Комментарии 160
спасибо. интересно было почитать
Вот где экшн! Парни молодцы!
они не молодцы. Их работа очень интересна, но они не молодцы.
Почему не молодцы?
Разве «парни с интересной работой» не могут быть молодцами?
Разве «парни с интересной работой» не могут быть молодцами?
Мы пока ещё не знаем точно, молодцы они или нет. И, скорей всего, никогда окончательно не узнаем. Как минимум они ясно показывают уровень компьютерной неграмотности населения и уровень защищённости компьютеров. Авось и правда народ начнёт привыкать к мысли, что работать под админом нельзя, бэкапы нужно делать, и делать регулярно, и антивирусы надо ставить до проблем, а не после.
скорей бы уже, интересно чем дело закончится. спам, ддос, сс али format c
тут намного больше способов использования в том числе и относительно законных
Законных? Это каких?
Эмм… Принудительно скачивать и устанавливать апдейты для винды?.. А-ля «протачим интернет»… :)
как минимум использование мощьностей под SETI
Дело было так:
Internet Explorer 8. On-line конференция с Петром Диденко, веб-евангелистом Microsoft:
Internet Explorer 8. On-line конференция с Петром Диденко, веб-евангелистом Microsoft:
Я: Какие действия Microsoft предпринимает для перевола пользователей на новые версии IE?
Меня, как разработчика, цифры типа «Internet Explorer 6.x — 27.00%» повергают в уныние. А с выходом восьмерки в релиз необходимо будет пересаживать пользователей и с версии 7, она ведь тоже далека от идеала и тоже «горячо любима» разработчиками.
ПД: Очень много предпринимаем. Что конкретно — пока секрет, извините.
Еще могу добавить что ненадо сидеть под админским аккаунтом и будет счастье.
> Process Explorer
Спасибо за наводку, функционала диспечера задачь нехватало.
p.s. если кому понадобиться technet.microsoft.com/en-us/sysinternals/bb896653.aspx
> Process Explorer
Спасибо за наводку, функционала диспечера задачь нехватало.
p.s. если кому понадобиться technet.microsoft.com/en-us/sysinternals/bb896653.aspx
и шо? вы таки кажные 5 минут будете разглядывать процессы? рассматривать шо скрывается за тем svchost?
всё же некоторые вирусы прячутся и от этих утилит. увы ((
Интересно, как вам Process Explorer поможет найти нормальный руткит?
Я не имею права — подписывал соглашение нераспространении вирусов. Погуглите, наверняка найдется что-нибудь
Погуглите rootkit hidden process. Такую шутку вообще самому просто написать, на wasm.ru статей по этому поводу много, есть даже пример юзермодного сокрытия.
ну есть… ну и что?
что есть?
кстати хорошие руткиты никогда не будут ставить хуки через ssdt
кстати хорошие руткиты никогда не будут ставить хуки через ssdt
ну не знаю… значит «хороших» руткитов пока еще не встречала)
а для таких уроков с васма поможет тем более
а для таких уроков с васма поможет тем более
просто скажите, что они будут делать? stealth? Или какие методы сокрытия?
Опять же, что тогда в вашем понимании «хороший руткит»? BlackEnergy или Storm к таковым относятся? А ведь крупнейшие ботнеты были. А Storm вообще модифицировали постоянно. И приходило в день по 50 отчетов о Storm'e(ЛК). И все они хукали ssdt. Но плохими руткитами от этого не стали.
Опять же, что тогда в вашем понимании «хороший руткит»? BlackEnergy или Storm к таковым относятся? А ведь крупнейшие ботнеты были. А Storm вообще модифицировали постоянно. И приходило в день по 50 отчетов о Storm'e(ЛК). И все они хукали ssdt. Но плохими руткитами от этого не стали.
Да много методов есть, я это год назад изучал, так щас и не вспомню. Знаю некоторые методы, которые являются оригинальной разработкой знакомых людей, но о них рассказывать не имею права.
SSDT плох тем, что он легко детектится и, если мне не изменяет память, под Вистой не работает.
SSDT плох тем, что он легко детектится и, если мне не изменяет память, под Вистой не работает.
