Как? через инжект. Инжект в процесс и дальнейший выход в сеть из его контекста. Зачем вам больше инфы нужно? зачем знать какую функцию они с какими параметрами для этого используют?
То, что там нет технологий для борьбы с таким инжектом опять-таки вам сообщил я. Из статьи Матросова вы бы это не поняли.
А про 99% это и так вы должны знать. А вот ТЕХНИЧЕСКИЕ подробности раскрывать не нужно было.
Можно было написать «есть новый метод инжекта» и все. Вот персонально ВАМ elite7 какая польза с технических подробностей? имен api-функций и т.д Никакой. Только вред от хакеров, для которых это дало ключ к понимаю как это сделать самим.
То, что антивирусы что-то не прикрыли вы узнали от меня, а не от Матросова, из его статей это никак нельзя понять, если сами не долбите днями малварь… (или если сами ее не пишете...)
Виталеги минусуют :)
Путь минусуют дальше — от технологии инжекта Gapz им не уйти — NOD32 не имеет технологий закрыть этот инжект. Печально, но факт.
Кто-то оспорит?
Можете веселиться дальше, а все вирусные аналитики, которые придерживаются каких-то понятий чести, а не пиара и принципа «не навреди» посмеются над вами… только это не смешно, а грустно. Грустно, что среди нас есть такие как вЫ.
Касперский этот ижнект закрыл, но ничего про это, к примеру, не написал. Почему? Именно потому, что сказал я.
А про то, что умолчание приносит вред можете пиарить и дальше в своих статейках в мурзилке (хакере), а антивирусное сообщество так не думает.
Факты говорят за себя — всплеск зловредов с этой технологии начался после ваших публикаций. Код на гитхабе появился также со ссылкой на тов.Матросова — там прямо написано, что писалось по вашему описанию.
Обычно в конце таких вот обзоров принято писать нечто типа «но пользователям нашего антивируса боятся нечего, т.к мы успешно обнаруживаем и лечим все модификации этого зловреда ... и всех его модификаций на три года вперед».
Но тут ничего подобного нет. Все также как и в случае с Carberp? Изучить изучили, а вот лечение сделать не смогли, но так как себя похвалить надо и попиариться статью все же написали…
Отдельно хочется послать «привет» товарищу Матросову за его обзор Carberp, который он с небольшими изменениями запостил где мог (и на хабре, и в своем блоге, и в твиттере, и на сайте есета, и на новостных сайтах… и даже в журнале Хакер) — за то, что подробно описал его метод инжекта в процесс, который еще не все антивирусы прикрыли. Именно из-за Матросова сейчас наблюдается всплеск троянов с этой технологией — именно он ее разжевал публично и объяснил, после чего по его описанию такие сорцы появились даже на гитхабе…
Никакого уважения к человеку, которому важен лишь пиар у меня нет. Главное правило малварекопателя — не раскрывать инфу, которую могут использовать во вред. Все остальные молчали. Матросов — нет.
От себя замечу, что такое безобразие только в дистрибутиве, который качается с российского сайта eset'a, при скачивании с главного — ничего такого нет. Это российское представительство так деньгу заколачивает…
Не нужно пытаться разжалобить словами «жена, ребенок»… это не оправдывает мошенничество. Все дело в том, что с легальной рекламы на сайте доход с сайта примерно в 20 раз ниже чем с левых партнерок. Вам их перечислить?
1. Редирект пользователей с мобильных устройств на «опера-обновлялки» — добро пожаловать троян-смс-сенд!
2. Платные архивы в которых либо нет покупаемого, либо оно итак на каждом углу бесплатно лежит
3. Всплывающая реклама аля «ваш вконтакте аккаунт заблокирован» или «нам 500 лет и вы выиграли 500 рублей от яндекса»
Продолжать?!
Вот и от мейл.ру нечто подобное, и не нужно оправдывать админов, которые таким зарабатывают. Это их осознанный выбор.
Если говорить не про исследования малвари, а про меня, то из перечисленного вами использую обычный адблок+носкрипт+лиса+отключенные плагины (на личном ноутбуке).
Но в реальности я почти всегда занят какими-то ковыряниями и сижу в виртуалке, соответственно инет-серфинг тоже с нее, а там никакой защиты нет — если какая дрянь полезет, то я ей только рад буду :)
Рядовой юзер будет подпись проверять? Да на эту подпись наплевать в 99% случаев рядовому пользователю.
Подпись не для юзера, а для антивируса — подпись от мейл.ру, этой же подписью подписан мейл.ру-агент и другой софт для которого у многих ав-компаний автосоздание разрешающих правил.
А рядовой юзер будет качать с широко раскрытыми глазами, когда ему будет большой алерт на весь экран о том, что его скайп/браузер устарел, а половина антивирусов даже и не пикнет и ничего не спросит — ведь подпись же валидная!
Вы молодцы! Тем самым вы дарите зловредописателям бесплатный троян-даунлоадер и вирусные аналитики вынуждены догадываться и проводить эксперименты хороший файл скачает даунлоадер или зловреда/рекламу.
Для самой мейл.ру последствий никаких, они могут сказать, что партнер нарушил условия распространения софта и забанить его.
Так обычно и происходит. Регулярно подобные файлы отправляю в вирлабы и самой мейл.ру (хотя последнее лишено смысла).
А про 99% это и так вы должны знать. А вот ТЕХНИЧЕСКИЕ подробности раскрывать не нужно было.
Можно было написать «есть новый метод инжекта» и все. Вот персонально ВАМ elite7 какая польза с технических подробностей? имен api-функций и т.д Никакой. Только вред от хакеров, для которых это дало ключ к понимаю как это сделать самим.
Путь минусуют дальше — от технологии инжекта Gapz им не уйти — NOD32 не имеет технологий закрыть этот инжект. Печально, но факт.
Кто-то оспорит?
Касперский этот ижнект закрыл, но ничего про это, к примеру, не написал. Почему? Именно потому, что сказал я.
А про то, что умолчание приносит вред можете пиарить и дальше в своих статейках в мурзилке (хакере), а антивирусное сообщество так не думает.
Факты говорят за себя — всплеск зловредов с этой технологии начался после ваших публикаций. Код на гитхабе появился также со ссылкой на тов.Матросова — там прямо написано, что писалось по вашему описанию.
Да, товарищ, Матросов. Стыдно должно быть.
Такие товарищи нам совсем не товарищи.
и всех его модификаций на три года вперед».Но тут ничего подобного нет. Все также как и в случае с Carberp? Изучить изучили, а вот лечение сделать не смогли, но так как себя похвалить надо и попиариться статью все же написали…
Отдельно хочется послать «привет» товарищу Матросову за его обзор Carberp, который он с небольшими изменениями запостил где мог (и на хабре, и в своем блоге, и в твиттере, и на сайте есета, и на новостных сайтах… и даже в журнале Хакер) — за то, что подробно описал его метод инжекта в процесс, который еще не все антивирусы прикрыли. Именно из-за Матросова сейчас наблюдается всплеск троянов с этой технологией — именно он ее разжевал публично и объяснил, после чего по его описанию такие сорцы появились даже на гитхабе…
Никакого уважения к человеку, которому важен лишь пиар у меня нет. Главное правило малварекопателя — не раскрывать инфу, которую могут использовать во вред. Все остальные молчали. Матросов — нет.
Включил.
elite7, участвуйте в партнерке по продаже огнетушителей.
Не нужно пытаться разжалобить словами «жена, ребенок»… это не оправдывает мошенничество. Все дело в том, что с легальной рекламы на сайте доход с сайта примерно в 20 раз ниже чем с левых партнерок. Вам их перечислить?
1. Редирект пользователей с мобильных устройств на «опера-обновлялки» — добро пожаловать троян-смс-сенд!
2. Платные архивы в которых либо нет покупаемого, либо оно итак на каждом углу бесплатно лежит
3. Всплывающая реклама аля «ваш вконтакте аккаунт заблокирован» или «нам 500 лет и вы выиграли 500 рублей от яндекса»
Продолжать?!
Вот и от мейл.ру нечто подобное, и не нужно оправдывать админов, которые таким зарабатывают. Это их осознанный выбор.
Но в реальности я почти всегда занят какими-то ковыряниями и сижу в виртуалке, соответственно инет-серфинг тоже с нее, а там никакой защиты нет — если какая дрянь полезет, то я ей только рад буду :)
Подпись не для юзера, а для антивируса — подпись от мейл.ру, этой же подписью подписан мейл.ру-агент и другой софт для которого у многих ав-компаний автосоздание разрешающих правил.
А рядовой юзер будет качать с широко раскрытыми глазами, когда ему будет большой алерт на весь экран о том, что его скайп/браузер устарел, а половина антивирусов даже и не пикнет и ничего не спросит — ведь подпись же валидная!
Так обычно и происходит. Регулярно подобные файлы отправляю в вирлабы и самой мейл.ру (хотя последнее лишено смысла).