Комментарии 56
как детектив прям=))
очень интересно.)
очень интересно.)
Стараюсь :-) Было бы интересно услышать от читателей, о чем они хотели бы еще почитать в этой области.
мне лично очень интересно про трояны, про такие вещи как пинч. вообще тема сетевой безопасности сегодня очень актуальна.
Пинч... Пинч как раз упаковщиками интересен :-) А в остальном - ищет файлы на дисках, которые содержат пароли и отправляет их хозяину. Сейчас пинчи идут чуть ли не трижды перепакованные, и чтобы скрыть что что-то тут не то, несут в себе картинку и показывают ее юзеру (если он якобы как картинка распространялся). И с видео были экземпляры.
Отличная статья. Действительно интересно. А вот что бы почитать, так хотелось бы именно из области - как правильно обустроить защиту. То есть рекомендуемые приложение, конечно кроме известных антивирусов и файрволлов, и конечно правильная настройка. Хотя, возможно это не то что вы, vilgeforce, хотели услышать :)
Опа, чуть коммент не пропустил :-)
Была мысль про это написать. Правда, слова типа "не пользуйтесь IE", "Не сидите под админом" приведут к холивару :-)
Была мысль про это написать. Правда, слова типа "не пользуйтесь IE", "Не сидите под админом" приведут к холивару :-)
vilgeforce, у Вас отличный слог! К тому же, освещаемые темы действительно интересны.
Собственно про настройки: я думаю, что холиваров не будет, если советы по настройке будут даваться не в форме "сделайте так - будет безопасно", а "у нас весь отдел сидит так-то - и никаких вирусов"
В действительности, нельзя полностью защититься только прогами. Было бы интересно узнать конфигурации, при которых обычному рядовому пользователю было бы наиболее безопасно сидеть в нете (во всех аспектах) и быть вне группы риска :) "не сидите под админом" - отличное в общем-то начало! )
Собственно про настройки: я думаю, что холиваров не будет, если советы по настройке будут даваться не в форме "сделайте так - будет безопасно", а "у нас весь отдел сидит так-то - и никаких вирусов"
В действительности, нельзя полностью защититься только прогами. Было бы интересно узнать конфигурации, при которых обычному рядовому пользователю было бы наиболее безопасно сидеть в нете (во всех аспектах) и быть вне группы риска :) "не сидите под админом" - отличное в общем-то начало! )
Не все ведь холиварщики :) Кто-то примет информацию к сведению обязательно. Вот я хотел спросить - читал местами, что если действительно не сидеть под админом, то большинство вирусов просто не сможет установиться. Это действительно так? Можно чуть подробнее осветить эту тему? Да и вообще, не только эту, но и другие сопутствующие - как предотвратить попадание и установку вируса, не считая использования антивируса.
Да, это действительно так: трояны пытаются спрятать свои файлы в системном каталоге венды. Если запретить туда запись вирус не сможет нормально работать. Также крайне полезным будет запрос на любые действия с сервисами и драйверами (запуск, установка, останов). И такие привилегии, вроде, только у админов.
Тут сложный вопрос, что лучше: сидеть под юзером и что надо запускать под админом (к сожалению не все, для некоторых вещей в винде необходимо перелогиниваться :(
или сидеть под админом или повер юзером и запускать все подозрительное под очень урезаным юзером.
Первый вариант банально не спасает от кражи данных, типа, паролей и пт.
Щас пользуюсь первым, но подумываю о переходе на второй. Интересно мнение специалиста по этому поводу ;)
или сидеть под админом или повер юзером и запускать все подозрительное под очень урезаным юзером.
Первый вариант банально не спасает от кражи данных, типа, паролей и пт.
Щас пользуюсь первым, но подумываю о переходе на второй. Интересно мнение специалиста по этому поводу ;)
Мне всегда было интересно, как в антивирусную базу достаточно небольшого размера помещается информация о детектировании и излечении ТАКОГО количества вирусов?
Например, по информации из раздела загрузок с вашего сайта:
drwebase.zip (2007-09-19, 17:12:20, records in the add-on: 209466) (размер 3 818 293 Байт)
Получается 209466/3818293=18.2 байт/вирус.
Не могли бы Вы немного приоткрыть для меня тайну, как грубо говоря в 18 байтах можно уместить инструкции для детектирования и лечения вируса? Какая информация там представлена и как она используется антивирусом?
Не прошу Вас раскрывать великие тайны, опишите настолько, насколько Вам позволят корпоративные политики. :)
Спасибо.
Например, по информации из раздела загрузок с вашего сайта:
drwebase.zip (2007-09-19, 17:12:20, records in the add-on: 209466) (размер 3 818 293 Байт)
Получается 209466/3818293=18.2 байт/вирус.
Не могли бы Вы немного приоткрыть для меня тайну, как грубо говоря в 18 байтах можно уместить инструкции для детектирования и лечения вируса? Какая информация там представлена и как она используется антивирусом?
Не прошу Вас раскрывать великие тайны, опишите настолько, насколько Вам позволят корпоративные политики. :)
Спасибо.
Как происходит внедрение этой DLL в адресное пространство заражаемых процессов? "дроппер, который скидывает анализируемую DLL на диск и прописывает ее в систему." Вот этот вопрос можно раскрыть?
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Вот про BitAccelerator я ничего не могу сказать. Коллега мой им вплотную занимался - ругался жутко.
