Рубрика «Malware» - 15

Больше руткитов — «хороших» и разных. Part II

2012-12-22 в 14:51, admin, рубрики: bootkit, cyberthreat, Malware, rootkit, tdl, tdss, Вирусы (и антивирусы), информационная безопасность, метки: bootkit, cyberthreat, Malware, rootkit, tdl, tdss

TDL-4

Разработчики TDL продолжают идти в ногу со временем. На этот раз их взор устремился на неохваченные ранее 64 битные системы. Во-первых — появилось разделение рабочих файлов на 32 и 64 разрядные версии. Во-вторых — в очередной раз изменился алгоритм запуска после перезагрузки. Ранее подобный алгоритм применялся в ВПО Sinowal, достаточно известном своими новациями сотрудникам антивирусных компаний. Теперь TDL версии 4 заражал главную загрузочную запись (MBR). Данный способ позволяет ему загружаться раньше операционной системы, сразу после старта компьютера. Таким образом, TDL-4 из буткита «мутировал» в буткит. Как и ранее, компоненты TDL-4, хранились в специальной области жесткого диска, зашифрованные алгоритмом RC4. Код в MBR передавал управление компоненту ldr16 (из хранилища). После передачи управления ldr16 производил перехват функций работы с жестким диском (ОС еще не загружена). Для загрузки TDL-4 использовалась подмена файла kdcom.dll (путем установки перехватчика на Int 13h и поиска определенной сигнатуры kdcom.dll), который необходим для инициализации ядра операционной системы на стадии загрузки. Вместо kdcom.dll в итоге загружался вредоносный компонент ldr32 или ldr64 (из хранилища) в зависимости от разрядности целевой ОС. Бинарный код ldr32 и ldr64 практически идентичен, так как они скомпилированы из одного исходного кода. Но, кроме разницы в коде, в 64 битных системах, начиная с Windows 2003 x64 (XP x64 и далее Vista, Seven), появилось несколько технологий, направленных на защиту от вредоносного воздействия. Одна из них — Patch Guard, которая отслеживает изменение критических объектов ядра ОС, таких как:

таблица глобальных дескрипторов — GDT;
таблица дескрипторов прерываний — IDT;
таблица дескрипторов системных сервисов — SSDT;
некоторые системные файлы, например, NTOSKRNL.EXE, NDIS.SYS, HAL.DLL;
служебные MSR регистры STAR/LSTAR/CSTAR/SFMASK.

Читать полностью »

История реверс-инжиниринга одного SMS трояна для Android

2012-12-05 в 10:53, admin, рубрики: android, Malware, malware reversing, sms, мошенники, реверс-инжиниринг, метки: android, Malware, malware reversing, sms, мошенники, реверс-инжиниринг

Все началось с жалоб одного моего доброго друга, по совместительству владельца устройства на Android. Он жаловался, что оператор постоянно снимает с него деньги неизвестно за что. После звонков оператору выяснилось, что средства снимали за премиум SMS, которые мой друг якобы отправлял. Я сам неоднократно нарывался в Интернетах на подозрительные сайты, которые предлагают скачать apk с игрой/программой/Live Wallpaper, при установке которого выясняется, что это всего лишь программа, которая отправляет SMS на премиум номера. Но в этом случае если нажал кнопку, то «сам дурак», потому что правила в таких программках явно говорят, что последует отправка SMS на платные номера, да и ссылки они в итоге предоставляют на реальные программы.

Так или иначе, ко мне закралось подозрение, что здесь ситуация тоже завязана на таком роде деятельности, и я взялся разобраться, куда же все-таки утекают денежки.
Читать полностью »

В сеть утекла Citadel

2012-10-23 в 15:57, admin, рубрики: citadel, Malware, zeus, Вирусы (и антивирусы), информационная безопасность, метки: citadel, Malware, zeus

Три дня назад на одном из испанских форумах появилась ссылка на Citadel 1.3.4.5.

Ответвление от линии ZeuS, названное Citadel и рекламируемое на нескольких полностью закрытых хакерских форумах — это еще один пример развития вредоносного ПО в форме сетевого сервиса.Читать полностью »

Яндекс продолжает нарушать интерфейс?

2012-10-09 в 9:51, admin, рубрики: Google Chrome, Malware, windows, яндекс, метки: Malware, яндекс

Теперь и на поисковой странице Google.
Яндекс продолжает нарушать интерфейс?
Читать полностью »

Реагирование на инциденты в системах интернет-банкинга — инструкция от Group-IB

2012-10-08 в 10:43, admin, рубрики: Malware, spyeye, zeus, безопасность, Блог компании «Group-IB», вредоносное ПО, вредоносный код, дбо, информационная безопасность, онлайн-банкинг, реагирование на инциденты, электронная коммерция, метки: Malware, spyeye, zeus, безопасность, вредоносное ПО, вредоносный код, дбо, онлайн-банкинг, реагирование на инциденты

Инструкция предназначена для повышения осведомленности сотрудников корпоративных служб информационной безопасности при реагировании на случаи хищений денежных средств с использованием систем интернет-банкинга. Она была подготовлена на основе обобщенной практики реагирования компьютерных криминалистов Group-IB на случаи мошенничества при компрометации реквизитов систем дистанционного банковского обслуживания.

