day & night

Кидалово на форумах, Как не попасть в руки кул-хакеров =\
Дата обновления: , перейти к новому сообщению
#1
de1ay



профи!
[SoftoRooMTeaM] Group Icon

Группа: Наши Люди
Сообщений: 4.437
Регистрация: 14.10.2005
Из: EU
Пользователь №: 1.010


Респектов: 613
-----XXXX-




Кидалово на форумах

I. Intro
Итак, некоему индивидууму приходит в голову идея обогатиться за ваш счёт. Он покупает\скачивает\достаёт psw-трояна. Ботнет, удалённый контроль и т.д. ему не нужны, ему нужны пароли. Для этих целей подходят трояны русских вир-мейкеров; pinch, xinch (ну или любой pws-трой). Что он предпринимает потом? Читаем дальше...

II. Как оно кидается?
Так, троян у него появился, теперь необходимо найти жертв. Делается это просто: бежим в гугль, пишем " скачать софт" и забегаем на первых пару форумов. smile.gif Теперь особь пытается убедить вас скачать файл и запустить (паролей-то хочется). Примерно под таким видом:
QUOTE
С помощью проги можно вырезать музон или картинки прямо из проги

Затем, для придания картине более естественного вида, особь регает второго пользователя и пишет следующее:
QUOTE
Рально прикольная прога я из GTA музыку вырезал

Смотрим на выделенный фрагмент, не редко они спешат прошерстить множество форумов, поэтому, в спешке часто опечатываются. smile.gif
Так, убедив нас скачать и запустить файл "хакер" спит спокойно. Но, перед тем как запустить файл от неизвестно кого вы сканите его антивирусом (Вы ещё этого не делаете? Тогда мы идём к вам shot.gif ), антивирус ничего не находит, но это абсолютно не значит что файл чист. Файл можно упаковать, закриптовать и т.д. Существует множество способов спрятать тело вируса в файле. Если вы обладаете навыками дизассемблирования, то спокойно увидите тот участок кода, который позволяет назвать данный файл заражённым, если таковых навыков не имеется, то просто заходим на virustotal.com и отсылаем файл на проверку. Только после проведения подобных мероприятий можете запускать файл (в нашем случае удалять и сообщать модераторам или админам).

III. Outro или как не попасться.
Основной принцип обороны прост: имейте на плечах голову и пользуйтесь ею. Не верьте никому и не чему, кроме как нашим ньюз-мейкерам, они кидать не будут. Хотя, приводя ссылки, и они не застрахованы допустить ошибку ибо не могут нести ответ за людей, которые заливали файл , посему, учите ассемблер и пользуйтесь през.. нет, лучше установите антивирус. smile.gif
---
Также приведу скриншот, побудивший меня написать эту мини-статью. Посмотрите на дату рега и на ip-адрес... И второй, с результатами скана virstutal`а. Вирус обнаружило все лишь 2 антивируса. Это свидетельствует о хорошем крипте файла (чит. II).
by iLLuZionist;
SoftoRooM.NeT 23.04.2007


Присоединённые эскизы
Присоединённое изображение Присоединённое изображение
User is offline
Go topGo end

Ответов(1 - 9)
23.04.2007 - 20:19
#2
lust



Опытный юзверь
**

Группа: Пользователи
Сообщений: 87
Регистрация: 26.03.2007
Из: Николаев
Пользователь №: 362.550


Респектов: 20
-----X----


Предупреждений:


Весело wink.gif Версии антивирусных продуктов староваты..Изрядно староваты. Тот же Касперский 4й версии biggrin.gif
User is offline
Go topGo end
23.04.2007 - 20:29
#3
de1ay



профи!
[SoftoRooMTeaM] Group Icon

Группа: Наши Люди
Сообщений: 4.437
Регистрация: 14.10.2005
Из: EU
Пользователь №: 1.010


Респектов: 613
-----XXXX-




lust, смотри на апдейт базы.
User is offline
Go topGo end
23.04.2007 - 20:38
#4
lust



Опытный юзверь
**

Группа: Пользователи
Сообщений: 87
Регистрация: 26.03.2007
Из: Николаев
Пользователь №: 362.550


