Антивирусная защита *

38-летний Ясухиро Кавагути (Yasuhiro Kawaguchi) стал первым человеком в Японии, арестованным за хранение вируса. Это стало возможным после того, как 14 июля 2011 года верхняя палата Комитета судебных дел Японии утвердила принятый парламентом закон (Penal Code). В соответствии с ним, создание, распространение или даже хранение вредоносного ПО (с целью распространения) является уголовным преступлением и влечёт наказание до трёх лет тюремного заключения и штраф до 500 тыс. иен ($6200).

Хотя Кавагути уже признался, что является автором вируса, его будут судить именно за хранение вредоносного ПО, потому что он написал вирус до принятия соответствующего закона. Соответственно, для него максимальное наказание составляет два года тюрьмы и 300 тыс. иен ($3720).

Вирус, созданный Кавагути, копировал большие объёмы файлов на компьютере жертвы, вызывая подтормаживание системы или заввисание. Вредоносное ПО было замаскировано под файл с детской порнографией и распространялось через торренты. По словам полиции, от действий преступника пострадали более 2000 человек.

Всем привет!

Ранее тут уже поднималась тема. Как показала практика, некоторым утилита понравилась, но разработчик обновил grub на диске — и в итоге старая версия стала нерабочей.

Кому нужно — обновил утилиту. Пользуйтесь.

Как обычно, мануал простой.

Сегодня на форуме в личку прошло сообщение с просьбой проверить файл. Я согласился, любопытно же. Немного опережу события и скажу, что это бэкдор созданный из радмина второй ветки и кое-что еще)
Полученный файл: kak_ponyat_muzhchin_bibl.ru.exe (md5:2138A224BDDD1A36329F398A37E10AB9)
Хэш суммы я буду указывать только для вредоносных файлов.
В общем по описанию — это какая-то книга, почему в exe — непонятно, глядим далее.
Воспользуемся PEiD:

UPX 0.89.6 — 1.02 / 1.05 — 2.90 (Delphi) stub -> Markus & Laszlo [RAR SFX]
Попробуем распаковать винраром, получим два файла:

На днях, зайдя на один из почитаемых мною блогов torrentfreak.com, я обнаружил что Касперский его блокирует. Понятно что срабатывание было ложным, но этот случай всколыхнул массу воспоминаний о том как антивирусы намеренно или случайно бросали тень на совершенно невинные программы и сайты.

Думаю многие разработчики софта и создатели сайтов сталкивались с проблемой ложного определения антивирусами, иногда отстоять свое право быть «белым» просто, но порой упираешься в жесткую бюрократическую стену антивирусной компании. Приходится часами, днями и неделями доказывать, что ты не олень, а в это время тратить деньги, терять репутацию и нервные клетки. Если Ваша компания не мировой гигант и нет иных каналов воздействия, кроме стандартных, то можно и с ума сойти от упертости вирусных аналитиков и непробиваемости службы поддержки.

По мотивам этого топика, я как любопытный гик скачал этот вирус и прогнал данный файлик через сервис Virustotal и был очень удивлён результатами что только 2 из на данный момент 42 антивирусов, считали этот файл «Подозрительным».

Мне стало интересно, а сколько собственно времени потребуется антивирусным компаниям что-бы узнать об этом вирусе и внести его в свои базы. Более одной недели я терпеливо прогонял один и тот же файл через их базы, смотрел что изменилось, вносил результаты в табличку.

Возможно полученные результаты покажутся тебе %habrauser% интересными.
За подробностями, милости прошу под кат.

Введение

Информация занимает одно из важнейших мест в жизни нашего общества, поэтому защита информации является неотъемлемой частью ее использования.

Защита информации чаще всего рассматривается в контексте защиты ее носителей. Защита носителей требует сложного и разнообразного программного и аппаратного обеспечения. При существовании множества архитектурных решений носителей, существует такое же множество их защит.

Портал Comss.Антивирусы и компания ДинаСофт (официальный дистрибьютор TrustPort) проводят конкурс по антивирусным продуктам TrustPort.

Среди участников, правильно ответивших на вопросы, будут разыграны лицензионные коды на комплексное решение TrustPort Total Protection (два кода на годовые лицензии и десять на 3 месяца).

Вопросы не слишком сложные и необходимую информацию для правильного ответа на них можно получить на сайтах Comss.Антивирусы или русском сайте TrustPort.

Срок проведения конкурса: 18.05.2011 — 29.05.2011. Конкурс только для российских пользователей.

Принять участие

Основные возможности TrustPort Total Protection 2011

• Эффективный антивирус (использование двух движков: AVG и BitDefender)
• Интернет-защита и мониторинг веб-сайтов
• Интеллектуальный фаервол
• Защита данных шифрованием
• Надежное уничтожение неиспользуемых данных
• Защита электронной почты
• Родительский контроль
• Автоматический мониторинг носителей данных
• Автоматические обновления

Здравствуйте. Не так давно я писал про рассылку зловредов по социальной сети «Вконтакте». Не так давно встретился новый, в общем-то похожий случай…
Кинули мне на анализ некий файлик VKGuests.exe, который должен показать кто посещает страничку вконтакте. Скачан файл был с сайта vko-blog.ru, ссылка на который пришла от друга. Жалоба была на то, что «пропал интернет». Любопытно. Ковыряем.

Статья о том, как исследовать незнакомые *.jar файлы.
Мне очень часто в ICQ приходит спам. Как правило, предлагают зайти на один из фэйковых «вконтакте» с опечаткой в имени. Но тут прислали просьбу авторизовать с ссылкой на фотографию. Сообщение банально, ничего нового, что-то вроде: «Хочу с тобой познакомиться, посмотри на фотку по ссылке ….., тебе будет интересно со мной сфоткаться». Ссылка не вела на фэйковый вконтакте, но предлагала скачать файл foto.jar.
Проверяем антивирусом – все ОК.

Давненько мне не приходил никакой спам с вирусными рассылками от френдлиста социальных сетей, да и ничего уникального давно не встречалось из подобного рода рассылок. Но сегодня мне попал довольно любопытный сэмпл.
Сперва пришло письмо от человека, который состоит у меня в списке друзей:



Довольно несвойственная манера для человека, но я прошел по ссылке, т.к. она не вела на внешние ресурсы. При переходе видим профиль некоего Энди Смоука, обещающего завтра всем дать голоса на халяву, если перейти по ссылке. Что настораживает сразу? Правильно, сокращалка ссылок, которую так долго использовали за бугром для фишинга. Теперь и до нас докатились) Но это лично для меня, вообще настораживает халява сама по себе.

Подробности под катом)

В марте 1971 года в прообразе современного интернета — американской сети ARPANET — появилась программа Creeper, способная самостоятельно перемещаться с одного компьютера на другой.

Строго говоря, Creeper не был компьютерным вирусом в современном понимании этого термина — как программы, способной к самостоятельному размножению. Его создатель — инженер Боб Томас (Bob Thomas) просто пытался написать программу, которая могла бы сама «передвигаться» между компьютерами, не предполагая, что таким образом можно нанести какой-либо урон. В отличие от компьютерных вирусов и червей, созданных позднее, Creeper удалял свою копию из системы при перемещении на новый компьютер.

Попадая на новую машину, программа выводила сообщение «I'm the creeper, catch me if you can!» и немедленно пыталась перебраться дальше. Creeper работал на компьютерах DEC PDP-10 с операционной системой TENEX. Эти весьма крупногабаритные, по современным меркам, компьютеры широко использовались в вычислительных центрах при различных научно-исследовательских организациях того времени.

Оригинальная статья:
www.rian.ru/science/20110316/354626346.html

Дополнительная информация:
en.wikipedia.org/wiki/Creeper_virus

В последнее время со стороны компаний, занимающихся цифровой безопасностью, стало довольно модно сообщать об успешных операциях по закрытию ботнетов и аресту их владельцев. Так, закрыли Bredolab — и об это не написали только ленивые.

Цель этой статьи — показать, что далеко не всё так гладко в Датском королевстве.

Автор не претендует на исчерпывающую информацию, но в любом случае полезно знать о провалах антивирусной индустрии.

При выполнении заражения системы перед вирмейкером всегда стоит задача определения, а не является ли данная система уже заражённой. В противном случае, выполнение повторных механизмов инфицирования в ряде случаев может привести к нарушению работы троянца либо дестабилизацией всей системы. И то и другое — нежелательно.

Одним из механизмов по предотвращению этого явления является создание специфичных мьютексов, по наличию которых делается вывод о наличии активного заражения. При этом мьютексы никак не скрываются, а потому могут быть надёжным сигналом наличия определённой инфекции.

Итак, ранее мы познакомились с основными ресурсами, доступными в сети для анализа файлов.

Однако на практике случается довольно много случаев, когда использование онлайн-песочниц не позволяет решить задачу. Это может быть связано с самыми различными факторами, например:

— Доступ к интернет затруднителен
— Онлайн-песочницы в данный момент перегружены, а выполнение анализа критично по времени
— Выполнение в онлайн песочницах блокируется изучаемым файлом
— Необходима более тонкая настройка режима выполнения файла при анализе, например — увеличение времени задержки с момента запуска

В этом случае на помощь нам приходит оффлайн-решение проблемы.

Всем привет!

Поскольку раньше, в первой части, было дано обещание указать общие принципы ручного удаления Smitnyl.A, обещание выполняю. Да, у коммента не набралось 20 плюсов, но думаю, что и 14 человек должны получить то, что их интересовало. Тем более, что при удалении выяснились некоторые особенности работы этого зловреда.

Всем привет!

Меня немного воодушевила реакция общества на мою статью об онлайн-песочницах, а также интересный пост от hormold, где стало возможным проанализировать существующие варианты заражения компьютеров в онлайн. И на почве этого я решил, что, возможно, интерес представит материал о некоторых современных механизмах работы вредоносных программ.

Думаю, большинству не будет секретом механизм работы существующих файловых инфекторов типа Sality и Virut. Безусловно, суть работы таких инфекторов хорошо описана, а потому разработать новую версию легко, отладка её не вызывает проблем. Куда более интересным будет описание нового механизма — заражения файла из загрузчика в MBR. Во-первых, такой вредонос должен быть более сложным, имеется ограничение по длине кода — 62 сектора (7C00H), а кроме того предъявляются особые требования к отсутствию багов — малейшая ошибка может привести к сбою загрузки системы.

Единственным уникальным на данный момент примером такого вредоноса является Trojan:W32/Smitnyl.A, распространяемый по некоторым файлообменым сетям. Его мы и рассмотрим сегодня.

В практике исследования исполняемых файлов с возможным вредоносным функционалом имеется богатый арсенал инструментария — от статического анализа с дизассемблированием до динамического анализа с отладчиками. В настоящем обзоре я не буду пытаться дать информацию по всем возможным приёмам, поскольку они требуют некоторых специфических знаний, однако я хотел бы вооружить неискушённого пользователя набором приёмов, которые позволяют довольно быстро провести анализ неизвестного файла.

Итак, ситуация: у нас есть странный файл с подозрением на вредоносность, при этом существующий мультисканеры типа VirusTotal не дают никакой информации. Что же делать?

В конце прошлого года на хакерских форумах прошёл слух, что разработка одного из наиболее известных троянов Zeus (или ZBot) прекращена, а разработчик передал исходники программы другому вирусописателю. При этом говорилось, что счастливчик-новообладатель — автор другого троянца SpyEye — усиленно старается объединить эти два семейства в новый, более мощный продукт.

Однако новые свидетельства утверждают, что исходный кода Зевса был продан или передан третьему лицу, которое сейчас активно ищет новых покупателей среди киберпреступности. Это может привести к разработке абсолютно новых версий Zeus/ZBot.

28 января подтвердилась крайне неприятная новость: в открытый доступ утекли исходные коды российской программы Kaspersky Antivirus 2009 (KAV 8). Слухи об этом распространялись давно. Точно известно, что исходники с ноября 2010 года гуляют по хакерским форумам. Сейчас файлы попали в руки экспертам с сайта unremote.org, которые скомпилировали программу с помощью Visual Studio C++ 2008, подтвердили её аутентичность и организовали торрент-раздачу. Размер исходников 1 ГБ (372 МБ в zip-архиве).

Первичное расследование показало, что утечку кода в начале 2008 года допустил бывший сотрудник «Лаборатории Касперского», который уже получил трёхлетний срок за кражу интеллектуальной собственности.

Всем привет!

Сразу оговорюсь: не знаю, как к этому отнесутся, если такое не принято — просьба не пинать, а спокойно сообщить, и сообщение уйдёт в черновики. Я не имею отношения к описываемому, а просто умею пользоваться поиском.

Ранее на Хабре уже выплывало сообщение от том, что в Сети появилась информация об утечке исходного кода продуктов «Лаборатории Касперского». Ну пошумели, ну пообсуждали — и будет.

Совершенно недавно в Твиттере появилась шумиха вокруг появления в паблике этих же самых исходников.


И вот — СВЕРШИЛОСЬ! Исходники всплыли в сети, любой может скачать их тут.

Ждём комментарии злых и въедливых дебаггеров-программистов.