Снова о вирусах — дубль два

Майор Очевидность · 10-02-11 13:55:08

Svart Testare,
вот, из сравнительно недавнего.
зловреду даже не обязательно подо что-то там маскироваться: исполнимый код можно просто интегрировать в «неправильный» файл данных, попытка открыть который будет приводить к запуску.

Svart Testare · 10-02-11 13:56:59

Майор Очевидность пишет:

исполнимый код можно просто интегрировать в «неправильный» файл данных

Откройте для себя DEP.
Да и потом обновления безопасности для продуктов Adobe никто не отменял.

Майор Очевидность · 10-02-11 14:20:54

Svart Testare пишет:

Откройте для себя DEP

существует как минимум две техники для обхода хардварного DEP (всяко, существовало, на тот момент когда я этим занимался, насчёт сейчас — хз, но думаю появилось ещё).
про софтварный вообще молчу.

грубый пример.
пусть мы каким-либо образом вылезли в стэк.
вместо того чтобы размещать там сразу код, можно просто подменить текущий адрес возврата на точку входа куда-нибудь, например, в Shell API, наподобие ShFileOp или ShellExecute, с параметрами, размещёнными ниже по кадру.
вуаля, код запущен, а DEP остался не у дел, поскольку из памяти мы ничего, по факту, не выполняли.

Svart Testare · 10-02-11 14:22:52

Майор Очевидность,
Осталось найти реально работающий вирус.

Майор Очевидность · 10-02-11 14:23:35

Svart Testare,
я ж выше приводил.
реально работающий proof-of-concept.
последнее моё сообщение было к тому, чтобы Вы не уповали на NX-бит как на панацею smile

Svart Testare · 10-02-11 14:46:08

Майор Очевидность пишет:

чтобы Вы не уповали на NX-бит как на панацею

То, что вы привели по ссылке про PDF, не имеет отношения к DEP вообще, и тем более не имеет отношения к автозапуску, которому посвящена тема.
И потом, вот эта загадочная фраза:

Майор Очевидность пишет:

пусть мы каким-либо образом вылезли в стэк

Майор Очевидность пишет:

можно просто подменить текущий адрес возврата на точку входа куда-нибудь

ASLR, не?

Реально работающих вирусов, использующих ваши теоретические выкладки, не существует. На бумаге всегда всё гладко, а на деле ничего нет.

Майор Очевидность · 10-02-11 14:56:16

Svart Testare пишет:

То, что вы привели по ссылке про PDF, не имеет отношения к DEP вообще

ну так не я про него первым вспомнил)

Svart Testare пишет:

ASLR, не?

не.

во-первых, в целях совместимости, во всех Windows, начиная с Vista, он по умолчанию выключен, и включается только для тех приложений, которые прошли специальную линковку, это дело поддерживающую.
во-вторых, даже если он и включён, ошибки проектировки могут свести всю пользу на нет.
об этом, как говорит Википедия, MS уже предупреждали ребята из Symantec.

Svart Testare пишет:

Реально работающих вирусов, использующих ваши теоретические выкладки, не существует.

верьте в то, во что считаете нужным smile

Svart Testare · 10-02-11 15:17:53

Майор Очевидность пишет:

верьте в то, во что считаете нужным

Я верю в факты. А факты показывают, что такого рода вирусов нет, а те что есть — результат пренебрежения элементарными правилами безопасности. Поэтому меня умиляют всякие истерики типа той, что устроил Дублон.

SemyonKozakov · 10-02-11 16:25:18

Svart Testare пишет:

А факты показывают, что такого рода вирусов нет, а те что есть — результат пренебрежения элементарными правилами безопасности.

Ёманарот... То их нет, то они есть, а юзер ССЗБ.. Сварт, вы умудряетесь противоречить самому себе! Включите логику!

P.S Вам пример вируса нужен? Да пожалуйста! Вы всерьёз думаете, что их не существует?
Итак, зараза. Называется: "поддельный архиватор"!
Смотрим внимательно скрины и тихо хуеем!

