Комментарии 11
Читаешь как детектив!
Все же не понятно, почему антивирусы молчат. Про увод паролей — сюрприз. И еще, правильно ли я понял, что efax.jpg может содержать любое кол-во исполняемых файлов?
Все же не понятно, почему антивирусы молчат. Про увод паролей — сюрприз. И еще, правильно ли я понял, что efax.jpg может содержать любое кол-во исполняемых файлов?
Антивирусы молчат из-за протектора, который был разобран в первой статье. На данный семпл добавлена сигнатура (естественно разная для каждого антивируса), которая ничто иное, как просто «уникальная» последовательность байт для данного исполняемого файла. Если изменить хоть один байт из данной последовательности, то антивирусы снова замолчат. Чтобы покрыть все сигнатуры от всех антивирусов необходимо зашифровать всю секцию кода. Для обхода эвристиков шифруют строки и «прячут» таблицу импорта. Есть еще один механизм у антивирусов в контексте эвристики — эмулятор. Он имитирует исполнение файла на встроенной VM и одновременно проводит анализ сигнатур в процессе эмуляции, чтобы вскрыть неизвестные протекторы. Для обхода эмулятора используют неизвестные ему инструкции процессора и механизмы системы (общий подход, а так это отдельная тема). Про антиэмуляцию я упомянул в первой статье, но так и не смог найти участок кода, отвечающий за это. Поэтому, если кто подскажет, как это можно сделать (по каким принципам и методикам), буду очень признателен.
По поводу шифрованного контейнера — да. Структура его такова, что можно добавить любое количество исполняемых файлов. Я предполагаю, что в конструкторе данного Downloader'а предусмотрена возможность добавления DLL и EXE с выбором метода запуска на исполнение.
По поводу шифрованного контейнера — да. Структура его такова, что можно добавить любое количество исполняемых файлов. Я предполагаю, что в конструкторе данного Downloader'а предусмотрена возможность добавления DLL и EXE с выбором метода запуска на исполнение.
Отличная статья, обязательно продолжайте.
А ссылку на зловред дадите, plz?
Кстати, вытащил корректный дамп Password Stealer'а. Нигде не нашел более менее нормального описания, какие учетные данные он крадет. Может напишу небольшую заметку по этому поводу. Отчет на Virustotal.
Да скорее всего этот граббер, он сейчас в каждой второй малваре сидит, ну и сигнатурки Pony/FareIt подходят.
У AV VM не все хорошо со временем, об этом написано в других местах.
Но рассказывать об этом в подробностях в паблике не лучший способ защитить пользователей, т.к. они ничего не изменят, а те кто пишет малварь изменят очень многое.
Если вас интересует как работают AV, и не спрашивать одно и тоже несколько лет подряд, пройдите бесплатный курс www.intuit.ru/studies/courses/1042/154/info.
Сигнатуры хороший способ, но как говорил Евгений, будущее за другими системами.
Статья хорошая, в копилку, спасибо!
Но рассказывать об этом в подробностях в паблике не лучший способ защитить пользователей, т.к. они ничего не изменят, а те кто пишет малварь изменят очень многое.
Если вас интересует как работают AV, и не спрашивать одно и тоже несколько лет подряд, пройдите бесплатный курс www.intuit.ru/studies/courses/1042/154/info.
Сигнатуры хороший способ, но как говорил Евгений, будущее за другими системами.
Статья хорошая, в копилку, спасибо!
За ссылку спасибо, но технологии AV мне известны гораздо больше, чем преподается в данном курсе. Думаю в нем не рассматривается под скальпелем самые сокровенные технологии, которые реализованы в KAV, ибо это хлеб создателя (и это логично). Вопрос не в том, какие методики используются для обхода эмуляции (о них много где можно почитать), а в том, как распознать применение данных методик в уже существующем примере.
Про «другие системы»… Не помню точную цитату и кто автор, но примерно так: «Я на 99% уверен, что данные, зашифрованные ключем N на жестком диске, находящемся на Нептуне не будут взломаны за время t. При t стремящемся к нулю, а N к бесконечности.»
Про «другие системы»… Не помню точную цитату и кто автор, но примерно так: «Я на 99% уверен, что данные, зашифрованные ключем N на жестком диске, находящемся на Нептуне не будут взломаны за время t. При t стремящемся к нулю, а N к бесконечности.»
Не рассмотрены и думаю, лучше один раз бегло прочитать.
Сокровенные технологии, интересно что бы это могло быть. Таблица импортов которую спрашивали у тех поддержки (видео на Youtube) :)?
Шифрование:
«Второй закон Шамира: криптографию не сломают, ее обойдут.»
Вот с распознанием проблемы, и у тех кто уже десятилетия работает в этой сфере, иначе зачем нам постоянные обновления если и так все работало.
Сокровенные технологии, интересно что бы это могло быть. Таблица импортов которую спрашивали у тех поддержки (видео на Youtube) :)?
Шифрование:
«Второй закон Шамира: криптографию не сломают, ее обойдут.»
Вот с распознанием проблемы, и у тех кто уже десятилетия работает в этой сфере, иначе зачем нам постоянные обновления если и так все работало.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Trojan-Downloader.Win32.Cabby.cemx — Часть вторая — Функционал