Небесный винчестер. Лирическое повествование с элементами вымысла

Автор: admin от 1-02-2013, 10:15, посмотрело: 1131

Все началось, когда появился Грендель.

Двадцатого марта 20** года в глобальной сети Интернет царил хаос. Звонкой мартовской капелью падали сервера; базы данных таяли, как тонкий весенний лёд. Всемирная Паутина оказалась разодрана в клочья меньше, чем за полтора часа. Антивирусные мониторы были бесполезны. Фаерволлы — бессмысленны. Невиданный вирус, словно чума, признавал лишь одну защиту: полную изоляцию. Подобно демону преисподней, он возник из смрадного Ниоткуда — и вернулся туда ровно через один час двадцать четыре минуты, не оставив после себя байта на байте...

Категория: Информационная безопасность » Вирусы и антивирусы

 

Уязвимость нулевого дня в IE v6-8

Автор: admin от 6-01-2013, 17:34, посмотрело: 1897

Уязвимость нулевого дня в IE v6-8Конец года ознаменовался обнаружением уязвимости нулевого дня (т.е. патча ещё нет, т.н. 0day) в браузере Internet Explorer версий с 6 по 8 включительно (CVE-2012-4792). Microsoft выпустило бюллетень по безопасности в котором описывается какие системы подвержены риску. Судя по этому описанию, пользователям IE 9-10 повезло и там уязвимости нет...

Категория: Информационная безопасность » Вирусы и антивирусы

 

Больше руткитов — «хороших» и разных. Part II

Автор: admin от 22-12-2012, 18:51, посмотрело: 640

Начало здесь.

TDL-4


Разработчики TDL продолжают идти в ногу со временем. На этот раз их взор устремился на неохваченные ранее 64 битные системы. В начале августа 2011 года появляется 4 версия TDL с новыми «фишками». Во-первых — появилось разделение рабочих файлов на 32 и 64 разрядные версии. Во-вторых — в очередной раз изменился алгоритм запуска после перезагрузки. Ранее подобный алгоритм применялся в ВПО Sinowal, достаточно известном своими новациями сотрудникам антивирусных компаний. Теперь TDL версии 4 заражал главную загрузочную запись (MBR). Данный способ позволяет ему загружаться раньше операционной системы, сразу после старта компьютера. Таким образом, TDL-4 из руткита «мутировал» в буткит. Как и ранее, компоненты TDL-4 хранились в специальной области жесткого диска размером не более 8 Mb, зашифрованные алгоритмом RC4. Код в MBR передавал управление компоненту ldr16 (из хранилища). После передачи управления ldr16 производил перехват функций работы с жестким диском (ОС еще не загружена). Для загрузки TDL-4 использовалась подмена файла kdcom.dll (путем установки перехватчика на Int 13h и поиска определенной сигнатуры kdcom.dll), который необходим для инициализации ядра операционной системы на стадии загрузки. Вместо kdcom.dll в итоге загружался вредоносный компонент ldr32 или ldr64 (из хранилища) в зависимости от разрядности целевой ОС. Бинарный код ldr32 и ldr64 практически идентичен, так как они скомпилированы из одного исходного кода. Но, кроме разницы в коде, в 64 битных системах, начиная с Windows 2003 x64 (XP x64 и далее Vista, Seven), появилось несколько технологий, направленных на защиту от вредоносного воздействия. Одна из них — Patch Guard, которая отслеживает изменение критических объектов ядра ОС, таких как:...

Категория: Информационная безопасность » Вирусы и антивирусы

 

Больше руткитов — «хороших» и разных. Part I

Автор: admin от 18-12-2012, 16:42, посмотрело: 872

Порой различия в стиле написания и применяемых принципах работы вредоносного программного обеспечения значительно отличается от образца к образцу. Одни делают ставку на полиморфизм, другие на rootkit компоненту. Особенно в плане развития руткит технологий отличилось семейство ВПО TDL (также называемое TDSS, Alureon, Olmarik, Tidserv). Как известно, новое — это хорошо забытое старое. На заре развития персональных ЭВМ, основную массу ВПО составляли вирусы, которые подразделялись на два класса — файловые и загрузочные (были и комбинированные, например, печально известный OneHalf). Достойным продолжателем дела загрузочных вирусов является буткит TDL-4, хоть и является троянской программой (не способной самостоятельно распространяться). Буткит — слово, образованное из слов бут (boot, загрузочная область) и руткит (rootkit, средство сокрытия признаков деятельности). Но прежде чем стать буткитом, TDL проделал большой путь...

