Хабрахабр / Вирусы (и антивирусы) / Захабренные http://habrahabr.ru/rss/blog/virus/ ru editor@habrahabr.ru habrahabr.ru Sat, 11 Feb 2012 03:35:38 GMT http://habrahabr.ru/ http://habrahabr.ru/i/logo.gif Хабрахабр <![CDATA[Вирусы (и антивирусы) / О возможностях антивирусов. Часть 2]]> http://habrahabr.ru/blogs/virus/136874/ http://habrahabr.ru/blogs/virus/136874/ О возможностях антивирусов. Часть 1), то самое время проверить, на что же способны антивирусы в полевых условиях на самом деле.
Читать дальше →
]]> Tue, 24 Jan 2012 05:41:21 GMT Promix17 вирусыантивирусытест антивирусов <![CDATA[Вирусы (и антивирусы) / О возможностях антивирусов. Часть 1]]> http://habrahabr.ru/blogs/virus/136232/ http://habrahabr.ru/blogs/virus/136232/
Читать дальше →
]]> Sat, 14 Jan 2012 14:07:20 GMT Promix17 вирусыантивирусытест антивирусов <![CDATA[Вирусы (и антивирусы) / Вирусный анализ для начинающих — анализируем Virus.Win32.MTV]]> http://habrahabr.ru/blogs/virus/136103/ http://habrahabr.ru/blogs/virus/136103/
Требуемые инструменты: любой дизассемблер или отладчик на ваш выбор.
Читать дальше →
]]> Thu, 12 Jan 2012 16:16:11 GMT Promix17 вирусный анализвирусыреверс-инженеринг <![CDATA[Вирусы (и антивирусы) / Оперативность работы антивирусных компаний или история одного вирус-репорта]]> http://habrahabr.ru/blogs/virus/132848/ http://habrahabr.ru/blogs/virus/132848/ Прихожу с обеденного перерыва, а наш технолог плачет на взрыд.
Михалыч, тута у меня чето виндоус завис.

Пришел и возрадовался — Майкрософт уличила её (технолога) в просмотре гей-порно и требует выкуп на вебмани.

Так как избавился я от этой напасти быстро то решил для приличия проверить бесплатными антивирусами которые были под рукой а заодно и за сабмитить новый экземпляр.

Короткий «конспект» по проделанной работе под катом
Читать дальше →
]]> Thu, 17 Nov 2011 15:21:08 GMT 1099511627776 Новый вирусКасперскийDr.Webavast! free antivirusmicrosoft security essentials <![CDATA[Вирусы (и антивирусы) / Касперский 9-1-1 R.I.P]]> http://habrahabr.ru/blogs/virus/132429/ http://habrahabr.ru/blogs/virus/132429/ kaspersky-911.ru/, почил в бозе.

В отличие от форумов, где тоже вполне опертивно отвечали, тут отвечали прямо по расписанию и очень грамотно, несколько раз позволив решить довольно трудные проблемы.
Читать дальше →
]]> Fri, 11 Nov 2011 14:45:23 GMT datacompboy Касперский911антивирсуыпомощьrip <![CDATA[Вирусы (и антивирусы) / Когда антивирус бессилен]]> http://habrahabr.ru/blogs/virus/121203/ http://habrahabr.ru/blogs/virus/121203/
Но недавно я столкнулся с чем-то необычным, что было очень похоже на очередное Trojan.Winlock вымогательство. Для пользователя это выглядело так, что все сайты открываются нормально, но вот с сайтом «Вконтакте» прямо беда — вместо обычного входа требуют прислать денег. Это явно фишинговая атака!

Откуда же идет атака и почему ни антивирусы, ни ручная чистка не спасают?
Компьютер при тщательнейшей проверке оказался абсолютно чистым.

image
Читать дальше →
]]> Thu, 27 Oct 2011 16:21:11 GMT kostik450 фишинговый сайтвконтактеipv6 <![CDATA[Вирусы (и антивирусы) / Microsoft Security Essentials удаляет Google Chrome, считая его PWS Win32/Zbot]]> http://habrahabr.ru/blogs/virus/129515/ http://habrahabr.ru/blogs/virus/129515/ Сегодня один знакомый обратился ко мне за помощью. Пожаловался на то, что у него «слетел Хром» и он не может его установить. Вечером жена показала тот же «вирус» на своём нетбуке. Как оказалось, установленный у обоих жертв антивирус Microsoft Security Essentials решил, что нет места браузеру Google Chrome на компьютере, где есть IE, поэтому его стоит обозвать супер «вором паролей» и рекомендовать его снести :)
Читать дальше →
]]> Fri, 30 Sep 2011 18:58:51 GMT DarkestMaster microsoft security essentialsgoogle chrome <![CDATA[Вирусы (и антивирусы) / Новый троян для Mac OS X показывает PDF-документ]]> http://habrahabr.ru/blogs/virus/129127/ http://habrahabr.ru/blogs/virus/129127/ сообщает о вредоносной программе Trojan-Dropper:OSX/Revir.A, которая ведёт себя странно. После запуска на компьютере троян извлекает PDF-файл в папку /tmp и отображает документ на китайском языке. В это время скачивается бэкдор Backdoor:OSX/Imuler.A с адреса tarmu.narod.ru/[...].

