А _вирусы_ как таковые еще живы?

Уже довольно давно все более-менее распространенные саморазмножающиеся программы представляют собой скорее т.н. "трояны" либо "черви". Это достаточно крупные, часто даже непожатые модули, распространяющиеся через дыры в ОС и/или мозге пользователей.
Что, исскуство дописывания вирусного кода в исполняемые файлы уже неактуально? Антивирусы научились так качественно с ними расправляться?
Или наоборот, они так хороши, что их никто не находит?

 

Очень даже живы, Virut в лидерах по распространенности.
А заражая другое malware, например червей, можно и посети распространятся и по флешкам.

 

именно. Русток в пример

 

Squash
на самом деле пациент скорее мертв, чем жив. Заразить программу, не оставив при этом косвенных признаков довольно сложно. А чтобы не задетектили надо еще и криптор с собой таскать... Вобщем, еще неизвестно где размер больше получится.
Ессно, оглядываясь на некоторые современные вирусы, можно сказать, что заражение еще практикуют. Но это скорее исключение

 

в том или ином виде инфект встречается довольно часто, в основном делается для оформления автозагрузки себя любимого. ну плюс заражение флешек тож можно отнести к вир техникам

 

Ну почему же. Правда сечас инфект уже как дополнительная фича (в червях, etc). Искусство бессмертно.

 

Файловые вирусы еще актуальны. Недавно на компьютере знакомого еле вылечил заразу Sector.5.

Внешне действие вируса проявляется во всяких непонятных глюках в системе - то распечатать невозможно документ, то ошибка какая-то странная в программе, то файлы не загружаются, и т.п.
Система Windows XP x64. Так он позаражал почти все 32х битные программы!

Вирус этот ни AVG ни Каспер не видели, только DrWeb с последними базами загруженный с BartPE вылечил.

 

Еще один очень распространненый вирус, с драйвером на борту.
Более известен под именем Virus.Win32.Sality (авторское название Куку).
В Dr.Web любят называть malware по имени автора.

 

вирусы никуда не девались (говорю как сотрудник антивирусной компании и свежие сэмплы ко мне на анализ попадают регулярно.

 

Оо
фак =\

 

kaspersky, может росшарете папку со свежими семплами?

 

Freeman
вам http://www.offensivecomputing.net/ мало? если мало то на LinkedIn есть куча сообществ, где меняются сэмплами.

интересные сэмплы можно пересчитать по пальцам. лично меня приколол конфликер.Д (очень сильно отличается от Ц).

вообще же, распростанять сэмплы права не имею, мне же за это хвост оторвут. так что не просите. а если хотите получить доступ к нефтяной трубе - устраивайтесь буровиком в любую антивирусную компанию. толковых реверсеров катострофически не хватает.

 

kaspersky
Да вы по тихой сливайте нам паки с семплами! Никто не узнает, безопасность гарантируем!! )))

 

Так как им неоткуда браться. Чтобы реверсить нужны не малые познания. Вероятно проще заниматься быдлокодингом на php. КК вот взял бы и написал 5 томов на тему "Введение в реверсинг".

 

Так этих томов гораздо больше вышло

 

ещё как живы )) одного недавно победил только после того, как загрузился с LiveCD

 

JCronos
+1, но только они описывают общую механику дизасма, как-то: идентификация того-то, типы функций, передача аргументов и т. д. А вот сам опыт они не передают. Надо писать более грубоко. Признаки всех упаковщиков (не сигнатура, а алгоритм), как распознать инородную вставку, свойства и атрибуты, не свойственные компилятору - н-р, в программе могут использоваться функции не одного типа, а несколько или программа может быть получена линкованием объектников на разных языках программирования, да еще от разных компиляторов и с разными опциями. Вобщем, надо углублять статьи...

Именно _Вирусы_ живы, но:
- писать вирус - занятие очень геморойное
- вирусу надо очень много условий для своего развития, которые есть только у совсем безалаберных пользователей.
- наконец, любой антивирус в 2 счета обнаружит запись в исполняемый файл, поэтому либо придется убить антивирусный процесс, либо реализовывать вирь в kernel-mode, а это - дополнительные трудности.

Вобщем, Гораздо проще и разрушительней отформатировать диск или поиздеваться над окнами с помощью сообщений. Ведь вирусы приносят только вред, а трояны могут принести и денюжку!

 

Конфикер Д?! Хочу! Дайте!

Ну пожалуйста. ;(

 

AndreyMust19
все это так, вот только тут есть одно "но", которое отправляет твои рассуждения лесом. если ты забросил на комп трояна, то его удалить... ну так скажем не очень трудно (трояны "вгрызающиеся" в систему как бобер в дерево мы не рассматриваем, т.к. это палево еще то).

а вот вируса ты хренушки удалишь в один присест. и даже переустановка оси начисто не поможет. потому что у тебя на диске D: завалялся какой-то exe, который ты долго не запускал, а после переустановки оси взял и запустил. а там вирус

к тому же где дистры брать для переустановки?! (кстати, на аверлабовском блоке рассматривался вирус поражающий дистры). > 90% юзеров хранят дистры на винте, где они могу быть заражены. а перекачивать все из сети - это сдохнуть сразу можно.

кстати, антивирусы не такие уж и продвинутые в плане детекта записи. во-первых, это только проактивка (у многих она отключена), во вторых способы ее обхода обсуждались и обсуждаются. варианты есть. на тех же авертлабсах описаны.

короче, вирусы живы. тупых троянов конечно в разы больше. ну и что? вменяемых вирусов и раньше было не так что бы уж много. в основном передирали чужие поделки. эпидемии (типа ванхалфа) вызвали единицы.

процентное изменение соотношения вирусы/трояны это еще не есть изменение абсолютного числа новых вирусов и как раньше - как больше юзеров живого виря в глаза не видели, так и сейчас не видят (рассылка троянов по почте и сетевые черви это все таки не вири)

 

SmanxX1
> Конфикер Д?! Хочу! Дайте!
> Ну пожалуйста. ;(
там знаешь какой уровень секретности? ну VPN это фигня. там еще RSA токен такой типа брелка. и ключ меняется каждую минуту. причем, получить сэмп может далеко не каждый сотрудник компании, так за этим жестко следят.

а если хотите конфликера - дык он и сам к вам придет Д прикольная штука. там MD6 заюзан. все, больше ничего говорить не буду, чтобы не дразнить.