Сложно воспринимать такие статьи в отрыве от политики и политических взглядов (своих, автора, комментирующих). В любом случае мы пытаемся «натянуть» Китай на свои стандарты мировосприятия. А их кто-нибудь спросил? Может им так нравится (большинству). Демократия — власть большинства (в идеале, конечно).
Как пример: когда описывают какие нехорошие (с точки зрения среднего россиянина) творятся вещи в некоей «цивилизованной европейской стране» в сфере лгбт&наркотиков&ювенальной юстиции, то какой-нибудь умник скажет, что «но сами-то граждане этой страны на 99.9% нормальные и против всего этого...», тогда выходит, что там не демократия, раз 0.1% «элиты» по всем фронтам делает то, против чего абсолютное большинство. Ах, да, я забыл — в России три беды: дураки, дороги и 84%, которые думают не так, как надо оставшимся 16%.
Интересно, почему минусуют топик? Сказывается уныние понедельника, а автор тут со своими веселыми картинками лезет?
Поднимается достаточно серьезная проблема, когда в одной точке сталкиваются интересы компаний и пользователей, причем эти интересы внутри одной группы могут быть диаметрально противоположными (одни пользователи атакуют вопросом «где мои миллионы?», а другие — «почему легальное ПО обнаруживается антивирусом?», а половина антивирусов, несмотря на локальную эпидемию и ухом не ведет.
Разноцветная табличка показывает насколько плачевна на данный момент ситуация. Школьникам теперь и криптовать ничего не надо — бери и используй подписанный софт. Не умеешь делать bat-файлы? Нажал в билдере «Создать» и все готово.
Хотелось бы услышать комментарии от представителей компании TektonIT: как именно и как часто они помогают правоохранительным органам и в каких случаях (раз уж они об этом сами заявили).
Комментарий от Лаборатории Касперского тоже был бы уместен — они же исследовали эту тему и могут подтвердить (или опровергнуть) изложенные в статье утверждения. Но проще, наверное, дождаться комментарий от ЕСЕТа — они на Хабре тусуются и постоянно какие-то новости из мира информационной безопасности рерайтят и тащат на Хабр.
По статье:
1. Вывод бы на самом деле не повредил.
2. Чем обусловлен выбор антивирусов для тестирования? Почему взяли Zillya?
3. А от себя замечу: с RMS так было не всегда. Когда-то он не обнаруживался антивирусами (об это можно прочесть на форумах).
Если TeamViewer начнут широко использовать в таких целях, то с ним повторится такая же история.
4. Если посылать в техподдержку (в вирусную лабораторию) Avira/AVG/Norton (ну, и другие) файлы rutserv, то что они ответят?
5. Орфография на скриншотах — огонь.
6. Тема серьезная, а язык написания статьи слишком шутливый для этого. Постарайтесь в следующий раз поменьше иронизировать и шутить, тем более в понедельник, но от меня все равно +
1. Почему на ваш взгляд сцена заглохла, а такие ресурсы, как кряклаб, васм потихонечку умирают? (нет новых статей, обсуждений) 2. Как в своем большинстве крякеры относятся к малварщикам? Ведь набор знаний/умений похожий, только применение иное. 3. Хобби помогло в нахождении профессии или так и осталось хобби, а работаете (к примеру) учителем химии? 4. Все это было just for fan или деньги тоже приносило? 5. Знаете ли чем сейчас занимаются знакомые с тех времен крякеры? Ведь многие осели в вирлабах…
Чел сидит в компании, прогает согласно ТЗ… а вот подобные партнерские программы дело рук никак не программистов. Тут, собственно и кодить-то нечего было — http запрос по некому линку, даунлоад файла по трем линкам и их запуск. А уже данный код шпигуется левыми ссылками и за его инсталляцию юзерам платятся деньги, даже если обманным путем все это идет (сомнительными путями). Так что это скорее менеджеро-маркетинговый отдел ведет такую политику…
Не утечка, а скорее течение реки — _официальное_ течение. Генеральная линия партии, если хотите…
Данный файлик делает следующее:
1. Делает отстук в партнерку (чтобы было понятно кому платить деньги).
