Перейти к содержанию
dr_dizel

Поддержка упаковщика TheMida

Recommended Posts

dr_dizel

Слежу сейчас на Вэбовском бактрекере за добавлением нового упаковщика - TheMida.

С сентября 2007 были замечены проблемы с распаковкой программ с этим новым пакером. С 30.01.08 баг #0017490 на трекере Вэба. Проверял 31.01.08 третий архив из трекера на вирустотале, так варингов было процентов на 40. Вэб и Каспер молчали.

Сегодня вот Каспер прозрел, а Вэб нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Раз уж выделили моё сообщение в отдельную тему, то добавлю скриншот.

Themida.gif

Как видим - многие ещё просто ругаются на сам упаковщик.

post-4003-1201866576_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Может ли KAV противостоять Themida - отвечает следующий скриншот:

kav_lies.gif

Похоже, что в KAV просто добавили сэмпл вируса из третьего архива на трекере.

post-4003-1201962538_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

И конечно же стоит добавить классику до кучи - защищённый TheMida стандартный блокнот.

themida_notepad.gif

Очень понравился информативный диагноз от Prevx1.

This file has not yet been classified as safe. It was first seen on Saturday, Feb 2 2008. It has only been seen by one user in this section of the community. The file has only been seen in SPAIN.THEMIDA_NOTEPAD.EXE has been seen to perform the following behaviors:- The Process is packed and/or encrypted using a software packing process- The Process is polymorphic and can change its structure

Похоже, что его эвристик заслуживает внимания и очень хорошо смотрится в тестах.

post-4003-1201981232_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

F-Secure поддерживает больше пакеров, чем Касперский? <_<

- The Process is polymorphic and can change its structure

:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...

Когда компьютеры были большими, а винчестеры объема маленького... многие писатели статей вирусной тематики обсасывали тему полиморфиков и виртуальных машин. После таких статей (например, Криса Касперски) поднималась шумиха и возгласы, что всё плохо, и мы все умрём... Но приходил воин (Касперский там или Данилов) и молвил, что у них есть такие приборы, но они вам о них не расскажут (типа эмуляторов с разложением на графы).

Но вот сегодняшний день. Пришла Theida, и все вирусописатели начали паковать ею свои коллекции вирусов.

Все умерли. ;)

Касательно запакованного блокнота.

Смотрим сюда: http://www.oreans.com/themida_features.php или на скрин в 3-м сообщении.

Получается, что блокнот теперь действительно полиморфная-VM.

Делаем выводы.

Да! Совсем забыл. Надо же скрин именно вируса запакованного запостить. Вот и он:

copyself.gif

Кое-кто ругается на упаковщик и нет ни одного упоминания о трояне.

post-4003-1202127945_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Themida не пакер и не упаковщик. Поймите этот простой факт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Themida не пакер и не упаковщик. Поймите этот простой факт.

Все уже давно это поняли. Просто вирустотал говорит о themida, как об упаковщике - вот и проскакивает такое слово в сообщениях.

Какие, кстати, планы у KAV по осиливанию этого обфускатора?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Скорее детект, чем распаковка ...

Проблема в количестве времени. Машинного времени. Которое надо потратить на распаковку того что под ним. Устроит вас, как пользователя, по паре минут на один файл ? А на почтовом сервере ?

smart.jpg

post-413-1202131367_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Скорее детект, чем распаковка ...

Проблема в количестве времени. Машинного времени. Которое надо потратить на распаковку того что под ним. Устроит вас, как пользователя, по паре минут на один файл ?

Если у сканера, то да - устраивает. Там же и "кнопочка" пропустить есть. ;)

А вот монитор - пусть спрашивает и предупреждает о длительности. Можно для этого специальные задания замутить с низшим приоритетом в фоновом режиме, если такие потребности в ресурсах. Да и не думаю, что такие защищённые файлы будут валяться кучами по диску.

А на почтовом сервере ?

А на почтовом сервере надо отфудболивать все тэмиды нафиг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Максим

Проблема в количестве времени. Машинного времени. Которое надо потратить на распаковку того что под ним. Устроит вас, как пользователя, по паре минут на один файл ? А на почтовом сервере ?
Надо сделать это отключаемым в настройках и по дефолту отключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Но вот сегодняшний день. Пришла Theida, и все вирусописатели начали паковать ею свои коллекции вирусов.

Все умерли. ;)

Получается, что блокнот теперь действительно полиморфная-VM.

Делаем выводы.

Ну, вообще говоря, пришла темида вовсе не сегодня, а много лет назад, а если говорить о ее предыдущих инкарнациях (xprotector & pe-protector), то ей впору справлять юбилей. ;)

Что же касается "полиморфно-виртуализованного" блокнота, то виртуализовано там скорее всего лишь 15 первых инструкций и небольшие части самого конверта. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Что же касается "полиморфно-виртуализованного" блокнота, то виртуализовано там скорее всего лишь 15 первых инструкций и небольшие части самого конверта. :rolleyes:

Вполне возможно т.к. паковал я всё demo-версией. Но почему тогда все антивирусы так "расстроились" по этому поводу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Вполне возможно т.к. паковал я всё demo-версией. Но почему тогда все антивирусы так "расстроились" по этому поводу?

Потому что для распаковки все равно требуется пройти все слои и фичи протектора. Просто если бы виртуализации подвергался ВЕСЬ код, то сигнатурный детект распакованных бинарей был бы невозможен в принципе. Правда и скорость исполнения была бы... :lol:

Что же касается поддержки темиды в антивирусах, то поживем - увидим. <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Кстати, буквально на прошлой неделе в приватных форумах господа из Симантека утвержади, что у них есть распаковщик фемиды для "всех известных им версий". Судя по скриншотам или им известны не все версии, или распаковщик фуфловый - типа скинуть распакованый стрим, и детектить только потоковыми сигнатурами. Ну или они имели в виду in-the-lab распаковщик =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark
Все уже давно это поняли. Просто вирустотал говорит о themida, как об упаковщике - вот и проскакивает такое слово в сообщениях.