насчет висты не знаю, на тот момент уже забросила это дело…
насчет оригинальной разработки — есть примеры вирусов мб? Или вообще нет? Просто часто «оригинальной разработкой» оказывается то, что используется уже годами.
>>SSDT плох тем, что он легко детектится
согласна. А насчет висты можно придумать тот же хук, только замаскировать подо что-то(доверенное приложение?). Хотя это всего-лишь мои догадки.
Просто все низкоуровневые методы неплохо детектятся. Но тут главное знать куда копать)
насчет оригинальной разработки — есть примеры вирусов мб? Или вообще нет? Просто часто «оригинальной разработкой» оказывается то, что используется уже годами.
>>SSDT плох тем, что он легко детектится
согласна. А насчет висты можно придумать тот же хук, только замаскировать подо что-то(доверенное приложение?). Хотя это всего-лишь мои догадки.
Просто все низкоуровневые методы неплохо детектятся. Но тут главное знать куда копать)
оригинальной разработкой называется то, что человек сам изобретает на твоих глазах и о чем нет почти никакой информации в интернете.
Ну не все — тут некоторое подобие гонки, если знаешь какие методы обнаружения использует противник, то придумаешь как их обойти, а как только противник узнает как ты их обходишь, он придумает новые методы обнаружения и т д
Ну не все — тут некоторое подобие гонки, если знаешь какие методы обнаружения использует противник, то придумаешь как их обойти, а как только противник узнает как ты их обходишь, он придумает новые методы обнаружения и т д
У Марка Руссиновича (да продлятся его дни), автора Process Explorer, для этих целей есть еще один замечательный инструмент RootkitRevealer. Он найдет.
Не буду говорить про вас, на хабре в этом плане люди более грамотные. Но большая часть из тех 2ух миллионов думают точно так же.
Спасибо авторам, что только для Windows пишут. :)
это просто колосальные вычислительные ресурсы, очень надеюсь, что они пойдут на благие цели или хотя бы не навред сообществу
Хочу сказать разработчикам, больше спасибо, что они не включи в этого зловреда функцию шифрование файлов. А так же разработчики молодцы, потрудились на славу.
забавно что все т.н. улучшения этого червяка уже когда-то были использованы в червях 10-15 летней давности. Видимо у авторов хватает мозгов что-то закодить, а вот с анализом существующей информации пока что проблемы.
Так не хотелось ругаться))) ведь всегда найдется человек, который скажет Х… Ю. Ты Блин НЕпризнаный эксперт в области ИБ з***сь… Сам кодить умеешь?? Кодить парни умеют, или ты считаешь что самая большая ботнет сеть за историю интернета, просто так случайно создалась??? Да если в начале думали что это просто червь, то теперь становиться ясно, что пмсался он для какой-то конкретной цели, причем так и не ясно для какой… Способов применения данной бот-сети масса начиная от DDOS и заканчивая… У меня складывается впечатление, что мы еще не раз вспомним о нем… Причем далеко не в самом лучшем свете, а пока берегите свои машины товарищи, делайте бэкапы, резервные копии ну т.д. и т.п. думаю вы сами знаете, что делать. Удачи всем…
Согласен. Мы про него еще не раз услышим и, боюсь, никто новостям рад не будет
В следующий раз побольше знаков вопроса и смайликов пожалуйста. Я на самом деле не очень сильно понял что ты написал, и чем тебя так задел мой предыдущий коммент, в котором все сказано правильно.
Я считаю, что за построением любой ботнет сети стоит целая бригада математиков, которая строит сложнейшие модели эпидемии на базе изогениев эллиптических кривых, тем самым прогнозируя ее вероятный размер с точностью до часа.
Если серьезно, то просто почитай историю, как закодился червь Моррисона, как автор не предполагал чем это обернется, и чем бы обернулось, если бы он не допустил в коде одну маленькую ошибку (- вместо + поставил). Когда кем-то создается новая поделка — никто не знает какими масштабами это может обернуться, даже сам автор.
Я считаю, что за построением любой ботнет сети стоит целая бригада математиков, которая строит сложнейшие модели эпидемии на базе изогениев эллиптических кривых, тем самым прогнозируя ее вероятный размер с точностью до часа.