Специалисты затрудняются объяснить, почему вирус ведёт себя таким образом, ведь у него нет ни иконки PDF-документа, ни «двойного» расширения .pdf.exe, как у аналогичных вирусов под Windows. Возможно, в вирусную лабораторию F-Secure троян попал без сопутствующих компонентов.

Судя по всему, это просто экспериментальный образец от начинающих авторов.]]> Sun, 25 Sep 2011 12:16:42 GMT alizar Revir.AImuler.Aбэкдор Mac OS X <![CDATA[Вирусы (и антивирусы) / Mebromi: новый BIOS-руткит]]> http://habrahabr.ru/blogs/virus/128570/ http://habrahabr.ru/blogs/virus/128570/ сообщила о новом вирусе с BIOS-руткитом, обнаруженном на китайских компьютерах. Эта новость вызвала интерес специалистов по безопасности, потому что в «полевых» условиях таких программ не регистрировалось со времён концепта IceLord в 2007 году.

Программа под названием Mebromi содержит весь набор: BIOS-руткит, нацеленный на перепрошивку Award BIOS, буткит для модификации MBR, руткит на уровне ядра Windows, модификатор файлов PE и троян.

Вирус чётко нацелен на китайские системы и при работе проверяет присутствие антивирусных программ Rising Antivirus и Jiangmin KV Antivirus. На данный момент Mebromi не предназначен для заражения 64-битных систем и не способен работать на учётных записях пользователей с ограниченными привилегиями.
Читать дальше →
]]> Fri, 16 Sep 2011 09:21:29 GMT alizar IceLordMebromiBIOS-руткитAward BIOS <![CDATA[Вирусы (и антивирусы) / [Из песочницы] Разбор вредоносной программы под Android на примере Trojan-Spy.AndroidOS.Zbot.a / Android.Smssniffer / Android/SpySMS / AndroidOS_SMSREP.B]]> http://habrahabr.ru/blogs/virus/128555/ http://habrahabr.ru/blogs/virus/128555/
1. Общая информация об APK-файлах
2. Разбор вредоноса
2.1 Утилиты для разбора
2.2 Разбор

1. Информация об APK-файлах


Для того, чтобы лучше понять особенности исследования вредоносных программ под Android необходимо сначала разобраться с тем, что такое APK-файлы. Если вам это уже известно, то можете сразу переходить ко второй части.
Читать дальше →
]]> Fri, 16 Sep 2011 07:42:30 GMT dimakey malware reversingandroidвредоносное повирусы <![CDATA[Вирусы (и антивирусы) / [Из песочницы] Оригинальный тест антивирусов]]> http://habrahabr.ru/blogs/virus/127942/ http://habrahabr.ru/blogs/virus/127942/
Пару дней назад, сам для себя не планируя, провёл интересный тест антивирусов. А началось всё с того, что я, бродя по затерянным папкам своего диска, наткнулся на парочку троянов. Когда-то (в далёком 2004 году) я проводил уже тест антивирусов. Там же можете глянуть результаты проверки в моих постах и постах других пользователей. Тогда я взял парочку троянов и несколько программ, модифицирующих бинарник (различные упаковщики и другое ПО, полный список приводится в конце). Вот я и загорелся идеей посмотреть: а что же именилось через 7 лет?
Читать дальше →
]]> Wed, 07 Sep 2011 11:43:34 GMT shanker антивирусытестPinchупаковщикиUPXvirtestPeCompactfsg <![CDATA[Вирусы (и антивирусы) / [Из песочницы] Вирус без программирования]]> http://habrahabr.ru/blogs/virus/127474/ http://habrahabr.ru/blogs/virus/127474/ Введение
Хороший знакомый, в свободное время занимающийся ремонтом компьютеров, поделился очередным выловленным вирусом. Популярный антивирус его не определял, что вовсе неудивительно и скоро вы поймёте почему.

