gjf 12 ноя 2010 в 19:16

Новый файловый вирус с инструкциями ММХ

2 мин

2.9K

Антивирусная защита*

+37

Комментарии 53

invidia 12 ноя 2010 в 19:35

и зачем столько рекламы касперского?

gjf 12 ноя 2010 в 19:39

Ну, если Вы посмотрите другие мои статьи, то увидите, что я отнюдь не рекламирую Касперского. Даже скорее наоборот :)

Просто если в чём-то они преуспели — то тут грех не сказать. При любом отношении к ЛК надо быть объективным.

invidia 12 ноя 2010 в 19:59

Наверное, это справедливо, да.
Просто мне в последнее время все больше и больше не нравится их политика и грязноватое поведение (вспомните историю с viruslist, уж не знаю как было раньше, но сейчас там касперский на первом месте в списке рекомендуемых антивирусов, это наталкивает на размышления). Отсюда предвзятость и возмущение столькими упоминаниями лк в посте.

gjf 12 ноя 2010 в 20:02

Мне самому многое что не нравится, но если эфристик сработал и утилита обновилась — что ж я могу поделать — это правда и это довольно оперативно.

brick812 12 ноя 2010 в 22:39

Sality.Nau самый интересный и тяжелый вирь с которым я когда либо боролся.
Месяца два изгонял его из сети. Но не каспером его точно удалось таки побороть. Находить то находил, но лечить не мог… и сканить 10 териков снова приходилось ))
У доктора он обозначался Sector17 и тоже не вылечил никак. Авира решила проблему и по сей день выручает )

Cheese 12 ноя 2010 в 19:43

>Таким образом, становится ещё труднее определить, какой код служит для расшифровки вирусной составляющей, а какой — обычный >мусор, какие регистры содержать важную информацию, а какие просто запутывают дизассемблирование. Это предъявляет более серьёзные >требования к антивирусным программам.
хм, на вирустотале детектируют все нормальные антивирусы и даже всякие малопонятные типа nprotect и emsisoft, только symantec лажается, но он что-то меня давно не радует…

gjf 12 ноя 2010 в 19:48

aSquarred от Emsisoft — отнюдь не малопонятный, а очень даже :)
Детектируют — сейчас, да. Никто же не знает, сколько вредонос не детектировался до этого in wild.
Плюс вопрос по лечению поражённых файлов — насколько оно успешное… Понятно, что 100% не даст никто, но хотелось бы приблизиться.

vilgeforce 12 ноя 2010 в 19:53

Думаю, теперь пойдет-поедет… И SSE гаденыши юзать начнут.

Gorthauer87 12 ноя 2010 в 19:53

когда там первые процессоры с поддержкой MMX появились? В 1996 или 1997 году, напомните? И вообще, где ADM64 версия вируса?

gjf 12 ноя 2010 в 19:58

Он там будет выполняться просто как любая программа под х86. Специфично-заточенных на ADM64 ждать вряд ли придётся — потеряется рынок Intel-based.

Gorthauer87 12 ноя 2010 в 20:02

Хм… советовал бы матчасть подучить. Для начала найти разницу между EMT64,AMD64,x86-64,x64, а потом вспомнить про совместимость ABI, длину указателей и тому подобное.

gjf 12 ноя 2010 в 20:05

Скиньте мне в ПМ Вашу электронную почту, я Вам направлю сэмпл, Вы его запустите на тестовой системе под ADM64, а потом поговорим про матчасть :) Если, конечно, есть возможность потестить и систему потом поднять с посекторного бэкапа — сэмпл действительно очень вирулентен.

Gorthauer87 12 ноя 2010 в 20:08

Хотите сказать, что он сможет внедрится в код 64 битной библиотеки?

gjf 12 ноя 2010 в 20:09

Нет, я этого не говорил. Хотите сказать, что в Вашей системе исключительно х64-файлы? ;) И ни одного usermode в х32?

