Comments 34
В двух словах: «даже хорошие вещи можно использовать во зло». История человечества пестрит такими примерами.
Интересно, почему минусуют топик? Сказывается уныние понедельника, а автор тут со своими веселыми картинками лезет?
Поднимается достаточно серьезная проблема, когда в одной точке сталкиваются интересы компаний и пользователей, причем эти интересы внутри одной группы могут быть диаметрально противоположными (одни пользователи атакуют вопросом «где мои миллионы?», а другие — «почему легальное ПО обнаруживается антивирусом?», а половина антивирусов, несмотря на локальную эпидемию и ухом не ведет.
Разноцветная табличка показывает насколько плачевна на данный момент ситуация. Школьникам теперь и криптовать ничего не надо — бери и используй подписанный софт. Не умеешь делать bat-файлы? Нажал в билдере «Создать» и все готово.
Хотелось бы услышать комментарии от представителей компании TektonIT: как именно и как часто они помогают правоохранительным органам и в каких случаях (раз уж они об этом сами заявили).
Комментарий от Лаборатории Касперского тоже был бы уместен — они же исследовали эту тему и могут подтвердить (или опровергнуть) изложенные в статье утверждения. Но проще, наверное, дождаться комментарий от ЕСЕТа — они на Хабре тусуются и постоянно какие-то новости из мира информационной безопасности рерайтят и тащат на Хабр.
По статье:
1. Вывод бы на самом деле не повредил.
2. Чем обусловлен выбор антивирусов для тестирования? Почему взяли Zillya?
3. А от себя замечу: с RMS так было не всегда. Когда-то он не обнаруживался антивирусами (об это можно прочесть на форумах).
Если TeamViewer начнут широко использовать в таких целях, то с ним повторится такая же история.
4. Если посылать в техподдержку (в вирусную лабораторию) Avira/AVG/Norton (ну, и другие) файлы rutserv, то что они ответят?
5. Орфография на скриншотах — огонь.
6. Тема серьезная, а язык написания статьи слишком шутливый для этого. Постарайтесь в следующий раз поменьше иронизировать и шутить, тем более в понедельник, но от меня все равно +
Поднимается достаточно серьезная проблема, когда в одной точке сталкиваются интересы компаний и пользователей, причем эти интересы внутри одной группы могут быть диаметрально противоположными (одни пользователи атакуют вопросом «где мои миллионы?», а другие — «почему легальное ПО обнаруживается антивирусом?», а половина антивирусов, несмотря на локальную эпидемию и ухом не ведет.
Разноцветная табличка показывает насколько плачевна на данный момент ситуация. Школьникам теперь и криптовать ничего не надо — бери и используй подписанный софт. Не умеешь делать bat-файлы? Нажал в билдере «Создать» и все готово.
Хотелось бы услышать комментарии от представителей компании TektonIT: как именно и как часто они помогают правоохранительным органам и в каких случаях (раз уж они об этом сами заявили).
Комментарий от Лаборатории Касперского тоже был бы уместен — они же исследовали эту тему и могут подтвердить (или опровергнуть) изложенные в статье утверждения. Но проще, наверное, дождаться комментарий от ЕСЕТа — они на Хабре тусуются и постоянно какие-то новости из мира информационной безопасности рерайтят и тащат на Хабр.
По статье:
1. Вывод бы на самом деле не повредил.
2. Чем обусловлен выбор антивирусов для тестирования? Почему взяли Zillya?
3. А от себя замечу: с RMS так было не всегда. Когда-то он не обнаруживался антивирусами (об это можно прочесть на форумах).
Если TeamViewer начнут широко использовать в таких целях, то с ним повторится такая же история.
4. Если посылать в техподдержку (в вирусную лабораторию) Avira/AVG/Norton (ну, и другие) файлы rutserv, то что они ответят?
5. Орфография на скриншотах — огонь.
6. Тема серьезная, а язык написания статьи слишком шутливый для этого. Постарайтесь в следующий раз поменьше иронизировать и шутить, тем более в понедельник, но от меня все равно +
Могу предположить то минусуют не из за того что статья плохая, а просто чтоб она не появилась на главной… Представляете сколько молодых, неокрепших умов ринется «хакать» всех подряд? Естественно это только моё мнение, не знаю насколько оно совпадает с действительностью.
