Кидалово на форумах

de1ay, 23.04.2007 - 19:47

Кидалово на форумах

I. Intro
Итак, некоему индивидууму приходит в голову идея обогатиться за ваш счёт. Он покупает\скачивает\достаёт psw-трояна. Ботнет, удалённый контроль и т.д. ему не нужны, ему нужны пароли. Для этих целей подходят трояны русских вир-мейкеров; pinch, xinch (ну или любой pws-трой). Что он предпринимает потом? Читаем дальше...

II. Как оно кидается?
Так, троян у него появился, теперь необходимо найти жертв. Делается это просто: бежим в гугль, пишем " скачать софт" и забегаем на первых пару форумов. Теперь особь пытается убедить вас скачать файл и запустить (паролей-то хочется). Примерно под таким видом:

Затем, для придания картине более естественного вида, особь регает второго пользователя и пишет следующее:

Смотрим на выделенный фрагмент, не редко они спешат прошерстить множество форумов, поэтому, в спешке часто опечатываются.
Так, убедив нас скачать и запустить файл "хакер" спит спокойно. Но, перед тем как запустить файл от неизвестно кого вы сканите его антивирусом (Вы ещё этого не делаете? Тогда мы идём к вам ), антивирус ничего не находит, но это абсолютно не значит что файл чист. Файл можно упаковать, закриптовать и т.д. Существует множество способов спрятать тело вируса в файле. Если вы обладаете навыками дизассемблирования, то спокойно увидите тот участок кода, который позволяет назвать данный файл заражённым, если таковых навыков не имеется, то просто заходим на virustotal.com и отсылаем файл на проверку. Только после проведения подобных мероприятий можете запускать файл (в нашем случае удалять и сообщать модераторам или админам).

III. Outro или как не попасться.
Основной принцип обороны прост: имейте на плечах голову и пользуйтесь ею. Не верьте никому и не чему, кроме как нашим ньюз-мейкерам, они кидать не будут. Хотя, приводя ссылки, и они не застрахованы допустить ошибку ибо не могут нести ответ за людей, которые заливали файл , посему, учите ассемблер и пользуйтесь през.. нет, лучше установите антивирус.
---
Также приведу скриншот, побудивший меня написать эту мини-статью. Посмотрите на дату рега и на ip-адрес... И второй, с результатами скана virstutal`а. Вирус обнаружило все лишь 2 антивируса. Это свидетельствует о хорошем крипте файла (чит. II).

lust, 23.04.2007 - 20:19

Весело Версии антивирусных продуктов староваты..Изрядно староваты. Тот же Касперский 4й версии

de1ay, 23.04.2007 - 20:29

lust, смотри на апдейт базы.

lust, 23.04.2007 - 20:38

iLLuZionist Апдейт базы к методике поиска не имеет никакого отношения Модули приложения и сигнатуры- это расширенные варианты кодовой эвристики и собственно сами подписи зловредов..А метод поиска - это, что делает возможным выход новых версий антивирусных продуктов, в корне изменяя саму структуру поиска Попробуйте сделать тоже самое с последними релизами антивирусов-уверена, результаты заметно скорректируются

de1ay, 23.04.2007 - 20:46

lust, вы из "тех самых"? Шучу, так вот, на примере касперского: если сигнатура попала в базу - это хорошо, вирус палится, а если нет - спасёт эвристика? Да ну, бросьте,, стоит поменять пару байт в заголовке и тело прошло мимо глаз. На высоком уровне эвристика только у нод`а, и то, он обходиться на "раз-два". Поверьте, я знаю о чём говорю. И не будем уходить от темы статьи, я пытался донести инфу до пользователей, а не разработчиков антивирусов.

lust, 23.04.2007 - 21:20

iLLuZionist Возможно, "из тех самых"..На самом деле, я просто выбрала не самый удачный способ сказать СПАСИБО..Статья очень нужная, просто в купе с тестами на детекты, почему то, показалась как реклама двух отдельно взятых продуктов. И кстати, в прямом смысле этого слова, кодовой эвристики у касперского не было до сих пор. Говорят, в 7й версии это, наконец-то, появиться. Поверьте, я не являюсь приверженцем, тем более узколобым , всего лишь одного продукта: меня интересует защита в целом. И я полностью с вами согласна: самый лучший антивирус-голова на плечах Еще раз спасибо за статью.

kolovrat, 24.04.2007 - 1:54

хм, а криптор действительно хорош, редко такой увидишь
Хотя панда почти всегда закриптованные трояны видит что-то подозрительное
надо будет на днях накатать статейку, как распознать вирус с помощью olly, мот юзерам полезно будет

Pascaller, 24.04.2007 - 2:14

А можно узнать, на каком сайте файлы проверяются таким кол-вом антивирусов?

kolovrat, 24.04.2007 - 3:01

_http://www.virustotal.com

DenFromMel, 26.04.2007 - 12:41

iLLuZionist, отличный ресурс virustotal.com! Я проверил там файлы, на счет которых давно имел подозрения, и выявилось, что они все-таки опасные т.к. восемь антивирусов указали на подозрения и троянцев.
Lust, кстати AntiVir там последний как по базам так и по эвристике, потому что тот файл, что я проверял именно анализ эвристики AntiVira дал подозрения, совсем недавно по времени. А на счет Касперского я бы не переживал

PRYANIK, 26.04.2007 - 13:46

От себя добавлю, подозревайте всех новичков, некоторая доза паранои бывает полезна ...

И как уже написано, забудьте о халяве, её нет! А то что мы к примеру раздаём аси и пр. Нам самим это выгодно ... Вот такая вот правда жизни).

Жень полезная темка!

† Flаmmen †, 23.07.2007 - 19:05

До меня что-то только дошло: это на Софторуме, что ли, этот случай был?

de1ay, 23.07.2007 - 19:18

Да. Каждые пару дней удаляю подобные темы.