Категория: Информационная безопасность » Вирусы и антивирусы

 

Эволюция Zeus. Теперь и в смартфонах

Автор: admin от 15-12-2012, 10:07, посмотрело: 2077

Смартфоны тоже под ударом


Мобильные устройства переживают свой бум. Рост использования смартфонов, естественно, не мог не повлиять на развитие вредоносного программного обеспечения (ВПО) для этих устройств. По сравнению с персональными компьютерами, планка пользовательской грамотности относительно вопросов информационной безопасности здесь еще ниже. Это открывает для злоумышленников большое поле для преступной деятельности. Простейшим способом увода денег являются вредоносные приложения, отправляющие SMS сообщения на платные номера. Но разработчики Zeus и SpyEye не сидят, сложа руки, и в 2010-2011 годах из-под их «пера» выходят модификации, поражающие своей изощренностью...

Категория: Информационная безопасность » Вирусы и антивирусы

 

Коронные фишки вредоносных программ

Автор: admin от 13-12-2012, 01:47, посмотрело: 1314

Развитие информационных технологий сказывается на разработке всего спектра программного обеспечения (ПО). Не обходит оно стороной и вредоносные программы. Можно выделить основные приемы, применяемые при разработке «передового» вредоносного программного обеспечения (ВПО).


  • Эксплуатация уязвимостей ПО, установленного на поражаемом компьютере для своего скрытого запуска или повышения привилегий
  • ...

    Категория: Информационная безопасность » Вирусы и антивирусы

     

    Вирусные утки на сайтах

    Автор: admin от 1-04-2012, 12:20, посмотрело: 2412

    Вопрос #1
    Часто ли вы, увидев интересную книгу и пожелав ее купить, сначала пробуете найти ее в сети, и просмотреть стоит ли она того?
    Вопрос #2.
    Вы часто проверяете сайт, с которого качаете файл?
    Вопрос #3
    К чему это я?
    Вирусные утки на сайтах


    Сегодня ночью наткнулся на книгу, которая обещала (судя по названию) быть интересной. Расстроила она в первую очередь тем, что при высокой стоимости(over 1000 руб.) понять содержание не представлялось никакой возможности. Электронной версии тоже не было. Ну и ладно, решил я, и забил в поиск желанное название. По торрентам глухо, а вот в поисковой выдаче (строчке так на шестой) вроде бы был результат. Зашел — и правда есть. Сонным взглядом увидел, что активный пользователь форума (больше 3000 сообщений) выложил эту книгу в свободный доступ. Недавно. Отзывы были хорошие. Начал качать...

    Категория: Информационная безопасность » Вирусы и антивирусы

     

    Загадочный язык программирования фреймворка Duqu определён

    Автор: admin от 20-03-2012, 00:00, посмотрело: 2710

    Две недели назад специалисты «Лаборатории Касперского» обратились к сообществу с просьбой помочь определить язык программирования, на котором написана троянская программа Duqu. Обнаруженная в октябре 2011 года, она до сих пор ставила в тупик экспертов.

    «Лаборатория Касперского» сначала обратились к экспертам по реверс-инжинирингу, но те ничем не смогли помочь. Ясно было, что язык программирования — определённо не C++, не Objective C, не Java, не Python, не Ada, не Lua и ещё не 30 других языков программирования, которые они проверили. После нескольких месяцев безуспешных попыток анализа оставалось только предположить, что ключевой фрагмент вредоносной программы написан на неком неизвестном языке.

    Однако, благодаря помощи сообщества эту головоломку всё-таки удалось решить.

    Категория: Информационная безопасность » Вирусы и антивирусы

     

    Использование NOD32 v.2 в качестве сервера обновлений в локальной сети

    Автор: admin от 19-03-2012, 11:32, посмотрело: 1762

    Текст ниже предназначен исключительно для тестирования зарегистрированными пользователями NOD32 и не предназначен для практического использования. Все замечания по поводу «зачем» или «в чем смысл» будут игнорироваться и уходить в пустоту.

    Сервер локальных обновлений одна из полезных возможностей антивирусного продукта фирмы ESET. Эта функция незаменима при наличии нескольких десятков компьютеров в сети в сочетании с платным интернет трафиком (жители столицы удивятся сколько может стоить в провинции мегабайт полученных данных по варварским расценкам для юрлиц). К сожалению в свежих версиях антивируса для разблокировки возможности создания сервера обновлений нужна специальная версия продукта и lic файл, который нужно постоянно обновлять...

    Категория: Информационная безопасность » Вирусы и антивирусы

     

    Лаборатория Касперского просит помощи сообщества

    Автор: admin от 7-03-2012, 21:52, посмотрело: 2232

    Куда-то с хабры пропали ссылки. Их запретили, да? Значит я сейчас сделаю что-то нехорошее…

    Лаборатория Касперского просит помощи сообщества:
    «Мы хотели бы обратиться к сообществу разработчиков и попросить любого, кто знает средства разработки, языки или компиляторы, генерирующие подобный Фреймворку код, связаться с нами или оставить комментарий к посту.»

    UPDATE: Ребята, мопед не мой! Нет смысла присылать догадки мне в письма — я даже передать не смогу…

    Категория: Информационная безопасность » Вирусы и антивирусы