Сегодня мы продолжим тестировать качество антивирусных продуктов, а именно займемся исследованием такой технологии как анализ поведения программы во время её исполнения (HIPS). Поскольку многие посчитали тестирование возможностей лишь одной проактивной защиты слишком субъективным (
О возможностях антивирусов. Часть 1), то самое время проверить, на что же способны антивирусы в полевых условиях на самом деле.
Сегодня рынок антивирусных продуктов настолько разнообразен, как никогда. Какие только новые технологии не предлагают нам антивирусные компании; возможности проактивной защиты, эмуляции кода, эвристического анализа, «облачных» технологий и т.д. и т.д. присутствуют в описании практически каждого уважающего себя антивируса. Но насколько эти рекламируемые технологии эффективны — это большой вопрос. Попробуем во всём разобраться.
Я, наконец, нашел время не просто на анализ вредоносного ПО, но и на написание ещё одной статьи на эту тему. Начнём, пожалуй. Сегодня мы будем анализировать вирус Virus.Win32.MTV.4608.a, обнаруженный ещё в 2000 году. Пусть дата обнаружения вируса Вас не смущает – никогда не помешает анализ вируса даже такой давности. Взять его можно на vx.netlux.org.
Требуемые инструменты: любой дизассемблер или отладчик на ваш выбор.
12 января 2012, 20:16
146
Не так далеко как вчера
Прихожу с обеденного перерыва, а наш технолог плачет на взрыд.
Михалыч, тута у меня чето виндоус завис.
Пришел и возрадовался — Майкрософт уличила её (технолога) в просмотре гей-порно и требует выкуп на вебмани.
Так как избавился я от этой напасти быстро то решил для приличия проверить бесплатными антивирусами которые были под рукой а заодно и за сабмитить новый экземпляр.
Короткий «конспект» по проделанной работе под катом
Прекрасный сервис помощи с лечением в тяжелых случаях от Лаборатории Касперского
kaspersky-911.ru/, почил в бозе.
В отличие от форумов, где тоже вполне опертивно отвечали, тут отвечали прямо по расписанию и очень грамотно, несколько раз позволив решить довольно трудные проблемы.
Мне зачастую приходится чинить домашние компьютеры знакомым и друзьям. Благо есть опыт и кое-какие навыки. От обычных вирусов спасают антивирусы. Но когда только-только появился Trojan.Winlock, это было большой проблемой, потому что модификаций у него море и ни один антивирус не справлялся оперативно с таким потоком. Пришлось учиться делать очистку вручную. Чтобы с этим разобраться в первый раз, было потрачено достаточно времени, часов 5, но теперь вся процедура занимает от силы 10 минут.
Но недавно я столкнулся с чем-то необычным, что было очень похоже на очередное Trojan.Winlock вымогательство. Для пользователя это выглядело так, что все сайты открываются нормально, но вот с сайтом «Вконтакте» прямо беда — вместо обычного входа требуют прислать денег. Это явно фишинговая атака!
Откуда же идет атака и почему ни антивирусы, ни ручная чистка не спасают?
Компьютер при тщательнейшей проверке оказался абсолютно чистым.
27 октября 2011, 20:21
84

Сегодня один знакомый обратился ко мне за помощью. Пожаловался на то, что у него «слетел Хром» и он не может его установить. Вечером жена показала тот же «вирус» на своём нетбуке. Как оказалось, установленный у обоих жертв антивирус Microsoft Security Essentials решил, что нет места браузеру Google Chrome на компьютере, где есть IE, поэтому его стоит обозвать супер «вором паролей» и рекомендовать его снести :)
30 сентября 2011, 22:58
3
Компания F-Secure
сообщает о вредоносной программе
Trojan-Dropper:OSX/Revir.A, которая ведёт себя странно. После запуска на компьютере троян извлекает PDF-файл в папку /tmp и отображает документ на китайском языке. В это время скачивается бэкдор
Backdoor:OSX/Imuler.A с адреса
tarmu.narod.ru/[...].
Специалисты затрудняются объяснить, почему вирус ведёт себя таким образом, ведь у него нет ни иконки PDF-документа, ни «двойного» расширения .pdf.exe, как у аналогичных вирусов под Windows. Возможно, в вирусную лабораторию F-Secure троян попал без сопутствующих компонентов.
Судя по всему, это просто экспериментальный образец от начинающих авторов.
2 сентября китайская компания Qihoo 360
сообщила о новом вирусе с BIOS-руткитом, обнаруженном на китайских компьютерах. Эта новость вызвала интерес специалистов по безопасности, потому что в «полевых» условиях таких программ не регистрировалось со времён концепта IceLord в 2007 году.
Программа под названием Mebromi содержит весь набор: BIOS-руткит, нацеленный на перепрошивку Award BIOS, буткит для модификации MBR, руткит на уровне ядра Windows, модификатор файлов PE и троян.
Вирус чётко нацелен на китайские системы и при работе проверяет присутствие антивирусных программ Rising Antivirus и Jiangmin KV Antivirus. На данный момент Mebromi не предназначен для заражения 64-битных систем и не способен работать на учётных записях пользователей с ограниченными привилегиями.
16 сентября 2011, 13:21
11
Содержание топика можно представить в таком виде:
1. Общая информация об APK-файлах
2. Разбор вредоноса
2.1 Утилиты для разбора
2.2 Разбор
1. Информация об APK-файлах
Для того, чтобы лучше понять особенности исследования вредоносных программ под Android необходимо сначала разобраться с тем, что такое APK-файлы. Если вам это уже известно, то можете сразу переходить ко второй части.
16 сентября 2011, 11:42
44