Если серьезно, то просто почитай историю, как закодился червь Моррисона, как автор не предполагал чем это обернется, и чем бы обернулось, если бы он не допустил в коде одну маленькую ошибку (- вместо + поставил). Когда кем-то создается новая поделка — никто не знает какими масштабами это может обернуться, даже сам автор.
Ты считаешь ЭТО поделкой? Тем, что нечаянно пишут на коленке?
Это уже третья версия. И тут, кажеться, никто (может быть разве что кроме тебя) не сомневаются что будет четвертая, скорей всего пятая и еще Бог знает сколько. И что будет делать каждая из них — очень большой вопрос
Это уже третья версия. И тут, кажеться, никто (может быть разве что кроме тебя) не сомневаются что будет четвертая, скорей всего пятая и еще Бог знает сколько. И что будет делать каждая из них — очень большой вопрос
Нет, конечно не считаю, мы просто так со знакомыми любую вещь из серии червь, вирус, руткит и т. д. так называем. Я заметь ничего и не писал про то, что эта убогая безобидная штука, а просто заметил, что авторы стормознули при написании первой версии и не включили в нее очевидные фичи, которые были изобретены еще задолго до них.
Эта сеть контролируема, за ней пристально наблюдают не толь ко разработчики антивирусного ПО, но и сами создатели корректируя действия червя на действие антивирусных компаний. Так что ошибка тут вряд-ли уместна, и авторы прекрасно знали что они создают, ведь на то время заплатку мало кто ставил, следственно они знали масштабы атаки их червя, следственно могли предположить такой расклад действий. Программист — творец, а такие творцы математику знают прекрасно… Есть версия, что червь начался из Китая, где сохранилась советская школа обучения поэтому Китайцы могут наравне конкурировать с вирмейкерами из России, да и не только вирмейкерами.
Ага, а значит ломиться на 445 порт, тем самым давая себя обнаруживать, не было ошибкой?
Вы программист, творец, математику знаете прекрасно? Тогда постройте модель эпидемии для какого-нибудь вируса и предскажите масштабы.
Советская школа обучения чему? — Вирмейкерству?! С учетом того, что даже в России первая тема посвященная сабжу(ИБ) была написана в середине 90-х.
Вы программист, творец, математику знаете прекрасно? Тогда постройте модель эпидемии для какого-нибудь вируса и предскажите масштабы.
Советская школа обучения чему? — Вирмейкерству?! С учетом того, что даже в России первая тема посвященная сабжу(ИБ) была написана в середине 90-х.
>… авторы прекрасно знали что они создают…
я думаю, когда начинали писать был просто азарт чивото написать, когда пришло понимание, что написали — пришло любопытство, чем же ж все это может закончиться.
вобщем самое интересное еще впереди и кроме как гаданием на кофейной гуще мы пока заниматься не можем
да и вобщем наличием аналитического склада ума человек не всегда обязана образованию и конкретно математике
я думаю, когда начинали писать был просто азарт чивото написать, когда пришло понимание, что написали — пришло любопытство, чем же ж все это может закончиться.
вобщем самое интересное еще впереди и кроме как гаданием на кофейной гуще мы пока заниматься не можем
да и вобщем наличием аналитического склада ума человек не всегда обязана образованию и конкретно математике
Когда начнут банить за картинки для привлечения внимания?
просветите, патч от MS — панацея?
Панацея)))) Нет. Просто в ноябре 08 года он распространялся именно таким образом, сейчас флэшки файлы и т.д. И все-таки поставь патч, на флэке сделай авторан только для чтения. Руки и только руки помогут тебе против него… Сам я с ним сталкивался 4 часа пришлось потратить жизни на удаление с 1-ой машины Так кто-то говорил писать не умеют напиши лучше…
Вы думаете ботнет будут использовать для поиска лекарства от рака или внеземных цивилизаций? :-)
Лучше бы действительно использовали подобные сервисы НА БЛАГО человечеству.А не для развлекаловки!
Лучше бы действительно использовали подобные сервисы НА БЛАГО человечеству.А не для развлекаловки!
а кто сказал, что для развлекаловки? Для развлекаловки школьники используют. А на таких вирусах делаются вполне определенные деньги
За ддосить сервера аськи и (дьявольский смех) джаббер восторжествует.
