Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 118
вау, отличный материал, спасибо, с удовольствием прочитал!
спасибо за старания.
прочитал на одном дыхании!
прочитал на одном дыхании!
Спасибо, хорошая статья, понравилось. Стало интересно, а зачем все эти сложности, если в итоге и сам «большой конь» и «жеребец» и, тем более, «бяка» на данный момент успешно определяются антивирусами? Чтобы затруднить анализ разработчикам антивирусов? Видимо, не очень сильно помогло.
Детектив (во всех смыслах) :)
Красивый слог, вам не только аналитиком можно работать.
великолепно, ждем продолжения про подробности того, что делает большой троянский конь
маньяк
супер!!! :)
Блестящий материал! После прочтения вашей статьи складывается впечатление, что, казалось бы, в профильные журналы «Хакер» и «Спец» статьи пишут старшеклассники.
Ммм… Статья замечательная, но про авторство статей в «Хакере» такие мысли и без этой статьи появлялись :)
Вы никогда не пробовали писать статьи в «Хакер»? Зря. Заодно получите подтверждение своего впечатления :)
Отнюдь :)
Просто формат журнала вряд ли позволяет ТАК подробно описывать отлов одного вируса.
Просто формат журнала вряд ли позволяет ТАК подробно описывать отлов одного вируса.
Прекрасно написано!
Перечитал все ваши статьи, узнал для себя много нового, немного вспомнил.
Ну и чуть понастальгировал по времени, когда сам штудировал книжки П. Нортона по асму, вирусную аналитику Д. Н. Лозинского и др.
Вообщем спасибо за материал.
Перечитал все ваши статьи, узнал для себя много нового, немного вспомнил.
Ну и чуть понастальгировал по времени, когда сам штудировал книжки П. Нортона по асму, вирусную аналитику Д. Н. Лозинского и др.
Вообщем спасибо за материал.
Нехрена не понял, но круто!
Я ничего в этом не понимаю:), но мне интересно, что конкретно делает этот вирус (filebyaka.exe), т.е. именно последствия, а что что-то не нашел этого.
Немного выше дали ссылку на анализ действий «бяки». Если коротко, то выводит предупреждение о вирусе, заставляя пользователя скачать и установить некий продукт «Antivirus XP 2008», который на самом деле не настоящий антивирус. После установки этот фейковый антивирус имитирует полезную деятельность и выдает отчеты о якобы найденных вирусах, убеждая пользователя купить полную версию себя.
И?.. Просвятите тех, кто далёк от этой темы, пожалуйста (статьи отличные, но как писали выше «Круто, но не очень понятно» :) ). Предлагает он купить более полную версию себя — и что? В итоге что-то покупается (т.е. это преступление, чтобы заставить пользователя купить чей-то продукт) или нам продают в итоге комплект «Все трояны на одном диске — активируй и радуйся».
Что в итоге-то? Какой результат реального ущерба? Или это такой «маркетинг», в попытке заставить купить какой-то продукт?
Спасибо за пояснения…
Что в итоге-то? Какой результат реального ущерба? Или это такой «маркетинг», в попытке заставить купить какой-то продукт?
Спасибо за пояснения…
это простое вымогательство. Этот «антивирус» в жестких угрожающих формах говорит о том, что компьютер якобы заражен. Пользователь пугается, платит деньги… и ничего. Компьютер как был чистым, так и остается. «Антивирус» просто говорит, что все ок.
Не все так просто. Эти FakeAlert'ы довольно убедительно показывают, что вирусы есть — анноящая реклама и порнуха в браузерах — это цветочки. Некоторые звери вместе с ложными антивирусами еще и пяток настоящик троянов качают :-)
ничего себе. Я как-то ковырял «папу» этого антивируса — MS Antivirus, но ничего такого не нашел…
Кстати, даже касперского подделывают уже — www.viruslist.com/ru/weblog? weblogid=207758727
Кстати, даже касперского подделывают уже — www.viruslist.com/ru/weblog? weblogid=207758727
Есть семейство Vapsup (у M$ и Каспера, каежется), характерно полной неупакованностью, но очень характерным шифрованием строк. По ключу шифрования и можно установить, что несколько файлов из одной связки. Там среди компонентов есть и Downloader, он качает фэйковый антивирус и еще 4-5 файлов. Точнее, даже не сам антивирус, а прогу, которая говорит «вы заражены, лекарство тут».
Тогда у меня интересное предположение… В подобных статьях (безусловно, отличных статьях!) мы имеем разложенный по полочкам, с комментариями код вполне себе работающего трояна. Что дальше мешает более-менее понимающему человеку (не мне, блондинке от программирования) чуть скорректировать код, что бы пошло обращение не к «файлу-бяке» fake-антивируса, а на что-нибудь более вредоносное — и разослать? Тем более, что комплект файлов мы тоже имеем…
Как бы «обратная сторона медали» получается.
Как бы «обратная сторона медали» получается.
