Летом как раз (в августе) была обнаружена версия с DGA, последняя модификация была обнаружена компанией Damballa в сентябре. Так что TDL активно развивается, хотя возможно функционирует не на таком большом количестве компьютеров, как раньше.
Например, для организации партнерки — в случае, если у злоумышленников нет конечного exe файла для распространения, или этот файл должен меняться все время (в зависимости от географического расположения), или при использовании server-side полиморфизма. Таким образом, логика распространения переносится на сервер и нет необходимости постоянно менять боту свой конфиг. Кроме того, вредоносный сайт может не устанавливать ВПО, а использоваться как средство увода паролей, то есть представлять собой копию страницы авторизации легитимного сайта.
Я думаю, это не традиция. Это принцип: ломать — не строить. Типа: «я это уже видел(читал, слышал), кг/ам, зачем рассказывать про старье» и т.д. На то, что в любом случае найдутся люди заинтересованные, им глубоко наплевать.
Да, здесь неоднозначность — если кто-то пытается прочитать содержимое зараженного драйвера – руткит возвращает данные соответствующие оригинальному, а если приложение пытается прочитать область данных файловой системы руткита, то он возвращает буфер, забитый нулями. Поправил, спасибо за вопрос.
Уважаемые читатели, большое вам спасибо за поддержку. Естественно, на этом ресурсе есть пользователи, которым по каким-то причинам (каким, мне так никто и не высказал) не нравится мое творчество. Я здесь пишу не ради рейтинга или кармы. Во-первых, мне интересно в этом разбираться, причем не так детально, как описывают сотрудники антивирусных компаний. Во-вторых, я буду только рад, если кто-то начнет понимать какие-то моменты лучше. Конечно, мне немного неприятно, когда мои опусы называют никому не нужными, но по голосованию я вижу, что это не так. Так что, уважаемые товарищи критики, можете продолжать свои выпады. Только не отожествляете свое мнение с мнением большинства заинтересованных людей. А я продолжу растекаться словом по экрану ваших мониторов =)
Об этом будет далее написано. Не хотите жевать — не жуйте =) Тут полно людей, которые с удовольствием почитают мою писанину. Собственно говоря, я и начал писать, потому что заеб устал искать, где все будет в одном месте написано. Особенно, если учесть, что большинство толковых отчетов — на английском языке.
Извиняйте, сейчас перейду на личности — если вы такой умный, то почему не богатый? =)
Причины по которым пользователи отключают апдейты я и сам знаю. Сарказма вы во фразе не увидели. > Закрыл браузер, открыл — у вас все та же песочница. А фейковый апдейт — в другой песочнице. И чтобы он сработал — вам надо на инфицированную песочницу переключиться. Ручками. Улавливаете момент?
Я САМ и переключусь на инфицированную песочницу и САМ запущу поддельную ДБО. Меня об этом попросил троян в другой песочнице (с браузером). Капча — это хорошо, именно для этого внедряют VNC модуль в троян. И делай, что хочешь.
Лично я не слышал, но есть же концептуальное ВПО, заражающее BIOS, так что не думаю, что это очень сложно реализовать. Просто пока работают старые-добрые методы, в этом нет необходимости.
В продолжении будет про буткиты, они загружаются ДО операционной системы, поэтому, я думаю, обойдут Shadow Defender. Защиту от установки подписанных драйверов TDSS (TDL-3) точно обходит.
Решения нужны сейчас, проблема в том, что на закручивании гаек денег не заработаешь, одни проблемы. А продавать новые технологические решения — это круто. Я же так понимаю, вот напишите вы суперпесочницу для винды, вы же ее продовать будете, приговаривая: наше решение лучше антивируса — они вам впаривают, а мы честно работаем. Вы действительно думаете, что техническое решение заменит человека? Закручивание гаек — это решение специалистов, а не решение программы.
Вы как-то отрываетесь от реальности. Предлагаете то, что нельзя сейчас реализовать. Может, в будущем антивирус будет работать на отдельном криптопроцессоре, куда никто влезть не может — но это фантазия.
