# кто курил рустока?

Тема в разделе "WASM.HEAP", создана пользователем kaspersky, 14 май 2008.

Статус темы:
Закрыта.
  1. crypto

    crypto Active Member

    Публикаций:
    0
    Регистрация:
    13 дек 2005
    Сообщения:
    2.533
    stavrogin
    Оффтоп
    Кстати, Крыжополь реально существует неподалеку от границы Украины по-соседству с замечательными нас.пунктами Крикливцем, Четвертиновкой и Ладыжинской исправительной колонией №39.
     
  2. stavrogin

    stavrogin New Member

    Публикаций:
    0
    Регистрация:
    3 июн 2008
    Сообщения:
    4
    значит все правильно
    ПС. все там будем
     
  3. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    надо было бы кому нибудь - нашли бы.
     
  4. PROFi

    PROFi New Member

    Публикаций:
    0
    Регистрация:
    13 июл 2003
    Сообщения:
    690
    kaspersky

    > сети была шумиха о том что код NT 4.0 проворонили
    Это было скзано для сравнения доступности информации у 3х категорий пользователей.

    > и server 2008 тоже.
    Хотелось бы взглянуть, хотя ... дебеггер чаще на более понятном языке говорит.


    drmad

    > http://www.viruslist.com/ru/analysis?pubid=204007614 - бред какой-то, сборка информации по кускам - статьи не понял.

    Вот фраза:
    Это получается что в лаборатории Касперского работают "крутые" эксперты. Может уволить 4х и нанать 1го нормального и дать ему зарплату 4х :)

    Или вот эта: "Драйвер Agent.ddl работает с виртуальным устройством TCP/IP напрямую из нулевого кольца, в результате чего исходящий с машины трафик при активном заражении невозможно обнаружить с помощью некоторых снифферов/межсетевых экранов. "

    Что это за виртуальное устройство такое крутое (со слешем внутри имени) которое не обнаруживается с помощью некоторых снифферов/межсетевых экранов. Т.е. вся проактивная сетевая защита идет лесом или как? - Так зачем их вообще тогда ставить - для красоты.

    В целом грамотно настроеная система Windows может серьезно противостоять и троянам и вирусам, другое дело что проще установить антивирус и надеяться на удачу ...
     
  5. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    PROFi
    >> и server 2008 тоже.
    > Хотелось бы взглянуть, хотя ... дебеггер чаще на более понятном языке говорит.
    самолично видел на блоге одного из сотрудников ms линк на ftp и маляву, что в гробу он вертел эту ms, что она его поимела и он ее помеет тоже... по линку была пара архивных файлов на очень много гибайт (точно не помню, но один вроде что-то около 7ми гектар - сорцы сервера в поставке core, второй около 4х гектар - все тузлы для его сборки), учитывая, что у меня 1 метр == 1 рубль, качать столько гектар я не стал. действительно, дебаггер + символьная инфа - ну что еще нужно для щастья? на следующий день (или где-то так) линк был уже мертв, но некоторые мои знакомые его уже успели утянуть и потверждают, что сервер действительно собирается, только там нет инсталляшки, но все работает, т.к. если например, заменить ядро "родного" сервера на собранное своими руками, то оно будет работать. я у них просил прислать ядро с дебужной инфой, ну посмотрел на него... ну там той инфы чуть больше чем символьной информации, в сорцах черт ногу не разберет... одна только процедура диспетчеразации исключений раскидана больше чем по ста файлом плюс хидеры. короче, понять как она работает по сорцам - это нужно быть очень крутым гуру. по мне так дизасм + дебагер намного лучше ;) в принципе, если у тебя толстый канал, могу их попросить временно выложить файлы куда нидь. все равно они из китая и им америка не страшна :derisive:))

    но по слухам, эти файлы уже выложены на многие китаезные сайты и закинуты в файло-обменные сети. и что их уже скачали все кому это нужно ;)

    > Или вот эта: "Драйвер Agent.ddl работает с виртуальным устройством TCP/IP напрямую
    серьезно? а он случаем не с NDIS работает?! это ж как надо было укуриться, чтобы спутать NDIS с TCP/IP?! или это они не о рустоке говорят?!

