Руткит Avatar: детальный анализ

[MorrisDecker]

Небольшое руководство для юных хакеров:)

[namespace]

Отличное название для профильной статьи по анализу малвари :)

[WaveCut]

Спасибо за разбор, читается как напряженный детективный рассказ!

[esetnod32]

Мы старались :)

[Funcraft]

Большое спасибо! Действительно, читается на одном дыхании (:

[B_Vladi]

Вспомнилось: «Это всё очень сложно, но круто!» © South Park

[namespace]

Я очень много работаю с алгоритмами и софтом (под линем) и когда читаю такие статьи, понимаю, что… ничего не понимаю.

[sebres]

новый руткит

— MS11-080 уязвимость в XP пофикшена в 2011 году,
— UAC Win7Elevate (COM white list) если мне не изменяет память пофикшен для 7-ки еще на стадии беты.

Вы серьезно? Я в смысле про «новый»?

ПС. А так да, проделанная работа впечетляет…

[vanxant]

Гляньте блоксхему, если юзер сидит под админом, никакие уязвимости и не нужны. И если под юниксами сидеть рутом не принято, то под домашней виндой это используют 99% юзеров. Вот их-то машины и зомбируют.

[sebres]

То отчасти верно для XP, для семерки же сильно требо повысить привилегии, даже как вы выразились «сидя под админом». Т.е. для семерки блок-схема верна, если процесс уже запущен с повышенными привилегиями UAC-ом.

[esetnod32]

В смысле обнаружения и анализа он действительно новый. В плане rk-техник его действительно сложно назвать новым, скорее чем-то похожим на TDL3 и наработки того времени. Но как у malware, есть ряд отличительных особенностей, которые явно выделяют его из всех остальных.

[fil9]

Кстати, где берете новые штампы?

[fil9]

На основании данного поста, можно руками написать репатчер

[fil9]

К сожалению, идеи не могу подкрепить программой, так как просто не могу написать ее на должном уровне.
Один вопрос, а изменяется ли хеш зараженного файла?

[gladkov]

что за программу использовали в п.3?

[LMaster]

BinDiff? (Остальные — PE explorer, Ida Pro, HiEW).

[datacompboy]

Ну что, классная реклама ботнета. Где скачать? Почем? :D