# кто курил рустока?

Тема в разделе "WASM.HEAP", создана пользователем kaspersky, 14 май 2008.

Статус темы:
Закрыта.
  1. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    blood_raven
    > ммм линк уже давали на эту стотью)
    угу. теперь вижу что давали.
    сначала закинул линк, а потом стал читать, что написали за последние дни...
    но ИМХО, мой линк лучше ;) читать удобнее :derisive:

    iamlamer
    > И все-таки, я продолжу свой ламерский вопрос.
    > Возможен ли в 2008 г. код, который в течение 1.5 лет находится ITW,
    > выполняет определенные действия (например, рассылает спам),
    > скачет с машимны на машину - и никто его не видит?
    понятие "никто не видит" слишком относительное.
    да, возможет. а LiveCD идет лесом. и чексуммы тудаже.

    рассмотрим вполне реальный пример. есть операционная система
    а-ля винда, в которой есть а-ля дыра, через которую залезает
    а-ля... нет, не руткит, а просто червь, обитающий в памяти
    и не трогающий ничего не в диске, не в реестре...
    как скрывать сетевые соединения и сетевую активность,
    еще рутковская показала и даже при тщательном аналзе
    дампа спама не будет обнаружено (ес-но, кол-во скрываемого
    трафика жестко лимитировано, но это уже другой вопрос).

    конечно, при перезагрузке, червь будет погибать, но!!!
    пока дыру не заткнут, он будет ее юзать. а если прикрутить
    систему автоматических обновлений червя, чтобы он заюзывал
    новые дыры, то мы получаем распределенную сеть, которая
    довольно стабильно функлирует и хрен кто что обнаружит.

    червь не перехватывает системные функции, не модифицирует
    ядро, в общем не делает ничего такого супер-подозрительного.
    конечно, ему нужно где-то поселиться (в памяти), но методики
    поиска заразы в памяти плохо отработаны, т.к. паляться только
    совсем тупые экземляры...

    то есть теоритически такая хрень существовать может.
    практически - кто поручится: а вдруг она уже сущестсует?
    лично я уже сталкивался с червями, обитающими только в памяти.
    я их как обнаружил... да случайно... "горшок к медом" на базе вари.
    и там при загрузке модуля ядра в линух, считывающего MSR регистры
    вместе с IDT/GDT/LDT заметил, что под одной виртуалкой оно выполняется
    намного медленне, чем под другой. в смысле гостевой осью. ну так вот,
    червяк вычистил себя из IDT, но не смог (не успел?!) вычислить из MSR
    регистров и потому SYSENTER осталась перехваченной...
    код червяка удалось добыть лишь благодаря тому, что "горшок с медом"
    имеет нулевую сетевую активность и весь трафик грабится на хосте.
     
  2. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    был и здесь и на рукткитсах.
    Правда ушел с васма уже давно, тк здесь бОльшая часть - флудотопики.
     
  3. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    Крис, это слабый пример - он никак к рустоку не относится. и, вообще, главная задача в ботсетях - это эффективность управления и хорошая работа саппорта по апдейтам.
    n0name
    не понял - ты знаешь разработчика??:))
     
  4. Explode Sense

    Explode Sense New Member

    Публикаций:
    0
    Регистрация:
    21 июл 2006
    Сообщения:
    130
    Адрес:
    Russia
    UbIvItS
    А кто его не знает? Полрунета вкурсе)
     
  5. drmad

    drmad New Member

    Публикаций:
    0
    Регистрация:
    13 июн 2004
    Сообщения:
    332
    Адрес:
    Russia
    Форма выражения больно длинная. :) Но, таки да. Уже становится интересно: как размножается, что на зараженной машине делает и т.п.
     
  6. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    Explode Sense
    приём такой есть: "Сделать Гения".
     
  7. PROFi

    PROFi New Member

    Публикаций:
    0
    Регистрация:
    13 июл 2003
    Сообщения:
    690
    А если попытаться поставить вопрос иначе: Кому это выгодно?

    1. Microsoft? Да - для того чтобы всучить пользователям новую OS.
    2. Антивирусным компаниям? Да - для того чтобы покупали их антивирус.
    3. Спамеру? - вот тут вопрос на вопрос - неужели столь "академичная" разработка может дать эффект в разумное время. Есть куча "простых" уязвимостей и они только прибавляются, да и спамер больше специалист по сетевым и социальным технологиям а не по драйверам.

