vaber

Срибзи и др.: поиск истины

В этой теме 24 сообщений

Я ещё не говорю о самых крутых ботах, которые обходят все без исключения, тот же Reactor Mailer от SMP, например, который я раньше уже назвал - 'custom написанный TCP/IP стек' - (Лозунг автора: 'Наши письма доходят всем').

p2u, хватит писать бредятину, а? Прочитайте еще раз то, что Вы нагуглили и попытайтесь понять, прежде чем писать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u, хватит писать бредятину, а? Прочитайте еще раз то, что Вы нагуглили и попытайтесь понять, прежде чем писать.

Я писал о файрволах и о сокс-ботах, которые их обходят если антивирус не познаёт их. Что тут не так? В чём бредятина? Я скромный человек - всегда готов чему-то научиться. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я писал о файрволах и о сокс-ботах, которые их обходят если антивирус не познаёт их. Что тут не так? В чём бредятина? Я скромный человек - всегда готов чему-то научиться. smile.gif

Reactor Mailer - не бот.

Это какой трой обходит всё без исключения? Reactor Mailer ? Гугли на тему, что такое Reactor Mailer. 1-ая и 2-ая ссылка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Reactor Mailer - не бот.

Это какой трой обходит всё без исключения? Reactor Mailer ? Гугли на тему, что такое Reactor Mailer. 1-ая и 2-ая ссылка.

Неужели вы так низко обо мне думаете, vaber, чтобы я не проверял сначала то, что пишу? Голословно я в жизни ещё никогда ничего не писал. Я знаю кто такой - Srizbe (на самом деле вариант второго рустока), но он лишь конверт.

P.S.: На разных тёмных ресурсах Интернета есть свои эксперты, которые дают вердикты для предлагаемых зловредов: либо 'палится', либо 'не палится' - на основание этих вердиктов делается тот бизнес, с которым вы боритесь. На одном из них, среди других зловредов, они тестировали вариант Reactor Mailer (так там его обозвали), и тот обошёл ВСЕ тестируемые файрволы/комбайны (Agava, Ashampoo, Bitdefender, Comodo, Filseclab, F-secure, KIS, Outpost, Sunbelt, Sygate и ZoneAlarm). Зловред тестировали против этих программ защиты с настройками по умолчанию, так как именно этот вариант окупается. Там назвали комплект Reactor Mailer ботом. Вы допускаете, что там троев от ботов отличать не умеют? :)

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Неужели вы так низко обо мне думаете, vaber, чтобы я не проверял сначала то, что пишу? Голословно я в жизни ещё никогда ничего не писал. Я знаю кто такой - Srizbe (на самом деле вариант второго рустока), но он лишь конверт.

P.S.: На разных тёмных ресурсах Интернета есть свои эксперты, которые дают вердикты для предлагаемых зловредов: либо 'палится', либо 'не палится' - на основание этих вердиктов делается тот бизнес, с которым вы боритесь. На одном из них, среди других зловредов, они тестировали вариант Reactor Mailer (так там его обозвали), и тот обошёл ВСЕ тестируемые файрволы/комбайны (Agava, Ashampoo, Bitdefender, Comodo, Filseclab, F-secure, KIS, Outpost, Sunbelt, Sygate и ZoneAlarm). Зловред тестировали против этих программ защиты с настройками по умолчанию, так как именно этот вариант окупается. Там назвали комплект Reactor Mailer ботом. Вы допускаете, что там троев от ботов отличать не умеют? smile.gif

Опять же, продолжение писанины и показ своей абсолютной некомпетентности. Очень жаль, что Вы тех скрипт-кидди причисляете к экспертам. Продолжайте в том же духе.

З.Ы. Чтобы не было продожения, советую не приводить здесь "кто что и где написал", а включить собственный мозг - взять того самого сризби и того самого рустока и самостоятельно все проверить. Делов-то ;).

  • Downvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Очень жаль, что Вы тех скрипт-кидди причисляете к экспертам. Продолжайте в том же духе.

Да, надо было, пожалуй, взять слово 'эксперты' в ковычках - извиняюсь... :)

З.Ы. Чтобы не было продожения, советую не приводить здесь "кто что и где написал", а включить собственный мозг - взять того самого сризби и того самого рустока и самостоятельно все проверить. Делов-то ;).

