Комментарии 5
Кстати, у меня есть большие сомнения, что каким-нибудь упаковщиком/протектором удастся добиться таких результатов для PE-файлов. Последствия десятилетий борьбы дают о себе знать.
Есть такое понятие, как «чистка». Код обфусцируется, используются обходы механизмов защиты антивирусов, в народе все процедуры по защите связки эксплойтов от АВ называются «крипт». И вам попалась «спаленная связка», так как обычно их рекриптуют как только начинает верещать Касперский и другие лидеры рынка АВ. Сразу после «крипта» связка с эксплойтами любого срока давности чиста на 100%.
Есть другая сторона вопроса. «Обходы», лодер может прогрузиться на ура и даже стартануть на машине пользователя, но не отстучать в админку по причине того что его спалит outpost или тот-же каспер например. По собственному опыту скажу, что лодер старше полу года в 99% случаях палится при отстуке. Так что не так страшно заражение, как утечка данных.
P.S. Это я так, для ликбеза, чтобы люди не думали, что все кончается заражением.
P.S. Это я так, для ликбеза, чтобы люди не думали, что все кончается заражением.
Если учесть, что распространители вирусов делают рекрипт билда лоадера раз в день, то нарваться на старый лоадер сложно.
Но тут еще надо смотреть как работает вирь, если траф шлет с себя, то да, а если инжект? Тогда юзер сам в браузере все передаст и фаервол не поможет, но это пессимистические варианты, конечно.
Но тут еще надо смотреть как работает вирь, если траф шлет с себя, то да, а если инжект? Тогда юзер сам в браузере все передаст и фаервол не поможет, но это пессимистические варианты, конечно.
Ссылка goo.gl/1JvYY ведет на justhaveown.myvnc.com/prok.php
Пик переходов был 1 апреля. Видимо кто-то «пошутил»
Стастистика — goo.gl/1JvYY+
Да и до сих пор переходят, видимо благодаря вашей статье.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Инфекция на сайте — история на примере