В инструкции подробно указываются причины и признаки инцидентов, пошагово расписываются технические и организационные мероприятия, отдельное внимание уделяется вопросам предупреждения хищений.

Документ сопровождается подробными иллюстрированными приложениями. Этот материал создавался с учетом существующих юридических норм и признанных экспертных рекомендаций и может использоваться для разработки внутренних нормативных документов. Читать полностью »

Вслед за malware, Punto (Yandex) тоже решил нарушать интерфейс

2012-09-27 в 10:41, admin, рубрики: Malware, windows, интерфейсы, настройки программы, яндекс, метки: Malware, настройки программы

Вслед за malware, Punto (Yandex) тоже решил нарушать интерфейс В последние дни, наверное, все, использующие Punto Switcher (начиная с некоторой, не очень старой версии) и имеющие выход в интернет, получили такое сообщение, как на скриншоте:

Punto Switcher: доступно обновление.

Что же в этом криминального, спросит читатель?
Суть ситуации подсказывает слово «все» в первом предложении. «Все» — это означает "даже те, кто не собирался узнавать и обновлять". Иллюстрацию поясняет следующий скриншот:
Читать полностью »

Анализ Guntior

2012-09-22 в 19:08, admin, рубрики: Malware, Reversing, информационная безопасность, метки: Malware, Reversing

Добрый вечер всем! В этой заметке речь пойдет о анализе (реверсинге) малвари. Точного названия нет, но на ав порталах он именуется как Guntior. А точнее (kernelmode.info) Guntior bootkit (Chinese combine). Под катом куча картинок, осторожнее! Эта малварь представляет собой целый комплекс для развертывания плацдарма на машине жертвы. В комплект входит буткит (украденный у Stoned Bootkit), лоадер для загрузки файлов и прочее. Я буду анализировать следующий файл (отчет Virustotal'а) Читать полностью »

Выделение паролей в MAC OS X

2012-09-07 в 5:22, admin, рубрики: keychain, mac os x, Malware, Блог компании «Group-IB», вредоносное ПО, информационная безопасность, пароли, метки: keychain, mac os x, Malware, вредоносное ПО, информационная безопасность, пароли

Финский исследователь Juuso Salonen опубликовал специальную утилиту (http://juusosalonen.com/post/30923743427/breaking-into-the-os-x-keychain), назначение которой заключается в выделении паролей из подсистемы управления парольной информации Keychain. Keychaindump уже привлекала внимание исследователей, которые убеждены, что подобный подход можно успешно использовать при разработке вредоносного кода под MAC OS X.
Впервые, она была представлена в MAC OS 8.6. Keychain хранит различные типы парольной информации (формы к WEB-сайтам, FTP, SSH-аккаунты, доступ к сетевым «шарам», беспроводным сетям, цифровые сертификаты).

Файлы Keychain хранятся в ~/Library/Keychains/, /Library/Keychains/, и /Network/Library/Keychains/ соответственно. «login», файл Keychain по-умолчанию, разблокировывается сразу же после успешного логина пользователя в систему со своим пользовательским паролем. Тем не менее, реальный пароль к нему может и не отличаться от того, что используется пользователем. При этом не разрешено устанавливать нулевой пароль, автоматическая блокировка осуществляется с течением времени при беспользовании системой.

Как только пользователь разлочил keychain, пароль превращается в 24-байтовй «master key» и хранится в сегменте памти процесса «securityd». Путем отдельного исследования, была выявлена конкретная хранимая структура в области памяти, которая указывает на «master key». Она содержит поле размером в 8 байт с соответствующим значением «0x18» (24 в HEX'е).
Читать полностью »

Выделение паролей в MAC OS X — эволюция malware?

Web of Trust подключил Безопасный Поиск Яндекса (SafeBrowsing API)

2012-06-19 в 14:15, admin, рубрики: api, Malware, Phishing, safe browsing, security, Web of Trust, WOT, Yandex, браузеры, информационная безопасность, Социальные сети и сообщества, метки: api, Malware, Phishing, safe browsing, security, Web of Trust, WOT, Yandex

Web of Trust подключил Безопасный Поиск Яндекса (SafeBrowsing API) Компания Web of Trust (WOT) объявила о подключении к Безопасному Поиску с помощью Safe Browsing API Яндекса.

Безопасный Поиск Яндекса в автоматическом режиме осуществляет проверку сайтов на наличие в них вредоносного программного обеспечения и иных угроз безопасности.

Использование Safe Browsing API Яндекса позволяет оперативно получать информацию о найденных угрозах и предупреждать владельцев web сайтов а так-жн пользователей браузерного дополнения (add-on) WOT.

Сочетание оценки сообщества и автоматической антивирусной проверки позволяет более точно оценить потенциальную опасность web ресурса.