# кто курил рустока?

blood_raven
> ммм линк уже давали на эту стотью)
угу. теперь вижу что давали.
сначала закинул линк, а потом стал читать, что написали за последние дни...
но ИМХО, мой линк лучше читать удобнее

iamlamer
> И все-таки, я продолжу свой ламерский вопрос.
> Возможен ли в 2008 г. код, который в течение 1.5 лет находится ITW,
> выполняет определенные действия (например, рассылает спам),
> скачет с машимны на машину - и никто его не видит?
понятие "никто не видит" слишком относительное.
да, возможет. а LiveCD идет лесом. и чексуммы тудаже.

рассмотрим вполне реальный пример. есть операционная система
а-ля винда, в которой есть а-ля дыра, через которую залезает
а-ля... нет, не руткит, а просто червь, обитающий в памяти
и не трогающий ничего не в диске, не в реестре...
как скрывать сетевые соединения и сетевую активность,
еще рутковская показала и даже при тщательном аналзе
дампа спама не будет обнаружено (ес-но, кол-во скрываемого
трафика жестко лимитировано, но это уже другой вопрос).

конечно, при перезагрузке, червь будет погибать, но!!!
пока дыру не заткнут, он будет ее юзать. а если прикрутить
систему автоматических обновлений червя, чтобы он заюзывал
новые дыры, то мы получаем распределенную сеть, которая
довольно стабильно функлирует и хрен кто что обнаружит.

червь не перехватывает системные функции, не модифицирует
ядро, в общем не делает ничего такого супер-подозрительного.
конечно, ему нужно где-то поселиться (в памяти), но методики
поиска заразы в памяти плохо отработаны, т.к. паляться только
совсем тупые экземляры...

то есть теоритически такая хрень существовать может.
практически - кто поручится: а вдруг она уже сущестсует?
лично я уже сталкивался с червями, обитающими только в памяти.
я их как обнаружил... да случайно... "горшок к медом" на базе вари.
и там при загрузке модуля ядра в линух, считывающего MSR регистры
вместе с IDT/GDT/LDT заметил, что под одной виртуалкой оно выполняется
намного медленне, чем под другой. в смысле гостевой осью. ну так вот,
червяк вычистил себя из IDT, но не смог (не успел?!) вычислить из MSR
регистров и потому SYSENTER осталась перехваченной...
код червяка удалось добыть лишь благодаря тому, что "горшок с медом"
имеет нулевую сетевую активность и весь трафик грабится на хосте.

 

был и здесь и на рукткитсах.
Правда ушел с васма уже давно, тк здесь бОльшая часть - флудотопики.

 

Крис, это слабый пример - он никак к рустоку не относится. и, вообще, главная задача в ботсетях - это эффективность управления и хорошая работа саппорта по апдейтам.
n0name

не понял - ты знаешь разработчика??)

 

UbIvItS
А кто его не знает? Полрунета вкурсе)

 

Форма выражения больно длинная. Но, таки да. Уже становится интересно: как размножается, что на зараженной машине делает и т.п.

 

Explode Sense

приём такой есть: "Сделать Гения".

 

А если попытаться поставить вопрос иначе: Кому это выгодно?

1. Microsoft? Да - для того чтобы всучить пользователям новую OS.
2. Антивирусным компаниям? Да - для того чтобы покупали их антивирус.
3. Спамеру? - вот тут вопрос на вопрос - неужели столь "академичная" разработка может дать эффект в разумное время. Есть куча "простых" уязвимостей и они только прибавляются, да и спамер больше специалист по сетевым и социальным технологиям а не по драйверам.

Далее поднята шумиша - а это кому нужно? (только 1 и 2).
Далее - у кого есть доступ к сорцам винды, чтобы написать что-то похожее:

kaspersky

1 - точно есть 2 - чаще всего. 3. - В сети была шумиха о том что код NT 4.0 проворонили.

Ну и последний каверзный вопрос а Vista и 2008 подвержены заражению Рустоком?

 

PROFi
сто пудов ))))

 

по висте новость одна была
http://www.pcworld.com/businesscenter/article/146256/vistas_despised_uac_nails_rootkits_tests_find.html

 

PROFi
> В сети была шумиха о том что код NT 4.0 проворонили.
и server 2008 тоже. утечки из ms совершаются регулярно, просто не каждая утечка получает широкую огласку. но это что касается самой ms, а у нее еще есть и партнеры, которым она дает понюхать сорцы, и далеко не у всех партнеров с безопасностью дела ништяк, да и там часто встречаются люди из андеграунда со всеми отсюда вытекающими утечками другое дело, что с наличием символьной инфы, раздаваемой легально и нахаляву, мозгов и дизассемблера сорцы винды не нужны. разобраться по сорцам что происходит, например, при xor eax,eax/push -1/popfd/mov eax,[eax] _намного_ сложнее, чем с отладчиком и дизассмом на пару комментариев в сорцах так же - кот наплакал. основные структуры данных определены в файлах, включенных в SDK/DDK, ну а остальное - кажет дебеггер от ms. зачем еще и сорцы?!

 

Ответ на очень многие вопросы: http://www.viruslist.com/ru/analysis?pubid=204007614

iamlamer, действительно, не 1.5 года. Но полгода - точно.

 

юмор продолжается) - из статьи такое ощущения, что ента dream team чуть ли не соседи великих бойцов с вредоносами)) ну, позвонили б тады чувакам - они по дружбе бы дали сырцы вредоноса:-D

 

Первую информацию о механизмах реализации узнал в октябре 2007. Полгода невидимости имхо очень неплохо.

 

http://www.anti-malware.ru/forum/index.php?showtopic=4564&view=findpost&p=38886

 

0_0 Цитата из статьи:

Фига они молодцы, сколотили машину времени, сгоняли в будующие, выловили новые модификации))))

 

http://www.anti-malware.ru/forum/index.php?showtopic=4564&view=findpost&p=38886
кто этот чел, который на ep-xoff кричит?
и что еще интереснее, кто такой еп-ксофф? Это зомби/эмси-рэм?

 

_Colibri_ тот перец вроде из Кашперски Лаба.

это КТУЛХУ!!!!!!

 

почитал его посты
заносчиво с людьми разговаривает...
Неприятный осадок оставляет

 

_Colibri_

ну, а что ты хочешь: одна аверская контора стала опускать другие, да, ещё и способ - то юморной выбрали)

 

Фигаро там, Фигаро тут
Фигаро так никогда не найдут.
И зачем из города тайну делать? Город К., город Кр. Так бы и написали Крыжополь.

кидала, всех кинул на бабки и думает не найдут