# что курят авторы сплоит паков

subj. признавайтесь. а еще лучше отсыпьте. или это не трава? я не знаю. я просто из любопытства спрашиваю. вот тут товарищ порадовал. значит, роняет эта штука четыре pdf, два swf и еще юзает коррупцию памяти в IE. и все они распыляют память. каждый по 512 метров. а IE пускает акробата и swf-плеер в своем адресном пространстве. 4x512M + 2x512 + 512 == too much. вопрос -- а его вообще тестировали? там такие гонки в памяти начинаются...

но это еще цветочки. php скрипт на сервере дропает сплоиты (причем IE утягивает все сразу) и засекает время. если за ~10 сек (примерно) сервер не увидит GET /xxx/loader.exe, то позднее вместо exe файла он вернет 404, причем даже не 404, а 200 OK и текст "404".

мыщъх понимает, что все это не трава, это все, чтобы обойти эмуляторы и прочую нечесть, но мне просто интересно на каком железе можно успеть распылить столько памяти менее чем за 10 сек. причем, как раз эмуляторы, игнорирующие распыление, успевают и раскриптовать обфусцированный js и проэмулить шелл-код, добыв ссылку на exe за ~10 ms (это в самом тупом варианте).

короче все как и во времена MS-DOS. большинство вирусов нежизнеспособны и даже не тестировались...

 

Очередной флудотопик ниочем. В продложении будут вопросы "а что вы курите в америке" "а что вы курите в макафи" "а говорили же что там курят вот это а теперь другое, как так"

 

ты еще антивирусы не видел! посмотришь на них и просто диву даешься - откуда в специализированных учреждениях закрытого типа столько компьютеров и у каждого пациента доступ в интернет!?!? И, посмотрев на творения, а главное - логику таких пациентов, сразу встает резонный вопрос - а что бы такого покурить, чтобы все это обойти, т.к. обычная человеческая (мужская!!!) логика не работает вообще ни разу.

...спросил сотрудник маккофе, антивирус которой, как мне помнится, не раз детектировал системные файлы и убивал систему напрочь после обновления

 

Не знаю где вы берёте такую траву и такие антивирусы, но у меня на тестах ни один паблик-сплоит не раскручен.

 

DUP

 

Вам уже хватит) А то вы захотите еще и запрыгивать на крышу)

В смысле порадовал? Написал сплоит или дал посмотреть на народное творчество?

Таки уже сто раз было сказано, что большие компании состоят из разных подразделений - одни пишут десктопный сканер, другие HIPS. Крис вот например работает над IPS, причем это не единственная разработка такого рода в компании - есть еще команада, разрабатывающая другой IPS.

 

да какая разница. Есть вирусники, есть антивирусники. Если вторые ржут над криворукостью первых, пусть посмотрят сначала в свой огород - их продукты глючнее любого вируса. Про методику детекта вообще молчу. А кто там накосячил, уборщица или ведущий разработчик - совсем не важно. Есть компания и она отвечает за свои поделки. Если поделки кривые, то смеяться над чужим софтом как бы не совсем корректно.

П.С.: щас кто-нибудь выдвинет гипотезу, что сплоит из первого сообщения написан мной и я за это жутко обиделся

 

Еще раз - есть люди, пишущие кривое поделье. И хоть руки за это оборвать нельзя, показать пальцем можно и даже нужно. Вы в создании этого аццкого мегараспылителя не участвовали? Хорошо, вас лично никто и не гнобит. А вот вы на криса гоните за продукт, к которому он не имеет ни малейшего отношения. Ах он работает в той же компании? А вы сходной деятельностью с вирусописателями не занимаетесь? Я к тому что если занимаетесь, то по вашей логике и вам надо вставить дрын за такие сплоит-паки.

 

ни в коем случае! как ты мог такое подумать!

ладно, увижу от криса топик "ах какие криворукие эти антивирусники в макафи - такую чушь написали! А тестировали?! Да где вообще их взяли!" - тогда я может и поддержу его точку зрения относительно криворукости сплоитописателей. А пока что я не согласен с его оценкой ситуации. После недавнего пиара маккофе (как пограничник челюсть уронил, услышав про мегокорпорацию) эти выпады в сторону сплоитописателей выглядят ужасно нелепо.

 

7mm
> Не знаю где вы берёте такую траву и такие антивирусы,
> но у меня на тестах ни один паблик-сплоит не раскручен.
чем тестировали? если интересно могу дать он-лайн доступ к одному жутко секретному ящику, который это дело тестирует. обещаю в cloud сэмплы не посылать. просто интересно -- раскрутит или нет. пока поддерживаются html, swf, pdf. это энтерпрайз система, которую никаким другим способом пощупать вам не удасться. хотя, понятное дело, что она вам погоды не делает, если вы завязаны на домохозаяках.