Может быть так, но что-то я сомневаюсь, что среднестатистический читатель подумал об этом и из идеологических соображений заминусовал. Но даже если так, то на мой взгляд это как раз надо выводить в массы (именно в легальные массы, а не в массы в хакерском подполье), потому что там это итак распространено очень сильно — на каждом быдлохакерском сайте/форуме есть про это тема(ы) — специально воспользовался Google.ru, так что эти молодые умы про RMS знают. А вот знают ли об этом антивирусы и обычные пользователи?
6) Зря вы так. Правильная подача материала — великое дело. Хорошо, когда могут писать с огоньком, а не нудно и важно.
Жаль, что с MSE не проверили.
Жаль, что с MSE не проверили.
UFO just landed and posted this here
Всем привет!
Извините, что долго не отвечал на комментарии, итак по замечаниям к статье:
1)Выводы нужно-было конечно сделать, но основной вывод вытекает из статьи, т.е. мы хотели показать, что в качестве троянов можно использовать вполне легальные и безусловно нужные программы для администрирования, ведь РМС это не единственная программа, их ОЧЕНЬ много и ко многим есть похожие сборки как описанные в статье…
В качестве примера можно привести радмин, но при помощи легальных программ делают не только «Ботов» можно ещё привести в пример программы для восстановления паролей, кстати эти программы часто используют для создания стиллеров — т.е. программ, которые воруют пароли браузеров и т.д., если это интересно могу рассказать про это более подробно в коментах, или написать отдельную статью!
2)Хочу отметить про реакцию антивирусов:
Если проверять легальные файлы rutserv сканерами (По требованию), то будет такая реакция как Not-A-Virus Remote Admin или что-то похожее в зависимости от антивируса, НО если будет установка сборки при включенном мониторе, ТО ПРИ НАСТРОЙКАХ ПО УМОЛЧАНИЮ, будет произведена установка без всяких уведомлений…
Хочу ещё отметить про наш выбор антивирусов, мы хотели проверить топовые (на наш взгляд) антивирусы + несовсем раскрученные решения что-бы сравнить реакцию решений, этим и обуславливается выбор Zillya!, Nano, VBA32!
Извините, что долго не отвечал на комментарии, итак по замечаниям к статье:
1)Выводы нужно-было конечно сделать, но основной вывод вытекает из статьи, т.е. мы хотели показать, что в качестве троянов можно использовать вполне легальные и безусловно нужные программы для администрирования, ведь РМС это не единственная программа, их ОЧЕНЬ много и ко многим есть похожие сборки как описанные в статье…
В качестве примера можно привести радмин, но при помощи легальных программ делают не только «Ботов» можно ещё привести в пример программы для восстановления паролей, кстати эти программы часто используют для создания стиллеров — т.е. программ, которые воруют пароли браузеров и т.д., если это интересно могу рассказать про это более подробно в коментах, или написать отдельную статью!
2)Хочу отметить про реакцию антивирусов:
Если проверять легальные файлы rutserv сканерами (По требованию), то будет такая реакция как Not-A-Virus Remote Admin или что-то похожее в зависимости от антивируса, НО если будет установка сборки при включенном мониторе, ТО ПРИ НАСТРОЙКАХ ПО УМОЛЧАНИЮ, будет произведена установка без всяких уведомлений…
Хочу ещё отметить про наш выбор антивирусов, мы хотели проверить топовые (на наш взгляд) антивирусы + несовсем раскрученные решения что-бы сравнить реакцию решений, этим и обуславливается выбор Zillya!, Nano, VBA32!
А про свидомый украинский национальный антивирус Zillya! вы нам сможете поведать какую-нибудь конспирологическую теорию (типа как про VBA32)?
Как-то меня начали минусовать, причем наверняка за использование слова «свидомый», что перевести можно как «сознательный». Использовал я его из-за того, что новостные украинские сайты сами теперь суют это слово чуть ли не в каждое предложение.
