Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Хакеры встраивают в злонамеренный код детекторы виртуальных машин

Michel

Автор Michel
в Задай вопрос Евгению Касперскому!

 Поделиться

Рекомендуемые сообщения

Michel Продвинутый

Michel

Опубликовано
Опубликовано
Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.

 

Эта тактика направлена на то, чтобы помешать исследователям, которые используют виртуализационное ПО, особенно выпущенное VMware, для быстрого и безопасного тестирования воздействия злонамеренного кода. Специалисты по безопасности часто запускают злонамеренные приложения в виртуальных машинах, чтобы защитить свою операционную систему от угрозы; виртуализационное ПО также позволяет анализировать злонамеренный код на различных операционных системах на одном компьютере.

 

«Три из 12 образцов злонамеренного ПО, обнаруженных недавно нашим honeypot отказались запуститься в VMware» сказал Ленни Зельтцер (Lenny Zeltser), аналитик института SANS.

 

Писатели злонамеренных приложений используют множество различных техник для обнаружения виртуальных машин, включая поиск специфичных для VMware процессов и оборудования. В основном используется код на ассемблере, который ведет себя на виртуальной машине не так как на физическом хосте.

 

В свою очередь, специалисты по безопасности института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) описали технику для борьбы с обнаружением виртуальных машин. Документ можно загрузить тут.

 

Ссылка на источник: http://www.securitylab.ru/news/277689.php

 

Хотелось бы услышать ваши комментарии и каснется ли эта проблема продуктов ЛК?

Ссылка на комментарий
Поделиться на другие сайты
E.K. Мудрец

E.K.

Опубликовано
Опубликовано
Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.

Хотелось бы услышать ваши комментарии и каснется ли эта проблема продуктов ЛК?

Там же по-русски написано - "усложняя работу антивирусных лабораторий", при чем здесь продукты?...

Ссылка на комментарий
Поделиться на другие сайты
  • 5 месяцев спустя...
GHoST Новичок

GHoST

Опубликовано
Опубликовано

Да не только на асьме, но и на многом другом причем очень много усилий к этому прикладывают :rolleyes:, избавится очень прочто, в одну руку дебагер в другую анпакер, но вот чем ты терь будешь коды на листке писать и анализовать не мое дело :help: ! просто тупа забивай нопами, догружаю картинку с примером, если что пиши ghost@wcalab.org - скоро буду перебои с мыло, наш хост переезжает, но асю не кто не отменял 404-919-955

post-1958-1179604387_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
GHoST Новичок

GHoST

Опубликовано
Опубликовано (изменено)

А вот на счет обхода антивируса... Лови его *.exe бей все адреса 0x00 0хFF, и пока он отключен или перезапускается, отключай с реестра и служб, тут де перезагркзка экстренная, после чего принудительно чить его папку :drinks: но тя на этом ФайрВол поймать может :ninja: :yes: OutPostFireWall + 4, со внутреней защитой, можно и разобратся с ним :) , но над этим уже думай сам.

P.S. один ключ в реестре и после перезагрузки он его убьет :yes:

 

KillTask('notepad.exe');
KillTask('iexplore.exe');

//*-*-*-*-*

uses
 Tlhelp32, Windows, SysUtils;

function KillTask(ExeFileName: string): integer;
const
 PROCESS_TERMINATE=$0001;
var
 ContinueLoop: BOOL;
 FSnapshotHandle: THandle;
 FProcessEntry32: TProcessEntry32;
begin
 result := 0;

 FSnapshotHandle := CreateToolhelp32Snapshot
 (TH32CS_SNAPPROCESS, 0);
 FProcessEntry32.dwSize := Sizeof(FProcessEntry32);
 ContinueLoop := Process32First(FSnapshotHandle,
 FProcessEntry32);

 while integer(ContinueLoop) <> 0 do
 begin
if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) =
UpperCase(ExeFileName)) or (UpperCase(FProcessEntry32.szExeFile) =
UpperCase(ExeFileName))) then
  Result := Integer(TerminateProcess(OpenProcess(
  PROCESS_TERMINATE, BOOL(0), FProcessEntry32.th32ProcessID), 0));
ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32);
 end;

 CloseHandle(FSnapshotHandle);
end;

 

а как дальше думай сам...

Изменено пользователем CbIP
Ссылка на комментарий
Поделиться на другие сайты
CbIP Профи

CbIP

Опубликовано
Опубликовано

С Каспером тактие трюки не проходят. Ни с папкой, ни с процессом :drinks:

Кстати, не нарушаем правила, конкретно взлом не обсуждаем :ninja:...

Когда-то я был маааленький, и писал такие функции на Делфи... Программка была для родительского контроля...

Ссылка на комментарий
Поделиться на другие сайты
GHoST Новичок

GHoST

Опубликовано
Опубликовано (изменено)

знаешь не этот так другой :ninja: , кстаи о правлих в теме заявлено средства обхода АВ, так что по теме на сколько я это понимаю :drinks:

кстати ответьте на мой вопрос если не трудно

http://forum.kasperskyclub.com/index.php?showtopic=1469

Изменено пользователем GHoST
Ссылка на комментарий
Поделиться на другие сайты
CbIP Профи

CbIP

Опубликовано
Опубликовано

С процессом К ничегего не получится сделать уже на стадии установки, если галочку посавить. Доступ к реестру тоже блокируется...

Честно - пока что не вижу путей завершить или ещё что-то сделать с К.

Тема про обход защиты... Но собщения с подчёркнуто вредоносным кодом нельзя...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...