goldcentre.ru/get_xml?file_id=57397595&did=260428254&hsig=…
2. Скачивает с официального сайта adobe установщик флеш-плеера:
aihdownload.adobe.com/bin/live/install_flashplayer11x32_mssa_aaa_aih.exe
3. Дальнейшие закачки без комментариев:
internetmailru.cdnmail.ru/Internet.exe
sputnikmailru.cdnmail.ru/mailrusputnik.exe
Установщик флеш-плеера сохранился на рабочий стол и стартовал, а интернет и мейл.руспутник из temp'a…
Статья написана грамотно. То, что вы находитесь по нашу сторону баррикад тоже радует, но тема несколько потрепанная. Кроме Ms-Rem на русском языке и на делфях про это писал в своей книге Олег Зайцев. Так что читая вашу статью невольно кажется, что читаешь реферат — компиляцию из уже существующих широко известных статей… как-то так.
Пожелание от себя на будущее: постарайтесь найти изюминку. Статья должна рождаться после того, как вы насобирали каким-то образом немного этого изюма и хотите поделиться с общественностью. Ведь у вас не туториал для новичков, а статья на Хабре в профильной ветке…
Почитал ваш блог и нашел статью про уход от перехвата CreateFile() — вот это примерно то, что нужно, только все равно не совсем то, ведь по сути ваша статья это рассказ о том, что вы видели в дебаггере, когда трассировали эту функцию по f7 и как это закодить на делфи…
Может вам присмотреться к вирусам и с вашими хорошими кодерскими/реверс умениями сможете много чего накопать и сделать много полезного в деле борьбы с малварью?
Опишу как обычно происходит:
… несколько программистов объединяются в организованную преступную группировку (в простонародье: банду) и кодят зловреда, потом начинают его продавать. Причем продают его серьезно так — вместе с техподдержкой, подпиской на новые версии, различные комплектации с блэкджеком и шлю…
Те, кто у них купил данного зловреда — начинают его распространять — могут либо сами, либо проплатить деньги тому, кто сливает траффик (кто хакнул много сайтов) — они лишь расположат на своем хосте этого зловреда и набор эксплоитов, а трафф с сайтов будет гнать кто-то другой, которому они платят фиксированный рубль за килобайт человекотраффика.
А если они хотят его разослать в спаме, то пойдут и заплатят денег спамеру, чтобы тот разослал их файлик на пару миллионов емейл-адресов.
… а может быть так, что у них нет своей связки эксплоитов, а есть на руках только вот этот чудо-ехе-файл-зловред, который нужно как-то распространять — потому они могут пойти к тому у кого есть такой набор эксплоитов и тупо дать ему свой файл, платя ему деньги за аренду его набора эксплоитов + (не забываем еще нанять того, кто будет туда траффик сливать, хотя можно снять в аренду связку вместе с траффиком — это уже надо смотреть как выгоднее и проще...).
И тут кого-то ловят. Вопрос: кого поймали и кто может сдать СС-сервера? Кодеры ничего не знают, но их и не поймать. Тот, кто хакал сайты и размещал на них инфреймы на страницу загрузки малвари — он тоже может быть не в курсе того даже куда и зачем лил трафик — ему по барабану — ему платят, он и льет.
Просто Бабушкин писал на батниках и ВБ — это просто отреверсить и показать, что продукт гуан и еб* гусей, а тут под айфон, это сложнее чем реверсить батники :)
oENDark, Вы что, это же шутка…
Полностью с Вами согласен, потому и привел этот шутейный код, докопавшись до слов ТС о том, что все нужно проверять дважды :)
Думаю, что стоит чуть углубиться в вопрос о копировании чужих сорцев: 1. Другой компилятор/настройки и в дизассемблированном виде код уже другой 2. Чуть подправил код и все — это уже другой код и мы ничего не тырили! 3. Даже русификация чего-либо это наказуемо (если без разрешения) — потому не забываем спрашивать разрешения 4. Доказать кражу кода в суде практически нереально — в РФ не помню прецедентов, когда удалось доказать, что «вот этот код на С++» = «вот этому коду из дизассемблера». 5. На практике из-за вышеозвученных причин стараются с этим не заморачиваться или просто закрывать на это глаза. За примером далеко ходить не нужно — Бабушкин (см. антивирус «Иммунитет») спер чужие сорцы + перебил копирайты на том, что без сорцев и все у него нормально. 6. Законодательства разных стран в этом вопросе говорят разное. Например, вашу программу сперли китайцы… Могу сказать, что даже если вашу программу сперли и продают китайцы при этом только поменяв в редакторе ресурсов иконку и version info — вы все равно вряд ли у них что отсудите… :)
эээ… дык выше я и писал — «командный интерпретатор» — в данном случае это лишь официальное название файлика cmd.exe. А ему правда даны многие привилегии в системе, но это уже вопрос того почему у компании такая политика — так настроенный по дефолту антивирус. Но я и сам могу ответить вам на этот вопрос: чтобы было от антивируса меньше вопросов чтобы не надоедать домохозяйкам, а то они удалят платного каспера и вообще на аваст перейдут — он денег не просит и никаких вопросов вообще не задает. :)
Т.е теперь мы будем ОС обвинять, что она позволяет своему собственному командному интерпретатору функционировать в системе?
Поясню работу данного зловреда: запись батника в темп, его запуск, создание еще одного батника в темпе, который его (зловреда) удалит. На дефолтных настройках на это не было алерта т.к это не самые критичные действия, но при ручном режиме антивируса — от него будет запрос, но это никому не надо — всем надо чтобы антивирус спокойно работал, все ловил и ничего не спрашивал.
… а есть зловреды, которые при запуске проверяют дефолтную раскладку клавиатуры и/или язык системы — если русская, то ничего зловредного не делают (просто самоудалятся) :)
Справедливости ради (хоть я и не фанат Касперского) хочу заметить, что у ТС антивирус был в настройках по-умолчанию аля «домохозяйка релиз», а если убрать галочку на втопринятие решений, то на такое действие Каспер бы спросил, но т.к большинству пофигу на свою безопасность и все заботы они складывают на плечи антивируса, то что с них взять? Естественно антивирус плохой пропустил заразу!
Т.е вам сам Матросов сообщил что они не могут закрыть этот инжект пока или это вам сообщил я, а Матросов лишь раструбил, что такой инжект есть со всеми тех.подробностями?))
Дело в том, что ВСЕ антивирусные компании про этот инжект знали. Они занимаются этой проблемой, кто-то закрыл уже, кто-то вообще не может и не собирается, кто-то тестирует заплатку.
Непонятно чего вы упираетесь? Подробная техническая информация об уязвимости до ее закрытия не несет никакой пользы. (польза только хакерам). Это ведь тут на хабре есть традиция чтобы не публиковали подробности уязвимости какого-то сайта до того как закрыли эту уязвимость. А тут еще страшнее. При публикации подробностей — под удар попадают миллионы людей.
Это так. Но большинство малвареписателей это скрипткиддисы и неспособны самостоятельно до чего-то додуматься. Вот им и помогает Матросов.
Думаю, что нет смысла меряться тем, кто раньше узнал о таком способе инжекта, суть не в этом. Суть лишь в распространенности и доступности его использования скрипткиддисам.
Как пример: когда описывают какие нехорошие (с точки зрения среднего россиянина) творятся вещи в некоей «цивилизованной европейской стране» в сфере лгбт&наркотиков&ювенальной юстиции, то какой-нибудь умник скажет, что «но сами-то граждане этой страны на 99.9% нормальные и против всего этого...», тогда выходит, что там не демократия, раз 0.1% «элиты» по всем фронтам делает то, против чего абсолютное большинство. Ах, да, я забыл — в России три беды: дураки, дороги и 84%, которые думают не так, как надо оставшимся 16%.
Поднимается достаточно серьезная проблема, когда в одной точке сталкиваются интересы компаний и пользователей, причем эти интересы внутри одной группы могут быть диаметрально противоположными (одни пользователи атакуют вопросом «где мои миллионы?», а другие — «почему легальное ПО обнаруживается антивирусом?», а половина антивирусов, несмотря на локальную эпидемию и ухом не ведет.
Разноцветная табличка показывает насколько плачевна на данный момент ситуация. Школьникам теперь и криптовать ничего не надо — бери и используй подписанный софт. Не умеешь делать bat-файлы? Нажал в билдере «Создать» и все готово.
Хотелось бы услышать комментарии от представителей компании TektonIT: как именно и как часто они помогают правоохранительным органам и в каких случаях (раз уж они об этом сами заявили).
Комментарий от Лаборатории Касперского тоже был бы уместен — они же исследовали эту тему и могут подтвердить (или опровергнуть) изложенные в статье утверждения. Но проще, наверное, дождаться комментарий от ЕСЕТа — они на Хабре тусуются и постоянно какие-то новости из мира информационной безопасности рерайтят и тащат на Хабр.
По статье:
1. Вывод бы на самом деле не повредил.
2. Чем обусловлен выбор антивирусов для тестирования? Почему взяли Zillya?
3. А от себя замечу: с RMS так было не всегда. Когда-то он не обнаруживался антивирусами (об это можно прочесть на форумах).
Если TeamViewer начнут широко использовать в таких целях, то с ним повторится такая же история.
4. Если посылать в техподдержку (в вирусную лабораторию) Avira/AVG/Norton (ну, и другие) файлы rutserv, то что они ответят?
5. Орфография на скриншотах — огонь.
6. Тема серьезная, а язык написания статьи слишком шутливый для этого. Постарайтесь в следующий раз поменьше иронизировать и шутить, тем более в понедельник, но от меня все равно +
2. Как в своем большинстве крякеры относятся к малварщикам? Ведь набор знаний/умений похожий, только применение иное.
3. Хобби помогло в нахождении профессии или так и осталось хобби, а работаете (к примеру) учителем химии?
4. Все это было just for fan или деньги тоже приносило?
5. Знаете ли чем сейчас занимаются знакомые с тех времен крякеры? Ведь многие осели в вирлабах…
Данный файлик делает следующее:
1. Делает отстук в партнерку (чтобы было понятно кому платить деньги).
goldcentre.ru/get_xml?file_id=57397595&did=260428254&hsig=…
2. Скачивает с официального сайта adobe установщик флеш-плеера:
aihdownload.adobe.com/bin/live/install_flashplayer11x32_mssa_aaa_aih.exe
3. Дальнейшие закачки без комментариев:
internetmailru.cdnmail.ru/Internet.exe
sputnikmailru.cdnmail.ru/mailrusputnik.exe
Установщик флеш-плеера сохранился на рабочий стол и стартовал, а интернет и мейл.руспутник из temp'a…
Пожелание от себя на будущее: постарайтесь найти изюминку. Статья должна рождаться после того, как вы насобирали каким-то образом немного этого изюма и хотите поделиться с общественностью. Ведь у вас не туториал для новичков, а статья на Хабре в профильной ветке…
Почитал ваш блог и нашел статью про уход от перехвата CreateFile() — вот это примерно то, что нужно, только все равно не совсем то, ведь по сути ваша статья это рассказ о том, что вы видели в дебаггере, когда трассировали эту функцию по f7 и как это закодить на делфи…
Может вам присмотреться к вирусам и с вашими хорошими кодерскими/реверс умениями сможете много чего накопать и сделать много полезного в деле борьбы с малварью?
… несколько программистов объединяются в организованную преступную группировку (в простонародье: банду) и кодят зловреда, потом начинают его продавать. Причем продают его серьезно так — вместе с техподдержкой, подпиской на новые версии, различные комплектации
с блэкджеком и шлю…Те, кто у них купил данного зловреда — начинают его распространять — могут либо сами, либо проплатить деньги тому, кто сливает траффик (кто хакнул много сайтов) — они лишь расположат на своем хосте этого зловреда и набор эксплоитов, а трафф с сайтов будет гнать кто-то другой, которому они платят фиксированный рубль за килобайт человекотраффика.
А если они хотят его разослать в спаме, то пойдут и заплатят денег спамеру, чтобы тот разослал их файлик на пару миллионов емейл-адресов.
… а может быть так, что у них нет своей связки эксплоитов, а есть на руках только вот этот чудо-ехе-файл-зловред, который нужно как-то распространять — потому они могут пойти к тому у кого есть такой набор эксплоитов и тупо дать ему свой файл, платя ему деньги за аренду его набора эксплоитов + (не забываем еще нанять того, кто будет туда траффик сливать, хотя можно снять в аренду связку вместе с траффиком — это уже надо смотреть как выгоднее и проще...).
И тут кого-то ловят. Вопрос: кого поймали и кто может сдать СС-сервера? Кодеры ничего не знают, но их и не поймать. Тот, кто хакал сайты и размещал на них инфреймы на страницу загрузки малвари — он тоже может быть не в курсе того даже куда и зачем лил трафик — ему по барабану — ему платят, он и льет.
Итого: мы не знаем кого именно поймали…
и правда история прям бесконечная — все технические публикации ЕСЕТа за последние два месяца связаны с этим методом инжекта… уже поднадоело…
Полностью с Вами согласен, потому и привел этот шутейный код, докопавшись до слов ТС о том, что все нужно проверять дважды :)
Не согласен! А как же вот это в статье!? ->
Теперь всегда буду делать так:
if (empty($post_data)) { echo 'hacker?'; } if (empty($post_data)) { echo 'hacker?'; }Все буду дважды проверять… :)
1. Другой компилятор/настройки и в дизассемблированном виде код уже другой
2. Чуть подправил код и все — это уже другой код и мы ничего не тырили!
3. Даже русификация чего-либо это наказуемо (если без разрешения) — потому не забываем спрашивать разрешения
4. Доказать кражу кода в суде практически нереально — в РФ не помню прецедентов, когда удалось доказать, что «вот этот код на С++» = «вот этому коду из дизассемблера».
5. На практике из-за вышеозвученных причин стараются с этим не заморачиваться или просто закрывать на это глаза. За примером далеко ходить не нужно — Бабушкин (см. антивирус «Иммунитет») спер чужие сорцы + перебил копирайты на том, что без сорцев и все у него нормально.
6. Законодательства разных стран в этом вопросе говорят разное. Например, вашу программу сперли китайцы… Могу сказать, что даже если вашу программу сперли и продают китайцы при этом только поменяв в редакторе ресурсов иконку и version info — вы все равно вряд ли у них что отсудите… :)
Поясню работу данного зловреда: запись батника в темп, его запуск, создание еще одного батника в темпе, который его (зловреда) удалит. На дефолтных настройках на это не было алерта т.к это не самые критичные действия, но при ручном режиме антивируса — от него будет запрос, но это никому не надо — всем надо чтобы антивирус спокойно работал, все ловил и ничего не спрашивал.
Непонятно чего вы упираетесь? Подробная техническая информация об уязвимости до ее закрытия не несет никакой пользы. (польза только хакерам). Это ведь тут на хабре есть традиция чтобы не публиковали подробности уязвимости какого-то сайта до того как закрыли эту уязвимость. А тут еще страшнее. При публикации подробностей — под удар попадают миллионы людей.
Думаю, что нет смысла меряться тем, кто раньше узнал о таком способе инжекта, суть не в этом. Суть лишь в распространенности и доступности его использования скрипткиддисам.