Перейти к содержанию

Хакеры встраивают в злонамеренный код детекторы виртуальных машин

Michel

Автор Michel
в Задай вопрос Евгению Касперскому!

 Поделиться

Рекомендуемые сообщения

Michel Продвинутый

Michel

Опубликовано
Опубликовано
Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.

 

Эта тактика направлена на то, чтобы помешать исследователям, которые используют виртуализационное ПО, особенно выпущенное VMware, для быстрого и безопасного тестирования воздействия злонамеренного кода. Специалисты по безопасности часто запускают злонамеренные приложения в виртуальных машинах, чтобы защитить свою операционную систему от угрозы; виртуализационное ПО также позволяет анализировать злонамеренный код на различных операционных системах на одном компьютере.

 

«Три из 12 образцов злонамеренного ПО, обнаруженных недавно нашим honeypot отказались запуститься в VMware» сказал Ленни Зельтцер (Lenny Zeltser), аналитик института SANS.

 

Писатели злонамеренных приложений используют множество различных техник для обнаружения виртуальных машин, включая поиск специфичных для VMware процессов и оборудования. В основном используется код на ассемблере, который ведет себя на виртуальной машине не так как на физическом хосте.

 

В свою очередь, специалисты по безопасности института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) описали технику для борьбы с обнаружением виртуальных машин. Документ можно загрузить тут.

 

Ссылка на источник: http://www.securitylab.ru/news/277689.php

 

Хотелось бы услышать ваши комментарии и каснется ли эта проблема продуктов ЛК?

Ссылка на комментарий
Поделиться на другие сайты
E.K. Мудрец

E.K.

Опубликовано
Опубликовано
Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.

Хотелось бы услышать ваши комментарии и каснется ли эта проблема продуктов ЛК?

Там же по-русски написано - "усложняя работу антивирусных лабораторий", при чем здесь продукты?...

Ссылка на комментарий
Поделиться на другие сайты
  • 5 месяцев спустя...
GHoST Новичок

GHoST

Опубликовано
Опубликовано

Да не только на асьме, но и на многом другом причем очень много усилий к этому прикладывают :rolleyes:, избавится очень прочто, в одну руку дебагер в другую анпакер, но вот чем ты терь будешь коды на листке писать и анализовать не мое дело :help: ! просто тупа забивай нопами, догружаю картинку с примером, если что пиши ghost@wcalab.org - скоро буду перебои с мыло, наш хост переезжает, но асю не кто не отменял 404-919-955

post-1958-1179604387_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
GHoST Новичок

GHoST

Опубликовано
Опубликовано (изменено)

А вот на счет обхода антивируса... Лови его *.exe бей все адреса 0x00 0хFF, и пока он отключен или перезапускается, отключай с реестра и служб, тут де перезагркзка экстренная, после чего принудительно чить его папку :drinks: но тя на этом ФайрВол поймать может :ninja: :yes: OutPostFireWall + 4, со внутреней защитой, можно и разобратся с ним :) , но над этим уже думай сам.

P.S. один ключ в реестре и после перезагрузки он его убьет :yes:

 

KillTask('notepad.exe');
KillTask('iexplore.exe');

//*-*-*-*-*

uses
 Tlhelp32, Windows, SysUtils;

function KillTask(ExeFileName: string): integer;
const
 PROCESS_TERMINATE=$0001;
var
 ContinueLoop: BOOL;
 FSnapshotHandle: THandle;
 FProcessEntry32: TProcessEntry32;
begin
 result := 0;

 FSnapshotHandle := CreateToolhelp32Snapshot
 (TH32CS_SNAPPROCESS, 0);
 FProcessEntry32.dwSize := Sizeof(FProcessEntry32);
 ContinueLoop := Process32First(FSnapshotHandle,
 FProcessEntry32);

 while integer(ContinueLoop) <> 0 do
 begin
if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) =
UpperCase(ExeFileName)) or (UpperCase(FProcessEntry32.szExeFile) =
UpperCase(ExeFileName))) then
  Result := Integer(TerminateProcess(OpenProcess(
  PROCESS_TERMINATE, BOOL(0), FProcessEntry32.th32ProcessID), 0));
ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32);
 end;

 CloseHandle(FSnapshotHandle);
end;

 

а как дальше думай сам...

Изменено пользователем CbIP
Ссылка на комментарий
Поделиться на другие сайты
CbIP Профи

CbIP

Опубликовано
Опубликовано

С Каспером тактие трюки не проходят. Ни с папкой, ни с процессом :drinks:

Кстати, не нарушаем правила, конкретно взлом не обсуждаем :ninja:...

Когда-то я был маааленький, и писал такие функции на Делфи... Программка была для родительского контроля...

Ссылка на комментарий
Поделиться на другие сайты
GHoST Новичок

GHoST

Опубликовано
Опубликовано (изменено)

знаешь не этот так другой :ninja: , кстаи о правлих в теме заявлено средства обхода АВ, так что по теме на сколько я это понимаю :drinks:

кстати ответьте на мой вопрос если не трудно

http://forum.kasperskyclub.com/index.php?showtopic=1469

Изменено пользователем GHoST
Ссылка на комментарий
Поделиться на другие сайты
CbIP Профи

CbIP

Опубликовано
Опубликовано

С процессом К ничегего не получится сделать уже на стадии установки, если галочку посавить. Доступ к реестру тоже блокируется...

Честно - пока что не вижу путей завершить или ещё что-то сделать с К.

Тема про обход защиты... Но собщения с подчёркнуто вредоносным кодом нельзя...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • cringemachine
      Перенос устройств с одного виртуального сервера на другой
      Автор cringemachine
      Коллеги, доброго.
      Надо перенести несколько устройств с одного вирт. сервера на другой вирт. сервер.
      Создаю задачу Смена сервера администрирования. Может кто уже сталкивался - в каком формате указывать адрес нового сервера (см. скриншот)?

       
      Подозреваю, что должно быть что-то вроде «<IP-адрес главного сервера>/<Наименование виртуального сервера>"».
    • Mona Sax
      Старые машины
      Автор Mona Sax
      машина жива осталась?и сколько она грузилась?
       

      i



      Information:

      Эта тема была выделена из обсуждеия *nix систем: http://forum.kasperskyclub.com/index.php?showtopic=850

      Kind regards, CbIP.




    • B_KACKE
      зашифровало сервер 1с и несколько машин в сети
      Автор B_KACKE
      Здравствуйте!
      Зашифровало сервер 1с и распространилось дальше по сети
      Сервер 1с был просканирован загрузочной флешкой Kaspersky Rescue Tool 24 (скрин и отчет прикрепил)
      Помогите восстановить файлы. Бэкапы тоже зашифровало. Спасибо
      Addition.txt FRST.txt Files.zip Reports_KRT24.zip
    • Андрей.а.а
      Виртуальный сервер активация клиентов.
      Автор Андрей.а.а
      Прошу прощения, за дублирование темы. Решения не нашел. Нашел похожу тему, но она не сработала.
        В общем повторю еще раз, на виртуальном сервере отображается только истекающая лицензию на машины, новой не видно. На основном сервере лицензия добавлена, отображается и ей активирована основная часть машин. При попытке создания задачи распространения ключа через файл ключа на виртуальном сервере, на клиенте возникает ошибка "Нарушено Лицензионное соглашение" и активация удаляется. Нормально активировать можно только тем ключем, который виден в хранилище и никак иначе. Если отозвать лицензию у клиента принудительно, то активация "не прилетает" от вышестоящего сервера. При попытке добавить ключ активации на вирт сервер выдает сообщение, что данная лицензия уже присутствует в хранилище.
        Официальная поддержка пока молчит через корп кабинет. Сегодня истекает срок действия текущего ключа.
       
    • huper9th
      Код ошибки 39
      Автор huper9th
      Я купил через подарочный код Apple подписку на 1 месяц.
      И вылезает ошибка, ошибка 39 и трафик лимитный как и выбор сервера.
      Деньги у меня забрали.
      Я попробовал переустановить программу, и перезапустить телефон, но не получается.
       
      Приложение Kaspersky secure connection
×
×
  • Создать...