Исследование вирусов и вредоносного ПО
Заметки
Различные заметки, мысли и мелкие очерки
Я не забил на блог!
512.05.2012
в Заметки
Несмотря на нехватку свободного времени, про бложик я не забываю. Сегодня обновил зеркала утилит AVZ и UVS:
Ничего по тематике не пишу, т.к. ничего не пишется, да и ковырять особо нечего.
Слитый в паблик g-bot 2.2 ничем не отличается от предыдущих версий.
Неплохо было бы «потискать» новые сэмплы «Оптимы», там как раз не так давно вышла версия Za, если у кого есть — присылайте на почту =)
PS
Так же обновил портативную UltraISO
Конец отдыху, работа сайта возобновляется.
501.04.2012
в Заметки
После месячного перерыва появилось свободное время, а так же отремонтировано «железо», все это значит, что в скором времени будут произведены анализы того, что появилось за срок моего отсутствия.
Я не особо в курсе, т.к. интернетом практически не пользовался, но мне тут нашептали про утечку в паблик Simple DDoS bot, Pandora bot, dibot — все это поделки на базе Dirt Jumper, ничего кардинально нового, даже рассматривать не хочется.
В марте было обновление связки Blackhole 1.2.3.
За рубежом картина намного насыщенней:
- Fruits RAT — бэкдор написанный на Java.
- Darkcomet какой-то очередной новой версии.
- ISR Stealer 0.4 — троян для кражи паролей.
- И куча всякой бэкдороподобной дряни на VB и NET для ддоса и других пакостей.
Из новостей антивирусной сцены слышал только про ботнет, управляемый якобы грузинским правительством.
Так же кусками до меня донесли статейку с «ксакепа», где чел отреверсил Sality и убил один из контрольных центров..
В общем, подводя итоги, отстал я от жизни достаточно серьезно — будем наверстывать.
P.S. Всех с первом апреля, будьте внимательней с шутниками сегодня =)
P.P.S.
Открыв Google Reader сразу наткнулся на громкую новость — сотрудники NQ Mobile Security Research Center обнаружили первый буткит под мобильную операционную сисему Андроид. Название этого зловреда DKFBootKit. Так-то. Андроид с каждым месяцем становится все больше похож на винду по количеству угроз в сети.
Попытка взлома блога школьниками? xD
520.02.2012
в Заметки
В логах обнаружил, что вечером 18-го какой-то школяр пытался брутить блог:
95.67.169.24 - - [18/Feb/2012:19:26:30 +0400] "GET /wp-login.php HTTP/1.1" 200 1150 "-" "-" 95.67.169.24 - - [18/Feb/2012:19:26:30 +0400] "POST /wp-login.php HTTP/1.1" 503 213 "-" "-" 95.67.169.24 - - [18/Feb/2012:19:26:30 +0400] "POST /wp-login.php HTTP/1.1" 503 213 "-" "-"
И так 995 попыток)
Сомневаюсь, что это прокси.
Так же было сканирование на уязвимости, хотя это тоже детские шалости:
95.67.169.24 - - [18/Feb/2012:19:26:24 +0400] "GET /readme.html HTTP/1.1" 200 4881 "-" "-" 95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /wp-includes/rss-functions.php HTTP/1.1" 500 20 "-" "-" 95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /wp-config.php.save HTTP/1.1" 503 213 "-" "-" 95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /wp-config.php_bak HTTP/1.1" 503 213 "-" "-" 95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /%23wp-config.php%23 HTTP/1.1" 503 213 "-" "-" 95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /wp-config.php~ HTTP/1.1" 503 213 "-" "-" 95.67.169.24 - - [18/Feb/2012:19:26:26 +0400] "GET /wp-config.php.swp HTTP/1.1" 404 4862 "-" "-" 95.67.169.24 - - [18/Feb/2012:19:26:27 +0400] "GET /wp-config.php.swo HTTP/1.1" 404 4862 "-" "-"
Ушлый хрен из Самары, в следующий раз юзай прокси, не позорься. Брутить бесполезно, учетки пользователей на этом блоге прав никаких не имеют, а нормальный пароль тебе попросту не сбрутить.
Вообще не понимаю немного, почему столько вредителей постоянно лезут со своими ботнетами/сканерами. Сайт не коммерческий и прибыли мне не приносит, если он лежит — то это только читателям минус, а не моим финансам.
Заметка #16. Нужен ли раздел HOWTO?
216.02.2012
в Заметки
Ну, обновление шаблона прошло успешно, функционал сайта не пострадал, поэтому верной дорогой можно продолжать.
Что продолжать, спросите вы?
Я пока думаю, чего интересного такого написать, но ни сэмплов вкусных нет, ни спама какаго дивного-необычного.
Еще хочется посетовать на то количество людей, ломящихся с расспросами «Как самостоятельно реверсить мальварь?». Как-как, попробуйте почитать бложик с самого начала, самые старые статейки вполне подробно и в картинках описывают, как перехватить трафик программы, как найти какие-то интересности в коде, узнать куда и как себя в системе программа устанавливает..
Так же обязательно стоит прочитать книжку
Купить эту хорошую книгу можно на Амазоне. Оно стоит того: в ней собраны весьма актуальные материалы по исследованию вредоносного ПО, и все написано не сухим научным языком, а разжевано так, что поймет и пятиклассник.
Еще один источник категории «мастрид» —
Тут нас научат реверсить руткиты на примере Max++. Чтиво довольно тяжелое, но интересное для проникшихся.
Еще несколько премеров презентаций:
Другие ссылки на интересные сайты этой тематики можно найти у меня на главной в футере, столбец «Вирусология», но гугл способен выдать гораздо больше качественного материала, чем я смогу насоветовать, если научиться как следует искать, конечно же.
P.S.
Но все же я планирую создать раздел howto, в котором будут рассмотрены какие-то моменты, по которым мне задают больше всего вопросов.
Ну, это сегодня мне так все представляется, конкретную модель я еще не составил, может текстовая информация будет подкрепляться видео-материалами, а может и нет. Времени у меня все таки не безграничное количество =)
Принимаю пожелания/предложения в комментариях.
HOWTO — небольшие технические руководства, объясняющие как выполнить ту или иную задачу
Обновление шаблона сайта
1208.02.2012
в Заметки
Был обновлен шаблон до кардинально свежей версии. Очень много нововведений, с нерпивычки тяжело разобраться.
Глючит под хромом, хз почему.
Блок ссылок на друзей сайта теперь доступен только с главной страницы.
Убран один сайдабар. Правая клонка разгружена — убран твиттер.
Добавлены плюшки на jQuery, анимация и прочая приблуда, но это до тех пор, пока не начнутся жалобы.
Добавлена репутация комментариям.
Отписывайтесь в комментах, у кого какие проблемы, будем пытаться решить.