Последний пост.
Спасибо всем за поддержку, за критику, за интересные дискуссии!
Писать не перестану, просто буду делать это где-то еще. Пока что писать буду в ЖЖ: vilgeforce.livejournal.com (есть RSS!)

Спасибо тебе, Хабр, за школу жизни и за новых замечательных знакомых! До встречи в сети, друзья!

Довелось мне проработать три года в фирме, которая занималась встраиваемыми системами, а именно автоматикой, что поезда водит. Жесткое реальное время, серьезное тестирование и выгрызание микросекунд везде, где только можно. Попробую дать пару советов тем, кто интересуется встраиваемыми системами (а по постам на хабре я понял, что таких — немало ;-)

Жизнь компьютера идет своим чередом, но в один прекрасный момент комп перезагружается, а потом на рабочем столе появляется надпись «У вас вирусы, антивирус качать тут». Кто-то скачивает и ставит, кто-то сносит винду, кому-то везет и его антивирус ловит заразу… А я вам попробую рассказать как решить проблему самому и зачем это нужно.

www.bookgo.org

На английском языке. O'Reily, Microsoft, Apress… Разумеется, все только для ознакомления! Отдельно хочется высказать сожаления по поводу того, что многих из этих книг просто нет на русском :-(

Надеюсь, сервер не ляжет…

PS. Надеюсь, выбрал правильный коллектинвый блог…

Первое. Это сообщение адресовано ВМЕНЯЕМЫМ людям. В первую очередь — моим здешним френдам. Если оно тебе, «дадагой ддужок» не нравится — ты волен его не читать. И пройти мимо, что будет лучше и тебе и мне.

Второе. Захожу я на стрничку vilgeforce.habrahabr.ru (то есть на свою на хабре) и не вижу кнопки «новый топик». Я очень удивился! Что я делал не так?

Третье. Ну и касательно интересных постов. Товарищи, ну мы тут кто? Интеллектуальная элита или ПТУшники?! Беспроводная передача энергии. Офигеть! Напряженность электромагнитного поля обратно пропорциональная квадрату расстояния от источника. Думаю, квантовых генераторов это не касается, но насчет этого желаю услышать мнение профессионалов. И у этого поста +100_с_лишним! А уж комментарии… Лучше промолчу!
Стартапинг ради стартапинга. Лучше опять промолчу.
Интересно было про нормальную стереозапись, да.

Да-да, я сам ничего в последний месяц-два не пишу. Потому что ремонт и нет второй машины для вирусов -все никак не могу забрать у друзей винт, чтобы ее поднять. Но скоро будет!!! ;-)

Ну а дабы была с моего поста хоть какая-то польза — вот ссылка на хорошую ралдиостанцию, играющую местами крайне интересный IDM: somafm.com/play/cliqhop

PS. Минусы — фигня, главное — интересных людей нашел! :-)

Сабж, товарищи! www.khallenge.com

Что это такое? Соревнование по Reverse Engineering от F-Secure :-)

Первый тур прост, второй я начал, запуталсо и отложил на потом. Удачи всем!

Для начала — пара вводных замечаний. Замечание первое: в связи с заштопанной правой рукой печатать мне неудобно, посему опечатки могут быть. Замечание второе: для кого-то все ниженаписанное может не быть в новинку, но что уж поделать! Зато остальным, надеюсь, будет интересно. Поехали!

Многие пользователи считают файрволлы и фильтры траффика надежной защитой от вирусов. В общем, настроить эти средства можно так, чтобы существенно усложнить жизнь вирусам, но это будет довольно непростой проблемой. О паре моментов, с которыми придется столкнуться я и расскажу. Под катом, как всегда, много технических подробностей, кода и местами бессвязных мыслей.

Вчера я разбирал «нецензурный» троян (http://vilgeforce.habrahabr.ru/blog/44130.html), а сегодня разделываю его потомка — ftp34.dll. Эта тваринка, кстати, куда как интереснее подавляющего большинства троянов. Хотя бы тем, что ворует информацию не с диска, а прямо из сетевого траффика. Как? Смотрите под кат.

В общем, с этим трояном все было понятно с самого начала: что-то он из сети качает. Но в силу некоторых причин (одна из них — детект каспером как P2P-Worm.Win32.Socks.s) я решил его «разобрать». Под катом — технические подробности вскрытия трояна. Внимание, наличествуют не совсем цензурные слова и много технических подробностей!

Небольшие заметки околокомпьютерной тематики.

Антивирус BitDefender интересно ведет себя, если ему встречается файл, упакованный NSAnti: он даже не глядя под упаковщик выдает «Хозяин, вирус — упаковщик NSANTI». Чистые файлы мне попадаются редко, поэтому не могу утверждать что этим пакером только заразу запаковывают.

Откровенно деструктивная зараза встречается нечасто. Даже Антидуров, который ходил ффконтакте, не только тер файлы с компа, но и вызывал негативную реакцию на сам ффконтакт. А сегодня сначала коллега ковырял трояна, который MBR переписывал, потом я. В моем случае еще и сообщение было типа «Забудь про двач, быдло. Теперь чини комп», или что-то в этом духе. Причем в MBR писался не мусор, а вполне осмысленный (в начале по крайней мере) код.