Майор Очевидность · 10-02-11 16:32:27

SemyonKozakov,
мне, кстати, удалось у такого чуда из ресурсной секции вытащить содержимое, даже не запуская.
что характерно, файл был запихан просто так, безо всяческого сжатия или шифрования.
другое дело в том, что искомая PDFка содержала не тот роман, что был нужен, а какую-то бульварную прозу.

и, да.

Svart Testare пишет:

факты показывают, что такого рода вирусов нет

какого именно «такого»?

с обходом DEP/ASLR?
да сколько угодно.
маскирующегося под данные?
уже приводил ссылку.
а вот ещё, из той же оперы.
использующий социальную инженерию?
см. на пост выше.

Rorschach · 10-02-11 16:39:04

SemyonKozakov, Дык я ему и ппытался объяснить, что файл с 2-ым расширением можно сделать под любым соусом и не только поддельный архиватор.
Майор Очевидность, Да тамщта лечится изменением в HEX редакторе нескольких байт на значение FF. Правда там чего только не находилось - от малваря до японских яойных комиксов. Всего кроме нужной мне информации.

Svart Testare · 10-02-11 17:15:46

SemyonKozakov пишет:

Вам пример вируса нужен? Да пожалуйста!

Как вирус называется? Скрины псевдоархиватора ни о чём не говорят.
Будет название вируса — будет и разговор.

Майор Очевидность пишет:

с обходом DEP/ASLR?
да сколько угодно.

Названий конкретных вирусов там нет. Случаев заражения тем более.
PDF-вирусы работают на непатченых Акробатах. Установка обновлений безопасности, в т.ч. и для сторонних продуктов — это то, о чём я писал — часть элементарных правил безопасности и поддержания ПО в актуальном состоянии.
И, кстати, как-то всё плавно съехало у вас с Windows на продукты Adobe smile

Rorschach · 10-02-11 17:19:26

Svart Testare пишет:

Как вирус называется? Скрины псевдоархиватора ни о чём не говорят.
Будет название вируса — будет и разговор.

Т.е. более 10000 школьных малварей, при том безымянных не в счет? Или нам свои компы заражать и чистить?

Svart Testare · 10-02-11 17:26:40

Skynet2015 пишет:

Т.е. более 10000 школьных малварей, при том безымянных не в счет?

Читаем выше, что я написал: соблюдение простых правил безопасности сводит на «нет» все эти мальвари. И фича, заключающаяся в отображении расширений здесь не при чём.

Lord_Evil · 10-02-11 17:27:51

Skynet2015, зачем свои? Дай ты Сварту вирус, раз он его так хочет. В виртуалке поганяй, найди хороший и дай smile

Svart Testare · 10-02-11 17:31:22

Lord_Evil пишет:

Skynet2015, зачем свои? Дай ты Сварту вирус, раз он его так хочет.

Вот уже давно прошу, а мне в ответ какие-то фантастические истории рассказывают и страшилки разные smile

SemyonKozakov · 10-02-11 17:31:33

Skynet2015 пишет:

Будет название вируса — будет и разговор.

То есть Великий скринов не видел, а ссылку на псевдосайт, где этих вирусов жопой жуй, проигнорировал Великим Избирательным Зрением? Ладно, будут вам название. Dr.Web классифицирует подобного рода программы как Tool.SMSSend.2

З.Ы Кстати, хвалёный-перехвалёный MSE вирус не опознал!

Rorschach · 10-02-11 17:32:50

Svart Testare пишет:

Вот уже давно прошу

См ниже

Svart Testare · 10-02-11 17:38:04

SemyonKozakov пишет:

а ссылку на псевдосайт

Вы не давали ссылку на сайт — только 3 невнятных скриншота.
И, к слову, как показ расширений спасёт пользователя-дебила от этого мошенника?

Майор Очевидность · 10-02-11 17:38:09

Svart Testare пишет:

Названий конкретных вирусов там нет.

