Перейти к содержанию
dr_dizel

Поддержка упаковщика TheMida

Recommended Posts

dr_dizel

Слежу сейчас на Вэбовском бактрекере за добавлением нового упаковщика - TheMida.

С сентября 2007 были замечены проблемы с распаковкой программ с этим новым пакером. С 30.01.08 баг #0017490 на трекере Вэба. Проверял 31.01.08 третий архив из трекера на вирустотале, так варингов было процентов на 40. Вэб и Каспер молчали.

Сегодня вот Каспер прозрел, а Вэб нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Раз уж выделили моё сообщение в отдельную тему, то добавлю скриншот.

Themida.gif

Как видим - многие ещё просто ругаются на сам упаковщик.

post-4003-1201866576_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Может ли KAV противостоять Themida - отвечает следующий скриншот:

kav_lies.gif

Похоже, что в KAV просто добавили сэмпл вируса из третьего архива на трекере.

post-4003-1201962538_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

И конечно же стоит добавить классику до кучи - защищённый TheMida стандартный блокнот.

themida_notepad.gif

Очень понравился информативный диагноз от Prevx1.

This file has not yet been classified as safe. It was first seen on Saturday, Feb 2 2008. It has only been seen by one user in this section of the community. The file has only been seen in SPAIN.THEMIDA_NOTEPAD.EXE has been seen to perform the following behaviors:- The Process is packed and/or encrypted using a software packing process- The Process is polymorphic and can change its structure

Похоже, что его эвристик заслуживает внимания и очень хорошо смотрится в тестах.

post-4003-1201981232_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

F-Secure поддерживает больше пакеров, чем Касперский? <_<

- The Process is polymorphic and can change its structure

:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...

Когда компьютеры были большими, а винчестеры объема маленького... многие писатели статей вирусной тематики обсасывали тему полиморфиков и виртуальных машин. После таких статей (например, Криса Касперски) поднималась шумиха и возгласы, что всё плохо, и мы все умрём... Но приходил воин (Касперский там или Данилов) и молвил, что у них есть такие приборы, но они вам о них не расскажут (типа эмуляторов с разложением на графы).

Но вот сегодняшний день. Пришла Theida, и все вирусописатели начали паковать ею свои коллекции вирусов.

Все умерли. ;)

Касательно запакованного блокнота.

Смотрим сюда: http://www.oreans.com/themida_features.php или на скрин в 3-м сообщении.

Получается, что блокнот теперь действительно полиморфная-VM.

Делаем выводы.

Да! Совсем забыл. Надо же скрин именно вируса запакованного запостить. Вот и он:

copyself.gif

Кое-кто ругается на упаковщик и нет ни одного упоминания о трояне.

post-4003-1202127945_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Themida не пакер и не упаковщик. Поймите этот простой факт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Themida не пакер и не упаковщик. Поймите этот простой факт.

Все уже давно это поняли. Просто вирустотал говорит о themida, как об упаковщике - вот и проскакивает такое слово в сообщениях.

Какие, кстати, планы у KAV по осиливанию этого обфускатора?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Скорее детект, чем распаковка ...

Проблема в количестве времени. Машинного времени. Которое надо потратить на распаковку того что под ним. Устроит вас, как пользователя, по паре минут на один файл ? А на почтовом сервере ?

smart.jpg

post-413-1202131367_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Скорее детект, чем распаковка ...

Проблема в количестве времени. Машинного времени. Которое надо потратить на распаковку того что под ним. Устроит вас, как пользователя, по паре минут на один файл ?

Если у сканера, то да - устраивает. Там же и "кнопочка" пропустить есть. ;)

А вот монитор - пусть спрашивает и предупреждает о длительности. Можно для этого специальные задания замутить с низшим приоритетом в фоновом режиме, если такие потребности в ресурсах. Да и не думаю, что такие защищённые файлы будут валяться кучами по диску.

А на почтовом сервере ?

А на почтовом сервере надо отфудболивать все тэмиды нафиг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Максим

Проблема в количестве времени. Машинного времени. Которое надо потратить на распаковку того что под ним. Устроит вас, как пользователя, по паре минут на один файл ? А на почтовом сервере ?
Надо сделать это отключаемым в настройках и по дефолту отключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Но вот сегодняшний день. Пришла Theida, и все вирусописатели начали паковать ею свои коллекции вирусов.

Все умерли. ;)

Получается, что блокнот теперь действительно полиморфная-VM.

Делаем выводы.

Ну, вообще говоря, пришла темида вовсе не сегодня, а много лет назад, а если говорить о ее предыдущих инкарнациях (xprotector & pe-protector), то ей впору справлять юбилей. ;)

Что же касается "полиморфно-виртуализованного" блокнота, то виртуализовано там скорее всего лишь 15 первых инструкций и небольшие части самого конверта. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Что же касается "полиморфно-виртуализованного" блокнота, то виртуализовано там скорее всего лишь 15 первых инструкций и небольшие части самого конверта. :rolleyes:

Вполне возможно т.к. паковал я всё demo-версией. Но почему тогда все антивирусы так "расстроились" по этому поводу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Вполне возможно т.к. паковал я всё demo-версией. Но почему тогда все антивирусы так "расстроились" по этому поводу?

Потому что для распаковки все равно требуется пройти все слои и фичи протектора. Просто если бы виртуализации подвергался ВЕСЬ код, то сигнатурный детект распакованных бинарей был бы невозможен в принципе. Правда и скорость исполнения была бы... :lol:

Что же касается поддержки темиды в антивирусах, то поживем - увидим. <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Кстати, буквально на прошлой неделе в приватных форумах господа из Симантека утвержади, что у них есть распаковщик фемиды для "всех известных им версий". Судя по скриншотам или им известны не все версии, или распаковщик фуфловый - типа скинуть распакованый стрим, и детектить только потоковыми сигнатурами. Ну или они имели в виду in-the-lab распаковщик =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark
Все уже давно это поняли. Просто вирустотал говорит о themida, как об упаковщике - вот и проскакивает такое слово в сообщениях.