Про дурость. Я понимаю, что можно получить эксплоит — зашел не ту страницу и этого достаточно. Автозапуск флэшек (и вообще дисков) не все умеют отключать. Но ЭТО… Это сродни тому же Антидурову, когда файл надо было скачать и запустить. Приходит, значит, тикет с такими коментариями: «Месяц назад друг по аське прислал ссылку URL. Я по ней пошел. А недавно у меня увели аську, пароли менял — все равно ее уводят, спасите-помогите». Сайт как сайт, никаких эксплоитов сходу не видно. Надпись про «Шеф убивает подчиненного» и ссылка на архив. То есть надо не просто зайти на сайт, а скачать архив, распаковать и запустить. Скачал, мы детектим. Решил запустить под виртуалкой. Скинул из себя другой файл, после распаковки — старый добрый LdPinch.1941 кажется. Добавил. Пускай этот дурик молится, чтобы они за месяц туда другого трояна не сунули.

Все, думаю, уже слышали про спам-рассылки со ссылками якобы на сайт odnoklassniki.ru. Так или иначе, но при переходе по этим ссылкам пользователь оказывался на странице с вредоносным JS-кодом. Вариантов такого кода может быть масса. Что было в первой волне спама — не знаю, расскажу что было в второй.

Дважды шифрованный (наверное даже одинаковым способом) Java-Script-код. После расшифровки получали скрипт, эксплуатирующий сразу 8 (Восемь) различных уязвиместей в ActiveX. Ниже перечень использовавшихся уязвимостей:
MS06-014 — 2006 год. До сих пор активно используется. Наложение патчей и обновлений — это хорошо!
CVE-2006-3730 — тоже 2006 год.
CVE-2005-2127 — 2005 год, а до сих пор используют.
CVE-2008-0659 — 2008 год, свежак! Уязвимость в ActiveX компоненте для загрузки картинок. Насколько я понял, оный компонент широко распространен среди пользователей MySpace.
CVE-2008-0623 — 2008 год. Yahoo! Music Jukebox
CVE-2006-5820 — 2006 год. Компонент от AOL.
CVE-2006-4446 — 2006 год.
Два непонятных ActiveX-объекта.

Советы: отключить использование ActiveX. Да, в Adobe Flash тоже недавно нашли уязвимость. На крайний случай — включить только и то и там, где вам надо. Отключить JS везде, где он вам не нужен. Ставить все-таки патчи и отновления на ПО: ведь в самом худшем случае только половина из представленного списка — уязвимости 2008 года.

Начало тут: vilgeforce.habrahabr.ru/blog/43746.html

Так или иначе, на компьютере жертвы оказывался файл WinNt32.dll, который загружался в память и тем самым его код исполнялся. Этот файл качал из сети два шифрованных файла, один из которых запускал, а второй инжектил в svchost (назовем его Injected).

Анализ первого файла (Dropper) показал следующее. Первые стадии его работы идентичны таковым для WinNt32.dll — Sysenter, расшифровка, загрузка в память и исполнение. Только в данном случае зашифровано было 3 файла. Первый — непосредственно полезная нагрузка, а второй и третий использовались полезной нагрузкой. В чем же заключается полезная нагрузка? Функционал просто и незамысловатый — скинуть два уже расшифрованных ранее файла на диск, один из них — под именем WinNt32.dll, а второй под случайным именем с расширением Sys. Прописать оба файла в реестре, причем *.sys прописывается сервисом. После чего запустить соответсвующий сервис и вызвать одну из функций DLL. Функционал драйвера я не исследовал — сложное это дело, увы. А вот дропнутая DLL — та самая, с которой все и начиналось! То есть Downloader качает Dropper, а Dropper сохраняет и запускает Downloader. Такой вот «замкнутый круг».

Файл, который инжектится в svchost (Injected) не зашифрован, в отличии от Downloader'а и Dropper'а и даже не разбираясь в его работе, только по текстовым строкам, можно понять что он работает с почтой. Скорее всего, рассылает спам. В файле прописано несколько почтовых серверов — и отечественных и зарубежных, и даже сервер google.
Таким образом, спам-рассылка, скорее всего, была предназначена для создания армии спамботов, и пострадать от нее могли не только пользователи Одноклассников, но и все остальные.

Услышьте, о Хабралюди! Пошла вторая волна спама, нацеленного на пользователей Одноклассников!

Буквально час назад друг прислал новый вариант спама. На этот раз используется HTML-письмо, таким образом есть возможность сокрытия реального адреса: пользователь видит адрес www.odnoklassni.ru//mi?l=E5T6FL84699FL31P1J6D4115115M0CLMV4KE55L, а ссылка ведет на www.odnoklassniki.ru._сгрызено_.cn/sen/index.php

По этому адресу имеется дважды шифрованный JS, который в итоге пишет в страницу код для эксплуатации девяти! различных уязвимостей. В итоге загружается на комп Trojan.DownLoader.62869.

Вечером, думаю, будут технические подробности. Разбор файлв первой волны у меня в блоге ;-)

Спасибо, вам, о Хабралюди, за небольшую прибавку к карме. Теперь я наконец-то смогу написать про вчерашние события на Одноклассниках с техническими подробностями.