Вы про Qube OS так и не прочитали похоже.
Не хватает производительности сделать песочницы для каждого приложения.
Максимум несколько виртуалок с разными ограничениями.
Сейчас большинство ДБО работает через браузер, так их проще кодить.
Я закачаю себе поддельную ДБО, зайду туда один раз счет посмотреть — все! Троян пароли увел. Через сколько времени я обнаружу, что апдейт ДБО фейковый? А если нажму кнопку Undo — троян мой пароль вернет обратно? Или вернет время потраченое на генерацию Bitcoin?
По поводу Undo — есть решения типа ShadowUser. Проблема в том, что все состояния и все изменения в системе хранить нереально. А заставлять пользователя нажимать постоянно кнопку Принять изменения и Отклонить изменения не вариант.
Главная уязвимость — это сам пользователь. Именно его под разными предлогами завлекают нажать на вот эту кнопочку. Нет других варианто, кроме как ограничить ему возможность нажимать на неправильные кнопочки.
Вин-апдейт — есть возможность его отключить, а нужно — что бы не было. Вообще везде апдейты включены по умолчанию, как же тогда трояны заражают компьютеры, ума не приложу?
RBL большинство спама перекрывают, если что.
По вашему изоляция решает проблему? И все? Даже в Qube OS — ну разделил я ДБО и браузер по уровням изоляции и что? Троян мне пришлет ссылку с надписью — новая версия ДБО. Я ее поставлю в нужный уровень изоляции — и прощайте деньги. Ошибки в ПО пусть так и остаются? И пользователи с нулевым уровнем тоже? Conficker, если помните, распространялся не через zero-day, заплатка уже была. Но, поскольку, возможность принудительного обновления отсутсвует — имеем то, что имеем. Вот гипотетический пример — запускаю я браузер, а он и говорит, не буду работать, пока не обновишь! И все! Вот это я называю «закручивание гаек». Пошел пользователь на сайт в черном списке, а браузер ему не предоставляет выбор — заразиться трипером или нет, заблокировал и все. А то все в демократию не наигрались, видите-ли пользователь хочет. Пользователь — не специалист, не может он оценить, нужно ли ему реально то, чего он хочет и какие последствия такого выбора.
заебустал искать, где все будет в одном месте написано. Особенно, если учесть, что большинство толковых отчетов — на английском языке.Причины по которым пользователи отключают апдейты я и сам знаю. Сарказма вы во фразе не увидели.
> Закрыл браузер, открыл — у вас все та же песочница. А фейковый апдейт — в другой песочнице. И чтобы он сработал — вам надо на инфицированную песочницу переключиться. Ручками. Улавливаете момент?
Я САМ и переключусь на инфицированную песочницу и САМ запущу поддельную ДБО. Меня об этом попросил троян в другой песочнице (с браузером). Капча — это хорошо, именно для этого внедряют VNC модуль в троян. И делай, что хочешь.
Не хватает производительности сделать песочницы для каждого приложения.
Максимум несколько виртуалок с разными ограничениями.
Сейчас большинство ДБО работает через браузер, так их проще кодить.
Я закачаю себе поддельную ДБО, зайду туда один раз счет посмотреть — все! Троян пароли увел. Через сколько времени я обнаружу, что апдейт ДБО фейковый? А если нажму кнопку Undo — троян мой пароль вернет обратно? Или вернет время потраченое на генерацию Bitcoin?
По поводу Undo — есть решения типа ShadowUser. Проблема в том, что все состояния и все изменения в системе хранить нереально. А заставлять пользователя нажимать постоянно кнопку Принять изменения и Отклонить изменения не вариант.
Главная уязвимость — это сам пользователь. Именно его под разными предлогами завлекают нажать на вот эту кнопочку. Нет других варианто, кроме как ограничить ему возможность нажимать на неправильные кнопочки.
Вин-апдейт — есть возможность его отключить, а нужно — что бы не было. Вообще везде апдейты включены по умолчанию, как же тогда трояны заражают компьютеры, ума не приложу?
RBL большинство спама перекрывают, если что.