А вопрос я задал с намеком, ведь к Zillya можно придраться за некрасивое поведение:
1. После указа Турчинова о создании нац. ОС и антивируса Zillya активно начала в СМИ валить Касперского как пособника российских спецслужб
2. Олег Сыч (один из видных людей в Zillya) начал кампанию по дискредитации антивирусных тестов, обвиняя их в предвзятости, спонсорстве, дороговизне, заказности. Действительно, зачем самим улучшать детект, если можно занизить других.
3. Антивирус не покладая рук борется с Adware, поэтому при установке он ставит яндекс-бар
Поэтому мой укол в сторону Zillya достаточно обоснован, тем более слово «свидомый» это не ругательство на их диалекте.
А вопрос я задал с намеком, ведь к Zillya можно придраться за некрасивое поведение:
1. После указа Турчинова о создании нац. ОС и антивируса Zillya активно начала в СМИ валить Касперского как пособника российских спецслужб
2. Олег Сыч (один из видных людей в Zillya) начал кампанию по дискредитации антивирусных тестов, обвиняя их в предвзятости, спонсорстве, дороговизне, заказности. Действительно, зачем самим улучшать детект, если можно занизить других.
3. Антивирус не покладая рук борется с Adware, поэтому при установке он ставит яндекс-бар
Поэтому мой укол в сторону Zillya достаточно обоснован, тем более слово «свидомый» это не ругательство на их диалекте.
Вот вы все хорошо написали — и о переводе «сознательного», и об антивирусе, и о не ругательстве. А затем обозвали украинский язык диалектом. Я вас не минусовал и сейчас не буду, но вы почему-то очень старательно провоцируете это.
Я серьезно считаю, что это вариация того языка, на котором говорили в средние века, при разделении в разных концах страны, которые были под властью то одной страны, то другой формировались диалекты, в Московском княжестве один, в районе (условно) Минска другой, западнее Киева третий. В итоге относительно того языка все текущие — диалекты, а если следить по государственности и по количеству людей, то корневым языком считается текущий русский, а остальные — диалекты.
Это азы лингвистики, не хотел кого-то обидеть.
Это азы лингвистики, не хотел кого-то обидеть.
В любом случае предлагаю не мешать политику и антивирусы, ром отдельно, как говорится. Иначе получается вот подобный бред: www.anti-malware.ru/forum/index.php?showtopic=28414&st=20
Согласитесь, что от «антивирус сливает данные спецслужбам» до «спецслужбы РФ организовали рассылку вирусов» всего один шаг, причем, он был сделан.
Согласитесь, что от «антивирус сливает данные спецслужбам» до «спецслужбы РФ организовали рассылку вирусов» всего один шаг, причем, он был сделан.
Батенька, Ну какие средние века? Окститесь.
После 1917 года один язык разделили на 3 (русский, белорусский и украинский) и нарисовали границы.
Результат этих «реформ» чужими, начинаем пожинать МЫ сейчас, правнуки одной нации и одной страны.
PS: Это не политика, это уточнение.
После 1917 года один язык разделили на 3 (русский, белорусский и украинский) и нарисовали границы.
Результат этих «реформ» чужими, начинаем пожинать МЫ сейчас, правнуки одной нации и одной страны.
PS: Это не политика, это уточнение.
Разумеется про 1917 забывать нельзя, но достаточно сильные языковые различия (сильнее простых акцентов) уже имели строгую тенденцию в 15-16 вв. при небезызвестном «общении» с Речью Посполитой/Великим Княжеством Литовским.
Это про язык, а не про политику, если что.
Это про язык, а не про политику, если что.
Я тоже про язык.
Я в свое время увлекался дореволюционными изданиями и меня просто шокировало как вот так взяли и создали искусственно 3 языка из одного, я тогда не понимал зачем? Теперь понятно.
А на счет языковых различий так это и сейчас есть, сравнить жаргонные местные выражения на Кубане, Урале и Дальнем востоке.
Так что не паханное поле для создания еще пару десятков языков.
