего запуска.
Читать дальше →
Total votes 75: ↑62 and ↓13 +49
Views47.2K
Comments 11

Коронные фишки вредоносных программ

Information Security
Развитие информационных технологий сказывается на разработке всего спектра программного обеспечения (ПО). Не обходит оно стороной и вредоносные программы. Можно выделить основные приемы, применяемые при разработке «передового» вредоносного программного обеспечения (ВПО).
Читать дальше →
Total votes 70: ↑58 and ↓12 +46
Views40.5K
Comments 50

Вирус Sality модифицирует DNS-сервис роутеров

ESET NOD32
Семейство файловых инфекторов Win32/Sality известно уже давно и использует ботнет на основе P2P еще с 2003 г. Sality может выступать как в роли вируса, так и даунлоадера других вредоносных программ, которые используются для рассылки спама, организации DDoS, генерации рекламного трафика или взлома VoIP аккаунтов. Команды и файлы, передаваемые через сеть Sality, зашифрованы с использованием RSA (т. н. цифровая подпись). Модульная архитектура вредоносной программы, а также долговечность ботнета показывает насколько хорошо злоумышленники подошли к созданию этого вредоносного кода.



Мы отслеживали ботнет Win32/Sality в течение долгого времени и наблюдали более 115 000 доступных IP-адресов, которые инструктировались «супер-узлами» (super peers) для поддержки ботнета в рабочем состоянии и их координации. Мы видели схожие компоненты Sality, которые он загружал на зараженные компьютеры. Некоторые из них были похожи и различались только поведением. Однако, в последнее время, мы обнаружили новый компонент с ранее незамеченными свойствами. В отличие от уже известных компонентов Sality, которые используются для кражи паролей от FTP-аккаунтов и рассылки спама, он имеет возможность подменять адрес основного DNS-сервера роутера (DNS hijacking). Согласно нашим данным телеметрии, этот компонент появился в конце октября 2013 г. Он получил название Win32/Rbrute.

Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Views33.7K
Comments 7

Cylance против Sality

OTUSInformation SecurityReverse engineering
Translation
Всем привет. В преддверии старта курса «Реверс-инжиниринг 2.0» подготовили еще один интересный перевод.




Sality терроризирует пользователей компьютеров с 2003 года, когда персональные цифровые помощники (PDA или КПК) делали заголовки технических изданий, а офисные ПК работали под управлением Windows XP. За прошедшие годы пользователи успели обменять свои КПК на смартфоны, а настольные компьютеры перешли на новые операционные системы и цифровые решения для рабочих мест. Sality, однако, пережил бешеный темп технологических инноваций и продолжает угрожать организациям по сей день.

Вирус Sality заражает локальные исполняемые файлы, сменные носители и удаленно используемые диски. Он создает одноранговый(P2P) ботнет, который облегчает загрузку и выполнение других вредоносных программ. Sality может выполнять внедрение вредоносного кода и изменять свою точку входа для принудительного выполнения кода. Это вредоносное ПО остается жизнеспособным, перенимая успешные стратегии других угроз, включая такие методы, как руткит/бэкдор, кейлоггинг и червеподобное распространение.
Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views750
Comments 0