В состоянии аффекта.
В состоянии аффекта.
Я поржал, когда половина офиса начала жаловаться что у них антивирус обнаруживает атаку с контроллера домена, при этом блокируя доступ на этот сервер. Авторам респектоз :)
Эх, энергию б создателей червя да в мирных целях…
где скачать обновление ??
Хакерам респект. Без них было бы на много скучнее.
Мир опасносте??7семь о_О
Ребята таланты)) Мало что p2p так еще и цифровые подписи, ух!
Вот чего стоит больше всего опасаться, так это того, что этот ботнет может быть использован в военных целях.
в конце нехватает приписки — пока вы читаете эту статью W32.Downadup.C. скачался на ваш компьютер и обновлен до последней версии.
Мне кажется, что это только начало...)
начало конца… *завывающим голосом*
Кстати, прикольная идея.
В день релиза всем выведется «Идите в кино» и вирус самоудалится :)
В день релиза всем выведется «Идите в кино» и вирус самоудалится :)
последний трейлер кстати весьма неплох!
kino-govno.com/movies/terminator4/trailers
kino-govno.com/movies/terminator4/trailers
А говорили что скайнет это детище военных…
Хм, хотя кто сказал что эта сеть не детище военных какой либо страны?
Хм, хотя кто сказал что эта сеть не детище военных какой либо страны?
Это инопланетяне захватыват наш мир! :)
хм… в понедельник надо будет поставить такой вот хонейпот, вдруг, что нить попадется.
Надеюсь Касперский от Яндекса меня спасёт.
Кстати, я его и поставил из-за того, что заразился предыдущей версией.
Ни online Kaspersky, ни free DrWeb не смогли меня спасти. В упор не хотели запускаться, либо" самоудалялись".
В итоге: снос Винды, переустановка софта…
Кстати, я его и поставил из-за того, что заразился предыдущей версией.
Ни online Kaspersky, ни free DrWeb не смогли меня спасти. В упор не хотели запускаться, либо" самоудалялись".
В итоге: снос Винды, переустановка софта…
а как же лайф сиди?
PS если столкнетесь с Win32.Socket.12 или 17 — перестановка не поможет — только тотальная проверка всех дисков самым свежим CureIt с LiveCD
PS если столкнетесь с Win32.Socket.12 или 17 — перестановка не поможет — только тотальная проверка всех дисков самым свежим CureIt с LiveCD
Проблема в том, что у меня небыло под рукой Cd-r, только dvd-шные.
может быть есть способы записи iso cd-шников на болванки DVD?
Кстати, на тот момент меня смутило, что на liveCd базы были не самые свежие в отличии от CureIt.
может быть есть способы записи iso cd-шников на болванки DVD?
Кстати, на тот момент меня смутило, что на liveCd базы были не самые свежие в отличии от CureIt.
он называется «НЕ Nero» — только он один до сих пор «не умеет» этого делать — пользуйтесь Infrarecoder или Small CD Writer
PS я на днях освоил новую технологию — грузишься под runtu, установленной на флэшку или usb жесткий (быстрее грузиться) — а там просто под вайном запускаешь launch.exe — работает как часы :)
PS я на днях освоил новую технологию — грузишься под runtu, установленной на флэшку или usb жесткий (быстрее грузиться) — а там просто под вайном запускаешь launch.exe — работает как часы :)
:-) Спасибо. Посмотрю в их сторону. На самом деле я «боялся» писать, из-за всяких мыслей о том, что мало ли, может быть физически как-то носители/образы несовместимы и т.п. Аля как в HDD есть кластеры, цилиндры и колличество головок. Да и у меня 6-ая версия Неро. Пишет, ну и ладно.
