Комментарии 32
И что-нибудь серьезное можно засунуть в 196кб?
WIN95.CIH был 1003 байта.
Если написать на ассемблере можно много чего втолкать в 196кб и ещё останется.
На самом деле эффективнее написать лоудер, который определит AV загрузит вирусную часть и убийцу антивируса. В целом если делать все грамотно то лоудер способен долгое время не палиться.
Не многие помнят последствия. Админам и сервисникам работы привалило знатно. Я был юн тогда, но быстро научился шить биос(обычная микруха памяти)...
И что-нибудь серьезное можно засунуть в 196кб?
Можно засунуть лоадер, который при запуске скачает из интернет кучу других вирусов и троянов
Вирус больше не запускается, с удалением разобрались.
Это не называется "разобрались". Где именно и как именно вирус "подсасывается к процессу обновления системы и паразитирует через него"? Как корректно это обнаружить и вычистить? Почему не использован такой инструмент как, например, autoruns.exe - он прекрасно показывает, что и как будет грузиться в системе.
И смежный вопрос - как вирус, запущенный из учётной записи пользователя, смог интегрироваться в системный процесс? Где накосячил юзер?
Windows Update это процесс wuauclt.exe. Если убить этот процесс, то заражение флешек прекращается.
А просто остановить службу не судьба?
копирует себя на флешки аккуратно ничего не удаляя при этом
Только при условии, что ему ничего не помешало. А при своём запуске он выполняет достаточно длительную операцию перемещения содержимого флешки в неотображаемый каталог, и если при выполнении этой операции ему помешать (скажем, выдернуть флешку), то можно и потерятб данные.
но это всё ради чего?
Просто пока отработка технологии, видимо. Предыдущие версии запускались через HKCU/../Run.
Но деструктивные действия уже есть. Кроме описанного выше разрушения данных он может по ошибке заражать подключенные по USB устройства другого типа - лично видел зараженный смартфон, который удалось оживить только путём factory reset.
В общем, весьма поверхностное "исследование". На пост ещё тянет, а на статью - категорически нет.
Я тоже ожидал танцы с Олькой, а тут только внешние наблюдения обычного продвинутого юзера. А жаль.
Я Ольку не вытяну, слишком сложно для меня.
А просто остановить службу не судьба?
Я отключал службу обновления windows в службах, но это не изменило ситуацию. Процесс появлялся.
Это не называется "разобрались". Где именно и как именно вирус "подсасывается к процессу обновления системы и паразитирует через него"? Как корректно это обнаружить и вычистить? Почему не использован такой инструмент как, например, autoruns.exe - он прекрасно показывает, что и как будет грузиться в системе.
Попробую autoruns.exe, я о таком не знал. Я смотрел через нынче забаненный на территории РФ CCleaner.
Я допускаю что от вируса что-то осталось в системе, но это уже не работает полноценно и заражений не происходит.
Ага, детский сад
Кроме autoruns есть как минимум еще sandboxie с включенным логом, куча других онлайн анализаторов, которые выведут полную инфу, что тянет за собой бинарик и куда обращается: файлы, реестр, сеть, если лень настроить procmon от sysinternals. HybridAnalysis, Joe Sandbox. Да полно их.
Не знаю в каком сейчас состоянии утилита AVZ, но лет 15 назад я с ее помощью обнаруживал и вычищал табуны руткитов. Правда, Conficker полностью вычистить не удалось - не смог обнаружить его "гнездовье", откуда он восстанавливался.
Но утилита была хорошая, если уметь пользоваться - многие обнаруженные зловреды еще не были включены в антивирусные базы. Я их в Лабораторию Данилова отсылал.
некоторому ПК на неё прыгнул вирус.
Фейспалм.., ну ок.. это для начинающих. Но потом зачем то упоминается OllyDbg: "Шта эта за какирская фугня" спросит начинающий и будет прав. Вступление никуда не годное, начинающему не осознать что вирус "прыгнул", и как это определить, а это самое главное.
Дальше у нас вредные советы начинающему реверсеру. Открывать что то блокнотом - так себе совет в целом, особенно если кто то попробует открыть все даблкликом и запустит это так или иначе. Уж если мы вооружились total commander то там и только там все делаем, для просмотра F3. и лучше с плагинами типа fileinfo. без всяких игр со сменой расширений (расширения в проводнике по умолчанию вообще не отображаются). Для начинающих это все лишнее, они так любой .dll за вирус сщитать будут. Сразу virus total
Тогда уж проще все сунуть в 010 editor и не изобретать велосипед :)
Дальше у нас вредные советы начинающему реверсеру. Открывать что то блокнотом - так себе совет в целом, особенно если кто то попробует открыть все даблкликом и запустит это так или иначе
Блокнот вообще великая вещь. Можно бегло по .exe файлу пробежаться, тип данных string видно и можно много что вычитать. Если в eхe файл зашит web интерфейс, то там в блокноте его весь видно.
