Комментарии 38
Вирус за 1 секунду
rm -rf /*
Осталось только добавить возможность «заразить» им компьютер без ведома пользователя, добавить некоторе условие срабатывания, ну и научить отправлять украденную информацию на некоторый удаленный сервер.
А как же sudo?)
А если серьезно — не претендую на звание автора самого простого вируса. Тут посыл чуть-чуть в другом…
А если серьезно — не претендую на звание автора самого простого вируса. Тут посыл чуть-чуть в другом…
Посыл в том, что вирус написать очень легко, вот вам пример, а антивирус от него защитит, поэтому желательно использовать антивирусы, но тут есть одно но. Вирус то тут не написан, т.к. самая главная фича вируса отсутствует, которую реализовать как раз таки действительно сложно, соответственно, антивирус против такого вируса вообще не нужен, что совершенно нивелирует главный посыл статьи.
главная фича вируса отсутвует
Вы имеете ввиду способность к саморазмножению?
Она реализована в функции Registr, при первом запуске программа создает свою копию в Program Files (x86).
Более того, если придерживаться классической классификации, которую я урезанно привел выше, то даже без воровства паролей это уже можно назвать вирусом, в частности — червем.
Другой вопрос, насколько определение Коэна совпадает с реальностью…
Уточните, как можно поймать происходящее без антивиря и регулярного мониторинга реестра/системных папок?
главной фичей я считаю заражение без участия пользователя, т.е. использование каких-нибудь не залатанных уязвимостей приложений или ОС, ну или хотя бы какое-нибудь несанкционированное повышение прав. В итоге, нет смысла осуществлять мониторинг реестра и пр, если на компьютер все-равно ничего не попадет.
Ничто не мешает встроить вирусный код в инсталлер любой пиратской программы, осознанного участия пользователя не потребуется.
Не стоит забывать, что тут, в частности на Хабре, сидит народ в массе своей просвещенный в IT кругах. За его пределами же немало пользователей Амиго и Яндекс.Бара.
А если по сабжу — классически простейшим вирусом Коэн вообще охарактеризовал вот эту строчку
Все, чъе поведение попадает под этот алгоритм формально считается вирусом.
Не стоит забывать, что тут, в частности на Хабре, сидит народ в массе своей просвещенный в IT кругах. За его пределами же немало пользователей Амиго и Яндекс.Бара.
А если по сабжу — классически простейшим вирусом Коэн вообще охарактеризовал вот эту строчку
V:=[F=RANDOM-FILE-NAME; COPY V TO F;]
Все, чъе поведение попадает под этот алгоритм формально считается вирусом.
Какой же это вирус? Это обыкновенная подлянка. Вирус должен размножаться, причем без посторонней помощи. А подлянку делать не обязан.
НЛО прилетело и опубликовало эту надпись здесь
Я ещё помню в журнале Хакер в начале 2000х была статья с кодом программы Hard drive killer, которая секунд за 5-7 чистила жесткий диск. Мы все её тогда перепечатали и запустили :-) Потом друзьям давали на дискетах и в сети шарили =) Никакой антивирус не поможет запустить из любопытства.
сейчас, когда базовый вирус умеет написать каждый старшеклассникВообще-то старшеклассники в основном этим всегда и занимались.
дожили… вирусу требуется дотнет… еще небось потребует нужную поставить.
и весит под сотню килобайт.
и весит под сотню килобайт.
У меня завёлся страшный вирус: когда нажимаю shift+del. удаляет файлы так, что и в корзине не найти. Ни один антивирус не спасает.
НЛО прилетело и опубликовало эту надпись здесь
Я бы на вашем месте с осторожностью относился к публикации подобный статей. Такой материал может квалифицироваться правоохранительными органами как распространение вредоносного программного обеспечения. И ваши мотивы их волновать не будут.
Добавьте вашему «вирусу» инсталлятор что ли…
В большинстве случаев в долгосрочной перспективе антивирус вредит хуже любого вируса. Тормозит систему, иногда блокирует нужные файлы (например результаты сборки), отправляет все что вздумается себе якобы на проверку (привет Касперский). Чем не вирус?
Ни разу не видел у коллег (а это в большинстве очень грамотные специалисты с большим стажем) антивируса.
