Перейти к содержанию

Recommended Posts

DaTa

окай, я немного поправлю файл чтобы он не валился и работал почти как обычно, а потом мы проверим его антивирусом.

UPD

http://www.virustotal.com/file-scan/report...9076-1316271213

ole.dll.malware.prooflink_1.JPG

В оригинале должно было быть Windows

PS В попыхах забыл что это ж dll файл :fail: :facepalm:

post-6056-1316271719_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
окай, я немного поправлю файл чтобы он не валился и работал почти как обычно, а потом мы проверим его антивирусом.

...а потом мы попробуем с его помощью нанести вред тестовой ос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Процитирую позицию одного вендора по этому поводу :rolleyes:

Если код не рабочий, и ни при каких условиях не может быть запущен – это не вирус, не троянская программа – это вообще НИЧТО, а значит, не несет в себе вреда и, как правило, не вносится в вирусную базу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Вот сам файл, чтобы не думали что я Вас обманываю.

UPD

В силу обстоятельств должен убрать вредоносный файл из общего доступа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Вот сам файл, чтобы не думали что я Вас обманываю.

А он несёт какую-то опасность для пользователя в данном виде? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
А он несёт какую-то опасность для пользователя в данном виде? ;)

Образ МБР (и dll, js, bat, vbs, etc...) тоже почему-то детектируется антивирусами ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
А он несёт какую-то опасность для пользователя в данном виде? ;)

В правилах anti-malware.ru вроде как запрещено давать активные ссылки на вредоносов, сдаётся мне, что DaTa постарался их ненарушить :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

стараюсь ;(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

1. не все антивирусы "ловят" эту коварную dll-ку

2. вот бы комментарий специалиста: нортон её не ловит из-за того, что "не узнал" из-за измененного байта или же настолько крут, что понял, что данный действительно файл неработоспособен (на windows 7 32-бит не захотел он работать, по крайней мере)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Сбить детектирование у любого антивируса можно незначительной правкой файла (хоть руками, хоть пакером) - при сохранении работоспособности. Да - проверял, но не стоит это потраченного времени.

На этом предлагаю разойтись :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Сбить детектирование у любого антивируса можно незначительной правкой файла (хоть руками, хоть пакером) - при сохранении работоспособности. Да - проверял, но не стоит потраченного времени.

На этом предлагаю разойтись :)

Серьёзно? Мастер-класс не покажите? ;)

Пакеры-это из другой песни. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
1. не все антивирусы "ловят" эту коварную dll-ку

2. вот бы комментарий специалиста: нортон её не ловит из-за того, что "не узнал" из-за измененного байта или же настолько крут, что понял, что данный действительно файл неработоспособен (на windows 7 32-бит не захотел он работать, по крайней мере)?

1 Ибо как процитировал Rustock.C эта dll-ка НИЧТО.

2 Так никаких специалистов ненапосёшся см. п1 читаем цитату.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Серьёзно? Мастер-класс не покажите? ;)
Да, серьезно :)
не стоит это потраченного времени.
Если есть свободное время, то пожалуйста. Как вариант смотрите тему Чем чреваты тесты Anti-Malware.ru и VirusTotal
Пакеры-это из другой песни. :)
Из этой же :)

Кажется здесь есть нотки недоверия, но убеждать я никого не собираюсь.

1 Ибо как процитировал Rustock.C эта dll-ка НИЧТО.
С дропером "Что" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Топик очищен от флейма. Я вроде вежливо попросил не переходить на личности. Этого недостаточно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Кажется здесь есть нотки недоверия, но убеждать я никого не собираюсь.

Ибо нечем ;)

С дропером "Что" :)

Да хоть с двумя :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Ибо нечем ;)

Да хоть с двумя :)

RUNDLL32.EXE <dllname>,<entrypoint> <optional arguments>

В пример возможности запуска кода из dll файлов

RUNDLL32.EXE SETUPX.DLL,InstallHinfSection 132 C:\WINDOWS\INF\SHELL.INF

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Ибо как процитировал Rustock.C эта dll-ка НИЧТО.

Я даже не знаю, как можно вообще продолжать диалог после этого. Надеюсь, Полонский изучит, что такое dll, а я пока влезу в дискуссию.

