В данном случае, она и была взята за основу бэкдора, дроппер же все скидывает в %WINDIR% и после этого запускает. Зараженный компьютер, фигурирующий в инциденте, работал на WinXP со всеми обновлениями + была лицензионная антивирусная программа (какая не скажу, дабы никого не очернять).
mscorie.dll скомпилирована с фиксированным базовым адресом от которого идет адресация загружаемого в память модуля. Если бы использовалась опция для радномизации базового адреса, тогда он менялся при каждой загрузке этого модуля и код эксплойта не мог бы использовать его для выполнения ROP.
Зевс был продан уже много кому, а эта модификация фигурирует в реальном расследовании с довольно кругленькой суммой и уважаемым банком в качестве фигуранта. А этот цирк с продажей зевса вообще шикарен, такой спектакль разыграли уух :)
Кстати после того, как пользователь прошел аутентификацию на некоторых смарт-картах, устройство какое-то время доступно для проведения операций с ним без дополнительной аутентификации (чаще всего, до выключения компьютера или отключения смарт-карты). Исследуемая нами вредоносная программа в такой ситуации может беспрепятственно взаимодействовать со смарт-картой.
Речь идет о доступе в защищенную область памяти, пароль для доступа получается посредством кейлоггера. Корректировать действия относительно той или иной модели устройства злоумышленник может удаленно.
«A Siemens spokesperson said that the worm was found on 15 systems with five of the infected systems being process manufacturing plants in Germany.» (http://en.wikipedia.org/wiki/Stuxnet)
Сертификат, при помощи которого осуществлялась цифровая подпись, был вероятнее всего украден у кредитного союза Vantage, что позволило злоумышленникам подписать при помощи него вредоносную программу. На данный момент сертификат отозван и при проверке подписи будет не действителен.
Руткит получает адрес последнего сектора и в зависимости от необходимого объема размещает их там. Используется предположение, что диск до конца не может быть заполнен, если руткиту нужно добавить данных, то рост осуществляться к началу диска, если там уже есть данные то они затираются.
Вы знаете это очень хорошо, что прогноз не сбылся, т.к. зловредов, которые используют в том числе и эту уязвимость для своего распространения с каждым днем мы узнаем все больше и больше.
Не подбор здесь не прокатил бы, в качестве хеш-функции использован алгоритм SHA-1. Если бы был бы MD5 были шансы для брутфорса, а так вероятность стремиться к нулю.
В любом случае даже, если MS предоставит исходные коды всех платформ это просто фикция и распил бабла. Ибо к исходным кодам предоставляется доступ в режиме чтения на стороне MS через VPN-соединение, ни о каких сборочных серверах внутри Аталаса речь не идет. Вы представляете возможно ли вообще просмотреть сырки хотя бы одной видны и найти там уязвимость или закладку? В лучшем случае, если там еще остались люди с мозгом и знающие толк в обратном анализе, они будут использовать эти сырки для прояснения некоторых мутных мест при анализе бинарей в IDA. Я уверен, что это просто способ втюхивать беспрепятственно софт от MS органам госвласти и все.
Еще порадовал комментарий гражданина Алферова «в том числе для создания «электронного правительства»», ох и веселое нас ждет будущее, если электронное правительство будет реализовываться на этой платформе, да еще и Атласом, который уже провалил кучу проектов и во много показал уже свою не состоятельность.
Еще порадовал комментарий гражданина Алферова «в том числе для создания «электронного правительства»», ох и веселое нас ждет будущее, если электронное правительство будет реализовываться на этой платформе, да еще и Атласом, который уже провалил кучу проектов и во много показал уже свою не состоятельность.