Перейти к содержанию
AM_Bot

Обнаружен вирус, использующий ресурсы графического процессора

Recommended Posts

AM_Bot

symantec.jpgВ октябре 2009 аналитики Intel предсказали появление инфекций, злоупотребляющих возможностями GPU. В сентябре 2010 греческие и американские ученые совместно разработали концептуальную вредоносную программу, которая задействовала графический процессор для выполнения своих задач. И вот сейчас, в середине августа 2011, эксперты Symantec поймали в свои сети образец "живого" вируса, эксплуатирующего ресурсы ГП для атак на криптографические алгоритмы.

Читать далее

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Наконец-то это случилось. Только я думал, что будут хитрее (может, и будут) в плане выполнения некоего кода на GPU, результат которого... Разные варианты могут быть.

А учёные - это, наверное, эти имеются в виду.

Типа, занимайте GPU полезными вещами, чтобы вирусам не оставалось ресурсов :)

Кстати, а почему речь в новости только про AMD-шные GPU? Только под них заточено? Из текста непонятно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

баян, уже давно писали про биткойн и вирус занимающийся майнингом в т.ч. на хабре, странно, что только

И вот сейчас, в середине августа 2011, эксперты Symantec поймали в свои сети образец

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

А они видимо по аналогии с Dr.Web, когда у себя что то ловят, то пишут. :) Хотя зловред уже давно известен другим вендорам..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
баян, уже давно писали про биткойн и вирус занимающийся майнингом в т.ч. на хабре, странно, что только

Аналитики Symantec не читают хабр :) По наблюдениям там вообще считают, что если о новости не написал кто-то из "серьезных парней" (большая тройка + Microsoft + IBM), то значит никто и не писал ничего вовсе и медиа-пространство свободно.

Вы вспомните историю про Stuxnet, его обсуждали и о нем писали многие, но важно ведь то, кто кричит громче. А Symantec очень громко стала говорить, что именно они все это раскопали. Многие до сих пор так и считает кстати :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
И вот сейчас, в середине августа 2011, эксперты Symantec поймали в свои сети образец "живого" вируса, эксплуатирующего ресурсы ГП для атак на криптографические алгоритмы.

Генерация биткойнов = атака на криптографические алгоритмы ? :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Аналитики Symantec не читают хабр :) По наблюдениям там вообще считают, что если о новости не написал кто-то из "серьезных парней" (большая тройка + Microsoft + IBM), то значит никто и не писал ничего вовсе и медиа-пространство свободно.

Вы вспомните историю про Stuxnet, его обсуждали и о нем писали многие, но важно ведь то, кто кричит громче. А Symantec очень громко стала говорить, что именно они все это раскопали. Многие до сих пор так и считает кстати :)

Их анализ по Stuxnet очевидно был более глубокий, чем у кого-нибудь еще. Или можете предложить свой вариант?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MyXaSA

а касперский поможет от него:? ваше мнение...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
а касперский поможет от него:? ваше мнение...

От кого?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
а касперский поможет от него:? ваше мнение...

Если код вируса расшифруют, то могут использовать анологичный механизм для лечения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Если код вируса расшифруют, то могут использовать анологичный механизм для лечения.

:huh: А если не расшифруют, то просто удалят :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
:huh: А если не расшифруют, то просто удалят :)

Ну а если вирь поселится в графическом процессоре без файла на винчестере? Для его полного удаления придется лезть туда же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Ну а если вирь поселится в графическом процессоре без файла на винчестере? Для его полного удаления придется лезть туда же.

RuJN,

что употребляете icon14.gif

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Ну а если вирь поселится в графическом процессоре без файла на винчестере? Для его полного удаления придется лезть туда же.

ВЫтащить видеокарту и положить в морозилку. Вирус погибнет от низких температур.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
ВЫтащить видеокарту и положить в морозилку. Вирус погибнет от низких температур.

Не факт. А если это сибирский вирус?

Тут необходимо серьёзное исследование. Возможно, поможет микроволновое излучение (мощность и время возднйствия нужно будет вычислить опытным путём) или ультрафиолетовое. Короче, огромное поле деятельности для британских учёных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Не факт. А если это сибирский вирус?

Тут необходимо серьёзное исследование. Возможно, поможет микроволновое излучение (мощность и время возднйствия нужно будет вычислить опытным путём) или ультрафиолетовое. Короче, огромное поле деятельности для британских учёных.

