Разбор вредоносной программы под Android на примере Trojan-Spy.AndroidOS.Zbot.a / Android.Smssniffer / Android/SpySMS / AndroidOS_SMSREP.B

Автор: admin от 16-09-2011, 11:42, посмотрело: 2912

Содержание топика можно представить в таком виде:

1. Общая информация об APK-файлах
2. Разбор вредоноса
2.1 Утилиты для разбора
2.2 Разбор

1. Информация об APK-файлах


Для того, чтобы лучше понять особенности исследования вредоносных программ под Android необходимо сначала разобраться с тем, что такое APK-файлы. Если вам это уже известно, то можете сразу переходить ко второй части.

Категория: Информационная безопасность » Вирусы и антивирусы

 

Оригинальный тест антивирусов

Автор: admin от 7-09-2011, 15:43, посмотрело: 1764

В этой мини статье я пролью свет на некоторые особенности работы антивирусов по сигнатурам, а также расскажу почему создателям ПО необходимо тщательно подходить к вопросу выбора упаковщиков, если они не хотят замочить репутацию свою и своей программы.

Пару дней назад, сам для себя не планируя, провёл интересный тест антивирусов. А началось всё с того, что я, бродя по затерянным папкам своего диска, наткнулся на парочку троянов. Когда-то (в далёком 2004 году) я проводил уже тест антивирусов. Там же можете глянуть результаты проверки в моих постах и постах других пользователей. Тогда я взял парочку троянов и несколько программ, модифицирующих бинарник (различные упаковщики и другое ПО, полный список приводится в конце). Вот я и загорелся идеей посмотреть: а что же именилось через 7 лет? →

Категория: Информационная безопасность » Вирусы и антивирусы

 

Оригинальный тест антивирусов

Автор: admin от 7-09-2011, 15:43, посмотрело: 1942

Хабы: Вирусы (и антивирусы)

В этой мини статье я пролью свет на некоторые особенности работы антивирусов по сигнатурам, а также расскажу почему создателям ПО необходимо тщательно подходить к вопросу выбора упаковщиков, если они не хотят замочить репутацию свою и своей программы.

Пару дней назад, сам для себя не планируя, провёл интересный тест антивирусов. А началось всё с того, что я, бродя по затерянным папкам своего диска, наткнулся на парочку троянов. Когда-то (в далёком 2004 году) я проводил уже тест антивирусов. Там же можете глянуть результаты проверки в моих постах и постах других пользователей. Тогда я взял парочку троянов и несколько программ, модифицирующих бинарник (различные упаковщики и другое ПО, полный список приводится в конце). Вот я и загорелся идеей посмотреть: а что же именилось через 7 лет? →

Категория: Информационная безопасность » Вирусы и антивирусы

 

Оригинальный тест антивирусов

Автор: admin от 7-09-2011, 15:43, посмотрело: 674

Хабы: Вирусы (и антивирусы)

В этой мини статье я пролью свет на некоторые особенности работы антивирусов по сигнатурам, а также расскажу почему создателям ПО необходимо тщательно подходить к вопросу выбора упаковщиков, если они не хотят замочить репутацию свою и своей программы.

Пару дней назад, сам для себя не планируя, провёл интересный тест антивирусов. А началось всё с того, что я, бродя по затерянным папкам своего диска, наткнулся на парочку троянов. Когда-то (в далёком 2004 году) я проводил уже тест антивирусов. Там же можете глянуть результаты проверки в моих постах и постах других пользователей. Тогда я взял парочку троянов и несколько программ, модифицирующих бинарник (различные упаковщики и другое ПО, полный список приводится в конце). Вот я и загорелся идеей посмотреть: а что же именилось через 7 лет? →

Категория: Информационная безопасность » Вирусы и антивирусы

 

Оригинальный тест антивирусов

Автор: admin от 7-09-2011, 15:43, посмотрело: 1257

Хабы: Вирусы (и антивирусы)

В этой мини статье я пролью свет на некоторые особенности работы антивирусов по сигнатурам, а также расскажу почему создателям ПО необходимо тщательно подходить к вопросу выбора упаковщиков, если они не хотят замочить репутацию свою и своей программы.