Он сделан как плагин к IE, а для меня это сложная штука :-(
Он сделан как плагин к IE, а для меня это сложная штука :-(
У меня есть такая штуковина(это из аваста):
Вирус - SWF:CVE-2007-0071 [Expl]
Файл - C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\SYPO27CJ\i115[1].swf
Боролся с ним и задолбался.. ни каспер, ни веб, ни авг, ни нод ни аваст не берут. Удаляют этот файлик и всё по-новому. Это сообщение появилось при попытке открыть http://www.drweb.com/ Может вы подскажете что делать? Я из-за него на опенсюсе пересел, но это не панацея 8(
Вирус - SWF:CVE-2007-0071 [Expl]
Файл - C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\SYPO27CJ\i115[1].swf
Боролся с ним и задолбался.. ни каспер, ни веб, ни авг, ни нод ни аваст не берут. Удаляют этот файлик и всё по-новому. Это сообщение появилось при попытке открыть http://www.drweb.com/ Может вы подскажете что делать? Я из-за него на опенсюсе пересел, но это не панацея 8(
Пришлите файл на vilgeforce@gmail.com в архиве с паролем virus.
Верно ли я понимаю, что этот вирус обнаруживается при попытке зайти на drweb.com?
Верно ли я понимаю, что этот вирус обнаруживается при попытке зайти на drweb.com?
если я не ошибаюсь, gmail не принимает письма с архивами
он обнаруживается при соединении с любым сервером через ie и в 70% случаев соединений через мозиллу и оперу, причём забавно что при попытке зайти на мейл.ру в браузер выводится первые штук 10 букв куки (Cache-control Expires...) А яндекс-деньги просят ввести правильный пароль при попытке ввода правильного пароля. Вышлю сегодня из дома, он у меня домашний, я к нему даже немного привык 8)
здорово написано. спасибо!
Использование вместо explorer альтернативной оболочки к примеру sharpe-shell.org может помочь как привентивная мера в борьбе с такими заразами наряду с антивирусом и файерволом.
а как этот вирус попал к вам в руки?
Автор, спасибо за старания. Вы конечно таким делом можете удивить web-разработчиков и дизайнеров, аудитория которых на данном ресурсе преобладает. :)
Но давай не будем лукавить, то, что вы описываете - это случай самого обычного троянца. Ну что в нём интересного с точки зрения технологии? Если бы вы разобрали драйвер или описали процесс инжекта... хотя сомневаюсь, что там было бы что-нибудь интересного.
Вы говорили, что работаете в лаборатории Dr.Web, неужели ничего интересного выцепить не можете? Допустим, экземпляры с хорошими и оригинальными анти-эмуль трюками или целые семейства вирусов с продвинутыми техниками обфускации или даже виртуализации. Один из знакомых аналитиков давал посмотреть листинг malware, где использовались баги современных процессоров. Вот разбор такого материала - это действительно advanced :) Совсем другой уровень.
Может я неверно понимаю цель ваших текущих постов. Может вы просто ознакамливаете людей, но зачем тогда сувать асм-листинги и отладочные логи(в каком-то из прошлых ваших постов встречал), значит всё-таки ориентируетесь на более продвинутую аудиторию в этой области.
Но давай не будем лукавить, то, что вы описываете - это случай самого обычного троянца. Ну что в нём интересного с точки зрения технологии? Если бы вы разобрали драйвер или описали процесс инжекта... хотя сомневаюсь, что там было бы что-нибудь интересного.
Вы говорили, что работаете в лаборатории Dr.Web, неужели ничего интересного выцепить не можете? Допустим, экземпляры с хорошими и оригинальными анти-эмуль трюками или целые семейства вирусов с продвинутыми техниками обфускации или даже виртуализации. Один из знакомых аналитиков давал посмотреть листинг malware, где использовались баги современных процессоров. Вот разбор такого материала - это действительно advanced :) Совсем другой уровень.
Может я неверно понимаю цель ваших текущих постов. Может вы просто ознакамливаете людей, но зачем тогда сувать асм-листинги и отладочные логи(в каком-то из прошлых ваших постов встречал), значит всё-таки ориентируетесь на более продвинутую аудиторию в этой области.
Сорри, не понял, а как троян попадает в систему? Откуда берется "выполнение startup-кода"?
Интересно было бы почитать про файловые вирусы: Hi-Jack и иже с ним.
статья для журнала Ксакеп...
НЛО прилетело и опубликовало эту надпись здесь
По именам программ понятно, что троян нацелен, в первую очередь, на китайских пользователей.
/me всегда думал, что в китае red flag linux..
Спасибо за очередную интересную информацию!
Данный троян mayababy использовался как малая часть onlinegames'а загруженным другим даулоером отданным через эксплойты. MAYASYS это реинкарнация руткита BEEP.SYS тоже являющейся частью этого огромного боекомплекта.
ПС. Привет СВВ )
ПС. Привет СВВ )
Уважаемый, а знаком ли Вам вирус Sector.5 (DrWeb) или Sality.z (Kaspersky)? Победить то я его победил, но мне очень интересен следующий факт. Он внедряет в систему свой драйвер под именем aic32p, в качестве файла драйвера указывается случайно сгенерированное имя .sys файла в папке \system32\drivers. Так вот, я загружаюсь ERD Commander'ом, смотрю в папку system32\drivers и не вижу этого файла. Хотя, удаление или отключение этого драйвера из загрузки решает проблему с этим вирусом. Где же он все-таки хранит файл с драйвером?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вирусная стеганография