Перейти к содержанию
A.

"Замусоривание" как способ скрытия malware

Recommended Posts

A.

Тема выделена из http://www.anti-malware.ru/phpbb/viewtopic...3b21d6637f94d60

(Mr. Justice)

Спасибо. Да, сигнатура сбивается просто, причём практически у всех. См. скриншоты с virustotal'а, до и после "замусоривания".

Ну вот ... зачем же вы, Дмитрий, прям вот так вот жестко. Оппонент ведь всего лишь утверждал, что:

"есть до кучи примеров где KAV молчит ичт0

а НОД и др. номальные антивири детектят (тупое забивание мусором до сих пор работает против каспера)"

а вы прям всех подряд опустили, нехорошо как-то получилось :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Ну вот ... зачем же вы, Дмитрий, прям вот так вот жестко. Оппонент ведь всего лишь утверждал, что:

"есть до кучи примеров где KAV молчит ичт0

а НОД и др. номальные антивири детектят (тупое забивание мусором до сих пор работает против каспера)"

а вы прям всех подряд опустили, нехорошо как-то получилось :))

Дык... а для чего я, по-вашему, сырцы просил? =))

Но раз уж вы здесь, прокомментируйте плиз... Возможно ли "чистить" код от бессмысленных инструкций (вроде mov eax, eax) перед прикладыванием сигнатуры? И если да, то какие причины так не делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Дык... а для чего я, по-вашему, сырцы просил? =))

Но раз уж вы здесь, прокомментируйте плиз... Возможно ли "чистить" код от бессмысленных инструкций (вроде mov eax, eax) перед прикладыванием сигнатуры? И если да, то какие причины так не делать?

Код чистится от бессмысленных инструкций движком. Сигнатуры, конечно же, кладутся не на код as is - всегда файл отдается на сканирование уже обработанный эмулятором. И не правы те, кто считает, что у KAV эмулятор появился только вот - на самом деле он есть уже с начала 90х. Другое дело, что создавался совсем для других условий и дальше подпирать его "костылями" было нельзя. Теперь что мы имеем - мы имеем новый эмулятор, но старый движок, который не может использовать на 100% всю мощь нового эмуля. Ждем 8-ку :)

Обобщаю - код чистился и чистится. Проблема в сигнатурах.

Добавлено спустя 7 минут 21 секунду:

+ не забывайте о том, что все любят скорость. Совсем не проблема "вычистить" код от мусора - проблема в том, сколько это займет времени. Тут все и стараются найти золотую середину.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais

Ну вот ... зачем же вы' date=' Дмитрий, прям вот так вот жестко. Оппонент ведь всего лишь утверждал, что:

"есть до кучи примеров где KAV молчит ичт0

а НОД и др. номальные антивири детектят (тупое забивание мусором до сих пор работает против каспера)"

[/quote']

повторюсь, так и есть 8)

в большинстве случаев НОД, Битдефендер не ведуца на подобные трюки!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
в большинстве случаев НОД, Битдефендер не ведуца на подобные трюки!

"просто вы не умеете их готовить"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais

Ждем 8-ку :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
повторюсь, так и есть 8)

в большинстве случаев НОД, Битдефендер не ведуца на подобные трюки!

... но не в этом случае =)

Ждем 8-ку

Ещё как ждём!!! =)

Добавлено спустя 9 минут 19 секунд:

A., спасибо за комментарий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy

Разговор известный.Жди,не жди,реактивные технологии исчерпали себя несколько версий назад.Максимум,что от них можно ожидать,несбиваемый детект того,что уже известно.Изменить что здесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Разговор известный.Жди,не жди,реактивные технологии исчерпали себя несколько версий назад.Максимум,что от них можно ожидать,несбиваемый детект того,что уже известно.Изменить что здесь?

вопрос защиты от вирусов не может быть решен при помощи только антивирусной программы.

можете меня цитировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
ну а как еще можно представить, пораскинь

Вот никак не раскидывается... Может объяснишь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais

потом какнибудь ;)

пис

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

ну вот обидел человека не за что не про что :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
ну вот обидел человека не за что не про что Sad

Я не обижаюсь, думаю понимаешь почему ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Последний раз редактировалось: mais (Вс Окт 07, 2007 10:17 pm), всего редактировалось 4 раз(а)

У тех, у кого РСС настроен все видели ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais

мне пох если чесно :lol::lol:

я ничего не могу поделать, если человек спрашивает у меня очевидные вещи..видители не раскидываеца у него .. учи азбуку!

как оно еще хотел чтобы ему ответили ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Не надо так грубо об экспертах говорить. Он свое звание заслужил, в отличие от некоторых.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
мне пох если чесно :lol::lol:

я ничего не могу поделать, если человек спрашивает у меня очевидные вещи..видители не раскидываеца у него .. учи азбуку!

как оно еще хотел чтобы ему ответили ?

Участники форума Вам делают справедивые замечания. Просьба на будущее придерживаться правил этики и форума, быть вежливее и терпимее к остальным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais

ок

а минусов то понаставили :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Что касается "замусоривания" кода командами как move ax, ax, xchg ax, ax, nop и т.п., то этим можно добиться лишь отсутствия сигнатурного детекта (что и показано было на предыдущим ролике). Но таким примитивным способом эмулятор Касперского не обойти, чтобы там кто не говорил ;).

http://www.rapidshare.ru/424515

По ссылке я выложил ролик, на котором показан детект ITW-сампла, который детектируется эмулятором. Так же была произведена модификация стаба джойнера по аналогии с предыдущим роликом - отсутствие со стороны антивируса сигнатурного детекта на стаб. Затем малвара была склеена. в результате склееный файл продолжал детектироваться антивирусом.

З.Ы. Ролик создавался средствами VMware, поэтому для его воспроизведения на ПК, где не установлена виртуальная машина, потребуется установить соответствующий декодер.

Его можно скачать по этой ссылке:

http://www.vmware.com/download/eula/moviedecoder_v55.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais

отличительная особенность данног джойнера, не более

мусор рулит :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Похоже эти версии https://vms.drweb.ru/virus/?i=21513908 https://vms.drweb-av.es/virus/?i=22278785    
    • demkd
      майнер то старый, но как запускается хз, до создания образа uVS уже прибиты задачи, через которые он почти наверное и запускался, да и uVS запущен без флага HKCR и без флага выгрузки левых потоков, а они были и их там быть не должно.
      Однако самое неприятное то что нет командных строк в истории процессов, потому найти концы уже не получится.. возможно есть баг при включении отслеживания командных строк и это надо будет проверить.
    • PR55.RP55
      Ту что-то, эдакое.... https://www.safezone.cc/threads/mainer-ili-net-nt-kernel-system.46113/
    • PR55.RP55
      Полное имя                  E:\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
      Имя файла                   SCREENSHOTS@MOZILLA.ORG.XPI
      Статус                      FireFox
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Extension_ID                screenshots@mozilla.org
      Extension_name              Firefox Screenshots
      Extension_type              extension
      Extension_active            true
      Extension_visible           true
      Extension_version           39.0.1
      Extension_installDate       2023-08-30 17:02
      Extension_description       Take clips and screenshots from the Web and save them temporarily or permanently.
      Extension_userDisabled      false
      Extension_sourceURI         null
      --------------------------------------------------------- Предлагаю (Нужно) искать  "не найденные"объекты на других дисках. Ведь они эти объекты есть... D:\Program Files\Mozilla Firefox\browser\features  
    • demkd
      Правильно будет вот так: cexec "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Remove-MpPreference -ExclusionPath "путь" и оно работает, если powerShell на месте и это действительно powershell.
×