Можно действительно ничего не запрещать, а просто сделать обязательную премодерацию всех снимков.
То есть телефон снимает фото или видео, но оно в память не записывается, а сразу отправляется на сервер прокуратуры, где сотрудник оценивает законность фотовидеоматериалов. Если все нормально — пересылает контент обратно на телефон, который сохраняет его на флеш-накопитель.
Действительно, попробовал себе с mail.ru на gmail переслать архив с пустым bat-файлом, так оно даже не дошло:
host gmail-smtp-in.l.google.com [64.233.162.26]:
552-5.7.0 This message was blocked because its content presents a potential
552-5.7.0 security issue. Please visit
552-5.7.0 support.google.com/mail/answer/6590 to review our message
552 5.7.0 content and attachment content guidelines.
Жесть какая. Это уже не безопасность, а издевательство какое-то.
Решил не откладывать, как обычно, в долгий ящик под названием «завтра» и провести эксперимент.)
В качестве образцов взял отформатированный код js-дроппера (всего 31 строка кода) и деобфусцированный код bat-скрипта (всего 441 строка кода) — оба есть в статье под спойлером.
От шифровальщиков такого типа (с докачкой) — да, пожалуй, спасет. Но к сожалению, не все так безоблачно.
Буквально на днях смотрел образец другого троянца… Просто scr-файл, который ничего не докачивает, а тупо шифрует все файлы на своем ключе и выводит на рабочий стол инструкции + email-адрес злоумышленников.
Единственный плюс — ключ расшифровки подойдет любой другой жертве, так что если повезет, то получится воспользоваться сервисом для разблокировки от какого-нибудь антивирусного вендора.
Да, я тоже удивился, насколько все просто.)
Есть несколько недоработок, но разработчиков вполне можно понять — сроки, нетерпеливые клиенты…
Думаю, в будущем они исправят баги, и продукт станет еще красивее и элегантнее.
+++++
Хотя бы пофиксили бы уже САМЫЙ чудесный use-case последнего времени: «js-файл в архиве» и «scr-файл в архиве».
Видимо, надо подождать пару месяцев лет, как в случае inf-файлов на флешках…
Во-первых, написание вирусов требует относительно неплохой технической подготовки. Если ее нет — по одной такой статье троянца не напишешь. Опять же, как верно подсказывает Naz1st, главная проблема — создать C&C-сервер и поддерживать его работу. Плюс общение с «пользователями», плюс распространение… В одиночку довольно сложно, нужна группа.
Во-вторых, нужно быть достаточно безбашенным, чтобы уйти в криминал. Со всеми проблемами — начиная от плохого сна и заканчивая выводом денег.
Наконец, зачем вообще извращаться и писать все самому, когда...?)
Хочется верить, что еще не настолько всё упорото в нашей стране.)
провести эксперимент
А вот это идея, спасибо. Попробую сделать, когда время будет. Но мне видится сомнительным, что это был сигнатурный анализ — скорее, эвристика. Во остальные антивирусы, которые через месяц стали это обнаруживать — это да, скорее сигнатуры, чем эвристика.
Еще одна проблема тут в том, что все-таки определять по хэшу — это уж совсем упорото; я думаю, что обычно все же используются сигнатуры. И это именно код, а не хэш-суммы.
Пример из недавнего прошлого: пока я писал эту статью, мне Avast! страницу с ней блокировал. В итоге я нашел три куска JS-кода (очень небольших — буквально 3-10 символов), на которые Avast! ругается. Причем можно даже пробелы, переносы строк добавлять — все равно сигнатура определяется, и Avast! срабатывает.
Так что удаление / добавление новых комментариев в код может вообще ничего не поменять. А обфусцировать код повторно — это уже не то.)
1. Интересно, почему экономисты употребляют словосочетание «процентный пункт» вместо обычного «процент»?
2. Интересно, как поднятие тарифов на 3% вызывает падение доходов таксистов на 7%?
А по-моему, прикольно.