Процесс был скрыт от Диспетчера задач Windows, но Auslogics Task Manager отображал его как upp1.exe, находящийся в системном System32 каталоге. Причём, если ОС 64-разрядная или установлена не по адресу C:\Windows, то вирь всё равно устанавливается в C:\Windows\System32, по пути создавая несуществующие каталоги соответственно. Процесс находился в списке автозапуска и с помощью Autoruns была удалена ветвь. Но как только Autoruns закрывается, запускается новая копия вируса с именем upp2.exe. Удаляешь его — появляется rundl132.exe и так по кругу. По всей видимости, они запускают сами себя и происходит проверка на отсутствие процесса. Решилось очень просто — убийством дерева процессов.

Исследование

Первое, на что я обратил внимание, так это на размер исполняемых файлов, кой был чуть больше 1 МБ на каждый exe. Сомневаюсь, что хоть один уважающий себя вирусописатель на такое способен.

Перейдём к более интересному. Загрузив один из исполняемых файлов в HEX редактор, я стал бегло осматривать его с конца… И не зря с конца!
Читать дальше →
]]> Thu, 01 Sep 2011 03:54:29 GMT delegate вирусыанализ кода <![CDATA[Вирусы (и антивирусы) / [Из песочницы] Вирусный анализ на примере — исследуем Trojan-Downloader.Win32.Zanoza.ab]]> http://habrahabr.ru/blogs/virus/126411/ http://habrahabr.ru/blogs/virus/126411/
Образцы вирусов для анализа можно, конечно, поискать самостоятельно в интернете, но мы с Вами для начала пойдём другим путём. Огромную коллекцию уже готовых для анализа вирусов можно взять на сайте vx.netlux.org. Первым приглянувшимся мне вирусом стал Trojan-Downloader.Win32.Zanoza.ab. Его подробнейшим анализом мы сейчас и займёмся. Кстати, неплохие описания вирусов можно посмотреть на сайте securelist.com.

Читать дальше →
]]> Tue, 16 Aug 2011 11:22:02 GMT Promix17 вирусвирусный анализassemblerreverse engineering <![CDATA[Вирусы (и антивирусы) / Троян меняет цифры в онлайн-банкинге]]> http://habrahabr.ru/blogs/virus/125142/ http://habrahabr.ru/blogs/virus/125142/ «нового трояна». Он не ворует логин и пароль от счёта онлайн-банкинга, а использует более хитрую схему, заставляя пользователя самостоятельно перечислить деньги на чужой счёт.

Схема такая. Троян ждёт, пока пользователь войдёт в свой аккаунт, после этого выводит на экран сообщение, что якобы на счёт пользователя по ошибке были зачислены средства, и счёт будет заморожен до тех пор, пока пользователь не вернёт деньги обратно. Когда пользователь заходит на страницу с балансом, троян показывает ему страницу изменённого содержания, в которой действительно присутствует приход крупной суммы. Пользователю предлагают немедленно совершить перевод, показывая уже заполненную форму перевода денежных средств.

Поскольку пользователь самостоятельно совершает перевод, стандартные средства защиты от мошенничества тут не срабатывают.
Читать дальше →
]]> Thu, 28 Jul 2011 13:24:19 GMT alizar URL Zone Trojanтроянонлайн-банкингподмена содержимого страницывеб-инжектjs-инжектавтозалив <![CDATA[Вирусы (и антивирусы) / Первый арест за хранение вируса]]> http://habrahabr.ru/blogs/virus/124976/ http://habrahabr.ru/blogs/virus/124976/ арестованным за хранение вируса. Это стало возможным после того, как 14 июля 2011 года верхняя палата Комитета судебных дел Японии утвердила принятый парламентом закон (Penal Code). В соответствии с ним, создание, распространение или даже хранение вредоносного ПО (с целью распространения) является уголовным преступлением и влечёт наказание до трёх лет тюремного заключения и штраф до 500 тыс. иен ($6200).

Хотя Кавагути уже признался, что является автором вируса, его будут судить именно за хранение вредоносного ПО, потому что он написал вирус до принятия соответствующего закона. Соответственно, для него максимальное наказание составляет два года тюрьмы и 300 тыс. иен ($3720).