1. Работа на VmWare не требует допилов продуктов. ВмВаре делает такие виртуальные машины, на которых 100% адекватно написанного ПО будет работать корректно. Да, будет хуже работать эмулятор и то, что связано с эмулятором, да, будет просадка производительности. Но тем не менее ВмВаре как рабочая платформа полностью готова к антивирусам. С ней не нужно пытаться совмещаться, если не упереться в какой-нибудь ее собственный баг. Который ВмВаре поправят. ВмВаре зарабатывает деньги на этом, это ее хлеб. Говорить о том, что на ней нельзя проверять СИГНАТУРНЫЙ или ПОВЕДЕНЧЕСКИЙ ДЕТЕКТ или ЛЕЧЕНИЕ просто глупо.

Повторю - речь именно о ВмВаре.

2. Если у одного самозащита не справилась, а у другого справилось в одинаковых ситуациях стоит все-таки разобраться, кто где не прав. Думаю, это было бы интересно обеим сторонам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Если у одного самозащита не справилась, а у другого справилось в одинаковых ситуациях стоит все-таки разобраться, кто где не прав. Думаю, это было бы интересно обеим сторонам.

И дополнительный вопрос, который непременно нужно выяснять: были ли защищены настройки антивируса паролем. Если нет, то, да, на сегодняшний день через незапароленные настройки вирус может отключить самозащиту NIS 2012.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Пожалуйста. Берете любой файл детектирующийся Symantec как троянская программа или червь(файловые инфекторы не трогаем), открываем файл в любом редакторе способном нормально читать и писать двоичный формат, правим любой понравившийся байт информации, сохраняем. Проверяем антивирусом. PROFIT.

Вот в пример Trojan-GameThief.Win32.Nilage.ili

Поправте первый байт по адресу .10001000(первый не нулевой байт секции .text) 57 на оригинальный 56

ole.dll.malware.prooflink.JPG

Не поленитесь почитать тему про "эпик фолсы", и посмотрите где уже репортили за фолсы и сбивали пару байтов, и детекта не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Я даже не знаю, как можно вообще продолжать диалог после этого. Надеюсь, Полонский изучит, что такое dll, а я пока влезу в дискуссию.

После модификации dll нерабочая- мусор работать она не будет. Поэтому и детекта нет.

1. Работа на VmWare не требует допилов продуктов. ВмВаре делает такие виртуальные машины, на которых 100% адекватно написанного ПО будет работать корректно. Да, будет хуже работать эмулятор и то, что связано с эмулятором, да, будет просадка производительности. Но тем не менее ВмВаре как рабочая платформа полностью готова к антивирусам. С ней не нужно пытаться совмещаться, если не упереться в какой-нибудь ее собственный баг. Который ВмВаре поправят. ВмВаре зарабатывает деньги на этом, это ее хлеб. Говорить о том, что на ней нельзя проверять СИГНАТУРНЫЙ или ПОВЕДЕНЧЕСКИЙ ДЕТЕКТ или ЛЕЧЕНИЕ просто глупо.

Повторю - речь именно о ВмВаре.

Вам виднее.

на сегодняшний день через незапароленные настройки вирус может отключить самозащиту NIS 2012.

Как и самозащту любого другого антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
После модификации dll нерабочая- мусор работать она не будет. Поэтому и детекта нет.

...

В последней версии я правил .rsrc секцио а конкретнее VERSIONINFO структуру. Dll-ка полностю рабочая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

DaTa, а до изменения dll'ка детектировалась Symantec?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
DaTa, а до изменения dll'ка детектировалась Symantec?

да. По сигнатуре Infostealer.

Кто хочет могу скинуть 2 файла в личку. Детектируемый и после правки ресурса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
После модификации dll нерабочая- мусор работать она не будет. Поэтому и детекта нет.

Стоило внимательно посмотреть, что же было изменено в библиотеке.

Как и самозащту любого другого антивируса.

Пароль к СЗ имеет лишь косвенное отношение. Пароль нужен больше для защиты от одного из пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
1. Работа на VmWare не требует допилов продуктов. ВмВаре делает такие виртуальные машины, на которых 100% адекватно написанного ПО будет работать корректно. Да, будет хуже работать эмулятор и то, что связано с эмулятором, да, будет просадка производительности. Но тем не менее ВмВаре как рабочая платформа полностью готова к антивирусам. С ней не нужно пытаться совмещаться, если не упереться в какой-нибудь ее собственный баг. Который ВмВаре поправят. ВмВаре зарабатывает деньги на этом, это ее хлеб. Говорить о том, что на ней нельзя проверять СИГНАТУРНЫЙ или ПОВЕДЕНЧЕСКИЙ ДЕТЕКТ или ЛЕЧЕНИЕ просто глупо.

Повторю - речь именно о ВмВаре.

Если брать VB, то официально у него проблемы только с КИС (объявление для бета-тестеров ЛК).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×