Я всегда рад принимать совет настоящего экперта!

Продолжать писать в данной теме действительно не имеет смысла - вы правы; не буду больше показать свою 'абсолютную некомпетентность', 'бредятину', и пр. Даже не буду приводить высказывания EP_X0FF по этому поводу. Сами найдёте если желание есть.

А насчёт самостоятельной проверки - меня лично зловреды и их научная категоризация мало интересуют. Самое главное вовремя и правильно удалить потом у клиентов дома, правильно?

P.S.: Вам лично желаю удачи в бесконечной борьбе со зловредами. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Коллеги, давайте без взаимных претензий. Нам сейчас нужно определиться с набором методов обхода фаерволов, а после этого подобрать под этот набор вредоносы. Это серьезная задача и здесь будет полезна любая помощь, если мы, конечно, хотим сделать этот тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Коллеги, давайте без взаимных претензий. Нам сейчас нужно определиться с набором методов обхода фаерволов, а после этого подобрать под этот набор вредоносы. Это серьезная задача и здесь будет полезна любая помощь, если мы, конечно, хотим сделать этот тест.

Тогда я бы настаивал на несколько вариантов Srizbi. Но надо определиться с терминологией, так как вендоры называют одно и то же совсем по другому: Analysis of Srizbi Malware (ссылка на pdf-документ, не создан скрипт-киддами).

Например:

BitDefender

Образец 1 (Srizbi_my_fotos.exe) (получен в Апреле 2008 г.): Trojan.Srizbi.CA

Образец 2 (8413d1a877a7cbab0d0675aa7bbe6163) (получен в Октябре 2008 г.): Trojan.Srizbi.Dropper.1.Gen

Это ещё понятно когда зловред работает точно по такому же принципу. А теперь:

Kaspersky Anti-Virus 2009

Образец 1 (Srizbi_my_fotos.exe) (получен в Апреле 2008 г.): Trojan.Win32.Srizbi.s

Образец 2: (8413d1a877a7cbab0d0675aa7bbe6163) (получен в Октябре 2008 г.): Не детектируется даже сканом, но при выполнении зловреда обнаруживается mickey32.sys как Rootkit.Win32.Qandr.jg

В связи с наездами раньше в данном топике боюсь даже спрашивать: А что это теперь на самом деле? Видно будет из документа, что тип запуска и дальнейшее развитие ну очень похоже - (у меня нет сомнения совсем, что автор концепта один и тот же), только имена запускаемых файлов другое, и номера портов куда соединяется зловред тоже. На всех контролирующих серверах, куда коннектились эти зловреды были обнаружены следующие файлы:

* 47B105-312F3D-740193

* 9FE5A8-C8BD2F-9F0193

* D9F128-F41009-260120

* CC73D3-6166C5-330107

* 461F4B-CB112E-460107

* 56E124-3BD93C-9A0107

Не была установлена цель этих файлов. Все остальные условия одинаковы. Принято назвать серверную часть Srizbi 'Reactor Mailer'. В документе всего 2 образца клиентской части. Видимо код Srizbi модифицируется постоянно и код его дропперов тоже.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ботнет Сризби вроде как полег, наверно есть вероятность что чего-то работать неправильно будет..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ботнет Сризби вроде как полег, наверно есть вероятность что чего-то работать неправильно будет..

Сризбяка в тест особой нужды брать нет. Сризби - это драйвер. Если он драйвер загружает - блокировать его деятельность фаервол уже не сможет. Стоит вообще запомнить одну простую истину - борьба заканчивается тогда, когда вредоносный код проник в ринг 0. Поэтому задача современных фаерволов для домашников - не допустить попадания трояна на самый низкий уровень. Точнее говоря, задача ХИПС, который уже по-определению присутствует в современных брандмауэрах.

Сризбяка можно заюзать как простой пример загрузки драйвера - там все просто - создание драйвера в system32\drivers и загрузка через SCM:

KERNEL32.CreateFileA

ADVAPI32.OpenSCManagerA

ADVAPI32.CreateServiceA

ADVAPI32.StartServiceA

Такой способ загрузки "спалят" я думаю все фаерволы - хипс (во всяком случае все нормальные). Для других целей этого спамбота использовать смысла не имеет.

