Вирусная аналитика

Тема в разделе "WASM.HEAP", создана пользователем Luis, 20 сен 2010.

  1. Nesmysl

    Nesmysl New Member

    Публикаций:
    0
    Регистрация:
    4 авг 2010
    Сообщения:
    33
    Вранье. Слава говорил, что неделю ковырял его. И это начиная с момента поступления семпла.
    И вообще название "rustock" дали ребята из Symantec...
    А "искали" полтора года его. Семплы, когда еще не задетектили, были всего у неск. фирм..
     
  2. drmad

    drmad New Member

    Публикаций:
    0
    Регистрация:
    13 июн 2004
    Сообщения:
    332
    Адрес:
    Russia
    А чо, зевсы 100 лет назад появились? Еще 4-5 лет назад что-то типа ботнета на зевсах - это было БЫ не просто круто, а НЕВ*БЕННО КРУТО.

    Задетектить или расхачить? Насколько я помню, они дико гордились, что начали хачить в конце февраля а кончили где-то уже в апреле, и выпустили первый апдейт с детектом и пресс релиз: "Несколько недель кропотливой работы ушло на распаковку, детальный анализ и улучшение методов детектирования... " и т.п.

    Что и требовалось доказать. :)

    А при чем тут руткит? Это совсем не венец творения vx, а что-то типа сложного и красивого, но бессмысленного выпендрежа. Загрузился с livecd и абзац руткиту. Есть гораздо более интересные технологии: распределенные и самообновляющиеся админки, например. Последние скандалы с легально подписанной заразой - тоже непонятно, то ли спи*дили ключи, то ли ломанули ЭЦП.

    Да и само количество заразы - это новая ступень. Зараза тупо увеличивается количественно, а а/в вынужден извращаться качественно. Если хочет выжить.
     
  3. drmad

    drmad New Member

    Публикаций:
    0
    Регистрация:
    13 июн 2004
    Сообщения:
    332
    Адрес:
    Russia
    Мы про юзверя или все таки про а/в? А как быть, если юзверь в комплекте не предусмотрен (сервак, атономная система управления, etc.) ?
     
  4. drmad

    drmad New Member

    Публикаций:
    0
    Регистрация:
    13 июн 2004
    Сообщения:
    332
    Адрес:
    Russia
    2002 г. http://forum.kasperskyclub.ru/index.php?showtopic=17853 "Тогда в ЛК работало всего около 100 человек (а в вирлабе всего четверо, включая Касперского)"

    2005 год. http://www.novayagazeta.ru/data/2005/67/20.html «В эсэнгэ не больше сорока вирусных аналитиков, — говорит Гостев. — На Украине семь человек, в Dr. Web не больше десяти, у нас семнадцать по штатному расписанию».

    2008 год. "Общее количество сотрудников компании более 900 человек, а дятлов около 40"

    И проактивка. И эвристика. И песочницы. И IPv6. И много еще чего.
     
  5. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    drmad
    т.е. 4 вирусолога и 96 торгашей?
     
  6. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    @drmad
    так ап чём жЪ речь?:) опять же в ОС прописывается возможность установки политики правил, кои могут настраиваться админом, то бишь, к примеру: нельзя ничего писать в экзе, нельзя запускать больше n копий эппа и далее по тексту. и в итоге, именно на базе установленных опций политики правил определяется являются ли данные действия эппа малЪваром. конечно(!), вся эта песня работать на дровах не сможет, но с дравами дажЪ легче: все дрова должны иметь подпись и подпись должна быть зарегена на спец. ресурсах в инете, через кои можно будет связаться с разработчиком. то есть схема установки дров: система берёт подпись, коннектится к центру сертификации и сверяет её -- если всё хоккей, то установка йдёт дальше.
     
  7. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    UbIvItS
    ещё запишем политику запрета эксплуатации уязвимостей сетевых служб?
     
  8. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    @wsd
    эхЪ, не шути так:) переполнение буфера -- пальцем деланная проблема, коя позволяет вирьмейкерам/аверам выглядеть мощными:) нормально сделанная и настроенная система имеет уязвимость к вириям стремящуюся в 0.
     
