Pull to refresh
216
0
nchaly @nchaly

User

Send message

Немного на тему разработки веб-архивов

Reading time8 min
Views8.2K
Веб-архив — это система, которая периодически сохраняет сайт (или часть сайта) в его оригинальном виде. Чаще всего это делается для потомков, чтобы они могли «поиграться, покликать и поностальгировать».

Основное требование к веб-архиву звучит просто и всеобъемлюще.

Офлайн-версия сайта должна быть полностью функциональной. В ней должны быть видны все оригинальные изображения, флэш-анимация, встроенное видео, работать скрипты и так далее. В идеале она не должна ничем отличаться от оригинала.


Для нас, разработчиков, выражение «полнофункциональная офлайн-версия» звучит очень, очень подозрительно. Можно даже сказать — крамольно звучит. Ведь современный сайт без скриптов не бывает, а скрипты всегда порождают неопределенность в поведении. Но, как говаривал один персонаж: «Не нужно спешить с выводами, не то выводы на тебя набросятся».

Читать дальше →

Дело о пропавшем индексе

Reading time21 min
Views1.6K
Дело, конечно, не такое интересное, как у Руссиновича, но, надеюсь, будет полезно некотроым разработчикам. Основная цель изложения — показать средства, с помощью которых мы можем анализировать поведение программы на самом низком уровне.

Итак, имеется приложение, написанное на C#, которое использует .net framework 1.1 (да-да). Приложение после некоторых внесенных изменений начало выбрасывать такое малоинформативное исключение:
Читать дальше →

Незаконченная статья о спаме

Reading time10 min
Views2.6K
Так уж вышло, что мне пришлось разбираться с проблемой спама. Вот, собственно, с чем получилось разобраться. Текста много, в основном общего характера.

Спам. C этим коротким словом у многих связанны неприятные ассоциации, а некоторых
системных администраторов даже бросает в дрожь. Думаю, в наше время каждый
пользователь компьютера встречался со спамом и не понаслышке знает, что это такое.

Итак, что называем спамом?

Спам – это рассылка сообщений, которых пользователи не ожидают получить, одновременно большому числу получателей.

Массовость – основной признак спама. Что характерно, спамеры не оригинальны в таком подходе. Они лишь следуют пути, отработанному природой за миллионы лет эволюции.
Читать дальше →

Клон

Reading time1 min
Views566
На ночь глядя обнаружил клон хабрахабра — dev.by

Я подозревал всегда, что дизайнерско-программистские мысли развиваются всегда в одном направлении, но чтобы так…

Детали все тщательно заделаны, но общий стиль вполне узнаваем. Даже возле тэгов к записям есть небольная иконка. Только у хабра она прямо стоит, а в клоне — завалилась.

А когда видишь комментарии к записям, все оставшиеся сомнения исчезают.

Читать дальше →

Про макбук, и как я побывал в офисе Хабра

Reading time2 min
Views603
Так случилось (должно было случиться, как говорят боконисты), что новость о том, что я выиграл макбук, застигла меня в командировке в столице нашей родины. У меня был шанс забрать свой приз лично.

Что я, собственно, и сделал.

После некоторого количества телефонных переговоров с представителями Хабра, я-таки добрался до офиса. Пришел раньше назначенного времени, и десять минут ходил кругами, обуреваемый различными чувствами. Потом холл, коридор, лифт. Двери в офис.
Читать дальше →

Мал, да удал: Trojan-Downloader.Win32.Tiny

Reading time9 min
Views24K
Доброго дня всем.
В сегодняшнем выпуске много технических подробностей. Так что уж извините, если их слишком много :)

Письмо


Итак, начинаем. На входе у нас письмо с текстом «Journalist shot in Georgia! See attached video. Password is 123» и с приложенным файлом «Georgia.zip».

Для более или менее полного анализа нам понадобятся:
— Самый Лучший дизассемблер в мире IDA
— Неплохой Отладчик Windbg
— python 2.5 (строго говоря, подойдет любой, просто у меня 2.5)
— Visual Studio какая-нибудь и Microsoft SDK, чтобы собрать небольшую программу на с++.
— упаковщик программ upx
— ну и чего-то еще по мелочи.

Распаковываем присланный нам файл, и видим, что наши подозрения оправданы: видео там и рядом не ночевало.
joined.exe (md5:607af96b03addadf28cf9280701df191)
Dr.Web: Trojan.Packed.151
Kaspersky: Trojan-Downloader.Win32.Agent.abqe

Читать дальше →

Trojan-Dropper.Win32.Agent.rek: «легальный» руткит

Reading time4 min
Views23K
В заметке описывается драйвер, который загружается вирусом, рассмотренным в предыдущей части. Драйвер работает на уровне ядра операционной системы, и обеспечивает «привилегированное» прикрытие основной функциональности трояна, которая работает в режиме пользователя (авторское название компоненты — winnt32.dll. Подробнее о ней см. habrahabr.ru/blog/virus/43787.html).

Краткое описание.
Программа представляет собой nt-драйвер (так же известны, как legacy-драйвера, то есть не связанные ни с каким физическим устройством). Является руткитом: используя механизмы ядра ОС, лишает другие программы доступа к некоторым файлам и ключам реестра.
Детектируется касперским как Trojan-Dropper.Win32.Agent.rek. Размер 27548 байтов.
Лирическое отсутпление. «Обычный» руткит может использовать недостатки в реализации ОС для сокрытия объектов: файлов, сетевых соединений, и так далее вплоть до секторов жесткого диска. Для этого в простейшем случае делается перехват системного вызова. Системный вызов по сути — это вызов функции, а вызов функции — это передача управления по указанному адресу. Руткит записывает по этому адресу свой код, который трансформирует результат оригинальной функции. К примеру, проверяет, пытается ли кто-то открывать файл с телом вируса, и возвращает какой-нибудь код ошибки, например «доступ заперещен».
Руткит перехватывает обращения с реестру и файлам, используя легальные методы самой ОС.
Читать дальше →

Голая правда

Reading time6 min
Views916
Нудные технические подробности, без которых никак не обойтись, выделены знаком параграфа: ¶. Надеюсь, их можно пропускать без потери смысла изложения.

