Антивирусная защита *

Давненько мне не приходил никакой спам с вирусными рассылками от френдлиста социальных сетей, да и ничего уникального давно не встречалось из подобного рода рассылок. Но сегодня мне попал довольно любопытный сэмпл.
Сперва пришло письмо от человека, который состоит у меня в списке друзей:



Довольно несвойственная манера для человека, но я прошел по ссылке, т.к. она не вела на внешние ресурсы. При переходе видим профиль некоего Энди Смоука, обещающего завтра всем дать голоса на халяву, если перейти по ссылке. Что настораживает сразу? Правильно, сокращалка ссылок, которую так долго использовали за бугром для фишинга. Теперь и до нас докатились) Но это лично для меня, вообще настораживает халява сама по себе.

Подробности под катом)

В марте 1971 года в прообразе современного интернета — американской сети ARPANET — появилась программа Creeper, способная самостоятельно перемещаться с одного компьютера на другой.

Строго говоря, Creeper не был компьютерным вирусом в современном понимании этого термина — как программы, способной к самостоятельному размножению. Его создатель — инженер Боб Томас (Bob Thomas) просто пытался написать программу, которая могла бы сама «передвигаться» между компьютерами, не предполагая, что таким образом можно нанести какой-либо урон. В отличие от компьютерных вирусов и червей, созданных позднее, Creeper удалял свою копию из системы при перемещении на новый компьютер.

Попадая на новую машину, программа выводила сообщение «I'm the creeper, catch me if you can!» и немедленно пыталась перебраться дальше. Creeper работал на компьютерах DEC PDP-10 с операционной системой TENEX. Эти весьма крупногабаритные, по современным меркам, компьютеры широко использовались в вычислительных центрах при различных научно-исследовательских организациях того времени.

Оригинальная статья:
www.rian.ru/science/20110316/354626346.html

Дополнительная информация:
en.wikipedia.org/wiki/Creeper_virus

В последнее время со стороны компаний, занимающихся цифровой безопасностью, стало довольно модно сообщать об успешных операциях по закрытию ботнетов и аресту их владельцев. Так, закрыли Bredolab — и об это не написали только ленивые.

Цель этой статьи — показать, что далеко не всё так гладко в Датском королевстве.

Автор не претендует на исчерпывающую информацию, но в любом случае полезно знать о провалах антивирусной индустрии.

При выполнении заражения системы перед вирмейкером всегда стоит задача определения, а не является ли данная система уже заражённой. В противном случае, выполнение повторных механизмов инфицирования в ряде случаев может привести к нарушению работы троянца либо дестабилизацией всей системы. И то и другое — нежелательно.

Одним из механизмов по предотвращению этого явления является создание специфичных мьютексов, по наличию которых делается вывод о наличии активного заражения. При этом мьютексы никак не скрываются, а потому могут быть надёжным сигналом наличия определённой инфекции.

Итак, ранее мы познакомились с основными ресурсами, доступными в сети для анализа файлов.

Однако на практике случается довольно много случаев, когда использование онлайн-песочниц не позволяет решить задачу. Это может быть связано с самыми различными факторами, например:

— Доступ к интернет затруднителен
— Онлайн-песочницы в данный момент перегружены, а выполнение анализа критично по времени
— Выполнение в онлайн песочницах блокируется изучаемым файлом
— Необходима более тонкая настройка режима выполнения файла при анализе, например — увеличение времени задержки с момента запуска

В этом случае на помощь нам приходит оффлайн-решение проблемы.

Всем привет!

Поскольку раньше, в первой части, было дано обещание указать общие принципы ручного удаления Smitnyl.A, обещание выполняю. Да, у коммента не набралось 20 плюсов, но думаю, что и 14 человек должны получить то, что их интересовало. Тем более, что при удалении выяснились некоторые особенности работы этого зловреда.

Всем привет!

Меня немного воодушевила реакция общества на мою статью об онлайн-песочницах, а также интересный пост от hormold, где стало возможным проанализировать существующие варианты заражения компьютеров в онлайн. И на почве этого я решил, что, возможно, интерес представит материал о некоторых современных механизмах работы вредоносных программ.

