Перейти к содержанию
radioelectron

Paint превращается... превращается Paint... в бэкдор

Recommended Posts

dot_sent
Из той же серии пример. Создаю в дельфи 7 new application, ничего в нем не меняю, компилирую, посылаю project1.exe на вирустотал, он выдает:

Ikarus T3.1.1.12 2007.12.01 Trojan.Win32.KillXP.A

Panda 9.0.0.4 2007.12.01 Suspicious file

И как теперь жить? :)

Если сверху ещё парочкой пакеров пройтись, то брать будут гораааздо больше :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GPcH
Делфи и Вижуал Бейсик - это конструкторы вирусов. Вы разве не знали?

Ага, точно, а пакеры - это конструкторы полиморфных вирусов, ага? А протекторы их обфускаторы? А загрузчик винды вообще пора детектить как Trojan.Launcher. Жж0те товарищ :)

Добавлено спустя 13 минут 23 секунды:

Если сверху ещё парочкой пакеров пройтись, то брать будут гораааздо больше

Да достаточно просто точку входа переставить в последнюю секцию а в ней написать

jmp OEP

и программа автоматически станет BackDoor.Trojan

Или еще проще - сделать Rebuild PE - будет сто процентный вредоносный код, подвергающий систему опасности.

А то что программист, кодящий на Cpp может банально настройками компилятора сделать точку входа хоть в секции импорта и при этом объединить секцию кода с секцией данных - это антивирусные аналитики похоже не учитывают вовсе (хотя это базовые возможности компилятора).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> это антивирусные аналитики похоже не учитывают вовсе

антивирусные аналитики в первую очередь ориентируются на свою многотерабайтную базу данных чистых/малварных файлов. И всяческие полиморфные криптушки там явно на два/три порядка реже встречаются в списка "чистых", чем сами знаете где :-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax

Как-то из любопытства я тоже проверил на VirusTotal несколько crackme, так вот чем менее солидным был АВ, тем более громкие имена он выдавал крякмишкам. :) Из брендов только НОД разок прокололся, заявив что я ему послал "возможно вариант" какого-то агента. :D

А вообще интересно вот что: в связи с вынашиванием планов различными АВ-компаниями по детекту всего подозрительно похожего на упакованное - как скоро произойдет массовый ответный шаг со стороны авторов пакеров? Например в виде написания алгоритмов защиты с генерацией кода статистически идентичного коду компиляторов, т.е. с пропихиванием обфускации с уровня инструкций на уровень логики. :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GPcH
антивирусные аналитики в первую очередь ориентируются на свою многотерабайтную базу данных чистых/малварных файлов. И всяческие полиморфные криптушки там явно на два/три порядка реже встречаются в списка "чистых", чем сами знаете где :-

Ну вот и я про тоже. Такое впечатление что антивирусы диктуют вендорам как писать программы а не наоборот. Эта тенденция и беспокоит. То есть честный разработчик прежде чем выпустить программный продукт должен подстроиться под антивирусы (не использовать полиморфизм, не мержить секции в одну, не паковать UPack'ом и т.д.). То есть хоть в пору в настройки компилятора не лезть - чуть что не по дефолту поставишь - уже шанс быть задетекченным как "Возможно Type.Win32".

Добавлено спустя 3 минуты 26 секунд:

А вообще интересно вот что: в связи с вынашиванием планов различными АВ-компаниями по детекту всего подозрительно похожего на упакованное - как скоро произойдет массовый ответный шаг со стороны авторов пакеров? Например в виде написания алгоритмов защиты с генерацией кода статистически идентичного коду компиляторов, т.е. с пропихиванием обфускации с уровня инструкций на уровень логики. :?

С антивирусами тягаться - пустая трата времени. Проше добиться признания пакера, чем писать обходы. Так как на обходы уходят дни пустой, никому не нужной сложной работы, а на детект - максимум час. Потому если пакер коммерческий - гораздо выгодней чтобы он был в постоянном белом списке и распаковывался перед анализом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
С антивирусами тягаться - пустая трата времени. Проше добиться признания пакера, чем писать обходы. Так как на обходы уходят дни пустой, никому не нужной сложной работы, а на детект - максимум час. Потому если пакер коммерческий - гораздо выгодней чтобы он был в постоянном белом списке и распаковывался перед анализом.

Я имел в виду именно малварные пакеры, которым и так терять нечего, и которые не являются ни коммерческими, ни тем более не претендуют на место в белом списке. Интересно каков будет их шаг и будет ли вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GPcH
Я имел в виду именно малварные пакеры

А такие существуют (я имею ввиду публичные)? Или Вы считаете что авторы UPack, NSPack, FSG, MEW создавали свои продукты для паковки малвары? Просто их пакеры бесплатные - вот и получили применение у троянщиков. А у авторов нет ни времени ни желания писать письма в штук 20 антивирусов дабы те прекратили детектить их пакер. Вот и получается - что люди трудились, делали качественные упаковщики, а так как заступиться за их продукты некому - прослыли "троянскими".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
А такие существуют (я имею ввиду публичные)?

А как же. :) Те же морфин, nsanti, polycrypt, simbioz и т.д.

Вот кстати описание "возможностей": :)

http://simbioz.nm.ru/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GPcH

Насчет морфина:

http://forum.sysinternals.com/forum_posts.asp?TID=8772

Добавлено спустя 7 минут 11 секунд:

Насчет simbioz как я понял с его сайта он не публичный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais
Сегодня наконецто получил ответ от Авиры - обещали в новом движке фолс позитивы убрать.

Для исправления фолса им нужно переписывать движок? :shock:

ага :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×