Сам ими перестал пользоваться лет эдак 10 назад когда понял что если у тебя файрволл, адблок и ты не открываешь что попало из интернета и не ставишь непроверенного ПО, то шансы подцепить что либо сводятся к нулю.
А если вы все таки горите желанием запустите сомнительный экзешник, то всегда есть замечательный веб сервис VirusTotal который срабатывает лучше одного отдельно взятого антивируса (там их около 60 по моему). И даже загружать файл часто не потребуется, если его проверил кто-то раньше, ибо хеш и результаты проверки сохраняются.
Ни разу не видел у коллег (а это в большинстве очень грамотные специалисты с большим стажем) антивируса.
Сам ими перестал пользоваться лет эдак 10 назад когда понял что если у тебя файрволл, адблок и ты не открываешь что попало из интернета и не ставишь непроверенного ПО, то шансы подцепить что либо сводятся к нулю.
А если вы все таки горите желанием запустите сомнительный экзешник, то всегда есть замечательный веб сервис VirusTotal который срабатывает лучше одного отдельно взятого антивируса (там их около 60 по моему). И даже загружать файл часто не потребуется, если его проверил кто-то раньше, ибо хеш и результаты проверки сохраняются.
НЛО прилетело и опубликовало эту надпись здесь
А как пользоваться этой песочницей? Не надо ещё с десяток гигабайт на виртуальную машину на hyperv для тестирования блокнота?
Ну, на VT только статический детект. Хочешь динамику — будь добр покупай биточек и иди на всякие динчеки.
Хотя конечно согласен с Вами, АВ в наше время это прерогатива людей средней или низкой квалификации, но никак не технических специалистов по ИБ =)
Хотя конечно согласен с Вами, АВ в наше время это прерогатива людей средней или низкой квалификации, но никак не технических специалистов по ИБ =)
У автора проблема с классификацией. Все вредоносные программы называет вирусами.
И привёл «индусский вирус» в пример.
P.S.
Если кому-то понадобится работать с DPAPI, рекомендую использовать класс ProtectedData.
Вместо тысячи слов, простой вызов одной функции ProtectedData.Unprotect.
И привёл «индусский вирус» в пример.
P.S.
Если кому-то понадобится работать с DPAPI, рекомендую использовать класс ProtectedData.
Вместо тысячи слов, простой вызов одной функции ProtectedData.Unprotect.
Куда оно сохраняется для автозапуска? Если в Program files, то кто вам даст права? А если в пользовательский каталог, то с чего оно должно вообще запуститься? (То, что по-дефолту там проходной двор, не значит, что все оставляют дефолт)
Не, если использовать разные уязвимости для удаленного выполнения кода и повышения прав, то и это будет работать, только такие уязвимости найти совсем не просто и требует навыков, и знаний.
Не, если использовать разные уязвимости для удаленного выполнения кода и повышения прав, то и это будет работать, только такие уязвимости найти совсем не просто и требует навыков, и знаний.
Судя по многочисленным высказываниям, Microsoft проделала отличную работу. Начиная с XP планомерно скупала и внедряла в ОС системные инструменты.
Дефрагметатор, memtest, бэкап разделов, антивирус, фаерволл, шифрование диска, портабельность, цифровая подпись исполняемых файлов.
Иногда люди считают что безопасное поведение спасёт их от сетевого червя. Вы просто забыли что, раньше этого всё не было встроено в систему. Многие уязвимости типа EternalBlue, показывают что ваши методы (не запускать подозрительные письма, не ходить на разные сайты, не скачивать и не запускать разные приложения) не работают в случае сетевых червей. Только фаерволл, smart screen, встроенный антивирус, защищают вас.
Дефрагметатор, memtest, бэкап разделов, антивирус, фаерволл, шифрование диска, портабельность, цифровая подпись исполняемых файлов.
Иногда люди считают что безопасное поведение спасёт их от сетевого червя. Вы просто забыли что, раньше этого всё не было встроено в систему. Многие уязвимости типа EternalBlue, показывают что ваши методы (не запускать подозрительные письма, не ходить на разные сайты, не скачивать и не запускать разные приложения) не работают в случае сетевых червей. Только фаерволл, smart screen, встроенный антивирус, защищают вас.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Базовый вирус за 20 минут или почему стоит пользоваться антивирусом