пока палит все -- 100%. ну не 100%... на коллекции из 300 pdf один все-таки не словила. но это она палит в режиме "без эксплуатации уязвимости". в режиме с эксплутацией палится еще больше, т.к. там в частности элементарно отследить дроп экзешника.

 

kaspersky

Вот Вы и затестили походу.исщите в кишках зверя емейл автора и строчите bagreport

 

wsd
> Вот Вы и затестили походу.исщите в кишках зверя емейл автора и строчите bagreport
та автора уже нашли. майл японский, а сам он русский. вот я и думаю. если он васмовец -- его трогать нельзя.

 

MSoft

Код (Text):

1. wasmConnect();
2. do {
3.  L0:
4.   // wasmPost("i am MSoft! i know everything about mlwr!!!");
5.   // Deprecated, using GetNextPear()
6.    szPear = GetNextPear();
7.    wasmPost(szPear); wasmPost("no,no! im not writing mlwr");
8.  goto L0
9. } while (++n < n_max_samoPR);

 

deLight
А goto то зачем?

 

asd
Плохо разбираюсь в Си.
Замените на for (;; и приступайте к компеляции.

 

kaspersky

Крис в этом контексте раскруткой называется детект юза известной уязвимости или Вы действительно можете в чисто автоматном( а не полуавтоматическом) режиме получить конечный исполняемый жс код? Ваш автомат учитывает абсолютно все нюансы ломающии не подготовленные автоматы?
и можно Ваше мнение о перспективах мультиагентных ботнетов?

 

Для обнаружения малвари давно никакой антивирь не нужен, если комп тормозит как сволочь, то всё понятно.

Наверно очередная проба пера школьника, большинство же именно таково.

 

>>wasmConnect();
do {
L0:
// wasmPost("i am MSoft! i know everything about mlwr!!!");
// Deprecated, using GetNextPear()
szPear = GetNextPear();
wasmPost(szPear); wasmPost("no,no! im not writing mlwr");
goto L0
} while (++n < n_max_samoPR)

Код (Text):

1. <?php
2.  
3. // ....
4. // но это еще цветочки. php скрипт на сервере дропает сплоиты (причем IE утягивает все сразу)
5. // и засекает время. если за ~10 сек (примерно) сервер не увидит GET /xxx/loader.exe, то позднее вместо
6. // exe файла он вернет 404, причем даже не 404, а 200 OK и текст "404".
7. // ...
8.  
9.  
10.  
11. // Все генеальное просто, или ....
12. echo $r_addr = "Your IP ",$_SERVER['REMOTE_ADDR'], "<br>";
13.  
14. // xploit
15. $xploit = ("xploit/sploit.c");
16. $sploit_compile = `gcc `, $xploit ,`-o sploit_generator`;
17.  
18. //Generator
19. function sploit_generate()
20. {
21.     $lame_ip = $_SERVER['REMOTE_ADDR'];
22.     $generate = `sploit_generator --generate --atack`, $lame_ip, `--log /var/logs/botnet.log`;    
23. }
24.  
25. //DATE
26. $pre = date('h:i:s');
27. sleep(10);
28. $after = date('h:i:s');
29.  
30. //
31. if ($pre == $after)
32. {
33.     return sploit_generate();
34. }
35.  
36. else
37. {
38.     echo "<h1>404 Not Found.<h1>"; // Oops    
39. }
40.  
41.  
42. ?>

>>мыщъх понимает, что все это не трава, это все, чтобы обойти эмуляторы и прочую нечесть, но мне просто интересно на каком железе можно успеть распылить столько памяти менее чем за 10 сек. причем, как раз эмуляторы, игнорирующие распыление, успевают и раскриптовать обфусцированный js и проэмулить шелл-код, добыв ссылку на exe за ~10 ms (это в самом тупом варианте).
- эмммм.... это чтото иноплонетное. пойду гляну в телескоп (:

>>та автора уже нашли. майл японский, а сам он русский. вот я и думаю. если он васмовец -- его трогать нельзя.
- да уже все на васм лезут. кому не лень конечно (:

 

Интересно конечно, но к сожалению не смогу выложить ничего в паблик, ведь мы с вами понимаем, что одного сэмпла бывает достаточно

P.S. Да, рассчитано на домохозяек. Тестировалось на популярных антивирусах (паблик-сплойты 2010 года), все обломались. Но это не значит конечно, что ваша чудо-система не выдаст никаких алертов..

 

Да гуан полнейший этот макафи, сигнатурная погонь. Как тока вы клиентов находите не понятно.