  9. Dr.Golova

    Dr.Golova New Member

    Публикаций:
    0
    Регистрация:
    7 сен 2002
    Сообщения:
    348
    > Сейчас чуть ли не 200 и все еще не хватает.

    Один нолик я бы точно убрал. Сотрудник вирлаба != вирусный аналитик.

    >> П.С.: русток смогли задетектить за 3 дня (ессно, если верить словам реверсеров др.веба).

    > Задетектить или расхачить? Насколько я помню, они дико гордились, что начали хачить в конце февраля а кончили
    > где-то уже в апреле, и выпустили первый апдейт с детектом и пресс релиз: "Несколько недель кропотливой работы
    > ушло на распаковку, детальный анализ и улучшение методов детектирования... " и т.п.

    Задетектить его можно было за 5 минут - он не полиморфный. Гораздо сложнее было найти концы, чтобы научиться его корректно лечить. А так - да, расхакали за 3 дня. А кто поторопился (не буду тыкать пальцем) сделать детект без лечения, тот загубил не одну машину, удаляя зараженные системные драйвера.
     
  10. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    UbIvItS
    можно по подробней о Вашем опыте производства крупных систем у которых Вы там к нулю свели?
    а фирма Адобе(акробат ридер и флеш) получается это вообще 3,5 папуаса на QBasice у которых дыры находятся каждую неделю и им не хватает Вашего опыта?
     
  11. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    @wsd
    c дырами корневую проблему не решают не потому что у людей мозгов нет, а для создания/поддержания субрынков, в частности, аверы, ботсети -- это и есть чада этих пальцем деланных проблем:)
     
  12. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    UbIvItS
    ну это из серии что "аверы ловят свои же вирусы" ) только необоснованные притензии и никаких фактов.
    очень многое не выявляется автоматизированными тестами, и когда Вы реально поучаствуете в производстве крупной системы и не
    учтёте какую-то тонкость - орите "я не балбес!! я поддерживаю субрынки..".
     
  13. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    @wsd
    оверфлау буфера должен решаться на уровне средств разработки ПО. немножко скорректированная операция копирования сотворит чудеса:)
     
  14. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    UbIvItS
    я думаю, что Адобе с удоволствием купит Ваши разработки в этом направлении, если они работают не только на словах.
     
  15. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    UbIvItS
    да, и если не купит обосновывая "что это только на словах", значит гады поддерживают субрынки просто
     
  16. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    @wsd
    охЪ, да, не волнуйся ты так:) когда корпорациям нужно буит, явится чудЪО_0, его будут называть супер прорывом IT индустрии и далее по тексту:)
     
  17. xanxy

    xanxy New Member

    Публикаций:
    0
    Регистрация:
    18 май 2010
    Сообщения:
    18
    UbIvItS
    а кому выгодны баги в *nix ядрах, сетевых сервисах и тд?
     
  18. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    Dr.Golova
    Эффективность руткитов определяется уровнем сокрытия в системе. Если вы не подозреваете про его существование, то как детектить. А если механизмы вскрыты, до да, детект значительно упрощается, хотя если в памяти изменять хэндлеры хитрым образом, то тотже детект отлаживается пока не будет разобран механизм их изменения.
     
  19. drmad

    drmad New Member

    Публикаций:
    0
    Регистрация:
    13 июн 2004
    Сообщения:
    332
    Адрес:
    Russia
    Вот, нашел свежую сцылку: http://itrate.ru/articles/kis-2011.shtml и цитатку оттуда: У нас работают около сотни вирусных аналитиков

    Так что, нолик я бы оставил. :)
     
  20. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    Насчет анализа. Вся суть в том, насколько детальный анализ проводится. Если поверхностный - запустил, посмотрел в WinDbg, то на это много времени не требуется. Если детальный, то на это может уйти очень много времени и это нормально. Я стараюсь анализировать детально, т.к. мне интересно.

    Превед Доктору :)