День святого вируса

[Kavu]

Спасибо, жду продолжения.... Сам люблю вири ковырять... И когда имел более менее успех в этом деле...

[nchaly]

"люблю" тут как-то не совсем подходит) какого рода успех?

[Ras_Dan]

Захватывающе :)

[nchaly]

да, "выпуск криминальной хроники" - http://nchaly.habrahabr.ru/blog/36497.ht…

[Mr_Floppy]

Интересно!
А с помощью каких инструментов исследуете?

[nchaly]

Да все как обычно - с помощью отладчика, дизассемблера и какой-то матери :)

[NotFound]

Похоже на выпуск криминальной хроники, если бы один компьютер показывал его другому :)

[nchaly]

имеете ввиду технические детали? или оформление?

[NotFound]

ну это общее мнение (позитивное, кст.)

[artyfarty]

спасибо, люблю подобное почитать.

[bi04ip]

Было бы хорошо, если бы этот пост стал началом цикла постов на эту тематику1

[nchaly]

я тоже за.

[redliner]

побольше бы таких постов, а то посты про вебстроительство уже стоят поперек горла

[vzasos]

хех... очень поддерживаю, но, к сожалению, тут "рулят популярные темы" ;)

[nchaly]

я тоже не прочь почитать популярные темы. но если такая узкоспециальная тема будет интересна хотя бы нескольким людям или кому-то поможет - это же совсем неплохо, по-моему

[VojToshik]

Спасибо! Жду продолжения!

[Kukalyakin]

Вот разрываюсь между двумя желаниями: при встрече с вирусописателем 1) пожать ему руку и 2) дать ему в морду.

[efix]

Пожми руку и, неотпуская, дай в морду! :)

[nchaly]

С просто писателем - ну можно поговорить о том, о сем. А вот к тем, кто выпускает таких зверей в живую природу, нужно примерять ректальный криптоанализ.

Как вспомню очереди людей на перепрошивку биоса раз в год, так вздрогну :)

Да и похоже, это дело становится на прочные рельсы товарно-денежных отношений.

[Alexsmt]

Неужели ВинЧих еще жив ? o0
Или это воспоминания давно минувших дней ?

[dir01]

будьте уверены, жив ) Много очень старого злого софта до сих пор живо. Например, на мой ирц-сервер регулярно заходят жертвы какого-то старого виря и ждут команд на запароленном скрытом канале. Жалко, я команд не знаю, а так стал бы владельцем маленького ботнетика машин на 600.

[nchaly]

дайте знать жертвам, будьте человеком :)

[dir01]

Ещё бы я мог до них достучаться =)))

[Tishka17]

/me зачем-то хранит на флэшке пару отукдато добытых виндовых вирусов....
Зачем они мне? Не знаю. Все равно мне их запускать негде (wine не считается)

[BigAlex]

>2. "valentine.exe" загружает драйвеР "diperto.sys"

> оригинальный файл скоМпилирован MINGW GCC

поправте, пожалуйста

[1mbrogli0]

так же поправьте:
Только он [ от? ] первой волны ..
котнролер [ kot`n`roll!)) ] служб Windows ..

[nchaly]

да, спасибо.

[Gard]

Хорошая статья, да и идея. Можно открыть отдельный коллективный блог по Reverse Engineering.
Также хотелось бы узнать инструментарий исследования, использовали ли вы виртуальные машины.
Хорошо что даны рекомендации по устранению бреши.

[Infthi]

создание блога категорически поддерживаю!

[Kavu]

да! создание блога так же поддерживаю... я бы сделал... да... не могу пока(

[nchaly]

инструментарий - отладчик и дизассебмлер, filemon от sysinternals. вмваре использовал, да.

[hitrec]

Интересно мне вот - а каков процент вирусов от общего числа, которые смогут злодействовать если использовать учётную запись пользователя или даже гостя, а не администратора???

Ни у кого нет такой статистики?

[nchaly]

думаю, стремится к нулю. единственный путь для таких вирусов - либо сначала повысить себе привелегии, либо вмешаться в процесс загрузки до включения механизмов разграничения прав. ну или еще как-то :)

[rengo]

Качественная, дорогая схема. Респект писателям.

[0xZ]

Кому интерестно, про "Штормого червя" , можете почитать тут:

Storm Worm: St.Valentine\'s wave

http://indetails.info/index.php?module=d…

[pipll]

Не знаю.. у меня teaTimer из комплекта Spybot-S&D спрашивает
можно ли процессу прописываться в реестр или нет.
Так что таких проблем не наблюдаю.