Вирус без программирования

Автор: admin от 1-09-2011, 07:54, посмотрело: 1993

Хабы: Вирусы (и антивирусы)

Введение

Хороший знакомый, в свободное время занимающийся ремонтом компьютеров, поделился очередным выловленным вирусом. Популярный антивирус его не определял, что вовсе неудивительно и скоро вы поймёте почему.

Процесс был скрыт от Диспетчера задач Windows, но Auslogics Task Manager отображал его как upp1.exe, находящийся в системном System32 каталоге. Причём, если ОС 64-разрядная или установлена не по адресу C:Windows, то вирь всё равно устанавливается в C:WindowsSystem32, по пути создавая несуществующие каталоги соответственно. Процесс находился в списке автозапуска и с помощью Autoruns была удалена ветвь. Но как только Autoruns закрывается, запускается новая копия вируса с именем upp2.exe. Удаляешь его — появляется rundl132.exe и так по кругу. По всей видимости, они запускают сами себя и происходит проверка на отсутствие процесса. Решилось очень просто — убийством дерева процессов.

Исследование

Первое, на что я обратил внимание, так это на размер исполняемых файлов, кой был чуть больше 1 МБ на каждый exe. Сомневаюсь, что хоть один уважающий себя вирусописатель на такое способен.

Перейдём к более интересному. Загрузив один из исполняемых файлов в HEX редактор, я стал бегло осматривать его с конца… И не зря с конца!

Категория: Информационная безопасность » Вирусы и антивирусы

 

Вирус без программирования

Автор: admin от 1-09-2011, 07:54, посмотрело: 1475

Хабы: Вирусы (и антивирусы)

Введение

Хороший знакомый, в свободное время занимающийся ремонтом компьютеров, поделился очередным выловленным вирусом. Популярный антивирус его не определял, что вовсе неудивительно и скоро вы поймёте почему.

Процесс был скрыт от Диспетчера задач Windows, но Auslogics Task Manager отображал его как upp1.exe, находящийся в системном System32 каталоге. Причём, если ОС 64-разрядная или установлена не по адресу C:Windows, то вирь всё равно устанавливается в C:WindowsSystem32, по пути создавая несуществующие каталоги соответственно. Процесс находился в списке автозапуска и с помощью Autoruns была удалена ветвь. Но как только Autoruns закрывается, запускается новая копия вируса с именем upp2.exe. Удаляешь его — появляется rundl132.exe и так по кругу. По всей видимости, они запускают сами себя и происходит проверка на отсутствие процесса. Решилось очень просто — убийством дерева процессов.

Исследование

Первое, на что я обратил внимание, так это на размер исполняемых файлов, кой был чуть больше 1 МБ на каждый exe. Сомневаюсь, что хоть один уважающий себя вирусописатель на такое способен.

Перейдём к более интересному. Загрузив один из исполняемых файлов в HEX редактор, я стал бегло осматривать его с конца… И не зря с конца!

Категория: Информационная безопасность » Вирусы и антивирусы

 

Вирус без программирования

Автор: admin от 1-09-2011, 07:54, посмотрело: 1867

Хабы: Вирусы (и антивирусы)

Введение

Хороший знакомый, в свободное время занимающийся ремонтом компьютеров, поделился очередным выловленным вирусом. Популярный антивирус его не определял, что вовсе неудивительно и скоро вы поймёте почему.

Процесс был скрыт от Диспетчера задач Windows, но Auslogics Task Manager отображал его как upp1.exe, находящийся в системном System32 каталоге. Причём, если ОС 64-разрядная или установлена не по адресу C:Windows, то вирь всё равно устанавливается в C:WindowsSystem32, по пути создавая несуществующие каталоги соответственно. Процесс находился в списке автозапуска и с помощью Autoruns была удалена ветвь. Но как только Autoruns закрывается, запускается новая копия вируса с именем upp2.exe. Удаляешь его — появляется rundl132.exe и так по кругу. По всей видимости, они запускают сами себя и происходит проверка на отсутствие процесса. Решилось очень просто — убийством дерева процессов.

Исследование

Первое, на что я обратил внимание, так это на размер исполняемых файлов, кой был чуть больше 1 МБ на каждый exe. Сомневаюсь, что хоть один уважающий себя вирусописатель на такое способен.

Перейдём к более интересному. Загрузив один из исполняемых файлов в HEX редактор, я стал бегло осматривать его с конца… И не зря с конца!

Категория: Информационная безопасность » Вирусы и антивирусы

 

5 причин почему стоит перейти с BTC на SolidCoins

Автор: admin от 1-09-2011, 03:38, посмотрело: 2062

На мой взгляд самой перспективной криптовалютой подобной Bitcoins сейчас являются SolidCoins — рассмотрим почему это так.

Это вольный перевод статьи на официальном сайте SolidCoins.

Категория: Информационная безопасность » Криптография

 

Сокращаем произвольные ссылки сервисом G.CO

Автор: admin от 31-08-2011, 23:49, посмотрело: 1590

Сокращаем произвольные ссылки сервисом G.CO

Google, недавно запустил сервис для сокращения ссылок — G.CO. Предназначен сервис для внутренних служб Google, на данный момент его поддерживает только Google Maps. Там возможно сократить длинный адрес карты. У меня сразу появилось желание поиграться с этой штукой, а точнее сократить внешний URL. О том, как мне это удалось Вы можете почитать в этой статье.

Добро пожаловать под Хабракат!

Категория: Информационная безопасность

 

Квантовая криптография стучится в дверь

Автор: admin от 31-08-2011, 22:12, посмотрело: 2253

Уже давно перспектива появления полноценного квантового компьютера будоражит умы ученых и заинтересованных людей из области криптографии. И не зря. Ведь появление компьютера, способного решать сколь угодно сложные задачи, ставит под сомнение существование криптографии в том виде, в котором она есть сейчас. Криптографические протоколы с открытым ключом перестанут иметь смысл, т.к. односторонние функции строго говоря перестанут быть односторонними. Солнце зайдет, мир перевернется, реки потекут вспять… Но мы ведь не спешим отчаиваться, правда?

Существует множество квантовых криптографических алгоритмов — защищенные квантовые каналы, квантовое шифрование с открытым ключом, квантовое подбрасывание монеты, квантовые вычисления вслепую, квантовые деньги — но большинство из них требует для своего осуществления полноценного квантового компьютера.

Да, передача больших объемов информации по квантовым каналам является нецелесообразной на сегодняшний день. А вот использование квантовых алгоритмов для формирования и передачи ключевой информации в симметричных криптосистемах — не только технически реально, но и абсолютно оправданно.

Категория: Информационная безопасность » Криптография

 

Производительность компьютера Raspberry Pi проверили в Quake 3

Автор: admin от 31-08-2011, 20:31, посмотрело: 1571

Некоторые хабражители, обсуждая миниатюрный Linux-компьютер Raspberry Pi стоимостью $25, сомневались в достаточной производительности процессора ARM11 на 700 МГц. Мол, этот малыш не справится с видео FullHD. Что ж, теперь мы получили возможность оценить производительность Raspberry Pi на самой лучшей тестовой программе — Quake 3 Arena.

Категория: Железо » Гаджеты

 

Обзор китайского noname регистратора

Автор: admin от 31-08-2011, 19:43, посмотрело: 5974

Обзор китайского noname регистратора

Прочитав 2 статьи по видеорегистраторам:
habrahabr.ru/blogs/hardware/122861/
habrahabr.ru/blogs/hardware/117006/
появилось желание сравнить их с моделью от производителя расположенного на китайских территориях, к сожалению, более детальная информация о производителе отсутствует.

Описание устройства
Регистратор куплен в магазине «dealextreme». Ссылка для любопытствующих:
www.dealextreme.com/p/5-0mp-cmos-720p-hd-digital-car-dvr-camcorder-w-wide-angle-tv-out-tf-remote-control-50101

регистратор по версии магазина имеет следующее название:
5.0MP CMOS 720P HD Digital Car DVR Camcorder w/ Wide Angle/TV-Out/TF/Remote Control
но для краткости будем называть его «регистратор».

Категория: Железо

 

В Пакистане запретили использование зашифрованных протоколов связи

Автор: admin от 31-08-2011, 19:37, посмотрело: 900

Министерство телекоммуникаций Пакистана (Pakistan Telecommunication Authority, PTA) разослала интернет-провайдерам страны письмо, которое запрещает ISP использовать любые технологии шифрования, препятствующие мониторингу трафика. В письме отдельно упоминаются виртуальные частные сети с применением шифрования (EVPN).

Судя по всему, власти попытаются блокировать также весь трафик SSL и SSH, чтобы обеспечить беспрепятственный мониторинг каналов связи.

Категория: Информационная безопасность » Криптография

 

Leadtek Winfast GTX 460 EXTREME

Автор: admin от 31-08-2011, 16:57, посмотрело: 998

Пару дней назад у меня внезапно умер комп. Не включался и все. При этом, надо сказать, что я не вскрывал корпус, наверное, с год, а то и больше, поэтому, когда выяснилось, что кулер на 600-ваттном БП не вертится, решил, дело в нем. Сходил в магазин, купил такой же, но проблему это не решило. ОК, собрал минимальную конфигурацию, и стал добавлять по элементу. В итоге выяснилось, что виновница «торжества» — видеокарта. Причем спикер молчал как партизан, потому поначалу и грешил на БП, который в итоге оказался рабочим — только СО сменить пришлось.

Но рассказ, естественно, не о том, как я возвращал жизнь в железо, а о новой (для меня, а не в принципе) видеокарте. Часть бюджета съела покупка БП, да и в игрушки я как-то незаметно почти перестал играть, поэтому решено было ограничить выбор сегментом middle-end. Полистав прайс, я выложил пять с половиной килорублей и принес домой вариацию Leadtek на тему референса GeForce GTX 460 от NVIDIA. Но стандартная версия с 768 МБ памяти, показалась какой-то уж совсем не солидной, и потому в итоге в PCI Express поселилась разогнанная производителем до 800 МГц карточка с гигабайтом памяти на борту и словом Extreme в названии.

Leadtek Winfast GTX 460 EXTREME

Категория: Железо