Paint превращается... превращается Paint... в бэкдор - Страница 3 - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
radioelectron

Paint превращается... превращается Paint... в бэкдор

Автор radioelectron, в Современные угрозы и защита от них

Recommended Posts

dot_sent    140

dot_sent
Опубликовано
Из той же серии пример. Создаю в дельфи 7 new application, ничего в нем не меняю, компилирую, посылаю project1.exe на вирустотал, он выдает:

Ikarus T3.1.1.12 2007.12.01 Trojan.Win32.KillXP.A

Panda 9.0.0.4 2007.12.01 Suspicious file

И как теперь жить? :)

Если сверху ещё парочкой пакеров пройтись, то брать будут гораааздо больше :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

GPcH    0

GPcH
Опубликовано
Делфи и Вижуал Бейсик - это конструкторы вирусов. Вы разве не знали?

Ага, точно, а пакеры - это конструкторы полиморфных вирусов, ага? А протекторы их обфускаторы? А загрузчик винды вообще пора детектить как Trojan.Launcher. Жж0те товарищ :)

Добавлено спустя 13 минут 23 секунды:

Если сверху ещё парочкой пакеров пройтись, то брать будут гораааздо больше

Да достаточно просто точку входа переставить в последнюю секцию а в ней написать

jmp OEP

и программа автоматически станет BackDoor.Trojan

Или еще проще - сделать Rebuild PE - будет сто процентный вредоносный код, подвергающий систему опасности.

А то что программист, кодящий на Cpp может банально настройками компилятора сделать точку входа хоть в секции импорта и при этом объединить секцию кода с секцией данных - это антивирусные аналитики похоже не учитывают вовсе (хотя это базовые возможности компилятора).

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dr.Golova    55

Dr.Golova
Опубликовано

> это антивирусные аналитики похоже не учитывают вовсе

антивирусные аналитики в первую очередь ориентируются на свою многотерабайтную базу данных чистых/малварных файлов. И всяческие полиморфные криптушки там явно на два/три порядка реже встречаются в списка "чистых", чем сами знаете где :-

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

ASMax    20

ASMax
Опубликовано

Как-то из любопытства я тоже проверил на VirusTotal несколько crackme, так вот чем менее солидным был АВ, тем более громкие имена он выдавал крякмишкам. :) Из брендов только НОД разок прокололся, заявив что я ему послал "возможно вариант" какого-то агента. :D

А вообще интересно вот что: в связи с вынашиванием планов различными АВ-компаниями по детекту всего подозрительно похожего на упакованное - как скоро произойдет массовый ответный шаг со стороны авторов пакеров? Например в виде написания алгоритмов защиты с генерацией кода статистически идентичного коду компиляторов, т.е. с пропихиванием обфускации с уровня инструкций на уровень логики. :?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

GPcH    0

GPcH
Опубликовано
антивирусные аналитики в первую очередь ориентируются на свою многотерабайтную базу данных чистых/малварных файлов. И всяческие полиморфные криптушки там явно на два/три порядка реже встречаются в списка "чистых", чем сами знаете где :-

Ну вот и я про тоже. Такое впечатление что антивирусы диктуют вендорам как писать программы а не наоборот. Эта тенденция и беспокоит. То есть честный разработчик прежде чем выпустить программный продукт должен подстроиться под антивирусы (не использовать полиморфизм, не мержить секции в одну, не паковать UPack'ом и т.д.). То есть хоть в пору в настройки компилятора не лезть - чуть что не по дефолту поставишь - уже шанс быть задетекченным как "Возможно Type.Win32".

Добавлено спустя 3 минуты 26 секунд:

А вообще интересно вот что: в связи с вынашиванием планов различными АВ-компаниями по детекту всего подозрительно похожего на упакованное - как скоро произойдет массовый ответный шаг со стороны авторов пакеров? Например в виде написания алгоритмов защиты с генерацией кода статистически идентичного коду компиляторов, т.е. с пропихиванием обфускации с уровня инструкций на уровень логики. :?