    > исходящий с машины трафик при активном заражении невозможно обнаружить
    > с помощью некоторых снифферов/межсетевых экранов. "
    забыли сказать: _локальных_ снифферов. сниффер на соседней машине все это дело прекрасно видит. это вам не рутковская с ее стелсированием трафика, которое хрен обнаружишь, особенно если не знаешь ключа шифрования... локальные снифферы, работающие ниже, чем NDIS так же все прекрасно видят. и фаеры, устанавливающие виртуальную сетевую карту, - тоже видят. KAV Firewall - или как он там называется?! ес-но ни хвоста не видит ;)

    > В целом грамотно настроеная система Windows может серьезно противостоять
    > и троянам и вирусам, другое дело что проще установить антивирус
    > и надеяться на удачу ...
    ага, особенно если вспомнить про дыры с TCP/IP стеке, которых особенно много в висле.
    как ни крути настройки, а червь придет через дыру и поселиться на нулевом этаже ;)
    конечно, поймать любого червя - можно и без антивируса, но... защититься от него...
    увы... разве что писать свою ось без дыр ;))) другой вопрос, что _большинство_ малвари
    юзает давно известные дыры, для которых есть заплатки, но большинство != все.
     
  6. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    ВОТ ОНИ:

    http://it4business.ru/img/lenta/vista_source.gif

    P.S. Тебе не приснилось? ;)
     
  7. green

    green New Member

    Публикаций:
    0
    Регистрация:
    15 июл 2003
    Сообщения:
    1.217
    Адрес:
    Ukraine
    kaspersky
    google пока молчит...
    Если можешь, дай какую-нить наводку, плиз.
     
  8. CreatorCray

    CreatorCray Member

    Публикаций:
    0
    Регистрация:
    5 авг 2006
    Сообщения:
    201
    Присоединяюсь
    Собирать оно мне нафиг не надо - а вот поизучать как оно там работает было бы интересно.
     
  9. VladUA

    VladUA New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2008
    Сообщения:
    1
    Да, можно скинуть ссылку на сорцы для ознакомительных целей
     
  10. k3internal

    k3internal New Member

    Публикаций:
    0
    Регистрация:
    11 янв 2007
    Сообщения:
    607
    Народ. Вот я всю эту фихню прочитал, и нифига понять нимагу.
    1. И кантора дрВэба и кал для анализа собрали одинаковое число сэмплов. Это как ? они чево, вместе пользуются одними и теми же сетями или на компе стоят одновременно 2 авиря?
    2. Кал расковырял бота за 8,5 дней. Афттар(ботмейкер) лох?
    3. Почему только 600 образцов???? Не потому ли, что автор далеко не лох, и создал новую модификацию совершенно иными привязками,а те 600 образцов это то, что не успело заапдейтиться и уничтожиться?
    ка вы думаете ?
     
  11. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    sww_
    green
    CreatorCray
    VladUA
    > P.S. Тебе не приснилось? ;)
    не сезон еще, чтобы я до такой степени укурился ;)
    у меня самого исходников нет. те, у кого они есть обещали выложить на httx://cfans_0_ft.cn/
    надеюсь, мне никто из модеров ничего не оторвет ;)
     
  12. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    забыл сказать, что там нужно будет сначала зарегистриться, чтобы увидеть и утянуть файло. сколько он там проваляется - хз, пока не прибьют.
     
  13. Twister

    Twister New Member

    Публикаций:
    0
    Регистрация:
    12 окт 2005
    Сообщения:
    720
    Адрес:
    Алматы
    Ссылку на сорцы можно кинуть только в личку. Иначе придется ее снести.
     