Такими темпами аналоги Гелихоптера будут и в других славянских языках. (смайлик по вкусу)
Я в свое время увлекался дореволюционными изданиями и меня просто шокировало как вот так взяли и создали искусственно 3 языка из одного, я тогда не понимал зачем? Теперь понятно.
А на счет языковых различий так это и сейчас есть, сравнить жаргонные местные выражения на Кубане, Урале и Дальнем востоке.
Так что не паханное поле для создания еще пару десятков языков.
Такими темпами аналоги Гелихоптера будут и в других славянских языках. (смайлик по вкусу)
UFO just landed and posted this here
А вообще про многие антивирусы можно поведать конспирологическую теорию:
Приведу несолько примеров:
1)Раз уж вспомнили антивирус Zilly!, то если не ошибаюсь то не так давно они провели исследование по поводу как ЛК шпионит за пользователями и особенно за Украиной, вот нашёл эту статью:http://ain.ua/2014/05/27/525970
2)Про антивирус Нортон, Китай отказался от их решений, тоже кстати не так давно:http://www.rg.ru/2014/07/11/china-symantec-site.html
А вообще в силу существующих реалий, многие задумываются и особенно гос. структуры, а на сколько безопасны решения, при-чём не только антивирусы ну и сама система, ведь как известно тот-же Китай отказался от Windows 8 из-за подозрения в шпионаже!
А ведь действительно почти у всех антивирусов есть так называемая «Облачная сеть», в которую могут отправляться конфиденциальные данные пользователя, на сколько эти данные могут-быть скомпроментированы вопрос?
Приведу несолько примеров:
1)Раз уж вспомнили антивирус Zilly!, то если не ошибаюсь то не так давно они провели исследование по поводу как ЛК шпионит за пользователями и особенно за Украиной, вот нашёл эту статью:http://ain.ua/2014/05/27/525970
2)Про антивирус Нортон, Китай отказался от их решений, тоже кстати не так давно:http://www.rg.ru/2014/07/11/china-symantec-site.html
А вообще в силу существующих реалий, многие задумываются и особенно гос. структуры, а на сколько безопасны решения, при-чём не только антивирусы ну и сама система, ведь как известно тот-же Китай отказался от Windows 8 из-за подозрения в шпионаже!
А ведь действительно почти у всех антивирусов есть так называемая «Облачная сеть», в которую могут отправляться конфиденциальные данные пользователя, на сколько эти данные могут-быть скомпроментированы вопрос?
Китай там просто от зарубежных отказался, от Нортона также как и от Касперского. А украинские товарищи просто рынок захватить пытаются, потому и агрессивный маркетинг, тем более такие сообщения на текущей политической волне СМИ подхватят и понесут. А по технологиям наглядно, да. Антивирус на постсоветском пространстве, но бороть RMS не может, лучше Каспера в гуан макнуть, проще ведь и пользы для бизнеса больше.
В статье не написал, но хочу добавить как можно защититься от таких сборок:
1)Не отключать UAC, т.к. большинство таких сборок требуют админских прав и устанавливаются как сервисы виндовс + такие трояны часто склееваются с mp3, avi и прочей полезной нагрузкой, поэтому если при клике на видяшке загадочно появилось окошко о повышении привелегий, нужно всерьёз задуматься а не вирус-ли это.
2)К сожалению если сборка патченная (А в нашей статье такая сборка тоже рассматривалась), то она может и не дербанить UAC, тут-может помочь следующее:
2.1)Конечно нужно регулярно обновлять АВ, т.к. как показало наше исследования специалисты АВ отслеживают эти сборки и добовляют их в базы;
2.2)Для успокоения можно включить в антивирусах опцию «Обнаруживать потенциально-опасное ПО», эта опция может называться по разному в зависимости от АВ, но суть та-же, тогда антивирус будет обнаруживать попытку установки таких программ…
2.3)Как я уже сказал, что такой софт часто «склеевается» с полезной нагрузкой (Хоть и вес получается большой), смысл такой, а я недавно как-раз и скачал такой троян с торрента, так-вот:
Качал я музыку с торрента, и мой антивирус задетектил файл с расширением mp3 с таким вердиктом BackDoor.RMS.45…
Оказался патченный РМС, но даже если-бы АВ незадетектил, у меня у файервола включен контроль на запуск новых exe файлов, смысл такой что даже если я попробую запустить склеенный, либо скрытый вирус моя защита среагирует на запуск нового исполняемого файла, а если это mp3 либо картинка то это вызовет подозрение…
У многих файерволов есть такие настройки, но понятно что включение такой опции может повлечь за собой неудобство связанное с запросами к пользователю!
