Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 17
Читая статью, вдруг подумал: а каково читать такое автору TDL и прочих зверушек? Что чувствуют? Гордость от того что их труды оказались живучи? Злость что их зверушку препарировали и выяснили то что они так хитро пытались спрятать? Или удовлетворение вида: «ха, а вы еще не всё знаете...»
А в целом статья познавательная, спасибо.
А в целом статья познавательная, спасибо.
Интересно способны ли подобного рода буткиты обнаружить и преодолеть защиту типа Shadow Defender?
А в EFI буткиты ещё не научились встраивать?
На тему писалось много и самого разного уровня: от профессиональных обзоров, до статей для масс. Ещё раз попробуем свести всё вместе? Ну-ну…
TDL1 и TDL2 — уже история более чем трёхлетней давности. TDL3 тоже доживает свой век. Про TDL4, ZeroAccess и прочее злободневное (но тоже уже порядком изжёванное) — ни слова.
Давайте ещё про Win.CIH поговорим, чего уж там…
TDL1 и TDL2 — уже история более чем трёхлетней давности. TDL3 тоже доживает свой век. Про TDL4, ZeroAccess и прочее злободневное (но тоже уже порядком изжёванное) — ни слова.
Давайте ещё про Win.CIH поговорим, чего уж там…
Об этом будет далее написано. Не хотите жевать — не жуйте =) Тут полно людей, которые с удовольствием почитают мою писанину. Собственно говоря, я и начал писать, потому что заеб устал искать, где все будет в одном месте написано. Особенно, если учесть, что большинство толковых отчетов — на английском языке.
Плохо искали, значит. Начните с блогов Касперского и ДрВеба.
Впрочем, Вы правы: будем рассматривать Вашу статью как Ваш личный блокнот. Кому это будет интересно — посмотрим, оценка покажет.
Имхо, статья ни о чём — но это моё мнение.
Впрочем, Вы правы: будем рассматривать Вашу статью как Ваш личный блокнот. Кому это будет интересно — посмотрим, оценка покажет.
Имхо, статья ни о чём — но это моё мнение.
очень нравится ваш цикл статей. продолжайте в том же духе, спасибо!
Уважаемые читатели, большое вам спасибо за поддержку. Естественно, на этом ресурсе есть пользователи, которым по каким-то причинам (каким, мне так никто и не высказал) не нравится мое творчество. Я здесь пишу не ради рейтинга или кармы. Во-первых, мне интересно в этом разбираться, причем не так детально, как описывают сотрудники антивирусных компаний. Во-вторых, я буду только рад, если кто-то начнет понимать какие-то моменты лучше. Конечно, мне немного неприятно, когда мои опусы называют никому не нужными, но по голосованию я вижу, что это не так. Так что, уважаемые товарищи критики, можете продолжать свои выпады. Только не отожествляете свое мнение с мнением большинства заинтересованных людей. А я продолжу растекаться словом по экрану ваших мониторов =)
TDL-3 перехватывал обращения к диску и в случае просмотра его «личных» секторов возвращал их содержимое в исходном, неизмененном виде.Где хранилось исходное содержимое перезаписаных секторов?
Ссылка может вести как на вредоносный сайт (например, для установки другого ВПО)
Непонятно, зачем переадресовывать на сайт для загрузки впо, если можно выполнить команду DownloadAndExecute
Например, для организации партнерки — в случае, если у злоумышленников нет конечного exe файла для распространения, или этот файл должен меняться все время (в зависимости от географического расположения), или при использовании server-side полиморфизма. Таким образом, логика распространения переносится на сервер и нет необходимости постоянно менять боту свой конфиг. Кроме того, вредоносный сайт может не устанавливать ВПО, а использоваться как средство увода паролей, то есть представлять собой копию страницы авторизации легитимного сайта.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Больше руткитов — «хороших» и разных. Part I