Вирус, созданный Кавагути, копировал большие объёмы файлов на компьютере жертвы, вызывая подтормаживание системы или заввисание. Вредоносное ПО было замаскировано под файл с детской порнографией и распространялось через торренты. По словам полиции, от действий преступника пострадали более 2000 человек.]]> Tue, 26 Jul 2011 16:35:42 GMT alizar Penal Codeхранение вируса <![CDATA[Вирусы (и антивирусы) / Обновление Kaspersky Rescue Disk — update]]> http://habrahabr.ru/blogs/virus/124320/ http://habrahabr.ru/blogs/virus/124320/
Ранее тут уже поднималась тема. Как показала практика, некоторым утилита понравилась, но разработчик обновил grub на диске — и в итоге старая версия стала нерабочей.

Кому нужно — обновил утилиту. Пользуйтесь.

Как обычно, мануал простой.
Читать дальше →
]]> Sun, 17 Jul 2011 10:07:37 GMT gjf Kaspersky Rescue Diskupdate <![CDATA[Вирусы (и антивирусы) / Анализ очередного варианта скрытого радмина]]> http://habrahabr.ru/blogs/virus/123752/ http://habrahabr.ru/blogs/virus/123752/ Полученный файл: kak_ponyat_muzhchin_bibl.ru.exe (md5:2138A224BDDD1A36329F398A37E10AB9)
Хэш суммы я буду указывать только для вредоносных файлов.
В общем по описанию — это какая-то книга, почему в exe — непонятно, глядим далее.
Воспользуемся PEiD:

UPX 0.89.6 — 1.02 / 1.05 — 2.90 (Delphi) stub -> Markus & Laszlo [RAR SFX]
Попробуем распаковать винраром, получим два файла:
Читать дальше →
]]> Fri, 08 Jul 2011 18:31:33 GMT Onthar radminbackdoorloadertrojanbatch <![CDATA[Вирусы (и антивирусы) / Троян, использующий вычислительные мощности ПК для генерации Bitcoin]]> http://habrahabr.ru/blogs/virus/123244/ http://habrahabr.ru/blogs/virus/123244/ Trojan.Win32.Powp.rdf (по классификации ЛК). Там я его победил, но флэшки он мне успел позаражать. Чтоб добро зря не проподало, решил поковырять его на досуге.
С наименованием зловредов у ЛК, как всегда, оказалось не все хорошо, он относится скорее к классу Trojan-Downloader, т.к. основная задача — скачка файлов с fileave.com. Поставил на виртуалку поиграться, среди кучи заурядного вредоносного хлама, закачиваемого им на машину, я обратил внимание на один sfx-архив и как оказалось не зря…
Читать дальше →
]]> Sat, 02 Jul 2011 04:38:13 GMT Akr0n bitcoinвирусBitCoin Miner <![CDATA[Вирусы (и антивирусы) / Авторитет антивирусов и их роль в жизни разработчика]]> http://habrahabr.ru/blogs/virus/122508/ http://habrahabr.ru/blogs/virus/122508/ На днях, зайдя на один из почитаемых мною блогов torrentfreak.com, я обнаружил что Касперский его блокирует. Понятно что срабатывание было ложным, но этот случай всколыхнул массу воспоминаний о том как антивирусы намеренно или случайно бросали тень на совершенно невинные программы и сайты.

Думаю многие разработчики софта и создатели сайтов сталкивались с проблемой ложного определения антивирусами, иногда отстоять свое право быть «белым» просто, но порой упираешься в жесткую бюрократическую стену антивирусной компании. Приходится часами, днями и неделями доказывать, что ты не олень, а в это время тратить деньги, терять репутацию и нервные клетки. Если Ваша компания не мировой гигант и нет иных каналов воздействия, кроме стандартных, то можно и с ума сойти от упертости вирусных аналитиков и непробиваемости службы поддержки.
Читать дальше →
]]> Thu, 23 Jun 2011 10:07:33 GMT megaweber антивирусыложное срабатываниепечаль <![CDATA[Вирусы (и антивирусы) / История одного вируса]]> http://habrahabr.ru/blogs/virus/121220/ http://habrahabr.ru/blogs/virus/121220/

По мотивам этого топика, я как любопытный гик скачал этот вирус и прогнал данный файлик через сервис Virustotal и был очень удивлён результатами что только 2 из на данный момент 42 антивирусов, считали этот файл «Подозрительным».

Мне стало интересно, а сколько собственно времени потребуется антивирусным компаниям что-бы узнать об этом вирусе и внести его в свои базы. Более одной недели я терпеливо прогонял один и тот же файл через их базы, смотрел что изменилось, вносил результаты в табличку.

Возможно полученные результаты покажутся тебе %habrauser% интересными.
За подробностями, милости прошу под кат.
Читать дальше →
]]> Mon, 13 Jun 2011 10:06:36 GMT Screatch antivirusvirusFlash-Player.exevirustotalантивирус