Ну и если ещё возникли вопросы по статье, задавайте! ;)
1)Не отключать UAC, т.к. большинство таких сборок требуют админских прав и устанавливаются как сервисы виндовс + такие трояны часто склееваются с mp3, avi и прочей полезной нагрузкой, поэтому если при клике на видяшке загадочно появилось окошко о повышении привелегий, нужно всерьёз задуматься а не вирус-ли это.
2)К сожалению если сборка патченная (А в нашей статье такая сборка тоже рассматривалась), то она может и не дербанить UAC, тут-может помочь следующее:
2.1)Конечно нужно регулярно обновлять АВ, т.к. как показало наше исследования специалисты АВ отслеживают эти сборки и добовляют их в базы;
2.2)Для успокоения можно включить в антивирусах опцию «Обнаруживать потенциально-опасное ПО», эта опция может называться по разному в зависимости от АВ, но суть та-же, тогда антивирус будет обнаруживать попытку установки таких программ…
2.3)Как я уже сказал, что такой софт часто «склеевается» с полезной нагрузкой (Хоть и вес получается большой), смысл такой, а я недавно как-раз и скачал такой троян с торрента, так-вот:
Качал я музыку с торрента, и мой антивирус задетектил файл с расширением mp3 с таким вердиктом BackDoor.RMS.45…
Оказался патченный РМС, но даже если-бы АВ незадетектил, у меня у файервола включен контроль на запуск новых exe файлов, смысл такой что даже если я попробую запустить склеенный, либо скрытый вирус моя защита среагирует на запуск нового исполняемого файла, а если это mp3 либо картинка то это вызовет подозрение…
У многих файерволов есть такие настройки, но понятно что включение такой опции может повлечь за собой неудобство связанное с запросами к пользователю!
Ну и если ещё возникли вопросы по статье, задавайте! ;)
Лет 12 назад, когда был молодым и глупым, с помощью уязвимости RPC в Windows системах поломал кучу компов и залил туда свою сборку с radmin-ом, которая полностью активировалось простым BAT-ником. Он даже тогда был очень удобен и компактен. Потом написал свой шелл для заливки файлов, остановки / запуска сервисов. Никакие антивирусы на это вообще никак не реагировали. Так что технология эта очень не нова, просто немного меняются средства.
Что меня из всего этого удивило это легкость с которой все это проделывалось и беспечность пользователей, даже сисадминов, не расстававшихся с консолью линукса.
Наверно именно это меня подвигло пойти работать в сферу информационной безопасности, в которой и работаю уже больше 10 лет.
Считаю, что бороться эффективней в данной ситуации не сложностью и изощренностью антивирусных средств, а просветительством пользователей.
Что меня из всего этого удивило это легкость с которой все это проделывалось и беспечность пользователей, даже сисадминов, не расстававшихся с консолью линукса.
Наверно именно это меня подвигло пойти работать в сферу информационной безопасности, в которой и работаю уже больше 10 лет.
Считаю, что бороться эффективней в данной ситуации не сложностью и изощренностью антивирусных средств, а просветительством пользователей.
А штатный «антивирус» от Microsoft (Microsoft Security Essentials) как-то реагирует на подобное П.О.?