Думаю, большинству не будет секретом механизм работы существующих файловых инфекторов типа Sality и Virut. Безусловно, суть работы таких инфекторов хорошо описана, а потому разработать новую версию легко, отладка её не вызывает проблем. Куда более интересным будет описание нового механизма — заражения файла из загрузчика в MBR. Во-первых, такой вредонос должен быть более сложным, имеется ограничение по длине кода — 62 сектора (7C00H), а кроме того предъявляются особые требования к отсутствию багов — малейшая ошибка может привести к сбою загрузки системы.

Единственным уникальным на данный момент примером такого вредоноса является Trojan:W32/Smitnyl.A, распространяемый по некоторым файлообменым сетям. Его мы и рассмотрим сегодня.

В практике исследования исполняемых файлов с возможным вредоносным функционалом имеется богатый арсенал инструментария — от статического анализа с дизассемблированием до динамического анализа с отладчиками. В настоящем обзоре я не буду пытаться дать информацию по всем возможным приёмам, поскольку они требуют некоторых специфических знаний, однако я хотел бы вооружить неискушённого пользователя набором приёмов, которые позволяют довольно быстро провести анализ неизвестного файла.

Итак, ситуация: у нас есть странный файл с подозрением на вредоносность, при этом существующий мультисканеры типа VirusTotal не дают никакой информации. Что же делать?

В конце прошлого года на хакерских форумах прошёл слух, что разработка одного из наиболее известных троянов Zeus (или ZBot) прекращена, а разработчик передал исходники программы другому вирусописателю. При этом говорилось, что счастливчик-новообладатель — автор другого троянца SpyEye — усиленно старается объединить эти два семейства в новый, более мощный продукт.

Однако новые свидетельства утверждают, что исходный кода Зевса был продан или передан третьему лицу, которое сейчас активно ищет новых покупателей среди киберпреступности. Это может привести к разработке абсолютно новых версий Zeus/ZBot.

28 января подтвердилась крайне неприятная новость: в открытый доступ утекли исходные коды российской программы Kaspersky Antivirus 2009 (KAV 8). Слухи об этом распространялись давно. Точно известно, что исходники с ноября 2010 года гуляют по хакерским форумам. Сейчас файлы попали в руки экспертам с сайта unremote.org, которые скомпилировали программу с помощью Visual Studio C++ 2008, подтвердили её аутентичность и организовали торрент-раздачу. Размер исходников 1 ГБ (372 МБ в zip-архиве).

Первичное расследование показало, что утечку кода в начале 2008 года допустил бывший сотрудник «Лаборатории Касперского», который уже получил трёхлетний срок за кражу интеллектуальной собственности.

Всем привет!

Сразу оговорюсь: не знаю, как к этому отнесутся, если такое не принято — просьба не пинать, а спокойно сообщить, и сообщение уйдёт в черновики. Я не имею отношения к описываемому, а просто умею пользоваться поиском.

Ранее на Хабре уже выплывало сообщение от том, что в Сети появилась информация об утечке исходного кода продуктов «Лаборатории Касперского». Ну пошумели, ну пообсуждали — и будет.

Совершенно недавно в Твиттере появилась шумиха вокруг появления в паблике этих же самых исходников.


И вот — СВЕРШИЛОСЬ! Исходники всплыли в сети, любой может скачать их тут.

Ждём комментарии злых и въедливых дебаггеров-программистов.

Всем привет!

Сегодня речь пойдёт о так называемых «иммунизаторах» и «вакцинаторах» флеш-носителей от автозапускаемых вирусов — о том, как они работают, нужны ли они вообще. Ну и конечно мы рассмотрим один из простых способов создания такой «вакцины».

Вчера мне довелось выковыривать новый Winlock`ер с компьютера коллеги-дизайнера.
Увидев знакомый развод с просьбой отослать смс на номер 3116, я отправился на сайт DrWeb за кодом разблокировки. Но увы — локер оказался новый. Быстро на форумах толком ничего найти не удалось. Решил что будет проще выковырять его вручную.