Какие, кстати, планы у KAV по осиливанию этого обфускатора?

:blink: А нафига обфускаторы детектить как вредоносы, а?

Как Вы себе представляете написание вредоносов на .NET?

В общем, закругляйтесь с ерундой!

Очень хочу понять, чем руководствуются люди, которые всячески нагадить стараются честным кодерам.

Или Вам нужно знать, что там кто написал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
:blink: А нафига обфускаторы детектить как вредоносы, а?...

Вы это о чём? :blink: Я про детект обфускаторов ничего не писал.

Дело же совсем в другом. Детектить надо вирусы. А на сегодняшний день любой вирус можно обработать этим обфускатором и он перестанет детектиться антивирусами. А зачем нам тогда эти самые антивирусы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

dr_dizel, просто лично меня смутил термин "обфускаторы"

Скрипт - пакер и обфускатор не сильно одинаковые понятия.

А вот обфускаторы в той же .NET защищают код от злоумышленника.

Если сейчас обфускаторы будут резаться - для воров настанут райские времена!

А вор и преступник - понятия для меня лично не различимые!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А вот обфускаторы в той же .NET защищают код от злоумышленника.

Скорее, делают вид, что защищают. Стоит почитать кряклабу- эти "защиты" разламываются на счёт раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Кстати, буквально на прошлой неделе в приватных форумах господа из Симантека утвержади, что у них есть распаковщик фемиды для "всех известных им версий". Судя по скриншотам или им известны не все версии, или распаковщик фуфловый - типа скинуть распакованый стрим, и детектить только потоковыми сигнатурами. Ну или они имели в виду in-the-lab распаковщик =)

Ну исходя из первой версии тестов по поддержке упаковщиков (которые теперь перекочевали сюда и выдерживают паузу вежливости :) ), Симантек начинает хвататься за иконки на всем что сложнее upx, куда уж там темиду. :D

dr_dizel, просто лично меня смутил термин "обфускаторы"

Если я правильно понял dr_dizel'a, то он имел в виду раскручивание обфускаторов, а не их детект. Так что беспокоиться вроде не о чем. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Проходил утром мимо wasm.ru. Дай, думаю, запакую подопытный copyself ещё чем-нибудь, что попадётся на глаза.

Первым в крипторах попался Obsidium. А вот и результат:

obsidium_copyself.gif

Дежавю какое-то.

post-4003-1202375420_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

Боюсь Вы так и не поняли, о чём я хотел сказать.

Обфускаторами, помимо вредителей, ещё и нормальные кодеры пользуются.

Давайте ради группки выродков по честным людям бить!

У нас их много - пары тройки не жалко!

Показали скрины, на которых от Обфусккации лечат!

А потом что?

Кстати, лично я за то, чтобы объявить TheMida вне закона. Но я против того, чтобы идти этим путём и дальше, то есть распространять опыт на Обфускаторы NET сборок!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Боюсь Вы так и не поняли, о чём я хотел сказать.

Возможно. Я думаю, что вы запутались в терминологии.

Обфускаторами, помимо вредителей, ещё и нормальные кодеры пользуются.

Давайте ради группки выродков по честным людям бить!...

Ну не надо так сразу всех выродками называть. Сокрытие внутренней логики программы может быть использовано в различных целях.

Другое дело антивирусы. Нам давно разработчики сих продуктов пели, что они могут справится с любыми вирусами - у них есть соответствующие технологии. Эти продукты разрабатываются и продаются для звщиты от вирусов. Однако когда в дело вступают обфускаторы-крипторы процессорного кода, которые позволяют любой вирус сделать неузнаваемым для ативирусов, то это ставит под сомнение целесообразность существования и покупки антивирусов. Сам факт их существования, так сказать.

Решение проблем в детекте обфускованных вирусов и ругани на легальный защищённый от исследования программный код - забота разработчиков антивирусов т.к. от этого зависит качество предлагаемого ими продукта и его предназначение. То, что антивирусы не в состоянии распознать модифицированный вирус, а могут только опознать упаковщик - результат профанации и деградации антивирусной индустрии, которая может лишь брать деньги за мифическую защиту.

Кто из них осмелится и скажет правду - "мы не можем"? Никто. Это равносильно самоубийству.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Обфускаторами, помимо вредителей, ещё и нормальные кодеры пользуются.

Давайте ради группки выродков по честным людям бить!

<...>

Кстати, лично я за то, чтобы объявить TheMida вне закона. Но я против того, чтобы идти этим путём и дальше, то есть распространять опыт на Обфускаторы NET сборок!

Погоди, с какой это стати нужно темиду объявлять вне закона? :angry: Хороший коммерческий продукт, дело свое знает хорошо. И шароварщики ею реулярно пользуются. :)

Повторяю еще раз: обфускацию предлагается не детектить, а корректно раскручивать (т.е. снимать). Раскручивать и смотреть что же там внутри, под ней. Надеюсь такой подход не встретит возражений? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Однако когда в дело вступают обфускаторы-крипторы процессорного кода, которые позволяют любой вирус сделать неузнаваемым для ативирусов, то это ставит под сомнение целесообразность существования и покупки антивирусов. Сам факт их существования, так сказать.

А, скажем, существование недетектящегося вируса тоже ставит под сомнение целесообразность существования антивирусов? ;)

К вопросу, имхо, надо подходить более комплексно, не на частных случаях. Однако с тем, что в идеале антивирусом должен поддерживаться любой протектор или обфускатор - целиком и полностью согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×