Давеча поймали девчата на работе вирусняк забавный, ну как забавный, его запустили, а он сам себя разослал всем контактам. Сам же файл представзяет собой архив с названием типа video_*случайный набор цифт*, а в архиве exe'шник с ютубовской иконкой (да-да, не ругайте девочек, нам видео часто присылают вот они и кликнули). И да, вирустотал зеленый.
Рубрика «вирусный анализ»
На волне майнинга. Новый вирус распространяемый через Facebook
2017-12-19 в 12:15, admin, рубрики: антивирусная защита, вирусный анализ, вирусы, майнинг, фейсбукЛечение всех js-файлов на сервере или определение метода шифрования в выходной день
2016-07-13 в 9:17, admin, рубрики: javascript, вирусный анализ, лечение вирусов на сайтеХочу поделиться с читателями Хабра историей о том, как лечил вредоносный js-код на сайтах, расположенных на одной машине. Под катом находится любительский анализ вредоносного кода, который я провел исключительно ради интереса, а также очистка файлов на хостинге от вредоносного кода. Данная статья не является обучающим материалом, однако в конце содержит список уроков, которые я извлек из этой истории.
Читать полностью »
Исследование андроид-вируса
2015-04-09 в 15:57, admin, рубрики: вирусный анализ, информационная безопасностьВсем привет. Недавно мне valdikss рассказал об андроид-вирусе, который может немало навредить пользователю, если он недостаточно внимателен. Мне захотелось узнать его внутренности, т.к. более или менее в последнее время занимаюсь ресерчем андроид приложений, но вирусы никогда еще не исследовал. До его рассмотрения, мне сразу бросилось в глаза название файла — android_update-1.apk. Первым делом делаю то, что делает каждый андроид ресерчер — распаковывает его dex2jar-ом (ну и параллельно можно посмотреть WinRAR-ом список файлов).
dex2jar
Когда я распаковал файл dex2jar-ом у меня получился красивый jar. Я обрадовался и кинулся смотреть его в JD-GUI.
Но, к сожалению, JD-GUI не смог полностью декомпильнуть получившийся файл, зато в самом конце файла были интересные строки.
Читать полностью »
Волшебная формула или как увидеть угрозу
2014-07-02 в 12:15, admin, рубрики: Алгоритмы, антивирусы, Блог компании «Лаборатория Касперского», вирусный анализ, вирусы, вредоносы, зловреды, информационная безопасность, твари всякие Всякая система работает по уникальному алгоритму, без алгоритма — это не система. Гибкому, жёсткому, линейному, разветвляющемуся, детерминированному, стохастическому — не важно. Важно, что для достижения наилучшего результата система подчиняется неким правилам. Нам часто задают вопрос об алгоритмах нашего продукта, в частности: как удаётся лучше конкурентов вычислять будущие угрозы? По понятным причинам все-все детали этой волшебной формулы раскрыть нельзя, но можно легонько приоткрыть дверь нашей технологической кухни и кое-что узнать.
Читать полностью »
Тривиальное шифрование во вредоносных файлах
2013-12-27 в 10:53, admin, рубрики: kaspersky lab, Блог компании «Лаборатория Касперского», вирусный анализ, Вирусы (и антивирусы), криптография, шифрование, метки: kaspersky lab, вирусный анализ, шифрованиеПривет. Это снова Алексей Маланов из «Лаборатории Касперского». В прошлый раз я рассказывал про опыт найма вирусных аналитиков, а сегодня расскажу про то, что делают вирусописатели, чтобы их работа не была замечена, и что делаем мы, чтобы их труд в итоге оказался напрасен.
Вообще говоря, злоумышленник пишет вредоносную программу, почти всегда заранее зная, что она рано или поздно попадет на «операционный стол» вирусному аналитику. И вся информация из зловреда может быть использована против автора. А чего ему скрывать? Ну, во-первых свою личность. Порой в зловредах встречаешь строки, типа C:UsersVasiliy IvanovDocumentsVisual Studio 2005заработокtrojanReleasetrojan.pdb. Во-вторых, довольно много информации, облегчающей анализ зловреда. Давайте рассмотрим некоторые приемы вирусописателей, и выясним, почему же они бесполезны.
