Привет! Последние несколько лет, при анализе, сталкиваюсь в основном с троянами нацеленными на финансы или данные. Причем уже народ больше уходит в скриптовые дропперы и подобные ему вещи (из-за сложности эмуляции/анализа подобных вещей ав). Лет 5 назад разбирал достаточно интересный сэмпл, который при заражении грабил случайные call'ы в исполняемой секции и через них передавал управление в отдельном потоке на себя. Код же хранился в расширенной последней секции. Файловые вирусы мертвы или есть какие то сегодня еще интересные образцы? Техника EPO все так же последняя в этом направлении или есть что-то новее?
давно уже мертвы, в частности из-за наличия цифровой подписи у всех нормальных вендоров... а по поводу скриптов: Касперски уже умеет прогонять JS/VBS в эмуляторе, так что не за горами уже...
Дак про нее обычные юзеры не знают. Только те, кто ковыряется в этом. Да и не всегда чекают перед запуском exe. Ога только и успевают ставить людей в очередь на расшифровку. Я примерно догадываюсь в чем там сложность, распознать эврестически содержимое скрипта, но точно не уверен, посему писать не буду.
Обсуждалось в прошлом году в теме Вирология. Надо петицию Alexey писать, чтобы вирологию из скрытого раздела вытащил, уже. В связи с чем прошу постоянных участников отписаться, кто за и кто против раскрытия (unhide) раздела Вирология. Соберем коллективное мнение. Имхо, хороший 64бит инфектор-метаморф АВеров на уши поставит. Не все же по хэшу файла троянчегов прибивать.
А, так она скрыта. Понятно почему я ее не нашел. На старом васме в этом плане проще было. Читай кто хочешь. С другой стороны, не пойму зачем ее под хайд бросать. Все vx-технологии более чем декларированы на просторах сети и тора. кстати - да
Никого она никуда не поставит. Во первых инфекторы нафиг ненужны(профит в чем?), во всяком случае в первоначальном виде, во вторых детектить метаморфы шо 64, шо 32 бита - все одно, двиги антивирей вполне все схавают. Пущай скрыт будетъ.
я всегда был против того, что его закрывают... проблема в том, что в эпоху тотольной блокировки всего и вся роскомнадзором, виксерские ресурсы могут легко попасть под блокировку...
я думал про метаморф для MSIL, сейчас весь нативный код скорее всего будет разрулен эмулятором, так что метаморф помимо собственно морфинга своего кода должен уметь ронять эмуляторы, детектить отладчики и сендбоксы, а это уже достаточно комплексный проект... в котором в принципе помимо академического интереса мало смысла, если можно вполне обойтись полиморфом или хорошим обфускатором...
_edge, > В связи с чем прошу постоянных участников отписаться, кто за и кто против раскрытия (unhide) раздела Вирология. Я однозначно против. Задачи и обсуждения из него вынесены, но наличие как такового раздела паблик ставит под угрозу существование ресурса. Это даже не должно обсуждаться, такого раздела паблик быть не должно.