Принято назвать серверную часть Srizbi 'Reactor Mailer'

Ну вот - сами себе противоречите ;) Сначала одно пишете,потом сами же выгуглили другое :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Василий ну предлагайте тогда какие малвары использовать, вы ближе находитесь ко всяким вирусякам чем большинство туташних завсегдатаев=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Такой способ загрузки "спалят" я думаю все фаерволы - хипс (во всяком случае все нормальные). Для других целей этого спамбота использовать смысла не имеет.

Я вам выше уже говорил, что новые варианты обходят ВСЕ файрволы/комбайны с настройками по умолчанию, но вы, даже не проверив, сделали заранее уже свои выводы о качестве меня как собеседника в этом вопросе. Может быть стоит действительно более серьёзно относиться и обнаруживаем, что надо бы прикрутить настройки по умолчанию немного? Это был бы действительно тест в пользу народа. Исходя из этого *стоит* провести такие тесты. Но это уже вопрос философии, конечно - хороший маркетинг с этих тестов вряд-ли получится...

Ну вот - сами себе противоречите ;) Сначала одно пишете,потом сами же выгуглили другое :)

'Выгуглил' я не значение понятия 'Reactor Mailer', vaber, а доказательство моих интуитивных предположений - Srizbi жив и здоров, и вендоры с его развитием не справляются. Интересно, что автору Srizbi удаётся ввести разных вендоров в заблуждение; у кого-то какие-то варианты называются Троянами, у кого-то ещё руткитами, бэкдорами, и т.д., а сходность они НЕ видят, иначе они бы группировали немного по-другому. У меня такое впечатление, что вокруг Srizbi такая же неразбериха на самом деле, как вокруг Рустока. Но это опять философский вопрос...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я вам выше уже говорил, что новые варианты обходят ВСЕ файрволы/комбайны с настройками по умолчанию, но вы, даже не проверив, сделали заранее уже свои выводы о качестве меня как собеседника в этом вопросе. Может быть стоит действительно более серьёзно относиться и обнаруживаем, что надо бы прикрутить настройки по умолчанию немного? Это был бы действительно тест в пользу народа. Исходя из этого *стоит* провести такие тесты. Но это уже вопрос философии, конечно - хороший маркетинг с этих тестов вряд-ли получится...

Паул, Паул, Паул...

Вы кроме себя кого-то слышите? Я вот не пойму - откуда у Вас такая вера в правильность того, что Вы где-то прочитали? Вот скажите - с чего Вы взяли, что я пишу что-то не проверив? Я именно это и сделал - взял несколько десятков сризбяков, пришедших за последние полтора месяца и проверил. Я Вам конкретно написал способ загрузки драйвера и конкретно ответил, что в таком способе нет ничего интересного. Не верите? Ну да ладно, мне все-равно :). Просто можно было выбрать другой путь - взять у хелперов на вирьинфо семпл и тогда самому убедиться...но Вы и это не хотите сделать.

'Выгуглил' я не значение понятия 'Reactor Mailer', vaber, а доказательство моих интуитивных предположений - Srizbi жив и здоров, и вендоры с его развитием не справляются.

Это сейчас к чему? Вы же Выше писали "Я ещё не говорю о самых крутых ботах, которые обходят все без исключения, тот же Reactor Mailer от SMP", потмо же пишите "Принято назвать серверную часть Srizbi 'Reactor Mailer'". Как говорится - почувствуй разницу :). Далее, о том что сризби мертв я где то- писал? Он до сих пор попадается на машинах пользователей. Вам указывают на ошибки, Вы же в свою очередь как ответ приводить совершенно другую информацию. Я указал на противоречие в Ваших словах о Reactor Mailer - Вы мне в ответ пишите, что сризби жив...Где логика?

Интересно, что автору Srizbi удаётся ввести разных вендоров в заблуждение; у кого-то какие-то варианты называются Троянами, у кого-то ещё руткитами, бэкдорами, и т.д., а сходность они НЕ видят, иначе они бы группировали немного по-другому. У меня такое впечатление, что вокруг Srizbi такая же неразбериха на самом деле, как вокруг Рустока. Но это опять философский вопрос...

А это как относится к теме обсуждений? Интересует классификация малвар - пожалуйста, есть для этого отдельная тема :).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто можно было выбрать другой путь - взять у хелперов на вирьинфо семпл и тогда самому убедиться...но Вы и это не хотите сделать.

