Перейти к содержанию

Recommended Posts

A.
Danilka

O_щ

Cool..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Так я не понял СС перехватили уже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

не скажу :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Хе-х, CrySyS молодцы, такой ресерч знатный выкатили

Так я не понял СС перехватили уже?

А чего спрашивать, семплы давно itw, берите и смотрите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

208193524.png

Вывод напрашивается сам собой ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

CrySyS дал отмашку и Symantec, Kaspersky, Sophos выкатили свои "ресерчи" и все в один день. :facepalm:

В тот же день семпл появился itw...вот КАК?, скажите, КАК? можно верить AV-компаниям после этого?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
CrySyS дал отмашку и Symantec, Kaspersky, Sophos выкатили свои "ресерчи" и все в один день. :facepalm:

Не опускайся уж окончательно в моих глазах, очередной раз неся феерический бред о том чего не знаешь.

Дока крайзиса не содержит и 20й части всей информации, которая есть например у нас.

P.S. рекомендую для начала попробовать найти детекты этой штуки хоть у кого нибудь кроме нас :)

P.P.S. Кстати текст от симантека это такой фейл, что я даже его специально сохранил - чтобы потом сравнить с тем насколько написанное ими соответствует действительности (когда это вывалим мы)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Не опускайся уж окончательно в моих глазах, очередной раз неся феерический бред о том чего не знаешь.

Дока крайзиса не содержит и 20й части всей информации, которая есть например у нас.

P.S. рекомендую для начала попробовать найти детекты этой штуки хоть у кого нибудь кроме нас :)

LOL.

Я даже не стану "опускаться" до того, чтобы сравнивать то что ты написал или навыдумывал с той детальной информацией, которую CrySyS кропотливо собрал и выпустил в своем white paper.

Твои "у нас есть" и мы "не публикуем" всем давно известны, ты не удивил, извини.

P.P.S. Кстати текст от симантека это такой фейл, что я даже его специально сохранил - чтобы потом сравнить с тем насколько написанное ими соответствует действительности (когда это вывалим мы)

Они там что-то уже поправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Твои "у нас есть" и мы "не публикуем" всем давно известны, ты не удивил, извини.

Извини, но в этот раз у нас есть несколько другие задачи, чем развлекать скучающих ресерчеров. Мы пока работаем на конкретного заказчика и под конкретные цели:

"ITU will use the ITU-IMPACT network, consisting of 142 countries and several industry players, including Kaspersky Lab, to alert governments and the technical community about this cyber threat, and to expedite the technical analysis."

А ты пока можешь втыкать в текст крайзиса и пытаться найти там хоть-что нибудь про MS10-061 например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Извини, но в этот раз у нас есть несколько другие задачи, чем развлекать скучающих ресерчеров. Мы пока работаем на конкретного заказчика и под конкретные цели:

"ITU will use the ITU-IMPACT network, consisting of 142 countries and several industry players, including Kaspersky Lab, to alert governments and the technical community about this cyber threat, and to expedite the technical analysis."

А ты пока можешь втыкать в текст крайзиса и пытаться найти там хоть-что нибудь про MS10-061 например.

Ты уж извини, я человек простой, не такой небожитель, как работники ЛК, доступа к инфе, которая оказывается уже месяц, а может и больше есть у AV-компаний, в частности ЛК у меня нет.

Мне достаточно было посмотреть на очень детальный анализ и судя по всему такую же крайне кропотливую работу CrySyS. Этим Kaspersky уже по-моему давно не промышляет, "кормя" юзеров какими-то "останками" инфы.

P. S. Ты тут и так пользуешься авторитетом и имеешь доступ ко всей инфе, а еще гонишь на тех, кто пытается сам разобраться в чем-то. У тебя совесть есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Вот и Хиппонен подтянулся со своим "ресерчем" http://www.f-secure.com/weblog/archives/00002371.html. Вот уж точно кто в который раз высасывает из пальца "истории о шпионаже".

Тебе бы с ним потягаться на cnn или еще где...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Вот и Хиппонен подтянулся со своим "ресерчем" http://www.f-secure.com/weblog/archives/00002371.html. Вот уж точно кто в который раз высасывает из пальца "истории о шпионаже".

Тебе бы с ним потягаться на cnn или еще где...

Какие истории, ты о чем? Все что важного микко сказал в паре последних строках "Stuxnet, Duqu and Flame are all examples of cases where we - the antivirus industry - have failed. All of these cases were spreading undetected for extended periods of time." Все остальное можно было бы не писать

Дока крайзиса не содержит и 20й части всей информации, которая есть например у нас.

Два момента. Не важно, что у кого есть. На сегодня это наиболее полный опубликованный анализ. Будет продолжение анализа от ЛК, будет другой разговор. Я понимаю стратегию по вываливанию информации по частям (очень правильно) и понимаю, что анализ все еще продолжается и будет продолжаться еще долго. Ждем хороших и глубоких аналитических обзоров

Если ты говоришь, что в ЛК есть в 20 раз больше инфы, то отчет будет страниц на 1200+????? Я верю, что про этого монстра столько можно написать, но вот вопрос -- надо ли?