а вот и есть.
дата первого обнаружения в Сети — 9 января текущего года.

SemyonKozakov · 10-02-11 17:39:27

Svart Testare пишет:

Вы не давали ссылку на сайт — только 3 невнятных скриншота.

На скриншотах адрес псевдосайта виден очень хорошо. Если опять сработает избирательное зрение, то адрес сайта: google.stimuletall.com/

Svart Testare · 10-02-11 17:41:43

Майор Очевидность пишет:

а вот и есть.

Что там есть? По ссылке кроме названия некоего вируса и его контрольных сумм нет ничего — ни описания как он работает, ни распространённость, ни способы заражения. Вообще ничего! smile

Rorschach · 10-02-11 17:41:44

Svart Testare пишет:

И, к слову, как показ расширений спасёт пользователя-дебила от этого мошенника?

Ну Сварт, какбэ если вместо иконки внизу будет показано двойное расширение, то тетя Зина подумает - а почему у меня везде мое_домашнее_порно.жпг а тут мое_домашнее_порно.жпг.екзе? И Скорее всего проверит антивирусом.

SemyonKozakov · 10-02-11 17:41:56

Svart Testare пишет:

И, к слову, как показ расширений спасёт пользователя-дебила от этого мошенника?

"Пользователя-дебила" не спасёт даже изоляция компьютера на 100 м. под землю и установка Линукса. А пользователь-недебил не откроет архив в формате .exe smile

Rorschach · 10-02-11 17:43:38

Svart Testare пишет:

Что там есть? По ссылке кроме названия некоего вируса и его контрольных сумм нет ничего — ни описания как он работает, ни распространённость, ни способы заражения. Вообще ничего!

О как юлим, но у вас уже 2 названия вроде как есть. Погуглите, скачайте и проведите тест, а то в какую-то глухую несознанку..

Форум StopLinux

Объявление

#451 10-02-11 13:55:08

Re: Снова о вирусах — дубль два

#452 10-02-11 13:56:59

Re: Снова о вирусах — дубль два

#453 10-02-11 14:20:54

Re: Снова о вирусах — дубль два

#454 10-02-11 14:22:52

Re: Снова о вирусах — дубль два

#455 10-02-11 14:23:35

Re: Снова о вирусах — дубль два

#456 10-02-11 14:46:08

Re: Снова о вирусах — дубль два

#457 10-02-11 14:56:16

Re: Снова о вирусах — дубль два

#458 10-02-11 15:17:53

Re: Снова о вирусах — дубль два

#459 10-02-11 16:25:18

Re: Снова о вирусах — дубль два

#460 10-02-11 16:32:27

Re: Снова о вирусах — дубль два

#461 10-02-11 16:39:04

Re: Снова о вирусах — дубль два

#462 10-02-11 17:15:46

Re: Снова о вирусах — дубль два

#463 10-02-11 17:19:26

Re: Снова о вирусах — дубль два

#464 10-02-11 17:26:40

Re: Снова о вирусах — дубль два

#465 10-02-11 17:27:51

Re: Снова о вирусах — дубль два

#466 10-02-11 17:31:22

Re: Снова о вирусах — дубль два

#467 10-02-11 17:31:33

Re: Снова о вирусах — дубль два

#468 10-02-11 17:32:50

Re: Снова о вирусах — дубль два

#469 10-02-11 17:38:04

Re: Снова о вирусах — дубль два

#470 10-02-11 17:38:09

Re: Снова о вирусах — дубль два

#471 10-02-11 17:39:27

Re: Снова о вирусах — дубль два

#472 10-02-11 17:41:43

Re: Снова о вирусах — дубль два

#473 10-02-11 17:41:44

Re: Снова о вирусах — дубль два

#474 10-02-11 17:41:56

Re: Снова о вирусах — дубль два

#475 10-02-11 17:43:38

Re: Снова о вирусах — дубль два

Подвал форума