Перейти к содержанию
AM_Bot

Разработан вирус конструирующийся из установленных на компьютере программ

Автор AM_Bot, в Общий форум по информационной безопасности

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

Учёные по заказу армии США разработали образец вируса, который самособирается из фрагментов ПО, установленного на компьютере жертвы. Концептуальной разработке дали название Frankenstein, пишет журнал New Scientist. Перед учёными поставили задание создать код, который будет трудно обнаружить с помощью неизвестного антивируса. Задачу решили за счёт модульной конструкции вируса.

подробнее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
Учёные по заказу армии США разработали образец вируса, который самособирается из фрагментов ПО, установленного на компьютере жертвы. Концептуальной разработке дали название Frankenstein, пишет журнал New Scientist. Перед учёными поставили задание создать код, который будет трудно обнаружить с помощью неизвестного антивируса. Задачу решили за счёт модульной конструкции вируса.

"трудно обнаружить с помощью неизвестного антивируса" -- с помощью неизвестного может быть будет и трудно, а вот известные будут ловить на ура :-)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано
После установки на машину жертвы, вирус конструирует рабочее тело из так называемых «гаджетов»

И после завершения конструирования будет пойман :)

Ключевая особенность «Франкенштейна» в том, что сборка рабочего тела по заданным инструкциям повторяется на каждом заражённом компьютере, но каждый раз задействуются новые гаджеты, так что бинарник вируса в каждом случае получается уникальным. За счёт этой особенности вредоносную программу практически невозможно обнаружить по базе вирусных сигнатур.

Да-да, а в сигнатурах сидят у всех бинарники целиком до сих пор. И эвристиков нет :)

Вот если бы оно собиралось из недетектируемых кирпичиков, но не в виде файла, а сразу в виде процесса в памяти. Но для этого есть ряд сложнопреодолимых моментов.

Т.е. новость какбэ намекает - вытащите себя за волосы, и обманете антивирус :D

Только вот смущает:

Учёные по заказу армии США

Хотя и то, что об этом растрындели, намекает на степень секретности работы таких горе-учёных. Да-да, боимси :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Васька    45

Васька
Опубликовано

Американские лошары неуклюже пытаются вбросить дезу, чтобы обмануть общественное мнение и отвести подозрения от своего главного вируса - Майкрософт. У них один выход: держать Майкрософт за жабры, как главное средство скрытно шарить в чужих компьютерах, а для народа кидают вот такие статейки типа армия США не пользуется услугами Майкрософт, а типа выдумывает "чудо вирусы".

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано

По-моему что-то подобное уже было раньше. Пусть не с системными файлами, но общий подход был похожим.

И не понятно, почему разные бинарники заявляются как некая защита от детекта, я не о поведенческом? Не по хешам же его детектировать будут.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Зайцев Олег    402

Зайцев Олег
Опубликовано

Ерунда какая-то, так как:

1. чтобы собирать зловреда из гаджетов, нужно сначала на ПК внедрить код сборщика :) А для этого придется применить эксплоиты, а сам сборщик придется защищать от детекта классическими методами типа полиморфизма. Следовательно, весь плюс метода сведется к нулю

2. Современный антивирус использует массу технологий несигнатурного детектирования (эмулятор, анализ реального поведения и т.п.). Следовательно, не важно, как именно попал EXE на ПК и каковы его бинарные "внутренности" - важно то, что именно он будет делать в системе

3. Если антивирус будет работать совместно с Application Control + WL, то он просто не опознает такую "поделку из гаджетов" как нечто безопасное и блокирует ее запуск. Или разрешит, но проинформирует админов и безопасников

4. Если ПК сети периодически проверяются на предмет наличия шпионских закладок и постороннего ПО, то появление нового непонятно откуда взявшегося исполняемого файла сразу вызовет аларм

5. Если у пользователя нет прав администратора, то "чудо вирус" или не сможет выполнить сборку, или не сможет после сборки работать ...

Так что ничего чудесного там нет... нового тоже, напрмиер в тестировании эмуляторов на AM в 2007 году сделанный мной для тестирования "семпл 503" как раз и использовал возможность "поиска гаджетов" в системных файлах :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      И не должен работать, такое удалять разрешено только вручную.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask  [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов. Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду: 1) Обнаружить угрозы - исходя из данных статистики 2) Создать автоскипт на базе общей операционной статистки 3) Создать автоскипт на базе моей статистики. Файл\ы данных доступны - как при обращении к серверу - так и локально. ----- % 70 скрипта - Это всё одно и тоже... Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека. ------- Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?  
×