Читать полностью »
Reverse engineering на собеседовании: как мы нанимаем на работу
2013-11-22 в 11:02, admin, рубрики: human resources, Блог компании «Лаборатория Касперского», вирусный анализ, Вирусы (и антивирусы), лаборатория касперского, работа, собеседование, метки: вирусный анализ, лаборатория касперского, работа, собеседованиеПривет. Меня зовут Алексей Маланов, я пять лет проработал руководителем Отдела антивирусных исследований в «Лаборатории Касперского». Хочу поделиться с вами своим опытом найма вирусных аналитиков. Пост, надеюсь, будет интересен и полезен в первую очередь молодым специалистам, которые только собираются сделать первый шаг в карьере. Ну а матерым IT-шникам тоже может быть любопытно, какие же вопросы задают на собеседовании в ЛК. В свое время у меня в команде было несколько десятков человек и нанимали мы постоянно. Я стремился присутствовать на каждом собеседовании лично, чтобы быть уверенным, что человек будет что надо.
Вирус на сайте или реверс-инжиниринг Exploit.SWF.254
2013-10-08 в 22:26, admin, рубрики: Action Script, exploit, вирусный анализ, Вирусы (и антивирусы), вирусы на сайтах, декомпиляция, деобфускация, информационная безопасность, метки: exploit, вирусный анализ, вирусы на сайтах, декомпиляция, деобфускация, информационная безопасностьВсе началось с того, что на моем рабочем ноутбуке (Win XP) админ установил новый антивирус. В один прекрасный день, когда я зашел на один из своих сайтов, я обнаружил вот такую неприятную картину:
Конечно же первое что я захотел сделать это удалить его, для этого нужно было просто зайти по FTP и прибить rss.js файл. Но тут вдруг оказалось что я не могу зайти на сайт по FTP, так как хостинг и домен не мои, и видимо недавно админы сменили логин и пароль. Дозвониться владельцам так и не удалось, зато понять что именно делает вирус было очень любопытно…
Вирус на сайте, Яндекс ругается «Поведенческий анализ», как его найти?
2013-08-01 в 11:27, admin, рубрики: вирусный анализ, Вирусы (и антивирусы), скрипт, яндекс, метки: вирусный анализ, скрипт, яндекс Не могу отыскать вирус засевший на сайте.
skyhall.com.ua
Гугл не ругается и свободно пропускает, а Яндекс ругается и сообщает о заражении «Поведенческий анализ»
js скриптов на сайте много, попроверял вроде чистые, размеры с исходниками совпадают.
.htaccess файл чист
Сканировал On-Line сервисами — чист у всех кроме яндекса, ai-bolit — ничего вразумительного не дал. Каспер при входе молчит.
Помогите пожалуйста разобраться в чем проблема.
Руткиты: проблемы безопасности и тенденции развития
2013-07-12 в 8:07, admin, рубрики: Блог компании Журнал Хакер, вирусный анализ, вирусы, Вирусы (и антивирусы), журнал хакер, информационная безопасность, руткиты, метки: вирусный анализ, вирусы, журнал хакер, руткитыВ настоящее время очевидно смещение вектора компьютерных атак от массового заражения к целевым, точечным атакам. Как сказал Е. Касперский: «Девяностые были десятилетием киберхулиганов, двухтысячные были десятилетием киберпреступников, сейчас наступила эра кибервойн и кибертеррора». Иллюстрацией этому являются всем известные примеры: Stuxnet, Duqu, Flamer, Gauss, которые многие антивирусные компании причисляют к кибероружию.
Основные тенденции в компьютерной безопасности
Одним из ярких примеров использования кибероружия может служить шпионская сеть «Красный октябрь», которая пять лет активно добывала информацию из правительственных организаций, различных исследовательских институтов, крупных международных компаний. Серьезная защищенность этих объектов не остановила работу вредоносной системы. Она была раскрыта всего несколько месяцев назад, что свидетельствует о возрастающей угрозе вмешательства в работу любой компьютерной системы.
Защита от вирусов, проникающих через Java-приложения
2013-02-27 в 12:40, admin, рубрики: java, Блог компании Яндекс, вирусный анализ, вирусы, Вирусы (и антивирусы), информационная безопасность, яндексСейчас более чем в 2/3 случаев опасные сайты заражают компьютеры пользователей, загружая в браузер вредоносные Java-апплеты. Такое заражение может происходить при регулярном обновлении браузера, в некоторых случаях – даже если используется ОС не от Microsoft. Если на компьютере нет виртуальной машина Java, заражённый сайт «заботливо» предложит установить её версию с уязвимостью, после чего повторно атакует компьютер пользователя.
Чтобы обнаруживать сайты, использующие этот способ заражения, Яндекс запустил специальный поведенческий анализатор вредоносного кода для Java-приложений. Он позволяет детектировать обфусцированный вредоносный код, который использует самые популярные на сегодняшний день уязвимости JRE. В результате с начала февраля было обнаружено более четырех тысяч зараженных сайтов, суммарная посещаемость которых до заражения достигала 1,5 млн. пользователей в сутки.
Читать полностью »