Вирусный анализ на примере — исследуем Trojan-Downloader.Win32.Zanoza.ab

Автор: admin от 16-08-2011, 15:22, посмотрело: 1980

Хабы: Вирусы (и антивирусы)

Вы когда-нибудь задумывались о том, какова судьба вируса, пойманного антивирусными компаниями? О том, что происходит с ним ещё до добавления сигнатур в базу? А конкретнее, о вирусном анализе. Может показаться, что самому заниматься вирусным анализом сложно, ненужно и опасно, но на самом деле это совершенно не так. Лишние умения никогда не повредят, да и полезно, иногда, посмотреть перед запуском, что из себя представляет скачанный с интернета исполняемый файл. Для начала работы сгодятся любые знания ассемблера, отладчик с дизассемблером и виртуальная машина на выбор.

Образцы вирусов для анализа можно, конечно, поискать самостоятельно в интернете, но мы с Вами для начала пойдём другим путём. Огромную коллекцию уже готовых для анализа вирусов можно взять на сайте vx.netlux.org. Первым приглянувшимся мне вирусом стал Trojan-Downloader.Win32.Zanoza.ab. Его подробнейшим анализом мы сейчас и займёмся. Кстати, неплохие описания вирусов можно посмотреть на сайте securelist.com.

Категория: Информационная безопасность » Вирусы и антивирусы

 

Вирусный анализ на примере — исследуем Trojan-Downloader.Win32.Zanoza.ab

Автор: admin от 16-08-2011, 15:22, посмотрело: 939

Хабы: Вирусы (и антивирусы)

Вы когда-нибудь задумывались о том, какова судьба вируса, пойманного антивирусными компаниями? О том, что происходит с ним ещё до добавления сигнатур в базу? А конкретнее, о вирусном анализе. Может показаться, что самому заниматься вирусным анализом сложно, ненужно и опасно, но на самом деле это совершенно не так. Лишние умения никогда не повредят, да и полезно, иногда, посмотреть перед запуском, что из себя представляет скачанный с интернета исполняемый файл. Для начала работы сгодятся любые знания ассемблера, отладчик с дизассемблером и виртуальная машина на выбор.

Образцы вирусов для анализа можно, конечно, поискать самостоятельно в интернете, но мы с Вами для начала пойдём другим путём. Огромную коллекцию уже готовых для анализа вирусов можно взять на сайте vx.netlux.org. Первым приглянувшимся мне вирусом стал Trojan-Downloader.Win32.Zanoza.ab. Его подробнейшим анализом мы сейчас и займёмся. Кстати, неплохие описания вирусов можно посмотреть на сайте securelist.com.

Категория: Информационная безопасность » Вирусы и антивирусы

 

Вирусный анализ на примере — исследуем Trojan-Downloader.Win32.Zanoza.ab

Автор: admin от 16-08-2011, 15:22, посмотрело: 946

Хабы: Вирусы (и антивирусы)

Вы когда-нибудь задумывались о том, какова судьба вируса, пойманного антивирусными компаниями? О том, что происходит с ним ещё до добавления сигнатур в базу? А конкретнее, о вирусном анализе. Может показаться, что самому заниматься вирусным анализом сложно, ненужно и опасно, но на самом деле это совершенно не так. Лишние умения никогда не повредят, да и полезно, иногда, посмотреть перед запуском, что из себя представляет скачанный с интернета исполняемый файл. Для начала работы сгодятся любые знания ассемблера, отладчик с дизассемблером и виртуальная машина на выбор.

Образцы вирусов для анализа можно, конечно, поискать самостоятельно в интернете, но мы с Вами для начала пойдём другим путём. Огромную коллекцию уже готовых для анализа вирусов можно взять на сайте vx.netlux.org. Первым приглянувшимся мне вирусом стал Trojan-Downloader.Win32.Zanoza.ab. Его подробнейшим анализом мы сейчас и займёмся. Кстати, неплохие описания вирусов можно посмотреть на сайте securelist.com.

Категория: Информационная безопасность » Вирусы и антивирусы

 

Троян меняет цифры в онлайн-банкинге

Автор: admin от 28-07-2011, 17:24, посмотрело: 1518

Немецкая криминальная полиция BKA (Bundeskriminalant) обнаружила интересный новый троян. Он не ворует логин и пароль от счёта онлайн-банкинга, а использует более хитрую схему, заставляя пользователя самостоятельно перечислить деньги на чужой счёт.

Схема такая. Троян ждёт, пока пользователь войдёт в свой аккаунт, после этого выводит на экран сообщение, что якобы на счёт пользователя по ошибке были зачислены средства, и счёт будет заморожен до тех пор, пока пользователь не вернёт деньги обратно. Когда пользователь заходит на страницу с балансом, троян показывает ему страницу изменённого содержания, в которой действительно присутствует приход крупной суммы. Пользователю предлагают немедленно совершить перевод, показывая уже заполненную форму перевода денежных средств.

Поскольку пользователь самостоятельно совершает перевод, стандартные средства защиты от мошенничества тут не срабатывают.