С антивирусами тягаться - пустая трата времени. Проше добиться признания пакера, чем писать обходы. Так как на обходы уходят дни пустой, никому не нужной сложной работы, а на детект - максимум час. Потому если пакер коммерческий - гораздо выгодней чтобы он был в постоянном белом списке и распаковывался перед анализом.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

ASMax    20

ASMax
Опубликовано
С антивирусами тягаться - пустая трата времени. Проше добиться признания пакера, чем писать обходы. Так как на обходы уходят дни пустой, никому не нужной сложной работы, а на детект - максимум час. Потому если пакер коммерческий - гораздо выгодней чтобы он был в постоянном белом списке и распаковывался перед анализом.

Я имел в виду именно малварные пакеры, которым и так терять нечего, и которые не являются ни коммерческими, ни тем более не претендуют на место в белом списке. Интересно каков будет их шаг и будет ли вообще.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

GPcH    0

GPcH
Опубликовано
Я имел в виду именно малварные пакеры

А такие существуют (я имею ввиду публичные)? Или Вы считаете что авторы UPack, NSPack, FSG, MEW создавали свои продукты для паковки малвары? Просто их пакеры бесплатные - вот и получили применение у троянщиков. А у авторов нет ни времени ни желания писать письма в штук 20 антивирусов дабы те прекратили детектить их пакер. Вот и получается - что люди трудились, делали качественные упаковщики, а так как заступиться за их продукты некому - прослыли "троянскими".

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

ASMax    20

ASMax
Опубликовано
А такие существуют (я имею ввиду публичные)?

А как же. :) Те же морфин, nsanti, polycrypt, simbioz и т.д.

Вот кстати описание "возможностей": :)

http://simbioz.nm.ru/

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

GPcH    0

GPcH
Опубликовано

Насчет морфина:

http://forum.sysinternals.com/forum_posts.asp?TID=8772

Добавлено спустя 7 минут 11 секунд:

Насчет simbioz как я понял с его сайта он не публичный.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

mais    10

mais
Опубликовано
Сегодня наконецто получил ответ от Авиры - обещали в новом движке фолс позитивы убрать.

Для исправления фолса им нужно переписывать движок? :shock:

ага :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      нет
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И ещё это: https://www.comss.ru/page.php?id=18330 Это и на работе Образов с Live CD может сказаться ?
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Тема: https://www.comss.ru/page.php?id=18331    " Ошибка проявляется в том, что при закрытии окна программы с помощью кнопки Закрыть (X) процесс taskmgr.exe не завершается полностью. При повторном открытии Диспетчера задач предыдущий экземпляр продолжает работать в фоне, хотя окно не отображается. В результате со временем накапливаются несколько процессов, что приводит к избыточному потреблению ресурсов системы и снижению производительности... " и это натолкнуло на мыслю. Раз есть такая проблема с taskmgr - то это может повториться с "любой" другой программой... т.е. можно? Реализовать команды: " Обнаружить и завершить все нетипично активные экземпляры Системных процессов\программ".  и " Обнаружить и завершить все нетипично активные экземпляры не Системных...". Такое может быть и с браузерами - например Firefox - если есть две версии программы установленные в разные каталоги и пользователь их запускает - часто бывает неполное завершение. тогда жрёт всё и вся...  
    • Ego Dekker
      ESET усиливает защиту домашних устройств и малого бизнеса от онлайн-мошенничества

      От Ego Dekker · Опубликовано

      Компания ESET (/исэ́т/) ― лидер в области информационной безопасности ― сообщает об обновлении ESET HOME Security Essential и ESET HOME Security Premium, комплексных подписок для защиты устройств домашних пользователей, и ESET Small Business Security, решения для малого бизнеса.

      Среди новинок ― функция восстановления после атак программ-вымогателей, мониторинг микрофона и улучшения безопасности при просмотре веб-сайтов, а также VPN, который предотвращает нежелательное отслеживание, обеспечивая неограниченный доступ к онлайн-контенту. Поскольку мошенничество сегодня является глобальной угрозой для всех пользователей, ESET обеспечивает усовершенствованную защиту от различных мошеннических методов, противодействуя атакам из разных типов источников, включая SMS-сообщения, электронную почту, телефонные звонки, URL-адреса, QR-коды, вредоносные файлы и другие.

