| Помоечное |
[Nov. 11th, 2009|02:59 pm] |
Не про помывку, а про фхтагнтакт.
То, что там гуляют стада троянских коней - ни для кого не секрет. Количество всякой дряни для подмены адресов в /etc/hosts огромно!
И тут, ни за что не догадаетесь! Спамят с предложением бесплатного антивируса для защиты от всего этого говна. Разумеется, там тоже троянчег :-)
Еще прикольно было, когда стали предлагать бесплатную программу (без всяких SMS) для чтения чужих SMS-сообщений. Сначала предлагаем за деньги и явную туфту, а потом говорим, что вот оно - настоящее и бесплатное. И толпы тупорылой школоты набигают и ставят себе нового троянца. Изящненько, что еще сказать. |
|
|
| Про новый энкодер |
[Nov. 3rd, 2009|04:53 pm] |
Аффтары троянчега, которые просят отправить SMS на номер 7122 с текстом "GASTROLI" (без кавычек), послушайте сюды.
Во-первых, после каждого CreateFile должен быть CloseHandle, а уж никак не FindNextFile! Нехорошо все-таки такие ошибки делать.
Во-вторых, мне реально интересно на кой черт вы bswap юзаете в количестве? Думаете это сделает TEA более стойким и сложным для расшифровки? Хренушки!
Кстати, ключ для расшифровки D16E23pu7r266t5PfK757y1JM9DY5Q8G, только не закрывайте окошко ввода ключа!!! Эти долботрясы расшифровку в отдельную нитку не вывели, так что окошко подвисает. |
|
|
| Пост для гугля |
[Oct. 27th, 2009|05:27 pm] |
567979714
SMS "212525" (без кавычек) на номер 8353
razblokirovkakompa@gmail.com
41001473616253
Зашифрованы файлы? Знакомы строки выше? Обращайтесь в Dr.Web (http://www.drweb.com/), мы поможем расшифровать ваши файлы! |
|
|
| Mystic compressor |
[Oct. 14th, 2009|04:46 pm] |
Который суть продолжение Lighty Compressor.
Интересное в нем - только строка на 3-м уровне пакера.
Сначала там было Mystic Compressor.
Потом стало Mystic Compressor Greetings to Sunbelt - only they know my name! ;)
Теперь там целый шедевр:
"Mystic Compressor
Greetings to Sunbelt - only they know my name! ;)
I mean PACKER's name, PACKER's!!! And not some av name or else! Only Sunbelt av defined my packer as Mystic and not 'generic-hueneric', 'xpack', 'troy', 'gen', 'abc', 'kgb' etc.http://sunbeltblog.blogspot.com/2009/09/old-school-stuff-sunbelt-mentioned-in.html - Morons!!!"
Hey, guys, we know your name too ;-) |
|
|
| Новый троянчег |
[Oct. 8th, 2009|12:14 pm] |
И опять шифрует файлы, аффтар новый.
Сейчас делаем тулзу для расшифровки. Ключевое слово - ip62574, пусть гугль его знает :-) |
|
|
| Хроники энкодера |
[Oct. 6th, 2009|06:13 pm] |
|
А мы взяли и сделали универсальную тулзу! :-) |
|
|
| Хроники энкодера |
[Sep. 28th, 2009|09:38 pm] |
Ну что, снова из горящего танка :-)
За сегодня имеем две новых модификации. Ничего принципиального нового в алгоритмах нет, к счастью.
То, что мы пытались выцепить из десятков юзверей выдала нам замечательная Арафель, которая единственная, наверное, из всех моих знакомых получила ту самую "открытку". И то чуть ее не грохнула, но слава яйтсам, переслала нам оригинал открытки.
Особенно радуют пользователи... Удаляют расширение vscrypt у файлов, юзают наши же тулзы, но для других вариантов... В первом случае тулза просто не сработает, а во втором будут восстановлены файлы не с оригинальными именами. Оригинальные имена будут у файлов после первой запущеной тулзы, но там будет мусор... В общем, ССЗБ :-(
Затрахался, слов нет! Ладно, думаю скоро полегче с ним станет... |
|
|
| Зашифрованы файлы, vscrypt |
[Sep. 25th, 2009|03:26 pm] |
Пишу я вам из горящего танка, то есть фактически с передовой.
