Инфекторы мертвы?

Тема в разделе "WASM.BEGINNERS", создана пользователем Adamant, 19 авг 2018.

  1. Adamant

    Adamant New Member

    Публикаций:
    0
    Регистрация:
    12 июл 2018
    Сообщения:
    9
    Привет!

    Последние несколько лет, при анализе, сталкиваюсь в основном с троянами нацеленными на финансы или данные. Причем уже народ больше уходит в скриптовые дропперы и подобные ему вещи (из-за сложности эмуляции/анализа подобных вещей ав).
    Лет 5 назад разбирал достаточно интересный сэмпл, который при заражении грабил случайные call'ы в исполняемой секции и через них передавал управление в отдельном потоке на себя. Код же хранился в расширенной последней секции.

    Файловые вирусы мертвы или есть какие то сегодня еще интересные образцы?
    Техника EPO все так же последняя в этом направлении или есть что-то новее?
     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    давно уже мертвы, в частности из-за наличия цифровой подписи у всех нормальных вендоров... а по поводу скриптов: Касперски уже умеет прогонять JS/VBS в эмуляторе, так что не за горами уже...
     
  3. Adamant

    Adamant New Member

    Публикаций:
    0
    Регистрация:
    12 июл 2018
    Сообщения:
    9
    Дак про нее обычные юзеры не знают. Только те, кто ковыряется в этом. Да и не всегда чекают перед запуском exe.

    Ога :derisive: только и успевают ставить людей в очередь на расшифровку. Я примерно догадываюсь в чем там сложность, распознать эврестически содержимое скрипта, но точно не уверен, посему писать не буду.
     
  4. _edge

    _edge Well-Known Member

    Публикаций:
    1
    Регистрация:
    29 окт 2004
    Сообщения:
    631
    Адрес:
    Russia
    Обсуждалось в прошлом году в теме Вирология. Надо петицию Alexey писать, чтобы вирологию из скрытого раздела вытащил, уже.

    В связи с чем прошу постоянных участников отписаться, кто за и кто против раскрытия (unhide) раздела Вирология. Соберем коллективное мнение.

    Имхо, хороший 64бит инфектор-метаморф АВеров на уши поставит. Не все же по хэшу файла троянчегов прибивать.
     
  5. Adamant

    Adamant New Member

    Публикаций:
    0
    Регистрация:
    12 июл 2018
    Сообщения:
    9
    А, так она скрыта. Понятно почему я ее не нашел. На старом васме в этом плане проще было. Читай кто хочешь.
    С другой стороны, не пойму зачем ее под хайд бросать. Все vx-технологии более чем декларированы на просторах сети и тора.

    кстати - да :laugh1:
     
  6. Fail

    Fail Active Member

    Публикаций:
    0
    Регистрация:
    14 мар 2012
    Сообщения:
    503
    Никого она никуда не поставит. Во первых инфекторы нафиг ненужны(профит в чем?), во всяком случае в первоначальном виде, во вторых детектить метаморфы шо 64, шо 32 бита - все одно, двиги антивирей вполне все схавают.

    Пущай скрыт будетъ.
     
  7. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    я всегда был против того, что его закрывают... проблема в том, что в эпоху тотольной блокировки всего и вся роскомнадзором, виксерские ресурсы могут легко попасть под блокировку...
     
  8. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    я думал про метаморф для MSIL, сейчас весь нативный код скорее всего будет разрулен эмулятором, так что метаморф помимо собственно морфинга своего кода должен уметь ронять эмуляторы, детектить отладчики и сендбоксы, а это уже достаточно комплексный проект... в котором в принципе помимо академического интереса мало смысла, если можно вполне обойтись полиморфом или хорошим обфускатором...
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    _edge,

    > В связи с чем прошу постоянных участников отписаться, кто за и кто против раскрытия (unhide) раздела Вирология.

    Я однозначно против. Задачи и обсуждения из него вынесены, но наличие как такового раздела паблик ставит под угрозу существование ресурса. Это даже не должно обсуждаться, такого раздела паблик быть не должно.