Рубрика «Вирусы (и антивирусы)» - 14

Атака на ПК через java и pdf уязвимости
Сегодня вредоносное ПО прогрессирует, и получить его на машину можно не только посещая ХХХ сайты или сайты сомнительного происхождения. В настоящее время заражение все чаще и чаще происходит с вполне доверенных сайтов. На сайтах размещаются редиректы на вредоносные ресурсы, с которых и происходят заражения ПК вредоносным ПО. Способы взлома сайта и размещение на нем данного редиректа различны, от кражи пароля к FTP до залива через уязвимости движка сайта. Способы перехода так же могут быть отличными, например размещение IFrame или скрипта в шапке сайта.

При посещении подобного сайта, через цепочку редиректов, в процессе которой собираются данные о вашей системе, в том числе о версиях ПО и ОС, происходит запуск либо java аплета либо pdf файла, сформированных особым образом, что позволяет, используя уязвимости в Java или Acrobat, скачать на машину без ведома пользователя исполняемый файл вредоносного содержания.
Читать полностью »

Интервью с владельцем ботнета

Подреддит /r/IAmA — это место, где любой человек, представляющий хоть какой-то интерес для обычного реддитора, может провести сессию вопросов и ответов. Как правило, это смесь актеров, деятелей культуры и видных персон, расписание IAmA (I am a) которых известно заранее, и необычных людей, выделяющихся своими профессиональными навыками или пережитым жизненным опытом. Два месяца назад на этом ресурсе появился человек, представившийся как разработчик вредоносного программного обеспечения и оператор ботнета.Читать полностью »

Портабельная система анализа вредоносности на основе Buster Sandbo Analyzer — Sandboxie
Вероятно, читатели знакомы с программами Buster Sandbox Analyzer и Sandboxie. Суть их — запуск подозрительного файла в песочнице с отслеживанием изменений, вносимых в систему (при этом с реальную систему ничего не вносится). Кто совсем ничего не слышал — можете покинуть эту тему, Вам будет неинтересно. Или сходите сюда и просветитесь: bsa.isoftware.nl

О настройке системы было много сказано и на Хабре, в журнале «Хакер», и на ряде форумов. Основная проблема была в начальной настройке — как установить, что изменить, что прописать.

Поэтому я напрягся немного, попутно напряг ещё нескольких добрых людей — и сделал портабельную версию этого комплекса. Постоянно обновляемая ссылка на него находится здесь: tools.safezone.cc/gjf/Sandboxie-portable.zip

Честно признаться, разбирать как пользоваться Buster Sandbox Analyzer, что и как определять вредоносным в этой ветке я не буду. Обсуждаться будет исключительно портабельная сборка. По ней — всё просто.
Читать полностью »

Портабельная система анализа вредоносности на основе Buster Sandbox Analyzer — Sandboxie
Вероятно, читатели знакомы с программами Buster Sandbox Analyzer и Sandboxie. Суть их — запуск подозрительного файла в песочнице с отслеживанием изменений, вносимых в систему (при этом с реальную систему ничего не вносится). Кто совсем ничего не слышал — можете покинуть эту тему, Вам будет неинтересно. Или сходите сюда и просветитесь: bsa.isoftware.nl

О настройке системы было много сказано и на Хабре, в журнале «Хакер», и на ряде форумов. Основная проблема была в начальной настройке — как установить, что изменить, что прописать.

