Исследование вирусов и вредоносного ПО
FileAlyzer 2
005.07.2011
FileAlyzer 2
Эта бесплатная утилита от разработчиков Spybot — Search & Destroy, позволяющая получить исчерпывающую информацию о PE-файле, такую как:
- Компиллятор/упаковщик файла
- Хэш-сумму (MD5, SHA-1, CRC-32 и другие)
- Шестнадцатиричное представление файла
- Аномалии в PE
- Размер файла и штамп создания
- Метаданные файла
- Данные заголовков
- PE — секции
- PE — импорты
- PE — экспорт
- Данные о ресурсах
- и простенький дизассемблер
Скачать утилиту можно с
Process Explorer
204.07.2011
Эта бесплатная утилита от Sysinternals предназначена для отображения всех активных процессов в системе, включая скрытые. Демонстрирует исчерпыващую информацию, включая владельца, использование памяти, задействованные библиотеки, дескрипторы, мьютексы и многое другое.
Позволяет закрывать процессы, древо процессов, менять приоритет.
Более подробно можно ознакомиться на официальном сайте: http://technet.microsoft.com/ru-ru/sysinternals/bb896653
VirtualBox
004.07.2011
Этот бесплатный программный продукт предназначен для виртуализации различных операционных систем, включая MS Windows, Linux, BSD, MacOS, DOS и других. Крайне важный инструмент в исследовании вредоносного ПО, т.к. полностью может эмулировать работу ОСи windows, следовательно позволяет проводить анализ без вреда основной операционной системе.
Процесс установки виртуальной системы мало чем отличается от установки на реальное железо, по этому не должно вызывать никаких затруднений даже у начинающего пользователя.
Не может не радовать наличие системы снапшотов — сохранения состояния виртуальной среды с возможностью последующего возвращения к любому из сделанных снимков. То есть можно не бояться, если при
Конечно, существует различная программная защита от запуска в подобной виртуальной среде, но тем не менее это достойный помощник в вирусных исследованиях.
Скачать продукт можно на
Обновите ваш видео проигрыватель. Исследуем java drive-by загрузчик.
103.07.2011
в Статьи
Обновите ваш видео проигрыватель… мы хотим ваши пароли.
На днях вышла седьмая часть культового шутера-экшена. Естественно выход таких долгожданных продуктов всегда связан с распространением различных троянов в сети. Вот и в этот раз не обошлось без приемов СИ.Моря спама, рекламы и прочего в итоге вынудили меня зайти на blackops-gigatv.tk Зашел, увидел экран загрузки ролика, подождал..удивило меня окно, предлагающее запустить ява-приложение.
Любопытно. Я не параноик, но, учитывая недавние новости о кроссплатформенных зловредах с участием «явы», разрешать запуск приложения в реальной системе не стал. Тем не менее, стало интересно, что же это.Запустил виртуальную машину с гостевой windows xp sp3, чтобы выяснить, что это.
(далее…)
Пример вредоносного спама «Вконтакте».
103.07.2011
в Статьи
Давненько мне не приходил никакой спам с вирусными рассылками от френдлиста социальных сетей, да и ничего уникального давно не встречалось из подобного рода рассылок. Но сегодня мне попал довольно любопытный сэмпл.
Сперва пришло письмо от человека, который состоит у меня в списке друзей:
Довольно несвойственная манера для человека, но я прошел по ссылке, т.к. она не вела на внешние ресурсы. При переходе видим профиль некоего Энди Смоука, обещающего завтра всем дать голоса на халяву, если перейти по ссылке. Что настораживает сразу? Правильно, сокращалка ссылок, которую так долго использовали за бугром для фишинга. Теперь и до нас докатились) Но это лично для меня, вообще настораживает халява сама по себе.
Подробности под катом)
(далее…)