долго смеялся :) но ни над текстом ни над автором :) этот «продукт» вендор биллинга одной известной мне компании, к сожалению я договор подписывал, скажу только, что судя по их продажам, многие ведутся на такие попапы.
Я не говорю про СНГ, большей частью восточная европа и конечно же США.
Я не говорю про СНГ, большей частью восточная европа и конечно же США.
Грациозное вальсирование по острию бритвы.
Сэр, Вы Шерлок :)
или маг
я догадываюсь, что все куда проще — но как приятно и интересно читать!
Спасибо!
или маг
я догадываюсь, что все куда проще — но как приятно и интересно читать!
Спасибо!
Лоадеры, которые качают через BITS — это поделки 2005-2006 года. Сейчас внедрение в BITS ловят почти все антивири.
Лучше всего сделать обзор лоадеров, которые работают через драйвер… Это куда более сложные звери…
Лучше всего сделать обзор лоадеров, которые работают через драйвер… Это куда более сложные звери…
мне пока не попадались. Хотя я занимаюсь вирусами в свободное время, и не могу быть особым авторитетом. Если есть сэмплы таких зверей — давайте, с удовольствием поковыряю.
ну надо учитывать тот факт что БИТС может и работать (может!!! не проверял) под не привилегированной учетной записи… а драйвер под такой учеткой ты не воткнешь =\
Автор молодца! узнал много интересного… спасибо…
Спасибо за материал, боролся я с этой «бякой» на 10 машинах, не применяя антивируса, победить было не просто.
отличный материал, читал как современный детектив, так как сам никогда за такое не возьмусь, но уж очень интересно :)
Хабракат.
Можно в блог по асму опубликовать :)
Можно в блог по асму опубликовать :)
Вот это действительно нормальный топик, развернуто и не затянуто.
+ вам однозначно.
+ вам однозначно.
Потрясающий детектив!
не знаю ассемблера. почти все утилиты мне незнакомы. никогда не занимался изучением вирусов и прочих «бяк», но автор дал материал так что мне показалось что я кое-что понял. Реально, если бы каждый гик-специалист умел так излагать мысли мнение людей о хакерах могло бы поменять в лучшую сторону.
П.С. хакер это просто специалист, а не специалист-злоумышленник, как нам пытаются объяснить в фильмах
П.С. хакер это просто специалист, а не специалист-злоумышленник, как нам пытаются объяснить в фильмах
use condoms ;)
Затягивает ;) Автор вы молодец!
Затягивает ;) Автор вы молодец!
Крис Касперски, это ты? :)
Именно за такие статьи я полюбил Хабр. Автору огромное спасибо!
Отличная статья!
На хабре относительно недавно, это первый материал где вчитывался буквально в каждую букву, силясь понять, хотя в этом нифига не разбираюсь )
На хабре относительно недавно, это первый материал где вчитывался буквально в каждую букву, силясь понять, хотя в этом нифига не разбираюсь )
По-моему, это ноутбук!
Спасибо за материал.
Автор, я очень надеюсь, что это не последний твомй топик, и ты еще порадуешь нас такии же великолепными статьями.
Почти ничего толком не понял, но было очень интересно, правда :)
браво!
… продолжать в таком же духе!!!
побольше бы таких детективчиков!
читал — «детство» вспоминал… так захотелась опять поковыряться в IDA/WinDasm/WinHex ;)
Великолепно. Спасибо большое.
2ФППХ: макбук автору
2ФППХ: макбук автору
Практически ощутил себя «дизайнером-блондинкой» :) НО! Большое спасибо Автору за материал — изложенно всё настолько популярно, что даже не понимая некоторых технических моментов общая суть стала понятна. Спасибо, это было очень интересно!
а что делает сам вирус (файлобяка)?
как всегда шикарная статья)
как всегда шикарная статья)
спасибо, очень интересно читать (хотя, честно говоря, понимаю очень мало :).
Я бы порекомендовал (для привлечения похожих на меня читателей) проверять текст где-нибудь на орфографию (использование gawk/python наряду с win32 немного пугает, поэтому даже не могу предположить, какая ОС используется). + рисовать простые блок-схемы. Дизассемблированный код говорит крайне мало, два-пять блоков со стрелочками лично мне было бы понятнее.
Я бы порекомендовал (для привлечения похожих на меня читателей) проверять текст где-нибудь на орфографию (использование gawk/python наряду с win32 немного пугает, поэтому даже не могу предположить, какая ОС используется). + рисовать простые блок-схемы. Дизассемблированный код говорит крайне мало, два-пять блоков со стрелочками лично мне было бы понятнее.
Простые блок-схемы скрывают все нюансы! На асме одно и тоже можно написать десятком, если не больше, способов, поэтому блок-схемы сокроют внутри всякие интересные вкусности.
gawk для win32 — берется из cygwin'а. А питон (как и большинство открытых проектов) есть и под windows. Open Source != Linux :)
Видно, что читать надо, но наверное вечером, а то с утра мозги закипять — хоть пакетик во рту заваривай :)
Большое спасибо за шикарную статью. Очень интересно и позновательно.