Кстати, по поводу USB flash-eк. Тоже есть «страх» и негативнй опыт. Когда ставил винду на еее901, тоже с форума на eee-pc.ru пытался сделать USB флэшку загрузочной, но у меня она 8GB, а там образы(винды на флэшке) были под 1 или 2 гб максимум. вообщем секс был на полдня, максимум что удалось сделать, так это загрузочную флэшку как 1,44" дискету, потом я форатировал винт из командной строки, потом снова формитировал флэшку уже на 8 гигов, копировал на неё винду (650 метров), копировал винду на винт нотика и уже оттуда запускал setup.exe :-)
Кстати, по поводу USB flash-eк. Тоже есть «страх» и негативнй опыт. Когда ставил винду на еее901, тоже с форума на eee-pc.ru пытался сделать USB флэшку загрузочной, но у меня она 8GB, а там образы(винды на флэшке) были под 1 или 2 гб максимум. вообщем секс был на полдня, максимум что удалось сделать, так это загрузочную флэшку как 1,44" дискету, потом я форатировал винт из командной строки, потом снова формитировал флэшку уже на 8 гигов, копировал на неё винду (650 метров), копировал винду на винт нотика и уже оттуда запускал setup.exe :-)
неро по моему с самого начала так умел делать ))) просто после открытия исо в выпадающем списке dvd надо выбрать.
Такое впечатление что авторы трояна тестят функционал потихонечку. Первая версия умела круто размножаться. Вторая круто прячеться. Третья будет уметь чтото круто делать (спам рассылку, формат с, реклама терминатора 4). Ну а как выйдет всё это целиком мы узнаем для чего и кому это нужно было :)
А как провериться, есть он, этот червь у меня или нет?
В статье по первой ссылке есть: «Самый простой способ узнать, заражен ли ваш компьютер — это попробовать зайти на сайты www.f-secure.com или www.kaspersky.ru/ и на сайт microsoft. Если эти сайты у вас не открываются — вы заражены. Учтите, что разные версии червя блокируют разные сайты, так что у вас может открываться F-Secure.com, но не открываться Kaspersky.ru и microsoft.com — вы заражены.»
Где то писали что в США озаботились вполне серьёзно проблемами электронной безопасности, уж не их ли это проделки? На пару с MS)
Если бы он еще и принудительно закрывал ИЕ и качал на зараженные машины ФФ или оперу…
А если серьёзно, сижу под Linux и если накроется винда с игрушками — ооочень разозлюсь.
Блин… Только недавно вылечил свой комп. Наша песня хороша — начинай сначала.
Кстати, если кому интересно, могу описать, как я «лечился».
Симптомы:
— Нет доступа к сайтам каспера, мс и f-secure
— Утилиты поиска, скачанные из DC вышибаются с ошибкой «неведомой» силой
Лечение элементарно:
Открыл диспетчер задач, отсортировал процессы по алфавиту и внимательно посмотрел на пресловутые процессы svchost. Так вот: процессов там несколько это известно каждому, но все процессы имеют размер 3-8 Мб (в памяти), а один — 22Мб. Вышиб этот процесс, благо он не защищается, и снова запустил утилиту лечения — все прошло нормально, вирус был удален.
Симптомы:
— Нет доступа к сайтам каспера, мс и f-secure
— Утилиты поиска, скачанные из DC вышибаются с ошибкой «неведомой» силой
Лечение элементарно:
Открыл диспетчер задач, отсортировал процессы по алфавиту и внимательно посмотрел на пресловутые процессы svchost. Так вот: процессов там несколько это известно каждому, но все процессы имеют размер 3-8 Мб (в памяти), а один — 22Мб. Вышиб этот процесс, благо он не защищается, и снова запустил утилиту лечения — все прошло нормально, вирус был удален.
Монетизация…
— У соседа громко играет музыка? Отформотируй ему жесткий! Отправь смс на номер…
— У соседа громко играет музыка? Отформотируй ему жесткий! Отправь смс на номер…
Спасибо за статью — очень актуально
Сижу, читаю эту статью, и вдруг выскакивает на экран предупреждение от антивируса (кстати, NOD32) о том, что обнаружен червь Conficker.AE…
Судорожно сглотнул.
Интересно, которая это модификация из вышеописанных?
Первым же делом после того, как дочитаю, скачаю лечилок и патчей.
Судорожно сглотнул.
Интересно, которая это модификация из вышеописанных?
Первым же делом после того, как дочитаю, скачаю лечилок и патчей.
Вот заняться народу нечем. Одни пишут, другие заражаются, третьи деньги получают. Целую индустрию раздули из ничего. Какое-то пустое убивание времени.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Модификация червя Downadup — W32.Downadup.C.