Поэтому я напрягся немного, попутно напряг ещё нескольких добрых людей — и сделал портабельную версию этого комплекса. Постоянно обновляемая ссылка на него находится здесь: tools.safezone.cc/gjf/Sandboxie-portable.zip

Честно признаться, разбирать как пользоваться Buster Sandbox Analyzer, что и как определять вредоносным в этой ветке я не буду. Обсуждаться будет исключительно портабельная сборка. По ней — всё просто.
Читать полностью »

В пятницу, 23 марта, сервер был изъят сотрудниками милиции в связи с возбуждением уголовного дела по статье 361-1 УК Украины (Создание вредоносных программ с целью распространения или сбыта) по сигналу о «размещении для свободного доступа вредных программных средств, предназначенных для несанкционированного вмешательства в работу электронно-вычислительных машин, автоматизированных систем, компьютерных сетей».
vx.netlux.org/index.html

Подробнее:
www.osp.ru/news/articles/2012/16/13014482/
kyprizel.livejournal.com/348324.html
www.wasm.ru/forum/viewtopic.php?id=44575

И вот я узнал печальный исход этого дела:
Читать полностью »

Антивирусы не могут победить ZeusИсследование, посвящённое известному трояну Zeus, выпустила на днях компания ThreatMetrix Labs. Выводы специалистов не утешительны для тех, кто привык полагаться на актуальные антивирусные базы.

В настоящий момент Zeus не использует C&C-серверов, а посылает команды с помощью P2P. Целостность всей системы сохраняется благодаря надежному шифрованию файлов конфигурации.

Читать полностью »

Касперского не затроллишь!Евгений Касперский опубликовал у себя в блоге пост, где подробно рассказал о борьбе компании с патентым троллем.

Эпопея началась в 2008 году с решения не поддаваться на шантаж компании IPAT. По словам Касперского, его лаборатория была не единственной жертвой тролля, но единственной, что принципиально не принимала никаких предложений о «мирном» разрешении проблемы.

Другие производители антивирусов выплатили IPAT от нескольких десятков тысяч до нескольких миллионов долларов.

Ну и началась та самая история, которая называется «американский патентный суд Штата Техас». Почему именно Техас – а поскольку троллей там любят, защищают и отстаивают их интересы. А за это тролли платят налоги этому самому штату Техас. Посему по всем признакам – вариант негативного развития событий для нас был весьма вероятным.

Тем не менее, компания выиграла дело, хотя ценой этой победы были $2,5млн., 3,5 года и бессчетное количество нервов.

Полностью прочитать захватывающую историю можно здесь.
Читать полностью »

Сканер вирусов изнутри
Последний год я работал над реализацией вирусного сканера для одной антивирусной как нестранно компании.
Пост являет собой выжимку приобретенных знаний, и повествует хабрасообществу о внутреннем устройстве как нестранно антивирусного сканера.
Сканирующий движок или сканер — это фундамент антивирусного пакета. Являет собой бэк-энд антивируса и, как правило представлен в виде dll, так как сканер используется сразу несколькими программами из пакета.
Графическая оболочка в этом случае — лишь красивая обертка для отображения результатов движка. Всю полезную работу, делает движок в бэк-енде.
Читать полностью »

Stuxnet, Flame и Duqu — три самые известные программы, предположительно созданные спецслужбами в качестве «кибеоружия» против других стран. Программа Stuxnet успешно вывела из строя 80% иранских центрифуг по обогащению урана, а шпионская программа Flame несколько лет скрытно работала на иранских компьютерах, установившись как обновление Windows.

На прошлой неделе предположения об американском заказе подтвердились: выяснилось, что президент Обама лично следил за внедрением вируса Stuxnet на иранские компьютеры. Насчёт Flame и Duqu прямых доказательств пока нет. Но вряд ли приходится сомневаться, что эти программы тоже созданы по заказу американцев.

Самое интересное, что во всех трёх программах использовалась библиотека LZO, которая распространяется строго под лицензией GNU GPL.
Читать полностью »

W32.Flamer: шпионаж через Bluetooth Наш новый знакомый W32.Flamer не перестает удивлять. Сегодня мы расскажем о потенциале использования технологий Bluetooth этим червём.

Злоумышленники получают возможность идентифицировать мобильное устройство пользователя на расстоянии до одной мили и даже отслеживать местонахождение жертвы, красть конфиденциальную информацию и прослушивать разговоры.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js