  14. ne_veru_averam

    ne_veru_averam New Member

    Публикаций:
    0
    Регистрация:
    6 июн 2008
    Сообщения:
    16
    k3internal
    Самый здравый пост за псоследние 4 страницы.
    kaspersky тоже верно говорит.

    Не верю я во всю эту фигню.
    Вот вам точка зрения человека, не связанного с аверами,
    т.к. сказать стороннего реверсера, ранее писавшего пакеры %)

    Единственное что приходит в голову с таким раскладом-
    обе аверские группировки взяли сэмплы с одного места.
    Напрашивается вопрос откуда именно? Напрашивается
    ответ - где еще в таком количестве валяется всякий
    зеродей? На помойках типа VT.

    Видимо им слили версию без бинда. Я очень сомневаюсь,
    что они там такие крутые перцы способные отбрутить 12 байтовый
    хв ключ за несколько дней. В пользу этого говорит появление статьи
    реверсера с "другой" версией рустока.

    Многие заметили, что аверы отчаяно бросились исккать дропер aka
    лоадер. Типа вот этого Z:\NewProjects\spambot\rustock.c\loader\asm_\loader.pdb

    Из того что известно можно построить схему проекта.
    Итак есть

    дллка которая шлет спам
    драйвер который покрывает дллку закриптованный донемогу
    лоадер который готовит почву

    как же это все работает? нельзя уже проверить, потому что ntldrbot сделал
    шутдаун серверу, раздававшему руткит несколько дней назад, сразу с
    появлением статьи Rustock.C - Small Advisory.

    итак у вас есть лоадер, скажем вот отсюда
    hxxp://208.66.194.215/install4.exe это оно самое, но уже не фурычит :)
    нашел по ойпи из драйвера (упоминался и в статье) вот отсуда http://www.castlecops.com/p950279-daily_catch_june_06.html

    Это мигом разносит миф придуманный КАЛОМ о времени создания руткитеса,
    помимо того что в ходе написания стотьи КАЛОВЦАМИ использовались
    тяжелые наркотеги, позволявшие им прыгать в октябрь 2008 года, им
    видимо так хотелось поскорее ответить, поскорее ответить, но получи-
    лось как всегда в КАЛОВСКОМ стиле.

    теперь давайте посмотрим на хардварную привязку

    ключ расшифровки используемый для распаковки 12 байтовый,
    составленный из трех DWORD, два DWORD генерируются из PCI девайс
    хэшей, 1 из другого хэша.
    Код (Text):
    1. mov     esi, [ebp+10h]
    2. mov     edi, [ebp+8]
    3. mov     byte ptr [esi+256], 0
    4. mov     byte ptr [esi+257], 0
    5. imul    ecx, 0
    6. loc_40223A:
    7.   mov     [esi+ecx], cl
    8.   add     ecx, 1
    9.   cmp     ecx, 0FFh
    10. jbe     loc_40223A
    11. imul    ebx, 0
    12. sub     edx, edx
    13. sub     ecx, ecx
    14. loc_402270:
    15.   add     dl, [edi+ebx]
    16.   mov     ah, [esi+ecx]
    17.   add     dl, ah
    18.   mov     al, [esi+edx]
    19.   mov     [esi+ecx], al
    20.   mov     [esi+edx], ah
    21.   lea     ax, [bx+1]
    22.   div     byte ptr [ebp+0Ch]
    23.   mov     bl, ah
    24.   inc     ecx
    25.   cmp     ecx, 255
    26.   jbe     loc_402270
    я сомневаюсь, что доктор веб отбрутили 2^90 комбинаций ключа.
    а это значит, что они вероятно тоже имеют билд без привязки к железу.
    ни один ав движок не сможет это сделать, так как это займет слишком
    много времени.

    вернемся к лоадеру aka дропер.

