Перейти к содержанию
AM_Bot

Разработан вирус конструирующийся из установленных на компьютере программ

Recommended Posts

AM_Bot

Учёные по заказу армии США разработали образец вируса, который самособирается из фрагментов ПО, установленного на компьютере жертвы. Концептуальной разработке дали название Frankenstein, пишет журнал New Scientist. Перед учёными поставили задание создать код, который будет трудно обнаружить с помощью неизвестного антивируса. Задачу решили за счёт модульной конструкции вируса.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Учёные по заказу армии США разработали образец вируса, который самособирается из фрагментов ПО, установленного на компьютере жертвы. Концептуальной разработке дали название Frankenstein, пишет журнал New Scientist. Перед учёными поставили задание создать код, который будет трудно обнаружить с помощью неизвестного антивируса. Задачу решили за счёт модульной конструкции вируса.

"трудно обнаружить с помощью неизвестного антивируса" -- с помощью неизвестного может быть будет и трудно, а вот известные будут ловить на ура :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
После установки на машину жертвы, вирус конструирует рабочее тело из так называемых «гаджетов»

И после завершения конструирования будет пойман :)

Ключевая особенность «Франкенштейна» в том, что сборка рабочего тела по заданным инструкциям повторяется на каждом заражённом компьютере, но каждый раз задействуются новые гаджеты, так что бинарник вируса в каждом случае получается уникальным. За счёт этой особенности вредоносную программу практически невозможно обнаружить по базе вирусных сигнатур.

Да-да, а в сигнатурах сидят у всех бинарники целиком до сих пор. И эвристиков нет :)

Вот если бы оно собиралось из недетектируемых кирпичиков, но не в виде файла, а сразу в виде процесса в памяти. Но для этого есть ряд сложнопреодолимых моментов.

Т.е. новость какбэ намекает - вытащите себя за волосы, и обманете антивирус :D

Только вот смущает:

Учёные по заказу армии США

Хотя и то, что об этом растрындели, намекает на степень секретности работы таких горе-учёных. Да-да, боимси :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Васька

Американские лошары неуклюже пытаются вбросить дезу, чтобы обмануть общественное мнение и отвести подозрения от своего главного вируса - Майкрософт. У них один выход: держать Майкрософт за жабры, как главное средство скрытно шарить в чужих компьютерах, а для народа кидают вот такие статейки типа армия США не пользуется услугами Майкрософт, а типа выдумывает "чудо вирусы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

По-моему что-то подобное уже было раньше. Пусть не с системными файлами, но общий подход был похожим.

И не понятно, почему разные бинарники заявляются как некая защита от детекта, я не о поведенческом? Не по хешам же его детектировать будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Ерунда какая-то, так как:

1. чтобы собирать зловреда из гаджетов, нужно сначала на ПК внедрить код сборщика :) А для этого придется применить эксплоиты, а сам сборщик придется защищать от детекта классическими методами типа полиморфизма. Следовательно, весь плюс метода сведется к нулю

2. Современный антивирус использует массу технологий несигнатурного детектирования (эмулятор, анализ реального поведения и т.п.). Следовательно, не важно, как именно попал EXE на ПК и каковы его бинарные "внутренности" - важно то, что именно он будет делать в системе

3. Если антивирус будет работать совместно с Application Control + WL, то он просто не опознает такую "поделку из гаджетов" как нечто безопасное и блокирует ее запуск. Или разрешит, но проинформирует админов и безопасников

4. Если ПК сети периодически проверяются на предмет наличия шпионских закладок и постороннего ПО, то появление нового непонятно откуда взявшегося исполняемого файла сразу вызовет аларм

5. Если у пользователя нет прав администратора, то "чудо вирус" или не сможет выполнить сборку, или не сможет после сборки работать ...

Так что ничего чудесного там нет... нового тоже, напрмиер в тестировании эмуляторов на AM в 2007 году сделанный мной для тестирования "семпл 503" как раз и использовал возможность "поиска гаджетов" в системных файлах :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×