А мне не надо ни у кого ничего брать. Я целыми днями сам удаляю эти вещи у клиентов.

P.S.: Как эти семплы попали вообще в базу вирьинфо у хелперов если все программы защиты так великолепно защищают против вами приведённого (достаточно стереотипного, правильно?) типа запуска, скажите? Проблема, может быть, в том как именно они распространяются? (загрузчики, эксплоиты и т.д., которые просто удаляются как только зловред установлен?) Они и попадаются на компах, где установлено 'то, что надо' и даже у не самых глупых юзеров, которые всё, что стоит на компе обновляют как надо... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А мне не надо ни у кого ничего брать. Я целыми днями сам удаляю эти вещи у клиентов.

Какое это имеет отношение к способу инсталляции о коим шла речь?

P.S.: Как эти семплы попали вообще в базу вирьинфо у хелперов если все программы защиты так великолепно защищают против вами приведённого (достаточно стереотипного, правильно?) типа запуска, скажите?

=) а у кого из программ защиты есть анализ системных событий (проактивка)? А стоят ли такие приложения у всех, кто обращается в Помогите? А какой ответ на алерте выберет пользователь? А не отключил ли он ту самую защиту,чтобы голову не пудрила? А была ли пропатчена система? В этом проблема. И. касаемо сабжа - тест это не будет учитывать - тест проверяет качество продукта, а не пользователя :)

Проблема, может быть, в том как именно они распространяются? (загрузчики, эксплоиты и т.д., которые просто удаляются как только зловред установлен?)

Это тоже не имеет отношение к способу инсталляции.

Они и попадаются на компах, где установлено 'то, что надо' и даже у не самых глупых юзеров, которые всё, что стоит на компе обновляют как надо... wink.gif

Об этом написал чуть выше - фаервол/хипс/антивирус не могут думать за пользователя.

З.Ы. Просьба к модератором перенести часть сообщений (большую) куда-нить в другое место, т.к. енто глубокий оффтоп.

З.Ы.Ы. Конкретно для Паула:

Меньше верьте тому что пишут (как известно на заборе тоже написано ;)), включайте голову и пытайтесь анализировать. И прекратите в споре постоянно перепрыгивать с одной обсуждаемой темы на другую ;).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тема выделена отсюда по взаимной договоренности с Василием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Проблема, может быть, в том как именно они распространяются? (загрузчики, эксплоиты и т.д., которые просто удаляются как только зловред установлен?)
Это тоже не имеет отношение к способу инсталляции.

Интересное утверждение; может быть не к самому способу инсталляции, а к (не)способности программ защиты в момент эксплойта реагировать на этот способ инсталляции как надо? Эксплойт же всё-таки эксплойт, нет?

включайте голову и пытайтесь анализировать.

Именно это я и пытаюсь делать; поэтому я задаю вопросы, которые, возможно, для вас глупо звучат. Но я не стесняюсь делать этого - часто исход - неплохой, и заставляет других тоже включить мозг... Отдельные детали меня всегда мало интересуют; я люблю смотреть на общие принципы. Согласитесь - сколько семплов можно ещё собирать? :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Интересное утверждение; может быть не на сам способ инсталляции, а на (не)способность программ защиты в момент эксплойта реагировать на этот способ инсталляции как надо? Эксплойт же всё-таки эксплойт, нет?

В нашем контексте эксплоит - это шеллкод, что скачивает и запускает всякую дрянь. Эта дрянь обычно самостоятельна. Если она вызывает некоторые функции, что палятся хипсом, то дрянь не пройдёт незамеченной. Сризбяк грузит драйвер через SCM, что должно палиться хипсом, если с ним всё нормально. Другое дело - вынести хипс (а это ещё нужно уметь), а потом всё грузить. Может быть ещё организация заручивания посредствои эксплоита, что дальше будет содействовать сокрытию дряни. Но тут уже речь не о сризби, а о конвертовых руткитах и эксплоитах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если она вызывает некоторые функции, что палятся хипсом

Спасибо. Это уточнение как раз хотел услышать. Не исключено, что есть и другие функции, значит, которые при определённых обстоятельствах возможно и НЕ палятся.