    попав на машину он исторгает из себя драйвер, у меня он имел такое имя
    system32\drivers\64612df3.sys, имя случайное и меняется каждый раз

    драйвер пытается законектится к хосту rustock.c с ойпи
    208.66.194.215 на порт 443 SSL для даунлоада реального рустока.ц

    На сервер отсылаются пакеты описывающие машину и необходимые для генера-
    ции уникальных ключей. Сервер выполняет сборку русток.ц и отсылает руткит на
    машину-жертву, используя ранее установленный бэкдор. После этого лоадер
    аннигилируется и стартует реальный русток.ц :derisive: Вот и все ребятки. Судя по всему
    время русток.ц уже давно прошло и аверы едва успели схватить за хвост то, что
    уже и так умирало, аннигилируя следы своего пребывания
    (бот имеет внутренний счетчик жизни).

    русток.д? Очень даже может быть :lol:

    О КАЛОВСКИХ параллелях с Sinowal я лучше промолчу - это две абсолютно разные
    вещи, сравнивать их авторов это примерно как сравнить попу с пальцем.

    Уважаемые сотрудники Лаборатории Касперского

    Тяжелые наркотеги это плохо, заканчивайте с их употреблением !!

    :lol:
     
  15. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    Тяжелые наркотеги - это плохо. У нас есть сэмплы как с привязкой, так и без привязки. И была написана тулза для брута, только не таким вот тупым образом, как ты думаешь. Сначала головой надо думать, а потом делать.
     
  16. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    Мертвый какой-то сайтец ;)
     
  17. stavrogin

    stavrogin New Member

    Публикаций:
    0
    Регистрация:
    3 июн 2008
    Сообщения:
    4
    ne_veru_averam, ваш девиз - "И снова в бой! Покой нам только снится!"?
    Ну что ж продолжаем расследование. Пытаемся выйти на след мегапреступника. Что нам известно? Немного. Некто recon090. Хм...Почему не бекон? Ну да ладно. Лучший инструмент кибер-детектива - Google. Находим RECon2008(htt_://recon.cx). И о чудо, великий и ужасный действительно там!!! Читает доклад "Building plugins for IDA Pro"(htt_://recon.cx/2008/speakers.html). Осталось накрыть всю их банду в Монреале.
     
  18. Guest

    Guest Guest

    Публикаций:
    0
    ne_veru_averam хм, у вас уникальный стиль написания каментов, как у мыщъх'а, очень похоже )))
     
  19. Guest

    Guest Guest

    Публикаций:
    0
    Оперативно отработали службы ms ;)
     
  20. ne_veru_averam

    ne_veru_averam New Member

    Публикаций:
    0
    Регистрация:
    6 июн 2008
    Сообщения:
    16
    sww_
    А откуда у вас други аверы сэмплы без привязки?
    Вернее переформулируем вопрос - Кто вам дал эти сэмплы?
    Уж не сам ли автор, решивший таким образом слить своих
    бывших друганов? А вы и сами хороши :lol: Блог свой успели
    подчистить, но кэш гугля рулет :lol:

    Как мне кажется господа аверы подключили к делу
    криптоаналитеков. Либо в алго ntldr сущест-
    вует некий бэкдор (бага), позволяющий выполнить все быстро.

    stavrogin
    А вы случаем не из КАЛ ? Что-то стиль у вас похож
    .
    Тогда давайте поищем и вас.
    У вас есть блог, не стесняйтесь это бывает
    http://hard-bard.livejournal.com/
    А вот и ваша характеристика http://slovo.ws/geroi/634.html :derisive:

    im1111
    Я не мыщъх !! Асм исть КТУЛХУ !!

    Просто хочется определенности в том что творится.
    А то голова уже идет кругом от того бреда что понаписано везде.
    Тут вам и спецслужбы и опущенные вирусные аналетики из КАЛА с
    их "все-все-все нас уделали" и Зомбик (куда же без него) и безымянные
    аверы, хвастающие своими достижениями... Не пора ли остановится и
    подумать?
     
Статус темы:
Закрыта.