Категория: Информационная безопасность » Вирусы и антивирусы

 

Первый арест за хранение вируса

Автор: admin от 26-07-2011, 20:35, посмотрело: 1969

Хабы: Вирусы (и антивирусы) 38-летний Ясухиро Кавагути (Yasuhiro Kawaguchi) стал первым человеком в Японии, арестованным за хранение вируса. Это стало возможным после того, как 14 июля 2011 года верхняя палата Комитета судебных дел Японии утвердила принятый парламентом закон (Penal Code). В соответствии с ним, создание, распространение или даже хранение вредоносного ПО (с целью распространения) является уголовным преступлением и влечёт наказание до трёх лет тюремного заключения и штраф до 500 тыс. иен ($6200).

Хотя Кавагути уже признался, что является автором вируса, его будут судить именно за хранение вредоносного ПО, потому что он написал вирус до принятия соответствующего закона. Соответственно, для него максимальное наказание составляет два года тюрьмы и 300 тыс. иен ($3720).

Вирус, созданный Кавагути, копировал большие объёмы файлов на компьютере жертвы, вызывая подтормаживание системы или заввисание. Вредоносное ПО было замаскировано под файл с детской порнографией и распространялось через торренты. По словам полиции, от действий преступника пострадали более 2000 человек.

Категория: Информационная безопасность » Вирусы и антивирусы

 

Обновление Kaspersky Rescue Disk — update

Автор: admin от 17-07-2011, 14:07, посмотрело: 2347

Всем привет!

Ранее тут уже поднималась тема. Как показала практика, некоторым утилита понравилась, но разработчик обновил grub на диске — и в итоге старая версия стала нерабочей.

Кому нужно — обновил утилиту. Пользуйтесь.

Как обычно, мануал простой.

Категория: Информационная безопасность » Вирусы и антивирусы

 

Анализ очередного варианта скрытого радмина

Автор: admin от 8-07-2011, 22:31, посмотрело: 3063

Сегодня на форуме в личку прошло сообщение с просьбой проверить файл. Я согласился, любопытно же. Немного опережу события и скажу, что это бэкдор созданный из радмина второй ветки и кое-что еще)
Полученный файл: kak_ponyat_muzhchin_bibl.ru.exe (md5:2138A224BDDD1A36329F398A37E10AB9)
Хэш суммы я буду указывать только для вредоносных файлов.
В общем по описанию — это какая-то книга, почему в exe — непонятно, глядим далее.
Воспользуемся PEiD:
Анализ очередного варианта скрытого радмина
UPX 0.89.6 — 1.02 / 1.05 — 2.90 (Delphi) stub -> Markus & Laszlo [RAR SFX]
Попробуем распаковать винраром, получим два файла:

Категория: Информационная безопасность » Вирусы и антивирусы

 

Троян, использующий вычислительные мощности ПК для генерации Bitcoin

Автор: admin от 2-07-2011, 08:38, посмотрело: 3323

Случилось мне вчера привезти из командировки один троянчик, Trojan.Win32.Powp.rdf (по классификации ЛК). Там я его победил, но флэшки он мне успел позаражать. Чтоб добро зря не проподало, решил поковырять его на досуге.
С наименованием зловредов у ЛК, как всегда, оказалось не все хорошо, он относится скорее к классу Trojan-Downloader, т.к. основная задача — скачка файлов с fileave.com. Поставил на виртуалку поиграться, среди кучи заурядного вредоносного хлама, закачиваемого им на машину, я обратил внимание на один sfx-архив и как оказалось не зря…

Категория: Информационная безопасность » Вирусы и антивирусы

 

Авторитет антивирусов и их роль в жизни разработчика

Автор: admin от 23-06-2011, 14:07, посмотрело: 2517

Авторитет антивирусов и их роль в жизни разработчика На днях, зайдя на один из почитаемых мною блогов torrentfreak.com, я обнаружил что Касперский его блокирует. Понятно что срабатывание было ложным, но этот случай всколыхнул массу воспоминаний о том как антивирусы намеренно или случайно бросали тень на совершенно невинные программы и сайты.

Думаю многие разработчики софта и создатели сайтов сталкивались с проблемой ложного определения антивирусами, иногда отстоять свое право быть «белым» просто, но порой упираешься в жесткую бюрократическую стену антивирусной компании. Приходится часами, днями и неделями доказывать, что ты не олень, а в это время тратить деньги, терять репутацию и нервные клетки. Если Ваша компания не мировой гигант и нет иных каналов воздействия, кроме стандартных, то можно и с ума сойти от упертости вирусных аналитиков и непробиваемости службы поддержки.

Категория: Информационная безопасность » Вирусы и антивирусы

 

История одного вируса

Автор: admin от 13-06-2011, 14:06, посмотрело: 1542

История одного вируса

По мотивам этого топика, я как любопытный гик скачал этот вирус и прогнал данный файлик через сервис Virustotal и был очень удивлён результатами что только 2 из на данный момент 42 антивирусов, считали этот файл «Подозрительным».

Мне стало интересно, а сколько собственно времени потребуется антивирусным компаниям что-бы узнать об этом вирусе и внести его в свои базы. Более одной недели я терпеливо прогонял один и тот же файл через их базы, смотрел что изменилось, вносил результаты в табличку.

Возможно полученные результаты покажутся тебе %habrauser% интересными.
За подробностями, милости прошу под кат.

Категория: Информационная безопасность » Вирусы и антивирусы