Новость от этом на нашем официальном сайте, я думаю, выйдет через несколько часов, но тут я изложу свое видение ситуации.
И так, сейчас в рунете беспрецедентный всплеск распространения Trojan.Encoder одной из версий. Десятки обратившихся за помощью в расшифровке файлов в сутки, около 40-50 детектирований нашим продуктом. Учитывая, что это только часть реальные цифры мне представляются в районе сотни-другой инцидентов в день.
А в результате, милые мою пользователи, вы поимеете зашифрованными ВСЕ файлы на машине. Система будет работать, а документы станут недоступны и получат дополнительное расширение VSCRYPT. Сейчас эта зараза ходит под видом файльшивой открытки от mail.ru, поэтому будте с ними осторожны.
Троян после шифрования файлов меняет обои рабочего стола, вы это точно заметите.
Итак, что нужно и что не нужно делать:
1) Успокоится, файлы поддаются расшифровке, у нас есть все нужные утилиты.
2) Тихо и спокойно обратиться в нашу техподдержку http://new-support.drweb.com/new/tech/ прислать шифрованный файл и описать ситуацию. Или прислать шифрованный файл с описанием ситуации через http://vms.drweb.com/sendvirus/ в категорию "запрос на лечение", или написать на форум в этот раздел http://forum.drweb.com/index.php?showforum=35
3) Сообщить мне. Комментом в этот пост, через SMS, звонок в разумное время (с 10.00 до 00.00) или иным образом.
4) Ждать ответа и утилиты для расшифровки.
НЕЛЬЗЯ:
1) чистить систему чем-то кроме антивирусов. Марки приводить не буду, но думаю все, что есть на этой странице http://www.virustotal.com/sobre.html юзать можно. Но вообще не рекомендую. Трояна в системе уже нет наверняка, а если есть и его удалить можно потерять ключ для расшифровки.
2) Чистить что либо в системе - историю, темпы, и т.д.
3) Переставлять браузеры (!!!)
4) Откатывать систему через точки восстановления (это вообще пиздец, почему - позже).
5) Удалять письмо с фальшивой открыткой.
Короче, не уверен - не делай. Лучше просто ждать. Подождать день до расшифровки или неделю до вскрытия нового ключа - согласитесь, две большие разницы.
Теперь почему всего этого делать НЕЛЬЗЯ: возможно появление новой модификации с неизвестным пока ключем. И хотя восстановить файлы можно даже без ключа, но это изрядная половая ебля на несколько дней. А в нечищеной системе всегда остаются следы, которые могут помочь найти ключ для расшифровки.
Троян Шифрование VSCRYPT - это для поисковых роботов. |
|
|
| С паршивой овцы... |
[Jul. 8th, 2009|12:15 pm] |
как известно, хоть шерсти клок.
Про дырявость, корявость, неудобство да и контингент во "фхтагнтакте" писать не буду. Но спустя, наверное, пол года после регистрации толк от него появился и именно тот, который ожидался: мне стали слать троянцев!!! :-D Не червей самоходных, а фигню по мелочи, но стали.
Очередного добавляю, который прописывает 91.212.198.xx в качестве адреса многих популярных ресурсов. Одного не понимаю - почему один фишинговый сайт на несколько ресурсов?
Сейчас сяду абузы катать... |
|
|
| "Залупка" снова живее всех живых! |
[May. 27th, 2009|11:55 am] |
Почти ровно год назад я проанализировал этого трояна (http://habrahabr.ru/blogs/virus/27040/), потом он почти перестал попадаться...
И тут сегодня - живой дроппер! Пакер на Delphi (вроде из свежих) с FoldString, а под ним - Залупка, собственной персоной! Да, многое поменяли, но наш origin tracing (TM) его поймал. Если метка времени не подделана, троянчег от середины апреля. В общем, не ожидал. Был удивлен :-) |
|
|
| Законы подлости |
[May. 26th, 2009|05:09 pm] |
Программа в эмуляторе распаковывается именно тогда, когда достает ждать и запускаешь для этих целей виртуалку. Причем не тогда, когда виртуалку запускаешь, а когда ее снимок полность готов к работе.