Локер оказался довольно примитивный.
В безопасном режиме локер также загружался. Следовательно, автозагрузка как место его запуска отпала.
Локер закрывал собой весь экран и перекрывал открываемые, горячими клавишами, окна.
Однако зажав Ctrl+Shift+Esc удалось вызвать мерцание диспетчера задач поверх локера на очень короткие промежутки времени. Видимо из за неторопливости работы в безопасном режиме. При обычной загрузке так не вышло.
В задачах нагло висел один единственный процесс nvcvc32.
Грузился он тоже довольно небрежно — открывалось окно командной строки и очень быстро закрывалось, заменяясь на окно локера. Ловкость рук помогла ткнуть в крестик этого окна до его загрузки. Так я получил чистый рабочий стол. Explorer не загрузился.
Ну а дальше всё по примитивному сценарию. Из папки windows удалил этот nvcvc32.exe.
Оставалось найти загрузчик.
Поиск по реестру места где запускается explorer.exe Вывел на HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\Shell.
В этот параметр к explorer.exe был приписан запуск некого rundll.bat, который также лежал в папке windows.

После удаления его и перезагрузки о локере больше ничего не напоминало.

Сегодня он уже появился сайте DrWeb под именем Trojan.Winlock.2925.

На инфицированной машине был установлен Windows XP (родной, это ноутбук).

Минувший 2010 год можно назвать годом расцвета интернет-мошенничества. Злоумышленниками придумано и воплощено десятки схем получения нелегального дохода, а само вредоносное ПО попало на сотни миллионов компьютеров.

Итак, рейтинг мошеннических инструментов — 2010.
Внимание, трафик!

Всем привет!

Разбирая работу недавно появившегося Sality.bh, я обнаружил интересный момент с детектированием его компонентов, о котором хотелось бы поговорить. Воистину, пути вирлабов неисповедимы! :)

Nguyen Ngoc Dung, вирусный аналитик вьетнамской компании Bkis, специализирующейся на компьютерной безопасности, в своём блоге написал о появлении новой разновидности файлового вируса семейства Sality. На данный момент, вирусы этого семейства являются одними из наиболее технологичных и распространённых файловых вирусов, поражающих компьютеры пользователей Windows.

На этот раз ситуация интересна тем, что в метаморфном коде вируса присутствуют некоторые инструкции MMX (MultiMedia eXtension), которые ранее не импользовались ни в одном из вредоносов-инфекторов.

Учитывая недавний спор и требования показать вирус не под Windows, позволю себе небольшой перевод интересного блога Джерома Сегуры, специалиста по безопасности компании ParetoLogic.

По информации Дэна Гудина, американское зеркало офсайта Касперского в течение трёх с половиной часов в воскресенье занималось распространением вирусов. Причиной этого был взлом неизвестными хакерами.

Ничто не предвещало беды. И звонок в техподдержку в 17:20 msk «у меня завис компьютер, я не могу распечатать отчёт» не показался чем-то из ряда вон. Ну да — завис, точнее — система «тормозит» так, что даже Task Manager отказывается запускаться. Отправил машину в ребут, выхожу — и сталкиваюсь в коридоре с саппортом, который описывает практически аналогичную проблему у другого человека.
Вот тут уже в голове зазвенел тревожный звоночек…

20 августа 2008 года рейс 5022 авиакомпании Spanair вылетел из Мадрида, но самолёт марки McDonnell Douglas MD-82 потерпел крушение недалеко от аэропорта. Погибли 154 человека. Сразу же была создана комиссия по расследованию причин катастрофы, которая сейчас опубликовала предварительный отчёт.

Как сообщается, причиной аварии стал вирус, который поразил компьютерную систему авиакомпании. Из-за этого система не смогла идентифицировать три технические проблемы самолёта, которые в случае обнаружения могли бы предотвратить вылет.