Мне достаточно было посмотреть на очень детальный анализ и судя по всему такую же крайне кропотливую работу CrySyS. Этим Kaspersky уже по-моему давно не промышляет, "кормя" юзеров какими-то "останками" инфы.

Я понимаю, что побуждает тебя это писать, но вернись к кейсу Дуку и Стакснета, а потом уж говори про останки информации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Если ты говоришь, что в ЛК есть в 20 раз больше инфы, то отчет будет страниц на 1200+????? Я верю, что про этого монстра столько можно написать, но вот вопрос -- надо ли?

Я понимаю, что побуждает тебя это писать, но вернись к кейсу Дуку и Стакснета, а потом уж говори про останки информации.

Ладно, человек перенервничал...скорее всего работал на выходных, хотел всех удивить, не очень получилось, с кем не бывает.

На счет F-Secure и господина Хиппонена, ну если всех все устраивает, то ОК...Я только хочу сказать на счет них, что 1)иногда лучше молчать чем говорить 2)я все больше уважаю ESET за их ресерчи по малвари, до такого разглагольствования как Х. и F-Secure они не опускаются..[не удержался]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Ладно, человек перенервничал...скорее всего работал на выходных, хотел всех удивить, не очень получилось, с кем не бывает.

На счет F-Secure и господина Хиппонена, ну если всех все устраивает, то ОК...Я только хочу сказать на счет них, что 1)иногда лучше молчать чем говорить 2)я все больше уважаю ESET за их ресерчи по малвари, до такого разглагольствования как Х. и F-Secure они не опускаются..[не удержался]

1. Ресечи от ЕСЕТ??? Ты про то, что делает Матросов? Годно, но мало

2. Готов рассказать тебе о принципах PR с примерами, подробным анализом ошибок и правильных ПР акций. Разумеется на примере АВ индустрии. Всего за 149.95$ в час.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
1. Ресечи от ЕСЕТ??? Ты про то, что делает Матросов? Годно, но мало

2. Готов рассказать тебе о принципах PR с примерами, подробным анализом ошибок и правильных ПР акций. Разумеется на примере АВ индустрии. Всего за 149.95$ в час.

На счет первого пункта спишем на патологическую нелюбовь ЛК к ИСЕТу.

По поводу второго, Андрей, огромное Вам спасибо за интерес к моей АВ-лаборатории. Мы обязательно рассмотрим ваше предложение. Как Вам будет удобнее давать консультации, по скайпу или мне прилететь в Лондон?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
На счет первого пункта спишем на патологическую нелюбовь ЛК к ИСЕТу.

По поводу второго, Андрей, огромное Вам спасибо за интерес к моей АВ-лаборатории. Мы обязательно рассмотрим ваше предложение. Как Вам будет удобнее давать консультации, по скайпу или мне прилететь в Лондон?

Тебе не понравилось слово "Годно" или " Мало"???

Для клиента ничего не жалко, я готов даже за Ваш счет прилететь в Москву

http://www.cnews.ru/top/2012/05/28/laborat...roruzhie_490954

 особенно доставляют комментарии :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

М-м-м, ну ок - 20 метров. Сколько там реально пейлоада если выкинуть всякие либы деархивации, длл-ки и прочее барахло? Небось с соурсфоржа скомпиленные/общедоступные? :)

P.S. Месяц писать и отлаживать 3000 строк на Lua? По 10 строк в день? (я немного утрирую, но все же). Ленивый какой-то программер. Профи на Lua хреначат AI в компьютерных играх, так что даже и не знаю B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

А куда "Главный антивирусный аналитик" смотался, а? Отсыпается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

CrySyS Lab опубликовала хэши и сотни ресерчеров по всему миру бросились выпрашивать семплы друг у друга, LOL; вот что я называю миром на задворках AV-цивилизации.

Хорошо еще что есть такие как CrySyS и MIS, хотя бы кусочек свободы можно выхватить у "гигантов".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
P.S. Месяц писать и отлаживать 3000 строк на Lua? По 10 строк в день? (я немного утрирую, но все же). Ленивый какой-то программер.

Может, не программер ленивый, а заказчик раз в пару дней переделывал ТЗ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Американское палево. Израилю закинули трояна за непослушание, Ирану понятно за что, Сирии тоже понятно за что, Саудовской Аравии наверно за то, что нефть в уменьшенном количестве начали арабы поставлять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Такой вопрос, а на каких платформах может работать Flame? Только Windows или что-то еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Такой вопрос, а на каких платформах может работать Flame? Только Windows или что-то еще?

То что itw, вполне себе PE-файлы.

Это APT, здесь рассчитывают скорее не на платформу, а на жертву, подгоняя уже под нее. У CrySyS модули описаны.

crysyso.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

ITW (у MIS) уже как минимум 8 компонентов. Если нужны хэши/семплы пишите в личку.

BitDefender выпустил standalone тулзу для удаления http://labs.bitdefender.com/2012/05/cyber-...ls-with-flamer/.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×