Это конечно наше небольшое упущение, что Майкрософт не потестили реакцию на билды, но сейчас собрал и проверил свою сборку + скрипты для закрытия окон на Windows 8, майкрософт никак не реагирует на билд, скажу больше т.к. у файла rutserv.exe имеется цифровая подпись, то идёт автоматическое добавление РМС в исключение файервола Windows…
Хочу ещё добавить про реакцию АВ, что-бы не быть голословным, залил файл rutserv.exe на VirusTotal:
www.virustotal.com/ru/file/57ae1d78909fede3aa45037bfb5402204c13b162d85f553448f2767bb8ceb397/analysis/1412067599/
Как видите сканеры большинства антивирусов обнаруживают как Riskware.RemoteAdmin, НО как я уже писал здесь при запуске большинство АВ никак не реагируют (При настройках по умолчанию)…
Кстати майкрософт как раз никак незадетектил наш «Троян»! ;)
Тоже и с Comodo, на запуск не проверял, но он не видит РМС на VT…
Хочу ещё добавить про реакцию АВ, что-бы не быть голословным, залил файл rutserv.exe на VirusTotal:
www.virustotal.com/ru/file/57ae1d78909fede3aa45037bfb5402204c13b162d85f553448f2767bb8ceb397/analysis/1412067599/
Как видите сканеры большинства антивирусов обнаруживают как Riskware.RemoteAdmin, НО как я уже писал здесь при запуске большинство АВ никак не реагируют (При настройках по умолчанию)…
Кстати майкрософт как раз никак незадетектил наш «Троян»! ;)
Тоже и с Comodo, на запуск не проверял, но он не видит РМС на VT…
Где мой пирожок с капустой?
С cmd-файлами у Microsoft и Comodo аналогично плачевная ситуация?
С cmd-файлами у Microsoft и Comodo аналогично плачевная ситуация?
Проверил реакцию на батники, к сожалению результат неахти у обоих антивирусов, если говорить про нашу таблицу то результат на уровне VBA32 и Zillya!
Если честно то Comodo неприятно удивил!
Если честно то Comodo неприятно удивил!
но и для продажи людям с избытком каких-то гормонов — доступы к компьютерам девушек, которые часто находятся перед компьютером в раздетом виде.
Лампочка же загорается.
Если честно тоже долго не мог понять как-же они обходят светодиод?
Даже несколько раз задавал у «Бывалых» такой вопрос и никто внятно не мог ответить!
В этоге понял что во первых не все камеры имеют этот светодиод, либо он расположен в незаметном месте, а во вторых есть категория людей которые просто проигнорируют эту индикацию, а действительно есть люди для которых компьютер это соц. сеть, посмотреть кино, послушать музыку и всё…
Такие люди мало что знают в компьютерах, ну зажгётся лампочка и что, есть вероятность что ничего даже не заподозрят, как-то так! ;)
Даже несколько раз задавал у «Бывалых» такой вопрос и никто внятно не мог ответить!
В этоге понял что во первых не все камеры имеют этот светодиод, либо он расположен в незаметном месте, а во вторых есть категория людей которые просто проигнорируют эту индикацию, а действительно есть люди для которых компьютер это соц. сеть, посмотреть кино, послушать музыку и всё…
Такие люди мало что знают в компьютерах, ну зажгётся лампочка и что, есть вероятность что ничего даже не заподозрят, как-то так! ;)
Традиционная копипаста с КМП про веб-камеры:
История самого большого развода… Короче мне купила мама на днюху ноут, я попросила друга настроить все, скачать нужные программы, игрушки. Когда он уходил, я спросила «Почему возле веб-камеры горит огонек». Он сказал «Это значит, что она исправна. Если тебя раздражает, можно заклеить огонек специальным стикером, такие продают в комп. магазинах». Достал что-то типа маленького черного пластыря и огонек заклеил. Прошло два года, с другом я тем уже давно не общаюсь, мы разругались, но все это время пластырь прикрывал горящий огонек, пока не истрепался и я не пошла в компьютерный магазин купить еще таких наклеек, и где мне сказали, что таких наклеек нет и если у камеры горит огонек, а я ее не включала — значит, за мной наблюдают. Ну вы все поняли, да? Я уже седьмую ночь не могу уснуть и вспоминаю все, чем я занималась в комнате при включенном ноуте. Стреляйте...
Наверное, мало кто вспомнил, что на Хабре когда-то была статья потерпевшего от RMS: habrahabr.ru/post/134862/
Кто не читал — рекомендую.
Кто не читал — рекомендую.
Sign up to leave a comment.
Разрешите вас отадминить?