А антивирус марки "Кувалдометр-32кг" не юзали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
RuJN,

что употребляете icon14.gif

Пиратский Аутпоуст Секюрити сьют про 7.5 перфоманс едишн в связке с Аутпоуст Файервол ПРО по кейгену. А также переодически генерирую ключики и пиратские версии для их дальнейшей перепродажи. Также могу продать любому участнику АМ по цене 5 баксов за Секрьюрити Сьют про ломанный, ,4 за кейген, 5 за файервол про ломанный. Просьба писать в личку.

Господа эксперты,

почему вы считаете, что вредоносной программе располагаться на граф процессоре технически не возможно?

Отредактировал RuJN
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
почему вы считаете, что вредоносной программе располагаться на граф процессоре технически не возможно?
вирь поселится в графическом процессоре без файла на винчестере?

Где он будет хранится, когда комп выключен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Где он будет хранится, когда комп выключен?

Как где? В памяти. В видео карте есть же память!!!!111

Биос точно есть!!11 ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Как где? В памяти. В видео карте есть же память!!!!111

И все же, докажите, что такое не возможно? В комп. миши вирусов же засунули, в чипы тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Господа, соблюдайте приличие и правила форуме! :rulz:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Пиратский Аутпоуст Секюрити сьют про 7.5 перфоманс едишн в связке с Аутпоуст Файервол ПРО по кейгену. А также переодически генерирую ключики и пиратские версии для их дальнейшей перепродажи. Также могу продать любому участнику АМ по цене 5 баксов за Секрьюрити Сьют про ломанный, ,4 за кейген, 5 за файервол про ломанный. Просьба писать в личку.

Ломаное? За деньги? Серьёзно? Может, ещё ФИО здесь напишете и адресок? Думаю, Виталий Я. очень обрадуется.

почему вы считаете, что вредоносной программе располагаться на граф процессоре технически не возможно?

На GPU производятся достаточно специфические вычисления. Именно вычисления, которые передаются какой-либо программой из системы. Программы в привычном понимании этого слова (в т.ч. вирусы) там запускать не получится. Эта программа, которая передаёт данные для обработки на GPU, должна находиться на диске и оттуда запускаться. А значит, антивирусы с ней справятся. GPU в данном случае применили лишь для ускорения вычислительных процессов по подбору чего-то там. Сама программа стартует с винта, иначе никак.

Теоретически можно было бы придумать какое-то вычисление для GPU, результатом которого будет вредоносный код для системы, а потом его запустить в системе. Но:

1. Для того, чтобы что-то сформировать в памяти, не нужен GPU и его мощности.

2. Создать процесс на основе сформированного массива данных, находящегося в памяти (без создания файла на диске) весьма проблематично, если вообще возможно.

А так - да, если бы было такое возможно, многие антивирусы бы пролетали. Например, у Dr.Web для детекта в памяти создаются специальные записи, и в памяти детектится то, для чего специально создали соответствующие базы.

Только боюсь, что Вам это всё сложновато будет понять :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Ломаное? За деньги? Серьёзно? Может, ещё ФИО здесь напишете и адресок? Думаю, Виталий Я. очень обрадуется.

Вы серьезно? Естественно, это шутка и ничего более. :)

Только боюсь, что Вам это всё сложновато будет понять

Спасибо, вроде все понятно :)

Теоритически, можно написать программу, которая будет буткитом (МБР), раньше системы запускаться и появляться на видеокарте, а также, например, влезть в системную загрузку Винды, чтобы вылечить было не так то просто. Или например в проводнике прописать код, запускающий его на самоуничтожение после удаления, например, вредоноса из МБР. :banned:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Теоритически, можно написать программу, которая будет буткитом (МБР), раньше системы запускаться и появляться на видеокарте, а также, например, влезть в системную загрузку Винды, чтобы вылечить было не так то просто. Или например в проводнике прописать код, запускающий его на самоуничтожение после удаления, например, вредоноса из МБР.

:facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Теоритически, можно написать программу, которая будет буткитом (МБР)

Ну и какая разница? Нормальные антивирусы вполне прекрасно себе детектят нестандартную MBR и восстанавливают. И вряд ли на видеокарте можно будет запустить какое-то вычисление с помощью nVidia CUDA или ATI Stream до того как загрузятся соответствующие компоненты, входящие в состав драйверов видеокарт (т.е. до загрузки системы). До того, как начнёт работать соответствующее API, вряд ли удастся что-то запустить на видеокарте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×