Респектов: 20
-----X----


Предупреждений:


iLLuZionist Апдейт базы к методике поиска не имеет никакого отношения wink.gif Модули приложения и сигнатуры- это расширенные варианты кодовой эвристики и собственно сами подписи зловредов..А метод поиска - это, что делает возможным выход новых версий антивирусных продуктов, в корне изменяя саму структуру поиска smile.gif Попробуйте сделать тоже самое с последними релизами антивирусов-уверена, результаты заметно скорректируются wink.gif
User is offline
Go topGo end
23.04.2007 - 20:46
#5
de1ay



профи!
[SoftoRooMTeaM] Group Icon

Группа: Наши Люди
Сообщений: 4.437
Регистрация: 14.10.2005
Из: EU
Пользователь №: 1.010


Респектов: 613
-----XXXX-




lust, вы из "тех самых"? smile.gif Шучу, так вот, на примере касперского: если сигнатура попала в базу - это хорошо, вирус палится, а если нет - спасёт эвристика? Да ну, бросьте,, стоит поменять пару байт в заголовке и тело прошло мимо глаз. На высоком уровне эвристика только у нод`а, и то, он обходиться на "раз-два". Поверьте, я знаю о чём говорю. И не будем уходить от темы статьи, я пытался донести инфу до пользователей, а не разработчиков антивирусов. wink.gif
User is offline
Go topGo end
23.04.2007 - 21:20
#6
lust



Опытный юзверь
**

Группа: Пользователи
Сообщений: 87
Регистрация: 26.03.2007
Из: Николаев
Пользователь №: 362.550


Респектов: 20
-----X----


Предупреждений:


iLLuZionist wub.gif Возможно, "из тех самых"..На самом деле, я просто выбрала не самый удачный способ сказать СПАСИБО..Статья очень нужная, просто в купе с тестами на детекты, почему то, показалась как реклама двух отдельно взятых продуктов. И кстати, в прямом смысле этого слова, кодовой эвристики у касперского не было до сих пор. cool.gif Говорят, в 7й версии это, наконец-то, появиться. Поверьте, я не являюсь приверженцем, тем более узколобым wub.gif , всего лишь одного продукта: меня интересует защита в целом. И я полностью с вами согласна: самый лучший антивирус-голова на плечах rolleyes.gif Еще раз спасибо за статью.
User is offline
Go topGo end
24.04.2007 - 1:54
#7
kolovrat



Опытный юзверь
**

Группа: Пользователи
Сообщений: 81
Регистрация: 11.08.2006
Пользователь №: 209.442


Респектов: 3
-----X----


Предупреждений:


хм, а криптор действительно хорош, редко такой увидишь
Хотя панда почти всегда закриптованные трояны видит что-то подозрительное
надо будет на днях накатать статейку, как распознать вирус с помощью olly, мот юзерам полезно будет
User is offline
Go topGo end
24.04.2007 - 2:14
#8
Pascaller



профи!
Group Icon

Группа: Наши Люди
Сообщений: 812
Регистрация: 6.11.2005
Пользователь №: 63.770


Респектов: 148
-----X----




А можно узнать, на каком сайте файлы проверяются таким кол-вом антивирусов?
User is offline
Go topGo end
24.04.2007 - 3:01
#9
kolovrat



Опытный юзверь
**

Группа: Пользователи
Сообщений: 81
Регистрация: 11.08.2006
Пользователь №: 209.442


Респектов: 3
-----X----


Предупреждений:


User is offline
Go topGo end
26.04.2007 - 12:41
#10
DenFromMel



Новичок


Группа: Пользователи
Сообщений: 6
Регистрация: 7.06.2006
Пользователь №: 175.977


Респектов: 0
----------


Предупреждений:


iLLuZionist, отличный ресурс virustotal.com! Я проверил там файлы, на счет которых давно имел подозрения, и выявилось, что они все-таки опасные т.к. восемь антивирусов указали на подозрения и троянцев.
Lust, кстати AntiVir там последний как по базам так и по эвристике, потому что тот файл, что я проверял именно анализ эвристики AntiVira дал подозрения, совсем недавно по времени. А на счет Касперского я бы не переживал tongue.gif
User is offline
Go topGo end

Topic Options
Сейчас: 28.03.2024 - 14:00
Мобильная версия | Lite версия