Comments 108
UFO just landed and posted this here
+1
Спасибо за подробный бетатест-отчет для незадачливых разработчиков трояна. Они вам, наверняка, скажут спасибо. :)
В целом интересно и зря вы так себя скромно недооцениваете, какой же вы начинающий?
Дебагер какой используете? SoftIce?
Спасибо за подробный бетатест-отчет для незадачливых разработчиков трояна. Они вам, наверняка, скажут спасибо. :)
В целом интересно и зря вы так себя скромно недооцениваете, какой же вы начинающий?
Дебагер какой используете? SoftIce?
0
UFO just landed and posted this here
хорошая статья для хабра
+11
Интересно! Что-то на "начинающего" вы совсем не похожи :)
+ вам
+ вам
+6
> и начинающим (как я:)
Если Вы "начинающий", то что же будет, когда станете профессионалом (страшно представить :))
Если Вы "начинающий", то что же будет, когда станете профессионалом (страшно представить :))
+1
это просто хобби)
0
Почитайте книжки Криса Касперски, он тут наплодил некоторое количество штук по теме. 8)
правда книги ориентированы как раз на начинающих, но сам Крис явно в теме получше.
На то, чтобы ориентироватся на уровне этого отчета вполне хватает. Помницо, в старые добрые времена хакал и отвязывал от лицензии почти все проги самостоятельно, сейчас практический смысл в таких копаниях окончательно пропал.
правда книги ориентированы как раз на начинающих, но сам Крис явно в теме получше.
На то, чтобы ориентироватся на уровне этого отчета вполне хватает. Помницо, в старые добрые времена хакал и отвязывал от лицензии почти все проги самостоятельно, сейчас практический смысл в таких копаниях окончательно пропал.
+1
>Достаточно запретить себе запись в системные директории и большая половина вирусов работать просто не будет.
Т. е. не сидеть все время под Администратором?
Т. е. не сидеть все время под Администратором?
0
либо так, либо просто запретить себе запись (если ваш акаунт входит в группу администраторов). Во втором случае есть обходной путь, так как права на выставление прав все же остаются. То есть в случае ошибки прогармма попробует выставить себе права на запись. Но я таких не встречал среди знакомой мне пары вирусов.
+2
Как советует сам Майкросовт Работать под учетной записью администратора опасно.
Поэтому необходимо создавать ограниченную учетную запись и работать с ней. Учетной записи с административными правами поменять название на отличное от Администратор. Соответственно в системные папки необходимо поставить права доступа для файловой системы только учетной записи администратора и тогда обычным вирусам не туда дороги, но это все для случаев, когда вирус не использует для внедрения сплойтов, которые позволяют запускаться с привилегиями самой системы.
Поэтому необходимо создавать ограниченную учетную запись и работать с ней. Учетной записи с административными правами поменять название на отличное от Администратор. Соответственно в системные папки необходимо поставить права доступа для файловой системы только учетной записи администратора и тогда обычным вирусам не туда дороги, но это все для случаев, когда вирус не использует для внедрения сплойтов, которые позволяют запускаться с привилегиями самой системы.
+1
В Windows встроена учётная запись Administrator (или Администратор - в русской версии будут работать оба варианта). И если при установке винды не задать "пароль администратора", в принципе ничто не помешает выполнять что угодно от его имени.
0
А кот мешает вам поставить пароль, при установки системы она предлагает это сделать. Тут вопрос уже в другом, а надо ли вам это делать. Если есть большое желание цеплять всякую гадость в сети, то конечно же на надо. А если нет, то нужно немного поковыряться с правами и все. Ну и хороший анитивирь с файрфолом.
0
Кот мне не мешает, он на системнике спит :)
Я имел в виду, что НЕ ПОСТАВИВ пароль на встроенную учетную запись "администратор" (что наблюдается в 90% установок), вы никак не обезопасите себя, даже работая под ограниченной учетной записью. И где в моих словах желание "цеплять гадость"? Я просто дополнил ваши слова :)
Я имел в виду, что НЕ ПОСТАВИВ пароль на встроенную учетную запись "администратор" (что наблюдается в 90% установок), вы никак не обезопасите себя, даже работая под ограниченной учетной записью. И где в моих словах желание "цеплять гадость"? Я просто дополнил ваши слова :)
0
Я так понимаю, что цель этой статьи баг репорт? :)
-2
Нет, ограничить всеголишь один пункт.
Кстати а как бороться с Hidra?
Кстати а как бороться с Hidra?
-1
а что такое hidra?
0
Я не совсем уверен что прально написал название, но читаеться как гидра. Эта гадасть содиться в ехе-шники, и начинает распростроняться во все ехе файлы на компьютере. А избавиться от нее у меня получилось лишь удалением всех ехе файлов и как следсвие переустановка системы!
0
Антивирусы очень успешно борются с этой заразой. А если нужны погибшие в неравном бою фирмачные блокноты и пейнты в "установка - удаление программ" "дополнительные компоненты" решат ваши проблемы. А вообще до того как гидра поест все ехешки лучше использовать голову и антивирус. Вместе дают поразительные результаты =)
+2
"и начинающим (как я:), " - убило :)
Спасибо за интересный обзор.
P.S. Свежая avira не смогла распознать что-нибудь подозрительное в этом файле. Очень жаль. :(
Спасибо за интересный обзор.
P.S. Свежая avira не смогла распознать что-нибудь подозрительное в этом файле. Очень жаль. :(
0
ну.. да, пока я так считаю.
вы про какой файл?
вы про какой файл?
0
А вы где его достать смогли ?
0
http://nchaly.habrahabr.ru/blog/resume.e…
не оно случаем?
не оно случаем?
0
UFO just landed and posted this here
спасибо за интересный обзор! :)
получил +2 полезности:
/me пошел запрещать себе запись в системные папки
/me поностальгировал по временам DOS и всевластия ассемблера... :)
получил +2 полезности:
/me пошел запрещать себе запись в системные папки
/me поностальгировал по временам DOS и всевластия ассемблера... :)
0
А вы точно уверены, что драйвер-таки не загрузился? Судя по тому коду, что вы привели, драйвер регистрируется сервисом в системе. Но не факт, что троян запустит этот сервис сразу после регистрации ;-) Надо, все-таки, создавать тут отдельный блог по Reverse Engeneering, хотя я тоже начинающий :-)
+1
UFO just landed and posted this here
Целое детективное расследование.
+1
прочел с интересом хоть вирусами никогда не интересовался. и вообще думаю на никс свалить с виндоус :)
0
Спс, порадовало.
0
Афтору 5, пеши еще!
-1
Очень хорошая статья!
Автору спасибо.
Хотелось бы больше таких статей, т.к. тематика вирусов и их ковыряния очень интересная и познавательная!
Автору спасибо.
Хотелось бы больше таких статей, т.к. тематика вирусов и их ковыряния очень интересная и познавательная!
0
Спасибо за красивую статью. Повспоминал, как с приятелем в 90-х годах тоже ковыряли вирусняки, правда тогда еще 95-е винды только появились. Жаль плюсануть не могу, но все равно спасибо, было очень интересно.
0
Отлично, почаще бы таких расследований про реверсивную инженерию и "хакеров", которых вычисляют общими усилия хабра :))
0
В ассемблерах не силен, но интересно было читать как вы анализировали... хоть и криворукий нерабочий (почти) троян...
P.S> Да распухнет твоя карма ;)
P.S> Да распухнет твоя карма ;)
0
Добрые вы! Такую заразу в открытый доступ класть :-D
0
не работает, потому, что он собран для windows 2000. Это задается полями Major/MinorOperating SystemVersion в PE заголовке. Ну, а загрузчик драйверов требует точного совпадения с текущей версией.
0
хмм..