Файловые вирусы и прочая дрянь, с которой нужно разбираться долго, попадается в самом конце рабочего дня. |
|
|
| А вы патч для вируса накатили? |
[Apr. 29th, 2009|12:55 pm] |
|
И это не шутка! Попался свежий TDSS, у которого пакер использует функцию SetSearchPathMode. Которая присутствует либо в Windows 7, либо в патче из MS09-15. На непатченых системах он не запустится. Такие вот пироги... |
|
|
| reklosoft |
[Apr. 28th, 2009|01:06 pm] |
Пока восстанавливается VMWare и сканятся файлы, расскажу я вам про сабж.
http://reklosoft.ru/ - там вы можете почитать, что ОНИ пишут про себя, какие они белые и пушистые.
На самом деле:
- эта дрянь пихается в инсталлеры софта, который распространяется бесплатно. Например, в инсталлер WinAmp'а ушлыми "бизнесменами".
- при инсталляции "лицензионное соглашение" этой гадости можно прочитать только имея подключение к интернету, что есть плохо.
- за скрытие (как я понимаю временное) этой дряни в IE авторы хотят денег.
- плагин никак не сообщает, какой софт нужно удалить чтобы удалился и плагин.
- удаление софта, с которым плагин шел, не приводит к деинсталляции плагина.
Резюме - бить нещадно, ибо адварь.
Лучший способ удаления - переход на FF или другие альтернативные браузеры.
PS. Если есть семплы, которые мы не детектируем - пишите, добавим. |
|
|
| Вредные советы |
[Apr. 24th, 2009|04:22 pm] |
Разработчикам и прочим людям, занимающимся выпуском софта.
Если ваше любимое развлечение - отправлять в антивирусные компании сообщения типа "Какого хрена вы наш продукт детектите как вирус?!"...
Никогда и низачто не используйте в исполняемых файлах цифровую подпись. Незачем тратить на нее несколько килобайт в файле, а также время и деньги.
Если вы все-таки пользуетесь ЭЦП, она ни в коем случае не должна содержать информации о таких крупных конторах, как Verisign. Нужно выделяться из серой массы, да еще и сэкономить можно будет
Version Info в ресурсах - тоже излишнее расточительство, она совершенно не нужна. Да и какого черта кому-то там еще нужно знать чей это файл и от какого софта, не говоря уже о номере билда!
Имейте чувство юмора! Запихайте в свой Version Info информацию, гласящую что это вовсе не ваш файл, а файл от Microsoft. И пользователь будет уверен, что ничего лишнего у него не стоит.
Не хотите быть веселыми, а хотите быть злыми? Есть вариант и для вас - пишите в Version Info всякую нечитаемую муру.
Обязательно используйте протекторы и упаковщики, а также обфускаторы везде где возможно. Никто не должен знать как ваша программа работает. Один из лучших вариантов - краденая Themida, это позволит не только надежно защитить программу, но и сэкономить баксов этак 300. Нестандартные упаковщики, купленные у хакеров - лучшее средство для защиты ваших программ, помните об этом!
Ну какая же программа без шифрования? Шифруйте все: строки, отдельные куски кода, даже логи!
Низачто не публикуйте на вашем сайте информацию о билдах и MD5-суммах файлов, входящих в них. Даже M$ так не делает, и вам не нужно. А на запрос кого-нибудь по почте всегда отвечайте "это не наш файл!".
Отсылать в антивирусные компании ваши файлы? Никогда! Пускай покупают софт и добавляют в свои базы чистых файлов, они богатые, могут себе это позволить.
Обязательно составьте должностную инструкцию на основе этих советов и заставьте каждого сотрудника знать ее назубок и работать согласно ей. Над каждым рабочим местом повесьте баннер "антивирус - враг софтверной компании!". Вот теперь можете смело заниматься любимым делом - донимать антивирусные компании сообщениями о ложных срабатываниях. |
|
|
| Ложные антивирусы |
[Apr. 15th, 2009|05:51 pm] |
Хоть сейчас ситуация не столь напряженная с сабжем как летом прошлого года, неприятности пользователям они доставляют. Сейчас ковыряю интересный экземпляр: мало того, что он находит несуществующие трояны, так еще и показывает существующие пути к системным файлам! Юзверь, если не заплатит за активацию трояна, может руками удалить системные файлы и система сдохнет. Раньше этот тип заразы пути к файлам не показывал...
Вот и слайды, уговорили :-)
 |
|
|
![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small}
v_martyanov's journal