Основан 26 Июля 2013 года
freehacks.ru fhacksnplmzxaaoo.onion
ДДОС СЕРВИС
Магазин Qiwi,Yandex Кошельков

Показано с 1 по 7 из 7
  1. #1
    TopicStarter
    Аватар для sata-ata

    Статус
    Offline
    Регистрация
    29.10.2013
    Сообщений
    3,233
    Репутация
    332 + / -
    Программист

    Новый вирус, выводящий из строя компьютер при его обнаружении

    прекрано, просто прекрасно

    Новый тип вредоносного программного обеспечения парализует работу компьютера при его обнаружении в ходе антивирусных проверок, нанося просто катастрофический удар своим жертвам.

    Вирус, названный Cisco Systems как Rombertik, перехватывает любой, даже самый простой текст, введенный в окне браузера. Далее, в соответствии с сообщением [Только зарегистрированные могут видеть это. ], датируемым этим понедельником, вирус распространяется через спам и фишинговые письма.

    Rombertik легко проводит несколько серий проверок после своего запуска на компьютере под управлением Windows и продолжает действовать, определяя, детектируется ли он антивирусными программами.

    Следует отметить, что такое поведение не является необычным для некоторых типов вредоносных программ, но Rombertik «уникален тем, что он достаточно активно пытается уничтожить данные на компьютере, если обнаруживает определенные следы анализа наличия вредоносных программ», — именно так описал вирус Бен Бейкер и Алекс Чиу из Talos Group.

    Похожие вредоносные программы («Wiper») использовались в 2013 году в атаках против объектов, расположенных в Южной Корее, и в атаке против Sony Pictures Entertainment в прошлом году. Обе атаки приписываются американским правительством Северной Корее.

    Последняя проверка Rombertik – наиболее опасная. Он вычисляет 32-битный хэш ресурса в памяти, и если этот ресурс или же время компиляции были изменены, Rombertik запускает процесс самоуничтожения.Сначала целью программы становится главная загрузочная запись Master Boot Record (MBR) в первом секторе жесткого диска ПК, которую компьютер использует для загрузки операционной системы. Если Rombertik не может получить доступ к MBR, он уничтожает все файлы в домашней папке пользователя, шифруя каждый случайным ключом RC4.

    После того, как MBR или домашняя папка были зашифрованы, компьютер перезагружается. MBR попадает в бесконечный цикл, не дающий компьютеру загрузиться. На экране появляется надпись «Carbon crack attempt, failed (Попытка взлома провалилась)».

    После установки на компьютере, вирус сам себя распаковывает. Около 97 процентов распакованного файла создано таким образом, чтобы сделать его похожим на реальный код. Вирус состоит из 75 изображения и 8000 ложных функций, на самом деле никогда не использующихся.

    «Этот вирус пытается сделать невозможным для антивирусников просмотр каждой функции», — написал Talos.

    Он также пытается избежать попадания в «песочницы», или практикует карантин на некоторое время до окончания его проверки. Некоторые вредоносные программы пытаются переждать этот период, надеясь после этого проснуться и начать действовать.

    Rombertik остается активным и записывает один байт данных в память 960 млн. раз, что затрудняет анализ антивирусными программами.

    «И если антивирусник в это время пытается зафиксировать все 960 миллионов записей, размер лог файла может увеличиться до 100 гигабайт,» — написал Talos.

    ист: хабр
    8AC4F56356469F79B5283364053ACDA49D8EC9FEFDADC2B42F A5B4E979D9222267583F350BF9

    с/delphi/pascal/vbs/vbm/bat
    Ник зареган, суки! [Только зарегистрированные могут видеть это. ]

  2. Пользователь сказал cпасибо:
  3. #2
    Цитата Сообщение от sata-ata Посмотреть сообщение
    rombertik легко проводит несколько серий проверок после своего запуска на компьютере под управлением windows и продолжает действовать, определяя, детектируется ли он антивирусными программами.
    а если у него паранойя? а вдруг ложняк?


    Цитата Сообщение от sata-ata Посмотреть сообщение
    следует отметить, что такое поведение не является необычным для некоторых типов вредоносных программ, но rombertik «уникален тем, что он достаточно активно пытается уничтожить данные на компьютере, если обнаруживает определенные следы анализа наличия вредоносных программ», — именно так описал вирус бен бейкер и алекс чиу из talos group.

