I. Intro Итак, некоему индивидууму приходит в голову идея обогатиться за ваш счёт. Он покупает\скачивает\достаёт psw-трояна. Ботнет, удалённый контроль и т.д. ему не нужны, ему нужны пароли. Для этих целей подходят трояны русских вир-мейкеров; pinch, xinch (ну или любой pws-трой). Что он предпринимает потом? Читаем дальше...
II. Как оно кидается? Так, троян у него появился, теперь необходимо найти жертв. Делается это просто: бежим в гугль, пишем " скачать софт" и забегаем на первых пару форумов. Теперь особь пытается убедить вас скачать файл и запустить (паролей-то хочется). Примерно под таким видом:
QUOTE
С помощью проги можно вырезать музон или картинки прямо из проги
Затем, для придания картине более естественного вида, особь регает второго пользователя и пишет следующее:
QUOTE
Рально прикольная прога я из GTA музыку вырезал
Смотрим на выделенный фрагмент, не редко они спешат прошерстить множество форумов, поэтому, в спешке часто опечатываются. Так, убедив нас скачать и запустить файл "хакер" спит спокойно. Но, перед тем как запустить файл от неизвестно кого вы сканите его антивирусом (Вы ещё этого не делаете? Тогда мы идём к вам ), антивирус ничего не находит, но это абсолютно не значит что файл чист. Файл можно упаковать, закриптовать и т.д. Существует множество способов спрятать тело вируса в файле. Если вы обладаете навыками дизассемблирования, то спокойно увидите тот участок кода, который позволяет назвать данный файл заражённым, если таковых навыков не имеется, то просто заходим на virustotal.com и отсылаем файл на проверку. Только после проведения подобных мероприятий можете запускать файл (в нашем случае удалять и сообщать модераторам или админам).
III. Outro или как не попасться. Основной принцип обороны прост: имейте на плечах голову и пользуйтесь ею. Не верьте никому и не чему, кроме как нашим ньюз-мейкерам, они кидать не будут. Хотя, приводя ссылки, и они не застрахованы допустить ошибку ибо не могут нести ответ за людей, которые заливали файл , посему, учите ассемблер и пользуйтесь през.. нет, лучше установите антивирус. --- Также приведу скриншот, побудивший меня написать эту мини-статью. Посмотрите на дату рега и на ip-адрес... И второй, с результатами скана virstutal`а. Вирус обнаружило все лишь 2 антивируса. Это свидетельствует о хорошем крипте файла (чит. II).
by iLLuZionist; SoftoRooM.NeT 23.04.2007
lust, 23.04.2007 - 20:19
Весело Версии антивирусных продуктов староваты..Изрядно староваты. Тот же Касперский 4й версии
de1ay, 23.04.2007 - 20:29
lust, смотри на апдейт базы.
lust, 23.04.2007 - 20:38
iLLuZionist Апдейт базы к методике поиска не имеет никакого отношения Модули приложения и сигнатуры- это расширенные варианты кодовой эвристики и собственно сами подписи зловредов..А метод поиска - это, что делает возможным выход новых версий антивирусных продуктов, в корне изменяя саму структуру поиска Попробуйте сделать тоже самое с последними релизами антивирусов-уверена, результаты заметно скорректируются
de1ay, 23.04.2007 - 20:46
lust, вы из "тех самых"? Шучу, так вот, на примере касперского: если сигнатура попала в базу - это хорошо, вирус палится, а если нет - спасёт эвристика? Да ну, бросьте,, стоит поменять пару байт в заголовке и тело прошло мимо глаз. На высоком уровне эвристика только у нод`а, и то, он обходиться на "раз-два". Поверьте, я знаю о чём говорю. И не будем уходить от темы статьи, я пытался донести инфу до пользователей, а не разработчиков антивирусов.
lust, 23.04.2007 - 21:20
iLLuZionist Возможно, "из тех самых"..На самом деле, я просто выбрала не самый удачный способ сказать СПАСИБО..Статья очень нужная, просто в купе с тестами на детекты, почему то, показалась как реклама двух отдельно взятых продуктов. И кстати, в прямом смысле этого слова, кодовой эвристики у касперского не было до сих пор. Говорят, в 7й версии это, наконец-то, появиться. Поверьте, я не являюсь приверженцем, тем более узколобым , всего лишь одного продукта: меня интересует защита в целом. И я полностью с вами согласна: самый лучший антивирус-голова на плечах Еще раз спасибо за статью.
kolovrat, 24.04.2007 - 1:54
хм, а криптор действительно хорош, редко такой увидишь Хотя панда почти всегда закриптованные трояны видит что-то подозрительное надо будет на днях накатать статейку, как распознать вирус с помощью olly, мот юзерам полезно будет
Pascaller, 24.04.2007 - 2:14
А можно узнать, на каком сайте файлы проверяются таким кол-вом антивирусов?
iLLuZionist, отличный ресурс virustotal.com! Я проверил там файлы, на счет которых давно имел подозрения, и выявилось, что они все-таки опасные т.к. восемь антивирусов указали на подозрения и троянцев. Lust, кстати AntiVir там последний как по базам так и по эвристике, потому что тот файл, что я проверял именно анализ эвристики AntiVira дал подозрения, совсем недавно по времени. А на счет Касперского я бы не переживал
PRYANIK, 26.04.2007 - 13:46
От себя добавлю, подозревайте всех новичков, некоторая доза паранои бывает полезна ...
И как уже написано, забудьте о халяве, её нет! А то что мы к примеру раздаём аси и пр. Нам самим это выгодно ... Вот такая вот правда жизни).
Жень полезная темка!
† Flаmmen †, 23.07.2007 - 19:05
До меня что-то только дошло: это на Софторуме, что ли, этот случай был?
de1ay, 23.07.2007 - 19:18
QUOTE(Сэр Дмитрий @ 23.07.2007 - 19:05)
До меня что-то только дошло: это на Софторуме, что ли, этот случай был?