    Далее поднята шумиша - а это кому нужно? (только 1 и 2).
    Далее - у кого есть доступ к сорцам винды, чтобы написать что-то похожее:

    kaspersky
    1 - точно есть 2 - чаще всего. 3. - В сети была шумиха о том что код NT 4.0 проворонили.

    Ну и последний каверзный вопрос а Vista и 2008 подвержены заражению Рустоком?
     
  8. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    PROFi
    сто пудов :)))))
     
  9. Ra_

    Ra_ New Member

    Публикаций:
    0
    Регистрация:
    4 мар 2007
    Сообщения:
    289
    по висте новость одна была
    http://www.pcworld.com/businesscenter/article/146256/vistas_despised_uac_nails_rootkits_tests_find.html
     
  10. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    PROFi
    > В сети была шумиха о том что код NT 4.0 проворонили.
    и server 2008 тоже. утечки из ms совершаются регулярно, просто не каждая утечка получает широкую огласку. но это что касается самой ms, а у нее еще есть и партнеры, которым она дает понюхать сорцы, и далеко не у всех партнеров с безопасностью дела ништяк, да и там часто встречаются люди из андеграунда со всеми отсюда вытекающими утечками ;) другое дело, что с наличием символьной инфы, раздаваемой легально и нахаляву, мозгов и дизассемблера сорцы винды не нужны. разобраться по сорцам что происходит, например, при xor eax,eax/push -1/popfd/mov eax,[eax] _намного_ сложнее, чем с отладчиком и дизассмом на пару ;) комментариев в сорцах так же - кот наплакал. основные структуры данных определены в файлах, включенных в SDK/DDK, ну а остальное - кажет дебеггер от ms. зачем еще и сорцы?!
     
  11. drmad

    drmad New Member

    Публикаций:
    0
    Регистрация:
    13 июн 2004
    Сообщения:
    332
    Адрес:
    Russia
    Ответ на очень многие вопросы: http://www.viruslist.com/ru/analysis?pubid=204007614

    iamlamer, действительно, не 1.5 года. Но полгода - точно.
     
  12. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    юмор продолжается:)) - из статьи такое ощущения, что ента dream team чуть ли не соседи великих бойцов с вредоносами:))) ну, позвонили б тады чувакам - они по дружбе бы дали сырцы вредоноса:-D
     
  13. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    Первую информацию о механизмах реализации узнал в октябре 2007. Полгода невидимости имхо очень неплохо.
     
  14. _Slip_

    _Slip_ New Member

    Публикаций:
    0
    Регистрация:
    20 янв 2008
    Сообщения:
    1
    http://www.anti-malware.ru/forum/index.php?showtopic=4564&view=findpost&p=38886
     
  15. blood_raven

    blood_raven New Member

    Публикаций:
    0
    Регистрация:
    10 апр 2007
    Сообщения:
    55
    0_0 Цитата из статьи:
    Фига они молодцы, сколотили машину времени, сгоняли в будующие, выловили новые модификации))))
     
  16. _Colibri_

    _Colibri_ New Member

    Публикаций:
    0
    Регистрация:
    2 июн 2008
    Сообщения:
    20
  17. blood_raven

    blood_raven New Member

    Публикаций:
    0
    Регистрация:
    10 апр 2007
    Сообщения:
    55
    _Colibri_ тот перец вроде из Кашперски Лаба.
    это КТУЛХУ!!!!!!
     
  18. _Colibri_

    _Colibri_ New Member

    Публикаций:
    0
    Регистрация:
    2 июн 2008
    Сообщения:
    20
    почитал его посты
    заносчиво с людьми разговаривает...
    Неприятный осадок оставляет
     
  19. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    _Colibri_
    ну, а что ты хочешь: одна аверская контора стала опускать другие, да, ещё и способ - то юморной выбрали:))
     
  20. stavrogin

    stavrogin New Member

    Публикаций:
    0
    Регистрация:
    3 июн 2008
    Сообщения:
    4
    Фигаро там, Фигаро тут
    Фигаро так никогда не найдут.
    И зачем из города тайну делать? Город К., город Кр. Так бы и написали Крыжополь.

    кидала, всех кинул на бабки и думает не найдут
     
Статус темы:
Закрыта.