    последняя проверка rombertik – наиболее опасная. он вычисляет 32-битный хэш ресурса в памяти, и если этот ресурс или же время компиляции были изменены, rombertik запускает процесс самоуничтожения.сначала целью программы становится главная загрузочная запись master boot record (mbr) в первом секторе жесткого диска пк, которую компьютер использует для загрузки операционной системы. если rombertik не может получить доступ к mbr, он уничтожает все файлы в домашней папке пользователя, шифруя каждый случайным ключом rc4.

    после того, как mbr или домашняя папка были зашифрованы, компьютер перезагружается. Mbr попадает в бесконечный цикл, не дающий компьютеру загрузиться. на экране появляется надпись «carbon crack attempt, failed (попытка взлома провалилась)».

    после установки на компьютере, вирус сам себя распаковывает. около 97 процентов распакованного файла создано таким образом, чтобы сделать его похожим на реальный код. вирус состоит из 75 изображения и 8000 ложных функций, на самом деле никогда не использующихся.

    «этот вирус пытается сделать невозможным для антивирусников просмотр каждой функции», — написал talos.

    он также пытается избежать попадания в «песочницы», или практикует карантин на некоторое время до окончания его проверки. некоторые вредоносные программы пытаются переждать этот период, надеясь после этого проснуться и начать действовать.

    Rombertik остается активным и записывает один байт данных в память 960 млн. раз, что затрудняет анализ антивирусными программами.

    «и если антивирусник в это время пытается зафиксировать все 960 миллионов записей, размер лог файла может увеличиться до 100 гигабайт,» — написал talos.

    ист: хабр
    Мне кажется с уничтожением данных даже придумывать ничего не нужно.
    вот доступ к mbr порадовал меня конечно, как в старые-добрые времена в dos'е имея полный доступ и никаких практически ограничений пиши всё что хочешь, а вот под виндой-то.....

    То-ли фантазия у вирусописателей иссякла, то-ли поколение просто такое народилось?

    Что касается попыток избежания попадания в песочницу, да и контроля операций чтения его кода, то мне кажется это как-то через чур, да и верится с трудом!

    Вообщем не видно цели и смысла!!!
    Последний раз редактировалось iTuneDVR; 09.08.2015 в 13:02.

  4. #3
    Аватар для Integrativ

    Статус
    Offline
    Регистрация
    16.12.2014
    Сообщений
    450
    Репутация
    42 + / -
    Другое
    а может версия с "заниженной вирулентностью" дабы преберечь основной состав на будущее
    Из истории известно, что право никто, никому, никогда не даёт, пока сам не возьмёшь.

  5. #4
    Цитата Сообщение от Integrativ Посмотреть сообщение
    а может версия с "заниженной вирулентностью" дабы преберечь основной состав на будущее
    Так а смысл???

  6. #5
    Аватар для Integrativ

    Статус
    Offline
    Регистрация
    16.12.2014
    Сообщений
    450
    Репутация
    42 + / -
    Другое
    когда специалисты по безопасности создадут от него защиту(они вероятно учтут и возможные продолжения здесь обозначенные) у атакующего останется козырь в рукаве для новых атак - ведь всё равно что то упустят.

    а вообще ещё похоже на коммерческую версию, как я их называю.
    Последний раз редактировалось Integrativ; 09.08.2015 в 22:05.
    Из истории известно, что право никто, никому, никогда не даёт, пока сам не возьмёшь.

  7. #6
    Цитата Сообщение от Integrativ Посмотреть сообщение
    когда специалисты по безопасности создадут от него защиту(они вероятно учтут и возможные продолжения здесь обозначенные) у атакующего останется козырь в рукаве для новых атак - ведь всё равно что то упустят.
    Это называется: изучи содержимое чёрной коробки на рассстояниии.
    Мне кажется, тут слегка приукрашено или преувеличено. Исполняемый код, он и в африке код. Материален и осязаем.
    Полимофт себя прячет в разных сигнатурах, а тут прямо недотрога какая-то???
    Последний раз редактировалось iTuneDVR; 09.08.2015 в 22:09.

  8. #7
    TopicStarter
    Аватар для sata-ata

    Статус
    Offline
    Регистрация
    29.10.2013
    Сообщений
    3,233
    Репутация
    332 + / -
    Программист
    вин 10 мне не понравилась, юзал 2 дня, останусь на вин 8.1 до смерти
    попытался отключить ненужные мне службы и создать пользователя с правами систем
    короч, ГОВНО
    8AC4F56356469F79B5283364053ACDA49D8EC9FEFDADC2B42F A5B4E979D9222267583F350BF9

    с/delphi/pascal/vbs/vbm/bat
    Ник зареган, суки! [Только зарегистрированные могут видеть это. ]

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.