P.S.: Предполагать, что все юзеры ('наши клиенты', скажем так) - тупые, и что только они виноваты в установке зловредов слишком лёгкий обход во избежание решения настоящих проблем... :)

Но тут уже речь не о сризби, а о конвертовых руткитах и эксплоитах.

Я вижу все эти зловреды лишь как часть всего-то другого. Для меня они отдельно никого значения не имеют. На чистом компе (желательно ещё на VMWare и в руках экспертов) ни один самостоятельно не пройдёт - возможно. Но на практике я вижу другое..

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не исключено, что есть и другие функции, значит, которые при определённых обстоятельствах возможно и НЕ палятся.

Мы говорим о сризби? Так дайте сэмпл такого vaber-у. Пусть он познает путь дао. Чего тут словоблудить? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мы говорим о сризби? Так дайте сэмпл такого vaber-у.

Нет. Мы говорим о связке, частью которой он является. Пока об этом ничего не известно, всё остальное не имеет даже смысла тестировать. Это будет такая же показуха как с ликтестами.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не исключено, что есть и другие функции, значит, которые при определённых обстоятельствах возможно и НЕ палятся.

спасибо, рассмешили - можно на баш орг =)). Вы понимаете о каких функциях идет речь?

P.S.: Предполагать, что все юзеры ('наши клиенты', скажем так) - тупые, и что только они виноваты в установке зловредов слишком лёгкий обход во избежание решения настоящих проблем... smile.gif

Это к чему? Ответ на какой-то Ваш собственный мысленный вопрос?

Мы говорим о сризби? Так дайте сэмпл такого vaber-у. Пусть он познает путь дао. Чего тут словоблудить? biggrin.gif

=)))

Пока об этом ничего не известно...

Вы наверное имели ввиду, что Вам не известно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы понимаете о каких функциях идет речь?

Автор этот - с юмором, видимо. Когда зловред уже установлен, он испольует разные необычные функции, например, wsprintfA(), старая функция из Win 3.1/95, которая при определённом использовании вызвает переполнение буффера, и ещё парочку таких. Но собрать всё в совокупность (особенно то, что происходит ДО установки) это уже ваша работа, не - моя. :)

Это к чему? Ответ на какой-то Ваш собственный мысленный вопрос?

Я сам-то знаю как защищать свой комп, даже без программ защиты, чтобы ничего такого на комп не попало. :)

P.S.1: Серьёзный вопрос: Есть ли точная инфа о том, что ещё приходит когда глупый юзер щёлкает на, допустим 'фото.exe от Леночки'? Дело в том, что часто кроме фото.exe ещё скачивается всякий незначительный мусор, который умелый юзер тоже должен отправить в Лаб.

P.S.: Хотя речь в картинке не идёт о Srizbi, показываю её просто как пример, чтобы было ясно:

virwin32exeju1.gif

Картинку PLCist когда-то повесил на форуме ЛК.

P.S.2: Я искренне надеюсь, что в тестах вы не будете чистые семплы установить на VMWare, а что будут настоящие походы по сайтам, где установлен MPack... :)

Paul

Отредактировал Umnik
картинка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Когда зловред уже установлен, он испольует разные необычные функции, например, wsprintfA(), старая функция из Win 3.1/95, которая при определённом использовании вызвает переполнение буффера, и ещё парочку таких. Но собрать всё в совокупность (особенно то, что происходит ДО установки) это уже ваша работа, не - моя. smile.gif

=)

Серьёзный вопрос: Есть ли точная инфа о том, что ещё приходит когда глупый юзер щёлкает на, допустим 'фото.exe от Леночки'? Дело в том, что часто кроме фото.exe ещё скачивается всякий незначительный мусор, который умелый юзер тоже должен отправить в Лаб.

Все зависит от того, что там, в этом 'фото.exe от Леночки'.Если там эксплоит и браузер пользователя не пропатчен, то зальется все то, что должен был залить эксплоит и запустится на исполнение. Если же там просто .exe и пользователь запустит то, что скачает - то будет установлено то, что представляет из себя этот .exe - дроппер, давнлодер, троян, адварь и т.п. Загрузит оно что-то еще - все зависит от функционала малвари.

Я искренне надеюсь, что в тестах вы не будете чистые семплы установить на VMWare, а что будут настоящие походы по сайтам, где установлен MPack... smile.gif

Все зависит от типа тестирования - там где это не имеет значения, естественно использоваться не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS