Мне лично подстер кажется наиболее адекватным покдкаст хабом в рунете ;) Ну, а ответ на ваш вопрос в том, что к iTunes прикрутить фид можно только в случае наличия RSS на сайте. Чтобы не плодить сущности мы решили организовать фид на подстере, но наш подкаст так же доступен на iTunes.
Все известные нам расширения для Win32/Atrax обнаруживаются в памяти на момент их загрузки, после чего блокируется их дальнейшая активность. Удаление основного модуля Win32/Atrax так же не составляет труда.
Плагин хранится на диске в уже зашифрованном виде, его зашифрование осуществляется в момент его первого сохранения на зараженной машине. Расшифрование плагина осуществляется непосредственно в памяти в момент его загрузки/ инициализации основным мулем вредоносной программы. В процессе генерации ключа используются данные из DigitalProductID и MachineGuid, что делает ключ уникальным для каждой зараженной машины и усложняет в некоторых случаях криминалистический анализ.
Вы меня настолько развесили, что я пожалуй вам даже отвечу :))
Знаете ли, уже годами доказано исследователями практиками, что принцип «security through obscurity» ну никак не работает и даже приносит существенный вред. Находя интересный новый трюк или способ обхода средств защиты я не вижу смысла его скрывать, чем больше о нем будет известно, тем в более выгодной позиции находятся все разработчики защитного ПО.
Хорошего вам дня и приятного чтения моих статей ;)
А вы подкаст слушали?
Рекламы в нем нет, это интервью с автором замечательного инструмента Intercepter-NG, который используется исследователями в области ИБ по всему миру и полностью бесплатен ;)
Декомпилируем в уме =) Ну, а если серьезно это последняя версия творения от Hex-Rays, а патчи сравниваем BinDiff (лучше ничего нет, бесплатные аналоги отстают).
Наша компания помимо разработки антивирусных продуктов, так же занимается расследованием компьютерных преступлений. Вот собственно и возникла необходимость в таком инструменте.
В процессе криминалистического анализа важен не только сам факт наличия заражения, но и собственно анализ вредоносной программы, которая была обнаружена. Как правило люди занимающиеся извлечением данных в процессе криминалистического анализа (forensic analysis) зараженных машин далеко не всегда являются экспертами по анализу вредоносных программ, тем более таких как TDL4.
Именно поэтому нами был разработан инструмент TdlFsReader, который сильно упростил жизнь многим при анализе новых образцов и модификаций, а также при проведении экспертизы зараженных машин. При помощи этого инструмента, можно быстро извлечь все данные о C&C's, конфиг и весь payload.
Ну зачем все это нужно при расследовании компьютерных преступлений, я думаю вы догадаетесь сами ;)
Выводы не стали писать, т.к. они довольно прозрачны и не хотелось излагать еще раз очевидные для многих вещи. Поэтому сконцентрировались именно на технических деталях ;)
Оригинальные компоненты TV имеют соответствующие подписи, но есть собственно библиотечка tv.dll, которая не имеет подписи и является проксей между оригинальной tv.dll (которая переименована в ts.dll). Именно она и осуществляет отстук в админку.
Тут реализация для версии пять, да и привлек нас этот бэкдор тем, что при помощи него реально пострадала достаточно уважаемая компания. И на момент его обнаружения детектов даже дроппера почти не было, только случайные срабатывания параноидальных эвкристик, которые реагируют почти на все.
Есть довольно веcкие основания полагать, что Win32/Sheldor.NAD был скачен другим троянцем, т.к. сам достаточно примитивен и создан только для целей удаленного доступа.
Знаете ли, уже годами доказано исследователями практиками, что принцип «security through obscurity» ну никак не работает и даже приносит существенный вред. Находя интересный новый трюк или способ обхода средств защиты я не вижу смысла его скрывать, чем больше о нем будет известно, тем в более выгодной позиции находятся все разработчики защитного ПО.
Хорошего вам дня и приятного чтения моих статей ;)
Рекламы в нем нет, это интервью с автором замечательного инструмента Intercepter-NG, который используется исследователями в области ИБ по всему миру и полностью бесплатен ;)
Именно поэтому нами был разработан инструмент TdlFsReader, который сильно упростил жизнь многим при анализе новых образцов и модификаций, а также при проведении экспертизы зараженных машин. При помощи этого инструмента, можно быстро извлечь все данные о C&C's, конфиг и весь payload.
Ну зачем все это нужно при расследовании компьютерных преступлений, я думаю вы догадаетесь сами ;)