Раньше в городах были фонарщики и кочегары, а в высокотехнологичном городе на Марсе будет должность «взрыватель термоядерных бомб».
zip-архивов. А архивы другого типа (7z,rar) Windows не умеет открывать «из коробки».То есть телефон снимает фото или видео, но оно в память не записывается, а сразу отправляется на сервер прокуратуры, где сотрудник оценивает законность фотовидеоматериалов. Если все нормально — пересылает контент обратно на телефон, который сохраняет его на флеш-накопитель.
bat-файлом, так оно даже не дошло:Жесть какая. Это уже не безопасность, а издевательство какое-то.
Буду знать, спасибо.
В качестве образцов взял отформатированный код
js-дроппера (всего 31 строка кода) и деобфусцированный кодbat-скрипта (всего 441 строка кода) — оба есть в статье под спойлером.Результаты: раз, два.
BAT:
В сухом остатке: крайне непонятно, каким же образом добавляет сигнатуры NOD32… Неужели рельно комментарии в сигнатуры добавляют? :D
P. S. Ради прикола могу предложить три текстовые строки, которые очень «любит» Avast!:
Кто-нибудь видит что-то вредоносное в первой строке? Видишь суслика? Нет? А он есть…
Создаем файл, копируем в него первую строку кода, сохраняем как текстовый файл
test.txt, загружаем на Virustotal…Печально… Прям хоть удаляй Avast! в пользу чего-то другого бесплатного… :-(
Буквально на днях смотрел образец другого троянца… Просто
scr-файл, который ничего не докачивает, а тупо шифрует все файлы на своем ключе и выводит на рабочий стол инструкции + email-адрес злоумышленников.Единственный плюс — ключ расшифровки подойдет любой другой жертве, так что если повезет, то получится воспользоваться сервисом для разблокировки от какого-нибудь антивирусного вендора.
zip-архив с паролем. Windows открывает на ура.js-скрипты иscr-файлы, что отвалится?Есть несколько недоработок, но разработчиков вполне можно понять — сроки, нетерпеливые клиенты…
Думаю, в будущем они исправят баги, и продукт станет еще красивее и элегантнее.
Хотя бы пофиксили бы уже САМЫЙ чудесный use-case последнего времени: «js-файл в архиве» и «scr-файл в архиве».
Видимо, надо подождать пару
месяцевлет, как в случае inf-файлов на флешках…Во-первых, написание вирусов требует относительно неплохой технической подготовки. Если ее нет — по одной такой статье троянца не напишешь. Опять же, как верно подсказывает Naz1st, главная проблема — создать C&C-сервер и поддерживать его работу. Плюс общение с «пользователями», плюс распространение… В одиночку довольно сложно, нужна группа.
Во-вторых, нужно быть достаточно безбашенным, чтобы уйти в криминал. Со всеми проблемами — начиная от плохого сна и заканчивая выводом денег.
Наконец, зачем вообще извращаться и писать все самому, когда...?)
А вот это идея, спасибо. Попробую сделать, когда время будет. Но мне видится сомнительным, что это был сигнатурный анализ — скорее, эвристика. Во остальные антивирусы, которые через месяц стали это обнаруживать — это да, скорее сигнатуры, чем эвристика.
Еще одна проблема тут в том, что все-таки определять по хэшу — это уж совсем упорото; я думаю, что обычно все же используются сигнатуры. И это именно код, а не хэш-суммы.
Пример из недавнего прошлого: пока я писал эту статью, мне Avast! страницу с ней блокировал. В итоге я нашел три куска JS-кода (очень небольших — буквально 3-10 символов), на которые Avast! ругается. Причем можно даже пробелы, переносы строк добавлять — все равно сигнатура определяется, и Avast! срабатывает.
Так что удаление / добавление новых комментариев в код может вообще ничего не поменять. А обфусцировать код повторно — это уже не то.)
Я почему-то комиссию считал с 24 рублей, а не со 100. Действительно не очень правдоподобно.)
2. Интересно, как поднятие тарифов на 3% вызывает падение доходов таксистов на 7%?
Раньше в городах были фонарщики и кочегары, а в высокотехнологичном городе на Марсе будет должность «взрыватель термоядерных бомб».