HOWTO

Вводный курс в изучение вредоносного ПО.

Virtualbox. Проброс портов на гостевую систему. Режим NAT.

23.02.2012

Приветствую.
Иногда бывает необходимо поднять на виртуальной системе какой-либо сервер или демон, который должен быть доступен из сети интернет.

Вообще для того, чтобы обратиться к удаленному хосту, тот должен иметь прямой ip-адрес, в нашем случае прямой «айпишник» будет принадлежать тому устройству, на котором работает виртуальная машина с гостевой операционкой. Используем режим NAT, перенаправим порт, и при обращению к порту, скажем, 80-му, мы попадем запросом не на хост-систему, а на виртуальную.
Надеюсь, вы поняли =)
Рассмотрим ситуацию с гостевой windows xp.
(далее…)

port forwarding virtualbox

Установка VirtualBox+Windows XP

16.02.2012

в HOWTO

Для того чтобы провести анализ того или иного приложения без риска для своей операционной системы, нам понадобится система виртуальная, об установке которой мы сейчас и поговорим.

Даже с такой несложной задачей у некоторых бывают проблемы. Я коротко опишу процесс установки сначала самой виртуальной машины VirtualBox, затем установку в качестве гостевой системы windows xp professional.

На самом деле ничего сложного. Нам понадобится:

Virtualbox + VM VirtualBox Extension Pack. Скачивается с официального сайта:

https://www.virtualbox.org/wiki/Downloads

Версии под линукс: https://www.virtualbox.org/wiki/Linux_Downloads

Установочный образ Windows XP Professional SP3, качать его или купить — ваш выбор.
Не менее 6 гигабайт свободного пространства на жестком диске.
Не менее 768 мегабайт оперативной памяти. Для комфортной работы от 1 гигабайта и более.
Процессор особого значения не имеет, достаточно будет и 1 гигагерца.

Скачиваем установщик, ставим, затем устанавливаем двойным кликом пакет дополнений VM VirtualBox Extension Pack.
Теперь создадим новую виртуальную машину.
(далее…)

howto virtualbox виртуализация

Вирус internet.com или лечим Mayachok.1

25.12.2011

в HOWTO, Статьи

Заметил, что форумы по компьютерной помощи пестрят топиками с однотипной проблемой:
Медленно работают браузеры
Google Chrome не работает вообще
Загружаются только некоторые сайты из списка: yandex.ru, google.com, vkontakte.ru, odnoklassniki.ru

Может производится переадресация на фейковые страницы, просящие отправить смс на короткий номер или ввести номер своего сотового. Обратите внимание, что домены не отличаются от оригинала:

help.vkontakte.ru
admin.vkontakte.ru
help.mail.ru
update.mozilla.org
download.opera.com
chrome.google.com
update.microsoft.com
official.odnoklassniki.ru
rushotgirls.com
internet.com
*.co.cc

Скриншоты фейковых страниц:

Фаерволл может ругаться на несанкционированный досутп к этим адресам:

rootclicks.com
dnszond.com
liveclickz.com
yandexapps.com
yandexdns.com
gcoglestats.com
msn-dns.com

Список доменов может варьироваться, но в актуальных версиях вируса используются именно эти.

По всем параметрам можно узнать в нем уже упомянутого мною Mayachok.1, другое название которого Trojan.Cidox
(далее…)

cidox internet.com mayachok trojan

Лечение MBRLocker с помощью livecd

21.11.2011

в HOWTO, Статьи

Казалось бы, что эпидемия этих вымогателей уже прошла, но нет, до сих пор встречаются образцы MBR-блокировщиков.

Подобные вредоносы записывают себя в MBR жесткого диска и срабатывают до начала загрузки системы, что не позволяет бороться с ними штатными средствами, именно по этому для лечения мы и будем использовать live cd. Я взял SafeZone LiveCD, на борту которого имеется вполне удачный набор инструментов. Впрочем, использовать можно любой другой образ, для нас важна программа Bootice, входящая в состав диска, именно она и поможет восстановить загрузчик.
(далее…)

mbr блокировщик mbrlocker ransom winlocker лечить винлокер лечить блокировщик

Настройка Buster Sandbox Analyzer

25.10.2011

в HOWTO, Статьи, Инструментарий

Buster Sandbox Analyzer (далее bsa) — это инструмент для динамического анализа вредоносного ПО. Для работы необходима песочница Sandboxie. В прочем, я уже писал об этом.

Правда в прошлый раз я совершенно не рассмотрел его подробно, не описал процесс оптимальной настройки и перечень той информации, которую этот анализатор способен выдать нам. Каждый волен настраивать так, как считает нужным, но меня спросили — я расскажу, как настроил я.
Поехали…

Предположим, что sandboxie уже установлена, а самая свежая версия bsa скачана.
Создаем в корне диска C папку bsa, туда распаковываем архив с программой.
(далее…)

analyzer buster sandboxie virtualbox

1 2 Туда »

Вверх