Часть первая. Высадка


Как это случается часто, в последнее время, новые вирусы приходят прямиком в почту, — быстро, удобно и совсем не надо напрягаться. Последний вирус прислал себя вот в таком вот письме:
From: «Shauna Hoover» <olwen.davie@mairie-paris.fr>
To: <xxx@xxx.xx>
Subject: Paris Hilton

Good afternoon, buddy.

I found nude Angelina Jolie!
See in attachment!
Bye.

Поначалу сбивает, конечно, с толку, почему тема письма про П. Хилтон, а внутри — про А. Джоли, но… войдем все-же в положение сетевых злодеев! Работа у них нервная, бывает и ошибаются. Хорошо, что хоть вообще письма до адресатов доходят, постарались.

Присоединенный файл назвается xjolie.scr.zip, и внутри содержит «как бы» скринсейвер xjolie.scr. Файл подозрительный: кода мало, всего три функции, данных тоже почти нет. На скринсейвер не тянет, и для вируса маловато. Онлайн сканнер касперского обозначает файл, как зараженный вирусом «Trojan.Win32.Pakes.cyu».
Читать дальше →

Ошибка резидента

Reading time4 min
Views944
Недавно мне пришло письмо примерно следующего содержания:
Уважаемый Х. Ваша кандидатура очень нас заинтересовала, поэтому мы бы не прочь познакомиться поближе. Предварительно вам нужно скачать наш фирменный бланк резюме resume.exe, заполнить его, и отослать нам обратно. С уважением, сетевые злодеи.

Что характерно, линк на резюме был именно так и написан. resume.exe (не кликайте, ссылка для примера). Они вообще, что ли?

Скачиваем, смотрим. Файл размером 159744 байтов, на первый взгляд запакован. Касперскому программа знакома под именем "Trojan.Win32.Srizbi.v".

Читать дальше →

Желатин again

Reading time5 min
Views772
Продолжение истории исследования «вируса» желатина, он же Storm Worm, он же Peacomm и так далее. Начало см. в прошлом выпуске.

Итак, желатин. Хм. Снова.

Первое, с чем я столкнулся — отсутствие какой-либо технической информации о желатине. Гугл, естественно, посылает прямиком в википедию [WIKI]. Здесь мы узнаем немногое.

1. Вирус включает зараженные машины в ботнет [WIKI1];
2. Сеть желатина представляет собой модификацию сети Overnet.

Немного истории желатина на русском также содержится в [KASP].

Понимание того, как работает Overnet — это основа для дальнейших разборок. Поэтому в этом выпуске мы и займемся изучением этой основы.

Пройдя путь в несколько ссылок, я нашел некое описание сети желатина [PPT]. Попытки найти готовые реализации клиентов Overnet также увенчались успехом [KADC]. Одного взгляда на библиотеку KadC было достаточно, чтобы узнать смутные черты дизассемблированного кода валентинистого зловреда. Пусть даже и с некоторыми изменениями, но код KadC вполе может являться базой для желатина. Только этой причиной можно объяснить совершенно наглое высказывание специалистов компании McAffee:
«Bot technology is rapidly evolving, often aided and
abetted, unfortunately, by the open-source movement».

[MCAF], также обсуждается в [CNET1] и [ASHIMMY]. Очень хотелось бы обратить внимание товарищей из McAffee, что неплохо бы им расширить свой взгляд на мир, включив в обвинение бравых ученых из MIT, разработавших Kademlia.
Читать дальше →

День святого вируса

Reading time3 min
Views778
(записки антивируса-любителя)
Когда получаешь накануне дня святого валентина поздравительное письмо со ссылкой, то ужасно хочется узнать, что же там такое, по этой ссылке. Все в один голос утверждают, что такие подозрительные ссылки ни в коем случае нельзя открывать, но мы-то знаем, что если аккуратно, то можно. Например, скачать такую страницу, а потом разглядеть внимательно в любимом текстовом редакторе.

В моем случае было нечто вроде
<meta http-equiv=«refresh» content=«1;url='valentine.exe'»>

<a href="valentine.exe">blah-blah</a>

Неприкрытое приглашение стать новым пользователем вируса. Также аккуратно скачав valentine.exe, и переменовав его в .txt, чтобы ненароком не запустить, можно поковырять его изнутри.

Онлайн файл-сканнер Касперского определяет этот файл как зараженный вирусом «Email-Worm.Win32.Zhelatin.vg».

Сказать, что количество информации, сообщаемое о вирусах, меня не устраивает — ничего не сказать. Оно просто катастрофически мало. Оно не говорит, во-первых, чего не следует делать. Во-вторых, оно зомбирует пользователей «держите антивирусные базы обновленными». Обновленные базы — оно, конечно, очень хорошо, я только за. Только от первой волны эпидемии эти базы не спасут, так как в них попросту нет сигнатур еще не вышедших вирусов.

Поэтому, чтобы рассеять, — по крайней мере, для себя, — атмосферу мрака и ужаса, окружающего внутренне устройство вируса, я засучил рукава и выяснил следующее.

Читать дальше →

Information

Rating
Does not participate
Date of birth
Registered
Activity