Gorthauer87 12 ноя 2010 в 20:11

Практически да. Multilib конечно держу, но только для запуска скайпа.

gjf 12 ноя 2010 в 20:14

Ну вот скайп и пойдёт первым ;)

Gorthauer87 12 ноя 2010 в 20:17

Не уверен, что вирь у меня вообще запустится и не упадет с сегфолтом. Система знаете ли плохо под него заточена ;)

gjf 12 ноя 2010 в 20:20

Может Вы и правы — проверяйте ПМ. О результатах отпишитесь тут — всем будет интересно.

gjf 13 ноя 2010 в 17:32

Что-то я уже пожалел, что выслал Вам сэмпл — Вы совсем пропали :(
Но я Вас честно предупреждал — так что без обид.

Gorthauer87 15 ноя 2010 в 13:07

)))) Я же говорил, не запускается, не находил lib3D.dll, без неё проверить не могу

НЛО прилетело и опубликовало эту надпись здесь

amarao 12 ноя 2010 в 21:25

С большим интересом жду вирусов, которые будут перепрограммировать IO-MMU/MMU для скрытия своих страниц. В принципе, такой микрогипервизор позволит реально спрятать код от операционной системы и железа.

amc 14 ноя 2010 в 05:14

Ну были же «таблетки», якобы они вполне скрывали своё присутствие от «легитимного» гипервизора. ЕМНИП.

gionet 12 ноя 2010 в 23:00

MMX
Мама моя дорогая, я уже думал, что никогда не услышу эти сочетания букв, когда-то имеющие очень больше значение

varnav 15 ноя 2010 в 13:29

Они и сейчас имеют, просто прочно вошли в нашу жизнь и редко упоминаются.

gionet 15 ноя 2010 в 13:57

Не, ну ясный перец — наследование никто не отменял

Однако же вы помните, наверное, как магически звучало это — 166 с поддержкой ММХ =)))

varnav 15 ноя 2010 в 14:05

Подсветка дисплея у мобильника тоже в своё время была дополнительной фичей. А сейчас без неё как и без MMX никуда, просто уже можно не упоминать. :)

dom1n1k 12 ноя 2010 в 23:18

вирусы этого семейства являются одними из наиболее технологичных и распространённых файловых вирусов, поражающих компьютеры пользователей Windows.

«Поражающих» — в смысле «удивляющих» (своей технологичностью :)

gjf 12 ноя 2010 в 23:35

Нет, в смысле он работает только под Windows. В отличие от темы прошлой статьи ;)

lolmaus 13 ноя 2010 в 01:54

Что такое «файловый» вирус?

gjf 13 ноя 2010 в 02:03

Вредоносная программа, заражающая другие файлы (в данном случае — исполняемые) с целью собственного распространения.

1amer 13 ноя 2010 в 09:26

кстати да, если ух он весь такой технологичный, то почему не разобрать по косточкам, хотябы ту же систему внедрения в исполняемые файлы, ведь чтобы код внедрить в EXE, чтоб не бросался в глаза, нужно ещё попотеть (хотябы секцию text расширить и таблицу импорта отсортировать в зависимости от гениратора оригинального EXE, ещё чексумы поправить, адреса и тд). думаю вышла бы познавательная статья

gjf 13 ноя 2010 в 17:34

По джойнерам есть масса литературы. Таких вирусов куча — на данный момент наиболее интересны Virut и Sality. Тут на самом деле ничего сложного — интересен троянский механизм и противодействие антивирусам. Ах да — у Вирута ещё интересно, что он html заражает (по типу iframe).

1amer 13 ноя 2010 в 23:24

да я знаю что много инфы, просто в топике сказано «вирусы этого семейства являются одними из наиболее технологичных», но описан только использование MMX для полиморфизма… в этом вся технологичность? кстати я бы от линка на бинарник не отказался…

gjf 14 ноя 2010 в 12:41

«Технологичными» не в плане того, что они — просто файловые вирусы. Там постоянно обновляется процедура защиты от антивирусов, интересный троянский механизм.

