Обнаружен троян-разведчик для промышленных систем

[Илья Рабинович 521]

DEP is also applied to drivers in kernel mode.

Software DEP- ещё может быть, вроде они вводили дополнительные степени защиты для пулов, а вот Hardware DEP- 100% нет.

[strat 275]

да это мы давно сделали и часовой пояс примерно известен

Учитывая отсутствие ответа, это GMT +3+4, иначе не было бы смысла тут молчать, так? Ведь чего проще сказать - это GMT -6

[A. 876]

Stay tuned for a new blogpost today @securelist discussing one of the biggest remaining mysteries in the #Duqu saga.

[A. 876]

http://www.securelist.com/ru/blog/41063/Za...freymvorka_Duqu

там текст

тут саммари

Фреймворк Duqu, возможно, написан на неизвестном языке программирования.

В отличие от остальных компонентов Duqu, исходный язык Фреймворка— не C++, при этом использован отличный от Microsoft's Visual C++ 2008 компилятор.

Событийно-ориентированная архитектура позволяет коду выполняться в разных, в том числе асинхронных средах.

С учетом масштаба проекта Duqu можно предположить, что Фреймворк разрабатывала отдельная команда, не связанная с авторами эксплойтов и остальных его компонентов.

Загадочный язык программирования — определенно НЕ C++, Objective C, Java, Python, Ada, Lua и не многие другие языки, которые мы проверили.

Фреймворк Duqu — одна из особенностей, значительно отличающих Duqu от Stuxnet, который полностью написан на MSVC++.

Мы потратили много времени на анализ кода и можем с уверенностью утверждать, что Фреймворк Duqu написан не на Visual C++. Возможно, авторы использовали собственные средства для генерации конечного кода на C или написали его на другом языке программирования.

[Сергей Ильин 1538]

A., реверс не всегда рулит значит? Никита Тараканов расстроится, жалко паренька ...

[CatalystX 25]

A., если учесть 90% вероятность того, что червь написан спецами из АНБ и Моссад, то скорей всего Фреймворк Duqu написан либо на специально разработанном языке, либо на существенной модификации известного.

[AM_Bot 48]

В ходе проведения детального анализа вредоносного кода троянца Duqu антивирусные эксперты «Лаборатории Касперского» пришли к выводу, что часть вредоносной программы написана на неизвестном языке программирования.

подробнее

[A. 876]

Фреймворк Duqu: задача решена

http://www.securelist.com/ru/blog/20776387...zadacha_reshena

[spw 190]

Фреймворк Duqu: задача решена

http://www.securelist.com/ru/blog/20776387...zadacha_reshena

Я вот только одного не могу понять - что за "задача" и перед кем она ставилась?

Т.е. сами себе поставили, сами объявили как нереальную задачу, сами же решили, и сами же об этом пишем?

Вот без всяких троллингов, подколов и прочих - реально не могу понять в чем суть этого.

Каждый банальный битик возводится до каких-то просто нереальнейших "высот". (С языком - это не первое, что уже так, до этого тоже были копания в каких-то мелких, абсолютно незначительных деталях, которым посвящалось чуть ли ни пол статьи).

Уж насколько я не люблю хабр, но вот этот комментарий меня там знатно повеселил (не значит, что я с ним согласен полностью - просто он веселый): "то есть вместо Страшного Тайного Языка всего лишь оптимизация по размеру? Крутые аналитики, да…" или вот этот: "Угу, а писали то как «объектно-ориентированный язык, оптимально подходящий для сетевого программирования». Вот он, этот супер-язык: Си ))".

Во многом все эти логические цепочки подобны такому расследованию:

На месте преступления был обнаружен волос... Генетический анализ показал, что это был волос кошки! Так-так-так... Может быть преступник съел кошку, после того как совершил преступление? Да-да, это, похоже, его ритуал, которым он завершает каждое преступление. Нет, стоп... Может быть это был человек-кошка?! Да, черт-возьми, это очень похоже на правду. Какие выводы из этого мы можем сделать? Так-так, думайте ребята, думайте... АТАКА ПРОФЕССИОНАЛЬНЫХ ЛЮДЕЙ-КОШЕК??? ЧЕЕЕЕЕЕЕЕРТ!!!! (На деле: пока криминалист ел шаверму, мимо пробегала кошка)

[A. 876]

Я вот только одного не могу понять - что за "задача" и перед кем она ставилась?

Т.е. сами себе поставили, сами объявили как нереальную задачу, сами же решили, и сами же об этом пишем?

Вот без всяких троллингов, подколов и прочих - реально не могу понять в чем суть этого.

дааа, а когда-то давным-давно спорав считался хорошим реверсером ...

[spw 190]

дааа, а когда-то давным-давно спорав считался хорошим реверсером ...

Ad hominem, или argumentum ad hominem (лат. "аргумент к человеку") - в дискуссии - ответ на аргумент, основанный не на его сути, объективных фактах и логических рассуждениях, а на личности конкретного человека, выдвинувшего этот аргумент. Подразделяется на виды: ad personam ("переход на личности") - личные нападки, состоящие в критике или оскорблении оппонента, ad hominem circumstantiae - объяснение точки зрения оппонента его личными обстоятельствами, ad hominem tu quoque ("и ты тоже") - указание на то, что оппонент сам действует вопреки аргументу.

В общем, я просто пропущу это, чтобы дискуссия не скатывалась в мусор.

Я спросил по делу.

[A. 876]

А по делу тут ответ простой - эта тема оказалась интересна минимум 180 000 англоязычных посетителей того нашего блогпоста и еще примерно 35 000 русскоязычных. Я не припомню у нас других публикаций, за всю историю, которые бы вызывали такой наплыв. И из всей кучи предложений о том, что это такое - "правильных" ответов было всего ничего (твоих кстати не было никаких). Что говорит о том, что задача была действительно сложной. Поэтому мнения хабровских болтунов, которые сейчас чем-то недовольны - мало кого волнуют. Ибо ламерье.

[spw 190]

А по делу тут ответ простой - эта тема оказалась интересна минимум 180 000 англоязычных посетителей того нашего блогпоста и еще примерно 35 000 русскоязычных. Я не припомню у нас других публикаций, за всю историю, которые бы вызывали такой наплыв.

Хорошо, я понял -- трафик. Т.е. просто генерируем контент на полупустом месте. Вопрос понятен.

И из всей кучи предложений о том, что это такое - "правильных" ответов было всего ничего (твоих кстати не было никаких).

Опять ты скатываешься к тому же. Но в данном случае я тебе отвечу: заданная тема меня не интересовала; более того, она вызывала именно те вопросы, которые я озвучил сегодня выше.

Что говорит о том, что задача была действительно сложной. Поэтому мнения хабровских болтунов, которые сейчас чем-то недовольны - мало кого волнуют. Ибо ламерье.

С этим я частично согласен.

[A. 876]

Хорошо, я понял -- трафик. Т.е. просто генерируем контент на полупустом месте. Вопрос понятен.

Для тебя полупустое место - для сотен тысяч других нет. Почему я должен тратить свое время на убеждение тебя в чем-либо ? Считай как тебе хочется.

[A. 876]

Авторы не унимаются

http://threatpost.com/en_us/blogs/newly-co...ill-work-032012

[maxz 5]

Авторы не унимаются

Гешефт мешают делать ? Ну такая ваша роль в индустрии, что ж поделать то.

[maxz 5]

Что говорит о том, что задача была действительно сложной.

Т.е. сложность задач теперь определяют по количеству трафика, который генерит маркетинговая шелуха. Ну какой же лол.

Это говорит лишь о том, что история повторяется и у вас как не было способных думать технарей, так и нет, что в общем-то вполне ожидаемо. Самое смешное, что это не первый такой публичный факап. Несколько лет назад тоже бросали клич всему человечеству, призывая ломать 1024-bit RSA, чем изрядно насмешили людей в теме. Того же Bruce Schneier, например. Позже, когда поняли степень собственного идиотизма, бросились срочно затирать показания и менять их на "implementation errors", но было уже поздно. Квалификацию продемонстрировали весьма наглядно.