Пару дней назад, сам для себя не планируя, провёл интересный тест антивирусов. А началось всё с того, что я, бродя по затерянным папкам своего диска, наткнулся на парочку троянов. Когда-то (в далёком 2004 году) я проводил уже тест антивирусов. Там же можете глянуть результаты проверки в моих постах и постах других пользователей. Тогда я взял парочку троянов и несколько программ, модифицирующих бинарник (различные упаковщики и другое ПО, полный список приводится в конце). Вот я и загорелся идеей посмотреть: а что же именилось через 7 лет? →

Категория: Информационная безопасность » Вирусы и антивирусы

 

Вирус без программирования

Автор: admin от 1-09-2011, 07:54, посмотрело: 2350

Введение

Хороший знакомый, в свободное время занимающийся ремонтом компьютеров, поделился очередным выловленным вирусом. Популярный антивирус его не определял, что вовсе неудивительно и скоро вы поймёте почему.

Процесс был скрыт от Диспетчера задач Windows, но Auslogics Task Manager отображал его как upp1.exe, находящийся в системном System32 каталоге. Причём, если ОС 64-разрядная или установлена не по адресу C:Windows, то вирь всё равно устанавливается в C:WindowsSystem32, по пути создавая несуществующие каталоги соответственно. Процесс находился в списке автозапуска и с помощью Autoruns была удалена ветвь. Но как только Autoruns закрывается, запускается новая копия вируса с именем upp2.exe. Удаляешь его — появляется rundl132.exe и так по кругу. По всей видимости, они запускают сами себя и происходит проверка на отсутствие процесса. Решилось очень просто — убийством дерева процессов.

Исследование

Первое, на что я обратил внимание, так это на размер исполняемых файлов, кой был чуть больше 1 МБ на каждый exe. Сомневаюсь, что хоть один уважающий себя вирусописатель на такое способен.

Перейдём к более интересному. Загрузив один из исполняемых файлов в HEX редактор, я стал бегло осматривать его с конца… И не зря с конца!

Категория: Информационная безопасность » Вирусы и антивирусы

 

Вирус без программирования

Автор: admin от 1-09-2011, 07:54, посмотрело: 2114

Хабы: Вирусы (и антивирусы)

Введение

Хороший знакомый, в свободное время занимающийся ремонтом компьютеров, поделился очередным выловленным вирусом. Популярный антивирус его не определял, что вовсе неудивительно и скоро вы поймёте почему.

Процесс был скрыт от Диспетчера задач Windows, но Auslogics Task Manager отображал его как upp1.exe, находящийся в системном System32 каталоге. Причём, если ОС 64-разрядная или установлена не по адресу C:Windows, то вирь всё равно устанавливается в C:WindowsSystem32, по пути создавая несуществующие каталоги соответственно. Процесс находился в списке автозапуска и с помощью Autoruns была удалена ветвь. Но как только Autoruns закрывается, запускается новая копия вируса с именем upp2.exe. Удаляешь его — появляется rundl132.exe и так по кругу. По всей видимости, они запускают сами себя и происходит проверка на отсутствие процесса. Решилось очень просто — убийством дерева процессов.

Исследование

Первое, на что я обратил внимание, так это на размер исполняемых файлов, кой был чуть больше 1 МБ на каждый exe. Сомневаюсь, что хоть один уважающий себя вирусописатель на такое способен.

Перейдём к более интересному. Загрузив один из исполняемых файлов в HEX редактор, я стал бегло осматривать его с конца… И не зря с конца!

Категория: Информационная безопасность » Вирусы и антивирусы

 

Вирус без программирования

Автор: admin от 1-09-2011, 07:54, посмотрело: 1599

Хабы: Вирусы (и антивирусы)

Введение

Хороший знакомый, в свободное время занимающийся ремонтом компьютеров, поделился очередным выловленным вирусом. Популярный антивирус его не определял, что вовсе неудивительно и скоро вы поймёте почему.