По сегодняшним временам, человек, который использует Windows в работе, напоминает мне одну не безызвестную фразу А.П. Чехова...
Напомните мне, что там с продукцией от Adobe на Linux? Что там с Solid works, Autocad, Creo? Компас под вайном не считаем (хотя, вероятно, он уже и нативно умеет, не следил за темой).
что там с продукцией от Adobe на Linux? Что там с Solid works, Autocad, Creo?
Вот прям подавляющее большинство IT-шников кушать не могут из-за отсутствия Adobe, Solid, Autocad, Creo в Линуксе. ;)
xammer сделал утверждение "использует Windows в работе". И вы должны отдавать себе отчёт, что на компьютере работают не только лишь айтишники.
на компьютере работают не только лишь айтишники
Тем более. Офисному планктону(не оскорбление) тем более не сдались эти ваши Solidы и Autocadы.
Это уже похоже на толстый троллинг. Речь то про то, что есть те, кому как раз таки сдались эти Solidы и Autocadы и они абсолютно попадают под определение "использовать Windows для работы". Я не понимаю, почему это вам не понятно.
Речь то про то, что есть те, кому как раз таки сдались эти Solidы и
Autocadы и они абсолютно попадают под определение "использовать Windows
для работы"
Речь вообще-то про всех пользователей Винды на работе(да и вообще всех пользователей Винды), а тех кто для работы не может обойтись без именно Винды, подавляющее меньшинство. Все остальные, без конца с необычайной легкостью, заражаются вирусами, троянами и шифровальщиками, жмут на ссылки, подхватывая заразу. т.е. "плачут и колятся грызя кактус" А зачем, ежели могут практически бесплатно облегчить себе(и другим, кому потом это все разгребать) жизнь?
О, я вижу проблему вагонетки: давайте пожертвуем теми, кому винда нужна, чтобы обезопасить подавляющее большинство тех, кому винда не нужна. Ну а чертежи там, да рисунки с книжками пусть это меньшинство по старинке чертит на кульмане да малюет на холстах и расставляют литеры в рамках, не сахарные, не растают. Много тысяч лет так делали люди и ничего. Я всё правильно понял? И с чего вы подумали, что я против всеобщей линуксизации? Я такого явно не утверждал.
Ещё раз: речь xammer действительно была про всех, но мир устроен так, что обобщение тут не работает. Ну а что касается тех, кого по вашему мнению можно ради общей пользы и безопасности нужно усадить на Linux, там где это было возможно сделать уже точно сделано. И я отлично понимаю, что те бородатые анекдоты, которые я помню ещё в момент их актуальности, что "Начальника не волнует, что отчёт секретарши задерживается из-за того, что она не смогла подмонтировать флоппик" сейчас безбожно устарели. Однако, это будет на вашей совести обучать человека пользованию Linux на работе, когда у него на домашнем ПК всё ещё Windows.
Начальника не волнует, что отчёт секретарши задерживается из-за того, что она не смогла подмонтировать флоппик" сейчас безбожно устарели
К сожалению не устарели. Последнее с чем я сталкивался буквально месяца 3 назад - BT адаптер от Asus с оф поддержкой Linux который не взлетал ни сам ни с драйверами с оф сайта. До этого - отвалы rdp из коробки в последней ubuntu.
Даже если отбросить необходимость (я сам работаю с железяками которые софта и дров под Linux не имеют) - у меня среди знакомых айтишников никто на нем не сидит - видимо неправильный круг знакомств.
человек, который использует Windows в работе...
Ув. xammer, cупостаты снизили карму и не могу поставить Вам плюсик, а очень хочется, поэтому выражаю свое искреннее одобрение и согласие в комменте. +100500
В смысле «что можно засунуть в 196кб»? Гуглим и запускаем kkriegger и, если вы не видели это до сих пор, будете очень удивлены (это лишь 96кб, на сотню меньше) или farbrausch fr-08, что занимает 64кб - и всё это добро генерирует ресурсы гораздо более ёмкие, чем кучка API-вызовов для записи файлов... Так же можете написать прошивку для старших моделей STM32 и посмотреть, сколько настроек железа, библиотечного кода, полезной нагрузки можно уместить в 196кб...
Файл с расширением .nil это .DLL файл. Это можно понять если открыть его в блокноте. Там есть надпись "This program cannot be run in DOS mode".
Вся статья очень поверхностная, но вот это прям вообще очень плохо. Поверьте, первые две буквы MZ прям сильно важнее надписи This program cannot be run in DOS mode.
Изучаем freeware вирус на ПК