Какие, кстати, планы у KAV по осиливанию этого обфускатора?

:blink: А нафига обфускаторы детектить как вредоносы, а?

Как Вы себе представляете написание вредоносов на .NET?

В общем, закругляйтесь с ерундой!

Очень хочу понять, чем руководствуются люди, которые всячески нагадить стараются честным кодерам.

Или Вам нужно знать, что там кто написал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
:blink: А нафига обфускаторы детектить как вредоносы, а?...

Вы это о чём? :blink: Я про детект обфускаторов ничего не писал.

Дело же совсем в другом. Детектить надо вирусы. А на сегодняшний день любой вирус можно обработать этим обфускатором и он перестанет детектиться антивирусами. А зачем нам тогда эти самые антивирусы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

dr_dizel, просто лично меня смутил термин "обфускаторы"

Скрипт - пакер и обфускатор не сильно одинаковые понятия.

А вот обфускаторы в той же .NET защищают код от злоумышленника.

Если сейчас обфускаторы будут резаться - для воров настанут райские времена!

А вор и преступник - понятия для меня лично не различимые!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А вот обфускаторы в той же .NET защищают код от злоумышленника.

Скорее, делают вид, что защищают. Стоит почитать кряклабу- эти "защиты" разламываются на счёт раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Кстати, буквально на прошлой неделе в приватных форумах господа из Симантека утвержади, что у них есть распаковщик фемиды для "всех известных им версий". Судя по скриншотам или им известны не все версии, или распаковщик фуфловый - типа скинуть распакованый стрим, и детектить только потоковыми сигнатурами. Ну или они имели в виду in-the-lab распаковщик =)

Ну исходя из первой версии тестов по поддержке упаковщиков (которые теперь перекочевали сюда и выдерживают паузу вежливости :) ), Симантек начинает хвататься за иконки на всем что сложнее upx, куда уж там темиду. :D

dr_dizel, просто лично меня смутил термин "обфускаторы"

Если я правильно понял dr_dizel'a, то он имел в виду раскручивание обфускаторов, а не их детект. Так что беспокоиться вроде не о чем. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Проходил утром мимо wasm.ru. Дай, думаю, запакую подопытный copyself ещё чем-нибудь, что попадётся на глаза.

Первым в крипторах попался Obsidium. А вот и результат:

obsidium_copyself.gif

Дежавю какое-то.

post-4003-1202375420_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

Боюсь Вы так и не поняли, о чём я хотел сказать.

Обфускаторами, помимо вредителей, ещё и нормальные кодеры пользуются.

Давайте ради группки выродков по честным людям бить!

У нас их много - пары тройки не жалко!

Показали скрины, на которых от Обфусккации лечат!

А потом что?

Кстати, лично я за то, чтобы объявить TheMida вне закона. Но я против того, чтобы идти этим путём и дальше, то есть распространять опыт на Обфускаторы NET сборок!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Боюсь Вы так и не поняли, о чём я хотел сказать.

Возможно. Я думаю, что вы запутались в терминологии.

Обфускаторами, помимо вредителей, ещё и нормальные кодеры пользуются.

Давайте ради группки выродков по честным людям бить!...

Ну не надо так сразу всех выродками называть. Сокрытие внутренней логики программы может быть использовано в различных целях.

Другое дело антивирусы. Нам давно разработчики сих продуктов пели, что они могут справится с любыми вирусами - у них есть соответствующие технологии. Эти продукты разрабатываются и продаются для звщиты от вирусов. Однако когда в дело вступают обфускаторы-крипторы процессорного кода, которые позволяют любой вирус сделать неузнаваемым для ативирусов, то это ставит под сомнение целесообразность существования и покупки антивирусов. Сам факт их существования, так сказать.

Решение проблем в детекте обфускованных вирусов и ругани на легальный защищённый от исследования программный код - забота разработчиков антивирусов т.к. от этого зависит качество предлагаемого ими продукта и его предназначение. То, что антивирусы не в состоянии распознать модифицированный вирус, а могут только опознать упаковщик - результат профанации и деградации антивирусной индустрии, которая может лишь брать деньги за мифическую защиту.

Кто из них осмелится и скажет правду - "мы не можем"? Никто. Это равносильно самоубийству.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Обфускаторами, помимо вредителей, ещё и нормальные кодеры пользуются.

Давайте ради группки выродков по честным людям бить!

<...>

Кстати, лично я за то, чтобы объявить TheMida вне закона. Но я против того, чтобы идти этим путём и дальше, то есть распространять опыт на Обфускаторы NET сборок!

Погоди, с какой это стати нужно темиду объявлять вне закона? :angry: Хороший коммерческий продукт, дело свое знает хорошо. И шароварщики ею реулярно пользуются. :)

Повторяю еще раз: обфускацию предлагается не детектить, а корректно раскручивать (т.е. снимать). Раскручивать и смотреть что же там внутри, под ней. Надеюсь такой подход не встретит возражений? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Однако когда в дело вступают обфускаторы-крипторы процессорного кода, которые позволяют любой вирус сделать неузнаваемым для ативирусов, то это ставит под сомнение целесообразность существования и покупки антивирусов. Сам факт их существования, так сказать.

А, скажем, существование недетектящегося вируса тоже ставит под сомнение целесообразность существования антивирусов? ;)

К вопросу, имхо, надо подходить более комплексно, не на частных случаях. Однако с тем, что в идеале антивирусом должен поддерживаться любой протектор или обфускатор - целиком и полностью согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
×