Антивирусная защита *

Давненько мне не приходил никакой спам с вирусными рассылками от френдлиста социальных сетей, да и ничего уникального давно не встречалось из подобного рода рассылок. Но сегодня мне попал довольно любопытный сэмпл.
Сперва пришло письмо от человека, который состоит у меня в списке друзей:



Довольно несвойственная манера для человека, но я прошел по ссылке, т.к. она не вела на внешние ресурсы. При переходе видим профиль некоего Энди Смоука, обещающего завтра всем дать голоса на халяву, если перейти по ссылке. Что настораживает сразу? Правильно, сокращалка ссылок, которую так долго использовали за бугром для фишинга. Теперь и до нас докатились) Но это лично для меня, вообще настораживает халява сама по себе.

Подробности под катом)

Большинство программистов учатся постоянно. Мы читаем книги гуру и смотрим код профессионалов. И спорим какой метод лучше и какое решение красивее.
Но представим себе что есть суперпрофессионал, код которого нам удалось посмотреть. Чему мы можем научиться у него? И какие выводы мы сможем сделать?

Итак — искусственные иммунные системы.

По информации Дэна Гудина, американское зеркало офсайта Касперского в течение трёх с половиной часов в воскресенье занималось распространением вирусов. Причиной этого был взлом неизвестными хакерами.

28 января подтвердилась крайне неприятная новость: в открытый доступ утекли исходные коды российской программы Kaspersky Antivirus 2009 (KAV 8). Слухи об этом распространялись давно. Точно известно, что исходники с ноября 2010 года гуляют по хакерским форумам. Сейчас файлы попали в руки экспертам с сайта unremote.org, которые скомпилировали программу с помощью Visual Studio C++ 2008, подтвердили её аутентичность и организовали торрент-раздачу. Размер исходников 1 ГБ (372 МБ в zip-архиве).

Первичное расследование показало, что утечку кода в начале 2008 года допустил бывший сотрудник «Лаборатории Касперского», который уже получил трёхлетний срок за кражу интеллектуальной собственности.

В практике исследования исполняемых файлов с возможным вредоносным функционалом имеется богатый арсенал инструментария — от статического анализа с дизассемблированием до динамического анализа с отладчиками. В настоящем обзоре я не буду пытаться дать информацию по всем возможным приёмам, поскольку они требуют некоторых специфических знаний, однако я хотел бы вооружить неискушённого пользователя набором приёмов, которые позволяют довольно быстро провести анализ неизвестного файла.

Итак, ситуация: у нас есть странный файл с подозрением на вредоносность, при этом существующий мультисканеры типа VirusTotal не дают никакой информации. Что же делать?

Портал The Hacker News сообщает об обнаружении уязвимости в загрузчике Windows, которая позволяет запускать исполняемый код так, что он не определяется антивирусными программами, при этом эксплоит не оставляет следов в файловой системе.

Возможно, кому-то будет интересно узнать, чем закончилась моя история с NOD32.

Напомню, что после обсуждений, технических и других аспектов взаимодействия с NOD32, появился комментарий [предположительно] Павла Потасуева, Директора по IT российского представительства ESET:

Сегодня скинули код, дропающий на машину штатный вирус «отправьте SMS для разблокировки». Предысторию и методику чистки изложил force

Попробовал расковырять. Взял код, отформатировал, стал дебагать… Хм, интересно… В коде идет вызов (после приведения к читабельному виду)

window['eval'](var2);


А вот в var2 — бинарные данные. Ух ты… Но ведь eval не может выполнять бинарные данные!!!

Вы когда-нибудь задумывались о том, какова судьба вируса, пойманного антивирусными компаниями? О том, что происходит с ним ещё до добавления сигнатур в базу? А конкретнее, о вирусном анализе. Может показаться, что самому заниматься вирусным анализом сложно, ненужно и опасно, но на самом деле это совершенно не так. Лишние умения никогда не повредят, да и полезно, иногда, посмотреть перед запуском, что из себя представляет скачанный с интернета исполняемый файл. Для начала работы сгодятся любые знания ассемблера, отладчик с дизассемблером и виртуальная машина на выбор.

Образцы вирусов для анализа можно, конечно, поискать самостоятельно в интернете, но мы с Вами для начала пойдём другим путём. Огромную коллекцию уже готовых для анализа вирусов можно взять на сайте vx.netlux.org. Первым приглянувшимся мне вирусом стал Trojan-Downloader.Win32.Zanoza.ab. Его подробнейшим анализом мы сейчас и займёмся. Кстати, неплохие описания вирусов можно посмотреть на сайте securelist.com.

Как-то на днях мне пришло одно письмо, с предложением работы. Вроде ничего плохого — полу сформулированное предложение работы, тема нормальная, вроде подписались, в общем, ничего подозрительного — но это спам… и, как оказалось, не один я спешу предупредить. На weblancer.net и free-lance.ru уже отреагировали.

Тема этой заметки назревала давно. И хотя по просьбе читателей канала LAB-66, я просто хотел написать про безопасную работу с перекисью водорода, но в итоге, по непонятным (вот, да!) мне причинам, образовался очередной лонгрид. Смесь из popsci, ракетного топлива, «коронавирусной дезинфекции» и перманганатометрического титрования. Как правильно хранить перекись водорода, какие использовать средства защиты при работе и как спасаться при отравлениях — ищем под катом.
p.s. жук с картинки на самом деле называется “бомбардир”. И он там тоже где-то затерялся среди химикатов :)

Евгений Касперский опубликовал у себя в блоге пост, где подробно рассказал о борьбе компании с патентым троллем.

Эпопея началась в 2008 году с решения не поддаваться на шантаж компании IPAT. По словам Касперского, его лаборатория была не единственной жертвой тролля, но единственной, что принципиально не принимала никаких предложений о «мирном» разрешении проблемы.

Другие производители антивирусов выплатили IPAT от нескольких десятков тысяч до нескольких миллионов долларов.

В конце рабочего дня бухгалтер одного из предприятий получила письмо по электронной почте от контрагента, с которым постоянно велась деловая переписка, письмо, в котором содержался вложенный файл, именуемый, как «Акт сверки.xls». При попытке открытия визуально ничего не произошло с точки зрения бухгалтера. Несколько раз повторив попытки открытия бухгалтер удостоверилась, что excel не собирается открывать присланный файл. Отписавшись контрагенту о невозможности открыть полученный ею файл, бухгалтер, нажала кнопку выключения ПК, и, не дождавшись завершения работы ПК, покинула рабочее место. Придя утром, обнаружила, что компьютер так и не отключился. Не придав этому особого значения, попыталась начать новый рабочий день, привычно кликнув по ярлыку 1С Бухгалтерии, но после выбора базы ожидал неприятный сюрприз.


рис. 1

Последующие попытки запуска рабочей среды 1С также не увенчались успехом. Бухгалтер связалась с компанией, обслуживающей вычислительную технику их организации, и запросила техническую поддержку. Специалистами обслуживающей организации выяснено, что проблемы куда более масштабные, так как кроме того что файлы базы 1С Бухгалтерии 7.7 были зашифрованы и имели расширение “BLOCKED“, зашифрованными оказались и файлы с расширениями doc, docx, xls, xlsx, zip, rar, 1cd и другие. Также обнаруживался текстовый файл на рабочем столе пользователя, в котором сообщалось, что файлы зашифрованы с использованием алгоритма RSA 2048, и что для получения дешифратора необходимо оплатить услуги вымогателя. Резервное копировании 1С баз осуществлялось ежедневно на другой жесткий диск установленный в этом же ПК в виде создания zip архива с папкой 1С баз, и копия архива помещалась на сетевой диск (NAS). Так как ограничения доступа к резервным копиям не было, то вредоносное программное обеспечение имело доступ и к ним.

Позавчера Федеральная торговая комиссия (FTC) провела пресс-конфренцию, где рассказала о серьёзных масштабах телефонного мошенничества в США, связанного с техподдержкой Windows. Неграмотным пользователям ПК звонят по телефону и банально разводят на деньги. Это кажется примитивным, но в реальности некоторые люди поддаются на обман и платят за «техподдержку» от $49 до $450.

По оценке FTC, речь идёт о международном мошенничестве на десятки миллионов долларов. FTC заморозила активы шести компаний, которые занимались подобным бизнесом. Пять из них вели дела с помощью «холодных звонков», а шестая размещала поисковую рекламу в Google по запросам [телефон техподдержки] и др., так что пользователи сами звонили.

Статья об этом была опубликована на сайте Ars Technica, и — удивительное совпадение — буквально на следующий день один из журналистов издания получил звонок от человека, который попытался обмануть его в точности таким же способом! Естественно, журналист был наготове: он сделал вид, что следует инструкциям мошенника, связался с человеком, у которого есть Windows на виртуальной машине, и полностью записал телефонный разговор.

Вчера я разбирал «нецензурный» троян (http://vilgeforce.habrahabr.ru/blog/44130.html), а сегодня разделываю его потомка — ftp34.dll. Эта тваринка, кстати, куда как интереснее подавляющего большинства троянов. Хотя бы тем, что ворует информацию не с диска, а прямо из сетевого траффика. Как? Смотрите под кат.

Вчера, 19.11.2009, зайдя на главную страницу сайта ESET NOD32 Russia (ахтунг! не уверен — не ходи!), был неприятно удивлен: неожиданно открылся какой-то левый pdf-файл, после чего Comodo Firewall сообщил, что браузер Opera пытается запустить файл wJQs.exe

UPD: Перенес в блог вирусы (и антивирусы)
UPD2: вроде как пофиксили

Сегодня на форуме в личку прошло сообщение с просьбой проверить файл. Я согласился, любопытно же. Немного опережу события и скажу, что это бэкдор созданный из радмина второй ветки и кое-что еще)
Полученный файл: kak_ponyat_muzhchin_bibl.ru.exe (md5:2138A224BDDD1A36329F398A37E10AB9)
Хэш суммы я буду указывать только для вредоносных файлов.
В общем по описанию — это какая-то книга, почему в exe — непонятно, глядим далее.
Воспользуемся PEiD:

UPX 0.89.6 — 1.02 / 1.05 — 2.90 (Delphi) stub -> Markus & Laszlo [RAR SFX]
Попробуем распаковать винраром, получим два файла:

Сегодня любимая обрадовала меня новостью, что и она наконец подхватила вирус, просящий отправить смс. До сих пор думал, что семью ITшника такая штука обойдёт стороной, ан нет — не обошла.
Всё началось с какого-то приложения из вконтакта.
Благо ОС не блокировалась, «вирус» работал просто: блокировал самые популярные сайты, в том числе поисковики, сайты антивирусов и электронной почты. При запросах в окне браузера появлялось

Естественно, первое, что приходит на ум: «левые» процессы, сегодня уже упомянутые AVZ, HiJackThis. С этим всё оказалось в порядке, но разум дал о себе знать — идём в c:/windows/system32/drivers/etc. Там hosts и hosts.txt. С первым на первый взгляд всё чисто, а во втором я вижу заботу создателя о наших с вами финансах:
127.0.0.1 localhost
#Отправьте смс и не мучайтесь… Реальная стоимость смски 100 рублей, а вызов программиста рублей 500 минимум:)