Они интересны в комплексе, а не по отдельным частям.

1amer 14 ноя 2010 в 15:13

Спасибо за разьяснение. а вы не в курсе случаем где интересных вирусов можно скачать? или только honeypot на виртуалке городить который будет по злачным местам ползать?

akirsanov 13 ноя 2010 в 05:45

Скорее всего это очередной сторонний криптор, даже отношения не имеющий к sality.

gjf 13 ноя 2010 в 17:35

При чём здесь криптор? Это — файловый вирус, он «присоединяется» ко всем исполняемым файлом — он не криптуется. Вы немного перепутали.

Хотя аналогия некоторая есть — фактически расшифровывается, но только код вируса. Код исходного файла остаётся нетронутым — и в этом отличие от обычных протов/крипторов.

akirsanov 13 ноя 2010 в 18:28

Если он распаковывает исходный бинарник, а с sse инструкциями и метаморфный

akirsanov 13 ноя 2010 в 18:30

Если он распаковывает исходный бинарник, а с sse инструкциями напичкан метаморфный стаб, который достает исходный бинарник из секции, оверлея либо ресурсов и маппит в память, то это самый что ни на есть криптор. Утверждать не буду что тут такое, в глаза не видел.

gjf 14 ноя 2010 в 12:42

Он не распаковывает исходный бинарник целиком, а только ту часть, что относится к вредоносу.

fogx 13 ноя 2010 в 10:32

Win32.Legacy вышел в 2000 году и тоже использовал MMX для расшифровки.

Мало того, если погуглить «MMX polymorphic», без труда находится целая серия таких движков. Навскидку
Prizzy Polymorphic Engine — Jul 1999
MMXE 1.01 by Billy Belcebu / Spain — September 1999

jurok04 13 ноя 2010 в 10:56

Мне нравится информация о нем на securelist.com

www.securelist.com/ru/descriptions/15312802/Virus.Win32.Sality.bh

Время детекта многим позже времени выпуска обновления баз — это результат синергии эвристики с экстрасенсорикой, получается?

gjf 13 ноя 2010 в 17:36

Нет, просто был небольшой сбой с серверами — в итого обновление вышло позже, чем ожидалось, хотя процедура была написана раньше.

jurok04 15 ноя 2010 в 10:35

Я не о том, там время выпуска обновлений для детекта сего чуда на полтора месяца раньше, чем время детектирования.

Umnik_ADS 24 дек 2010 в 10:41

Я так понял, ошибку уже исправили? Просто сейчас я не вижу ничего необычного по ссылке.

jurok04 24 дек 2010 в 13:53

Да, сейчас информацию исправили и добавили описание вируса.

KAdot 13 ноя 2010 в 11:15

идея использования расширенных инструкций процессора для обхода антивирусных эмуляторов далеко не нова. еще лет 7 назад про это читал.

Gorthauer87 15 ноя 2010 в 13:08

Пора уже переходить на 128битные SSE регистры, чего уж там))

zhuk 13 ноя 2010 в 11:40

Автор, замените «функционал» на «функциональность».
ru.wikipedia.org/wiki/%D0%A4%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D0%BE%D0%BD%D0%B0%D0%BB

Ves 19 ноя 2010 в 18:12

там же: ru.wikipedia.org/wiki/Функционал_%28значения%29
> синоним слова Функциональность

zhuk 19 ноя 2010 в 18:36

Хм… не знал. Спасибо.

darkslesh 14 ноя 2010 в 00:05

Что-то я не понял. И что тут такого нового? Еще в конце 2007 года крипторы уже использовали MMX инструкции такие как CVTPI2PS для обхода антивирусный эмуляторов, чтобы скрыть расшифровку кода. Далее начали юзать вообще SSE.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий