А мать троих детей и рыжая блондинка по совместительству на улицу выезжает только на танке, чтобы никакая птица там...кирпич, прохожие ничего не сделали? :)
Такая ситуация и тут, троян проникает через бажный IE, а дальше дело техники. Сама ОС дает возможности быть взломанным через любой софт, о какой защите можно говорить, если практически все (даже я сейчас) сидят под администратором, а даже если и нет, его получить не сложно :) Софту ничего не остается...
Взломать можно все, дело только в затратах ресурсов. Если все поголовно перейдут на enum, думаете не будет увеличения числа троянов/эксплоитов под мобильники...Это тоже рынок :) И здесь тоже спрос рождает предложение :)
Что касается виртуальной машины - если там даже лайт, то у уважающего себя трояна есть механизм распространения по сети, а в виртуалке обязательно будет сеть...
Не совсем понял о чем речь, но попытаюсь все-таки ответить.
У любого антивируса есть база сигнатур (подписей) разных видов вирусов и их модификаций, по такому принципу они и определяются антивирусом. Есть программы, которые могут менять сигнатуру, но это до следующей поимки антивирусом и добавления его новой синатуры в базу. А еще есть полиморфные трояны/вирусы, суть их в том, что они не имеют постоянной сигнатуры.
Что касается криптованных скриптов, то делается это на уровне конструкций языка.
К примеру, есть такая функция как eval и urlencode/urldecode, самое простейшее. Исходный код сначала кодируется, потом декодируется, а потом испольняется в браузере посредством eval. У меня есть исходные тексты крипторов для javascript файлов, но они не оправдывают себя, это раз, два - если задача стоит спрятать именно от антивируса - лучше, чем спрятать руками пока ничего не придумано.
Если Вы работали/разбираетесь в этой области, то знаете, что самый последний и захудалый троян можно спрятать от любого антивируса простым изменением сигнатуры (криптовкой), т.к. именно на этом и основывается "борьба с вирусами", не важно какими, даже с пхп-скриптами безобидными, лежащими где-то далеко в папке без дела года 2 :)
Факты у них в логах, к тому же там в топике кто-то сумел получить счета еголд(!) с обменников, на которые ушли деньги, это раз, два - после еголда еще название конторы, на которую ушли деньги с еголда. И это все саппорт WM дал.
Я не буду говорить Вам, с чем я знаком, но там действительно баги кипера, все переводилось в течение 20 секунд, при запущенном кипере, самое сложное - получить код картинки (что касается настроек, вроде "не получать счета от неавторизованных пользователей", то галочка легко убирается еще с ранних версий), мне интересны уже детали :)
Читаю тот форум, там очень многих пограбили, начало 6ой страницы, а там 4-5 человек уже заявили, все в покер играют, перевод идет моментально, судя по их словам.
Да, насчет хуков, простите, не подумал сразу. Но смущает, если это все моментально. Видимо есть механизмы считки того же кода сгенерированного.
Люди пользуются IE, это раз, два - думают, что дырка из-за JVM браузера, а за javascript никто не думает (читаю топик на том форуме), хотя все дырки в IE из-за переполнений буфера/etc. тем же яваскриптом.
1. Нужно снять конкретный объект на экране, а я не думаю, что это возможно. Значит будет сделан полный скриншот + ужим наверное (но до определенных размеров, иначе картинку не разберешь), так как трафик.
2. Что делать с открытыми окнами программы (в hide режиме по-моему оно не работает), ждать пока пропадет активность пользователя? Получается надо усадить целый штаб "обслуживателей трояна".
Скорее всего там попросту есть скрытые механизмы, если верить всему и *квм файл был действительно обнулен (а значит сохранен где-то "для себя" трояном), владелец-то уже пользоваться кошельком не смог, а деньги переведены были...
Слишком неправдоподобно, единственный реальный троян, который я знаю (рабочий), после введения кода подтверждения транзакции состоит из 3х строчек на дельфи, он просто подменяет номер кошелька, на который отправляются средства самим хозяином на номер злоумышленника.
А по поводу картинки, то там, если я не ошибаюсь, все реализовано динамически и навряд ли как-то можно это отследить и передать, разве что какая-то брешь в самой этой технологии (к примеру, можно прочитать сгенерированный номер в памяти), углубляться не могу, многого просто не знаю...
Это стало возможно только сейчас, раньше keeper попросту не запускался под виртуальной машиной, была специфическая привязка к железу (в общем сам по себе тот еще троян)
Называется это автодополнением, а то, как реализовано - дело разработчика, вы же писали этот текст не вдумываясь в то, какой путь прошла клавиатура, для вас она просто клавиатура, единый инструмент, а не набор микросхем, клавиш, отдизайненного каркаса.
Такая ситуация и тут, троян проникает через бажный IE, а дальше дело техники. Сама ОС дает возможности быть взломанным через любой софт, о какой защите можно говорить, если практически все (даже я сейчас) сидят под администратором, а даже если и нет, его получить не сложно :) Софту ничего не остается...
Взломать можно все, дело только в затратах ресурсов. Если все поголовно перейдут на enum, думаете не будет увеличения числа троянов/эксплоитов под мобильники...Это тоже рынок :) И здесь тоже спрос рождает предложение :)
Что касается виртуальной машины - если там даже лайт, то у уважающего себя трояна есть механизм распространения по сети, а в виртуалке обязательно будет сеть...
У любого антивируса есть база сигнатур (подписей) разных видов вирусов и их модификаций, по такому принципу они и определяются антивирусом. Есть программы, которые могут менять сигнатуру, но это до следующей поимки антивирусом и добавления его новой синатуры в базу. А еще есть полиморфные трояны/вирусы, суть их в том, что они не имеют постоянной сигнатуры.
Что касается криптованных скриптов, то делается это на уровне конструкций языка.
К примеру, есть такая функция как eval и urlencode/urldecode, самое простейшее. Исходный код сначала кодируется, потом декодируется, а потом испольняется в браузере посредством eval. У меня есть исходные тексты крипторов для javascript файлов, но они не оправдывают себя, это раз, два - если задача стоит спрятать именно от антивируса - лучше, чем спрятать руками пока ничего не придумано.
За сим кланяюсь, спокойной ночи :)
первая часть :)
Да, насчет хуков, простите, не подумал сразу. Но смущает, если это все моментально. Видимо есть механизмы считки того же кода сгенерированного.
'Thi'+'s i'+'s a st'+'rin'+'g'
Нет!
1. Нужно снять конкретный объект на экране, а я не думаю, что это возможно. Значит будет сделан полный скриншот + ужим наверное (но до определенных размеров, иначе картинку не разберешь), так как трафик.
2. Что делать с открытыми окнами программы (в hide режиме по-моему оно не работает), ждать пока пропадет активность пользователя? Получается надо усадить целый штаб "обслуживателей трояна".
Скорее всего там попросту есть скрытые механизмы, если верить всему и *квм файл был действительно обнулен (а значит сохранен где-то "для себя" трояном), владелец-то уже пользоваться кошельком не смог, а деньги переведены были...
А по поводу картинки, то там, если я не ошибаюсь, все реализовано динамически и навряд ли как-то можно это отследить и передать, разве что какая-то брешь в самой этой технологии (к примеру, можно прочитать сгенерированный номер в памяти), углубляться не могу, многого просто не знаю...
Кипер, на который деньги ушли, блокируется без проблем.