Вы отличный реверсер. Спасибо за интересный материал :)
Не зря наши великие умы Trojan.Packed делали! :-)
Кстати, по поводу UPX. Приведенная картинка с блок-схемой программы (которая первая) выдает UPX сразу: куча каких-то переходов, но в конце — обязательно «красный» на адрес до точки входа. Довольно часто попадается модифицированный UPX, который upx -d не возьмет, приходится ручками: ставится бряк на этот «красный» переход и дальше один шаг пройти :-)
Для снятия дампов есть прекрасная примочка к Olly — OllyDump, рекомендую. Баги, правда, тоже есть :-)
По ссылочке сейчас файлег скачаю, посмотрю что там и как :-)
Спасибо за интересную статью ;-)
Кстати, по поводу UPX. Приведенная картинка с блок-схемой программы (которая первая) выдает UPX сразу: куча каких-то переходов, но в конце — обязательно «красный» на адрес до точки входа. Довольно часто попадается модифицированный UPX, который upx -d не возьмет, приходится ручками: ставится бряк на этот «красный» переход и дальше один шаг пройти :-)
Для снятия дампов есть прекрасная примочка к Olly — OllyDump, рекомендую. Баги, правда, тоже есть :-)
По ссылочке сейчас файлег скачаю, посмотрю что там и как :-)
Спасибо за интересную статью ;-)
Я прошел-таки по зловещему адресу, оказалось там ничего нет, как собственно и целого сайта reddii.org.
Проверил WHOIS: сразу бросилась в глаза запись
Они заподозрили неладное уже спустя час после написания статьи и спешительно скрылись.
PS: Статья очень понравилась, очень вы лихо расправляетесь с заразой.
Проверил WHOIS: сразу бросилась в глаза запись
Last Updated On:10-Sep-2008 00:21:26 UTC.Они заподозрили неладное уже спустя час после написания статьи и спешительно скрылись.
PS: Статья очень понравилась, очень вы лихо расправляетесь с заразой.
Таааак… пошел учить матчасть…
ничо не понял, но читал с удовольствием, пасиб))
Я нихрена не понял, но ты затронул мою душу.
Обожаю такова рода разборы троев… сам ковыряю по возможности…
Отлично, спасибо!
Шикарное исследование, очень интересно. Хорошо бы разбор какого-нибудь злостного вируса с самокопированием.
/me ушел читать «Ассемблер для чайников».
Я, к сожалению, физически не могу ответить на все комментарии. Видно, и для не-специалистов это не было таким уж бесполезным чтением. Спасибо за добрые слова.
поправьте последнее слово в фразе:
«То есть, upx опознал свой файл. Рапаковываем:»
и спасибо за статью, очень познавательно)
«То есть, upx опознал свой файл. Рапаковываем:»
и спасибо за статью, очень познавательно)
Держим репутацию статьи на 512 :))))))
Здравствуйте,
Домен reddii.org заблокирован.
Regards,
Estdomains, Inc
На этой оптимистичной ноте прощаемся с доменом. :-)
Спасибо за интересную статью, в свое время похожие статьи от Криса Касперски читал одну за другой)) Наверно непросто сделать такой маленький, но работающий лоадер.
Спасибо за статью.
Иногда я жалею, что пошел по пути программиста.
Иногда я жалею, что пошел по пути программиста.
Спасибо.
Статьи про раздор вирусов отлично идут на хабре. И читать их интересно, не в обиду другим топикам. Сама тематика цепляет многих, программистов и далёких от этого людей.
Статьи про раздор вирусов отлично идут на хабре. И читать их интересно, не в обиду другим топикам. Сама тематика цепляет многих, программистов и далёких от этого людей.
Компания, в которой вы работаете, должна вами очень и очень гордиться.
Еще один повод отключить нафиг BITS и Windows Update. Система должна быть под контролем владельца (юзера, а не разработчика)
Отличный интересный труд, спасибо вам. И достойно ноута, конечно
Не думал, что обыкновенная «лошадь» может быть так сложно устроена! Так что молодец тот, кто раскрутил весь этот клубок.
P.S. Хорошую систему Windows NT убили маркетологи! Статья действительно достойна ноутбука.
P.S. Хорошую систему Windows NT убили маркетологи! Статья действительно достойна ноутбука.
Спасибо за материал! Пишите чаще, пожалуйста=)
До прочтения статьи думал что я что — о знаю о программировании ибо работаю программером, но после прочтения статьи…
Автору огромное спасибо за положительные эмоции от прочтения, интересную тему и хорошее изложение!!! Побольше бы таких статей!!!
Автору огромное спасибо за положительные эмоции от прочтения, интересную тему и хорошее изложение!!! Побольше бы таких статей!!!
с победой!
Поздравляю с победой! Отличная статья, побольше бы таких!
Вы прямо как доктор Хаус :)
Мои поздравления :)
Ждём новых интересных обзоров!
Ждём новых интересных обзоров!
В лучших традициях Криса Касперски, респект.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Мал, да удал: Trojan-Downloader.Win32.Tiny