      Обновленная платформа ESET HOME также упрощает управление безопасностью, что облегчает пользователям защиту своих семей, а владельцам малого бизнеса позволяет точно отслеживать защищенные устройства, а также устанавливать программы безопасности на все устройства благодаря доступному и понятному интерфейсу. 

      «Как поставщик передовых решений для защиты цифровой жизни, ESET тщательно отслеживает текущую ситуацию с угрозами и соответственно разрабатывает свои решения по кибербезопасности, ― комментирует вице-президент ESET в сегменте домашних пользователей и Интернета вещей. ― Усиленная защита от мошенничества, новая функция восстановления после атак программ-вымогателей и многочисленные усовершенствования безопасности конфиденциальных данных делают продукты ESET для домашних пользователей и малых предприятий мощными комплексными решениями, которые сочетают минимальное влияние на продуктивность и простоту в использовании».

      Решения для домашних устройств и малого бизнеса защищают все основные операционные системы ― Windows, macOS, Android ― и поддерживают разные устройства умного дома. Кроме того, ESET Small Business Security также защищает серверы Windows.

      Основные улучшения для пользователей Windows:

      •    Добавлен VPN (теперь доступно в подписке ESET HOME Security Premium): функция защитит сетевое подключение благодаря анонимному IP-адресу, а безлимитная пропускная способность обеспечит неограниченный доступ к онлайн-контенту. Кроме Windows, VPN также доступен пользователям MacOS, Android и iOS.

      •    Усилена защита конфиденциальных данных (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security): новый мониторинг микрофона обнаруживает и уведомляет пользователей о несанкционированных попытках доступа к микрофону на устройствах Windows.

      •    Улучшена безопасность при использовании браузера (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security) для защиты от фишинга, мошенничества и вредоносных веб-сайтов. Эта функция сканирует воспроизводимый HTML-код в браузере, чтобы обнаружить вредоносное содержимое, которое не фиксируется на уровне сети и с помощью «черного» списка URL.

      •    Добавлено восстановление после атак программ-вымогателей (доступно в решении ESET Small Business Security): первоначально разработанная для крупного бизнеса, функция позволяет минимизировать ущерб, вызванный этими угрозами. Как только защита от программ-вымогателей выявляет потенциальную угрозу, функция восстановления после атак немедленно создает резервные копии файлов, а после устранения опасности восстанавливает файлы, эффективно возвращая систему в прежнее состояние. Основные улучшения для пользователей macOS (доступны в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security):

      •    Поддержка macOS 26 (Tahoe) позволяет использовать защиту на текущей версии macOS.

      •    Поддержка HTTPS & HTTP/3 улучшает безопасность пользователей в Интернете.

      •    Управление устройствами контролирует внешние устройства, подключенные к Mac. Функция помогает защитить от вредоносного программного обеспечения и несанкционированной передачи данных, ограничивая доступ к определенным типам или даже отдельным устройствам. Следует отметить, что эти усовершенствования помогут противодействовать постоянно совершенствующимся угрозам с особым акцентом на предотвращение. Компания ESET также считает чрезвычайно важным сочетание кибергигиены с удобной защитой, поскольку действительно эффективная кибербезопасность должна быть простой в настройке и управлении.

      Более подробная информация о многоуровневой защите устройств домашних пользователей и решении для малого бизнеса. Пресс-выпуск.
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      ESET NOD32 Antivirus 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Internet Security 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Smart Security Premium 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Security Ultimate 19.0.11  (Windows 10/11, 64-разрядная)
                                                                                  ● ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 19  (PDF-файл)
              Руководство пользователя ESET Internet Security 19  (PDF-файл)
              Руководство пользователя ESET Smart Security Premium 19  (PDF-файл)
              Руководство пользователя ESET Security Ultimate 19  (PDF-файл)
              
      Полезные ссылки:
      Технологии ESET
      ESET Online Scanner
      Удаление антивирусов других компаний
      Как удалить антивирус 19-й версии полностью?
×