а где, собственно, интсталлятор? или мне его самому в BootExecute прописывать?
а где, собственно, интсталлятор? или мне его самому в BootExecute прописывать?
0
Увы, дроппера мне не встречалось. Но даже не в дроппере дело. В BootExecute он, AFAIK, не прописывается, он вроде драйвер. Да и не уверен я, что он из BootExecute запустится как exe, когда у него флаг DLL в хедере установлен.
Честно признаться, я сам в нем не ковырялся. Рекомендую ознакомиться с подробностями тут, здесь, еще немного там.
Честно признаться, я сам в нем не ковырялся. Рекомендую ознакомиться с подробностями тут, здесь, еще немного там.
0
Спасибо за наглядную, показательную методику анализа вирусов!
0
побольше бы таких статей! раньше тоже баловался, но щас времени нет :\, но с удовольствием бы покопался ;)
респект автору!
респект автору!
0
Спасибо большое! Было интересно прочитать.
0
UFO just landed and posted this here
хоть я и далёк от программинга, но прочитал всё равно с интересом :) всегда было интересно, что же такого люди мудрят в вирусах и прочих вредоносных программах. спасибо автору!
0
Повеселило :)
Если бы мне пришло письмо подобного содержания я бы просто удалил его нафиг и всё.
А автору не влом было аккуратно скачать и препарировать... ну даёт :)
Если бы мне пришло письмо подобного содержания я бы просто удалил его нафиг и всё.
А автору не влом было аккуратно скачать и препарировать... ну даёт :)
0
Опечатка: "На эпате загрузки"
0
спасибо! действительно очень интересно! Но те кто рассылают такой вирус, явно тупанули))
0
Сервер:
То есть не веб-хостинг, +все порты для "обычных" коннектов закрыты.
WHOIS:
McColo - компания, дающая в аренду выделенные сервера.
Если с английским нормально - можно им написать abuse-report и лавочку прикроют.
PORT STATE SERVICE
22/tcp filtered ssh
25/tcp filtered smtp
111/tcp filtered rpcbind
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
631/tcp filtered ipp
950/tcp filtered oftep-rpc
То есть не веб-хостинг, +все порты для "обычных" коннектов закрыты.
WHOIS:
McColo Corporation MCCOLO (NET-208-66-192-0-1)
208.66.192.0 - 208.66.195.255
Aviacor ltd MCCOLO-DEDICATED-CUST425 (NET-208-66-195-128-1)
208.66.195.128 - 208.66.195.193
McColo - компания, дающая в аренду выделенные сервера.
Если с английским нормально - можно им написать abuse-report и лавочку прикроют.
0
А антивирусные компании о таких серверах не репортают разве?
0
Отловить все сервера по инету - нереально.
Обычно процесс происходит так: кто-то находит сайт, который распространяет вирус - недовольный пользователь пишет в саппорт хостинга о том, что так и так, сайт pupkin.com шлёт мне вирусы, примите меры. Дальше это письмо эскалируется до системных администраторов сервера , которые собсно и смотрят, что там не так и если находят что-то - просто тушат этот сайт.
Такие сервера, как этот отловить трудно - ибо он ничеого не отсылает, а наоборот - принимает некие данные - соответственно обнаржуть его можно, только расковыряв исходник вируса :)
Обычно процесс происходит так: кто-то находит сайт, который распространяет вирус - недовольный пользователь пишет в саппорт хостинга о том, что так и так, сайт pupkin.com шлёт мне вирусы, примите меры. Дальше это письмо эскалируется до системных администраторов сервера , которые собсно и смотрят, что там не так и если находят что-то - просто тушат этот сайт.
Такие сервера, как этот отловить трудно - ибо он ничеого не отсылает, а наоборот - принимает некие данные - соответственно обнаржуть его можно, только расковыряв исходник вируса :)
0
Дописал комментарий и понял смысл вашего вопроса - насколько я знаю, АВ компании просто заносят в базу "слепок" вредоносного кода - что именно делает конкретный вирус - разбираются довольно редко, только если это не что-то распространённое - например какой нить червь.
0
Спасибо! Теперь я понял как работают вирусы! Попробую написать что-нибудь подобное на досуге! :))))
-2
Откройте для себя ImpRec - чтобы не фиксить импорт руками
0
Браво! Вы настоящий хакер в исконном значении этого слова.
0
"Загружаем файл в дебагер, ставим точку останова на CreateFile. Логично ведь - любая вредоносная программа должна ее использовать?" - сильно =)
но такой простой финт обходится например запуском второй копии процесса, в итоге имеем зараженную систему. если руткит толковый - то имеем гемор с его обезвреживанием. это первый нюанс.
ну а второй - не стоит на рабочей машине исследовать вирусы, для этого стоит заводить VMWare. Сам так делаю и вам того же желаю =) Ибо способов уйти из-под отладки столько... =)
но такой простой финт обходится например запуском второй копии процесса, в итоге имеем зараженную систему. если руткит толковый - то имеем гемор с его обезвреживанием. это первый нюанс.
ну а второй - не стоит на рабочей машине исследовать вирусы, для этого стоит заводить VMWare. Сам так делаю и вам того же желаю =) Ибо способов уйти из-под отладки столько... =)
0
А во «второй копии процесса» CreateFile не будет?
0
смотря чем отлаживать. если ollydbg - то идет отладка одного процесса. других процессов не касается. поэтому второй запущенный выполняется вне отладчика. если же тем же softice, windbg, syser - ставить бряк на CreateFile глобально - не знаю не знаю. Бряк должен быть в АП определенного процесса. Если они ставят во все процессы - запаришься разгребать вызовы =)
0
Э! Если бряка ставитсо на вызов CreateFile - тогда да, запуск второго процесса проскочит. А если бряк ставить на начало CreateFile - это уже совсем другое. Правда, есть способ и от такого уйти :-) Да и не CreateFile единым...
А еще FileMon хорошо юзать - будет видно что и куда дропается.
А еще FileMon хорошо юзать - будет видно что и куда дропается.
0
1-для таких случаем есть опция "debug child process".
2-спасибо, подумаю)
2-спасибо, подумаю)
0
>имеем зараженную систему
Виртуальную, скорее всего.
Виртуальную, скорее всего.
0
1-для таких случаем есть опция "debug child process".
если отлаживаешь в IDA - то можно считать что компьютер заражен =) главный деструктив выполняется вначале. Главаная задача вируса - запустица. На заражение и уничтожение данных ему хватит пары секунд. Отлаживать запустившийся вирус уже бестолку - разве что искать средство его лечения.
Я как то давно песал статью про препарирование вируса, и даж антивирус написал для него =) Лечилку. Если интересно - могу запостить. Хотя пока чет не получается сделать пост - выкидывает на объяснение, что такое карма итп.
Вот стотейка - http://rascalspb.narod.ru/articles/AntiWin32Friendly/AntiWin32Friendly.html
если отлаживаешь в IDA - то можно считать что компьютер заражен =) главный деструктив выполняется вначале. Главаная задача вируса - запустица. На заражение и уничтожение данных ему хватит пары секунд. Отлаживать запустившийся вирус уже бестолку - разве что искать средство его лечения.
Я как то давно песал статью про препарирование вируса, и даж антивирус написал для него =) Лечилку. Если интересно - могу запостить. Хотя пока чет не получается сделать пост - выкидывает на объяснение, что такое карма итп.
Вот стотейка - http://rascalspb.narod.ru/articles/AntiWin32Friendly/AntiWin32Friendly.html
0
Ух ты, мега...
все детально и лаконично одновременно.
пишите, пожалуйста, еще !
Спасибо
все детально и лаконично одновременно.
пишите, пожалуйста, еще !
Спасибо
0
Sign up to leave a comment.
Ошибка резидента