[Burbulator 146]

A.

Объясните, пожалуйста: что вам дало знание о том, какой язык программирования использовался?

Почему было так важно узнать, какой язык использовался?

[sww 486]

Т.е. сложность задач теперь определяют по количеству трафика, который генерит маркетинговая шелуха. Ну какой же лол.

Это говорит лишь о том, что история повторяется и у вас как не было способных думать технарей, так и нет, что в общем-то вполне ожидаемо.

Какое-то унылое говно оскорбляет мои (и не только мои) экспертные чувства

[ALEX(XX) 60]

Какое-то унылое говно оскорбляет мои (и не только мои) экспертные чувства

Была попытка PиR на весь мир, а теперь из букв "п" "ж" "а" "о" усиленно на миру идёт попытка собрать слово "счастье"

[A. 876]

A.

Объясните, пожалуйста: что вам дало знание о том, какой язык программирования использовался?

Почему было так важно узнать, какой язык использовался?

Ответ на этот вопрос есть тут:

http://safe.cnews.ru/news/top/index.shtml?2012/03/19/482105

Была попытка PиR на весь мир, а теперь из букв "п" "ж" "а" "о" усиленно на миру идёт попытка собрать слово "счастье"

У нас с пиаром на весь мир очень хорошо. Вы даже не представляете _насколько_ хорошо

но за заботу спасибо, очень тронуты

[ALEX(XX) 60]

У нас с пиаром на весь мир очень хорошо. Вы даже не представляете _насколько_ хорошо

но за заботу спасибо, очень тронуты

Да ради бога. Совсем неясно зачем было поднимать такой шум о "внеземном разуме"? Ессно это дало приток посетителей, интересно же было, а в итоге всё оказалось довольно банально, инопланетный гость оказался вполне местным.

Не впервой подобное. На этом фоне вспомнился баянчик:

Uzver:

А никто не покажет образчик лога Symanteca? Как выглядит это?

Seaman:

Вот так.

Цитата: Это... Хозяин, тут, типа, к тебе вирус какой - то. Его сразу мочить или в тюрьму для пыток?

Для сравнения лог Kasperskого.

Цитата:

ААААААА!!!!!!! Вирусы **я, мы все умрем, что же делать, ****й атака, *****ц, апокалипсис. А нет..... Это всего лишь jpeg. Извините, был напуган

[A. 876]

Да ради бога. Совсем неясно зачем было поднимать такой шум о "внеземном разуме"? Ессно это дало приток посетителей, интересно же было, а в итоге всё оказалось довольно банально, инопланетный гость оказался вполне местным.

Если вы ничего не понимаете в реверсе, то не стоит бросаться заявлениями о банальности, ок ? Я понимаю что вы не в состоянии оценить действительную сложность проблемы, но вы уж сами не позорьтесь.

[ALEX(XX) 60]

Если вы ничего не понимаете в реверсе, то не стоит бросаться заявлениями о банальности, ок ? Я понимаю что вы не в состоянии оценить действительную сложность проблемы, но вы уж сами не позорьтесь.

Тут вот в чём дело, намного логичнее было бы провести тщательное расследование, а потом огласить результаты. Но нет, сначала раздуваем "мировой пожар", а потом, тю, это С.. Улавливаете контраст?

По его мнению, у разработчиков на написание кода и его отладку ушло много времени, хотя такую работу можно было сделать быстрее и проще.

Но сделали-то они так, что пришлось сломать голову себе, потом гуру из МС, а потом привлечь сторонних проггеров, так? В итоге работа оказалась проделана очень квалифицированно и, как показала практика, спецы получше всё же "там".

[clerk 0]

Что говорит о том, что задача была действительно сложной.

не пишите ерунды, задача простейшая даже для непрофи

Какое-то унылое говно оскорбляет мои (и не только мои) экспертные чувства

какие есчо экспертные чувства, есле вы не смогли отличить кодогенерацею си от хаскеля