Процесс был скрыт от Диспетчера задач Windows, но Auslogics Task Manager отображал его как upp1.exe, находящийся в системном System32 каталоге. Причём, если ОС 64-разрядная или установлена не по адресу C:Windows, то вирь всё равно устанавливается в C:WindowsSystem32, по пути создавая несуществующие каталоги соответственно. Процесс находился в списке автозапуска и с помощью Autoruns была удалена ветвь. Но как только Autoruns закрывается, запускается новая копия вируса с именем upp2.exe. Удаляешь его — появляется rundl132.exe и так по кругу. По всей видимости, они запускают сами себя и происходит проверка на отсутствие процесса. Решилось очень просто — убийством дерева процессов.

Исследование

Первое, на что я обратил внимание, так это на размер исполняемых файлов, кой был чуть больше 1 МБ на каждый exe. Сомневаюсь, что хоть один уважающий себя вирусописатель на такое способен.

Перейдём к более интересному. Загрузив один из исполняемых файлов в HEX редактор, я стал бегло осматривать его с конца… И не зря с конца!

Категория: Информационная безопасность » Вирусы и антивирусы

 

Вирус без программирования

Автор: admin от 1-09-2011, 07:54, посмотрело: 2028

Хабы: Вирусы (и антивирусы)

Введение

Хороший знакомый, в свободное время занимающийся ремонтом компьютеров, поделился очередным выловленным вирусом. Популярный антивирус его не определял, что вовсе неудивительно и скоро вы поймёте почему.

Процесс был скрыт от Диспетчера задач Windows, но Auslogics Task Manager отображал его как upp1.exe, находящийся в системном System32 каталоге. Причём, если ОС 64-разрядная или установлена не по адресу C:Windows, то вирь всё равно устанавливается в C:WindowsSystem32, по пути создавая несуществующие каталоги соответственно. Процесс находился в списке автозапуска и с помощью Autoruns была удалена ветвь. Но как только Autoruns закрывается, запускается новая копия вируса с именем upp2.exe. Удаляешь его — появляется rundl132.exe и так по кругу. По всей видимости, они запускают сами себя и происходит проверка на отсутствие процесса. Решилось очень просто — убийством дерева процессов.

Исследование

Первое, на что я обратил внимание, так это на размер исполняемых файлов, кой был чуть больше 1 МБ на каждый exe. Сомневаюсь, что хоть один уважающий себя вирусописатель на такое способен.

Перейдём к более интересному. Загрузив один из исполняемых файлов в HEX редактор, я стал бегло осматривать его с конца… И не зря с конца!

Категория: Информационная безопасность » Вирусы и антивирусы

 

Вирусный анализ на примере — исследуем Trojan-Downloader.Win32.Zanoza.ab

Автор: admin от 16-08-2011, 15:22, посмотрело: 1381

Вы когда-нибудь задумывались о том, какова судьба вируса, пойманного антивирусными компаниями? О том, что происходит с ним ещё до добавления сигнатур в базу? А конкретнее, о вирусном анализе. Может показаться, что самому заниматься вирусным анализом сложно, ненужно и опасно, но на самом деле это совершенно не так. Лишние умения никогда не повредят, да и полезно, иногда, посмотреть перед запуском, что из себя представляет скачанный с интернета исполняемый файл. Для начала работы сгодятся любые знания ассемблера, отладчик с дизассемблером и виртуальная машина на выбор.

Образцы вирусов для анализа можно, конечно, поискать самостоятельно в интернете, но мы с Вами для начала пойдём другим путём. Огромную коллекцию уже готовых для анализа вирусов можно взять на сайте vx.netlux.org. Первым приглянувшимся мне вирусом стал Trojan-Downloader.Win32.Zanoza.ab. Его подробнейшим анализом мы сейчас и займёмся. Кстати, неплохие описания вирусов можно посмотреть на сайте securelist.com.

Категория: Информационная безопасность » Вирусы и антивирусы