Skanery online dla "producentów malware" :) - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Inne (https://safegroup.pl/forum-15.html) +--- Wątek: Skanery online dla "producentów malware" :) (/thread-3088.html) |
Skanery online dla "producentów malware" :) - tommyklab - 22.06.2011 Specjalne systemy od czasu do czasu badają malware za pomocą wielu popularnych skanerów antywirusowych i powiadamiają autorów wirusów, czy ich "szkodniki" są rozpoznawane. Usługi Scan4you i AVcheck.ru nie mają na celu ostrzeżenia użytkownika przed złośliwym oprogramowaniem, ale raczej ułatwiają pracę twórcom wirusów. Niegdyś twórcy malware''u korzystali z witryny Virustotal, aby sprawdzić, czy ich "szkodniki" zostają rozpoznane. Jednak od czasu, kiedy usługa przekazuje załadowane próbki producentom antywirusów, testowane w tym serwisie wirusy są uważane za "spalone". Scan4you i AVcheck.ru obiecują, że nie przekazują dalej kodu - a przynajmniej nie pokazują go producentom antywirusów. Na scan4you można ustawiać wiele etapów testowania, korzystając z harmonogramu. Takie szemrane usługi nie są jednak bezpłatne. Scan4You za jeden test żąda 15 centów albo 25 dolarów za miesiąc. Można wtedy ustawiać interwały regularnych, automatycznych testów. W razie wykrycia "szkodnika" do autora wysyłana jest wiadomość e-mailowa, komunikat Jabbera albo ICQ, dzięki czemu może on zmodyfikować swoje dzieło. Avcheck.ru funkcjonuje podobnie, ale ma nieco inny model cenowy i mniej opcji. Wszystko wskazuje na to, że obie usługi sprawdzają tylko na podstawie sygnatur, czy dany plik jest zainfekowany. Nie wiadomo, czy w każdym z tych skanerów działa rozpoznawanie behawioralne. Jednak w wielu przypadkach przestępcom wystarczą proste testy, ponieważ wiele skanerów - zwłaszcza bezpłatne wersje - wciąż nie jest wyposażonych w funkcje rozpoznawania behawioralnego. Tak wiec wyścig zbrojeń producentów antywirusów i twórców wirusów trwa. [Aby zobaczyć linki, zarejestruj się tutaj] źródło: [Aby zobaczyć linki, zarejestruj się tutaj] W skrócie: - funkcjonalność podobna do VirusTotal - usługa płatna, zapewniana anonimowość, malware nie jest przekazywane producentom AV - skanery pozbawione są funkcji takich jak: MicrosoftSpyNet, ESET ThreatSense.Net Early Warning System, Kaspersky Security Network, itp - powiadomienia na email/komunikator o ustalonych interwałach o wykryciu plików przez skanery - szczegółowe statystyki, manualny skan, zaplanowany, zdalne skanowanie Przykładowe stronki z takimi skanerami: - avcheck.ru - scan4you.net - palevo.biz - chk4me.com - virtest2.com --------------------- Sam byłem kiedyś ciekaw jak sobie radzą cyberprzestępcy, że się utrzymują w necie z coraz to nowszymi wersjami tego samego malware. Odpowiedź jest w/w. Wystarczy przepakować plik, coś dodać, coś usunąć i już się zmienia MD5 pliku Warto wiedzieć, że coś takiego w/w jest. I jeszcze jedno jest pewne. Część kasy z zysków z malware (np. FakeAV, Ransom) idzie na konto skanerów online "dla producentów malware", bo przecież muszą wiedzieć, kiedy poprawić swoje "wypociny", a nuż ktoś to zainstaluje i wpłaci kasę. I interes się kręci Re: Skanery online dla "producentów malware" :) - Eugeniusz - 22.06.2011 Nie jestem pewny, ale wystarczy sama kompilacja od podstaw całego projektu, by zmienić MD5 (tj. build, nie compile). Powinny się zmienić sygnatury bajtów w plikach. Re: Skanery online dla "producentów malware" :) - tommyklab - 22.06.2011 Zmieniają się pewne bloki w pliku (nie znam się na tym, bo nie jestem programistą), ale zaraz pokażę o co chodzi, mam serię tego samego w odstępach 10 min. [Aby zobaczyć linki, zarejestruj się tutaj] Są takie 2x ekrany jak w/w ze zmienionymi "liczbami i cyframi " na podglądzie, reszta pliku jest taka sama. Nie jestem programistą, więc pokazałem łopatologicznie. To sa pewnie jakieś pozmieniane moduły w programie i się "skompilowało inaczej" Wielkość pliku jest identyczna co do bajta. Wystarczy zmienić cokolwiek w pliku i już będzie inny MD5 Dobra heurystyka wyłapie dużo więcej zmian. Re: Skanery online dla "producentów malware" :) - Eugeniusz - 22.06.2011 I zmieniają się Re: Skanery online dla "producentów malware" :) - tommyklab - 23.06.2011 Żeby sprawdzić co dokładnie było pozmieniane, czy to w module pakera, czy w samym programie, trzeba było by się pobawić w dekompilacje jak ten kolo, co rozpracowuje rogue, ransomy i nie tylko: [Aby zobaczyć linki, zarejestruj się tutaj] Przykładowy filmik:[Aby zobaczyć linki, zarejestruj się tutaj] FakeAV eldorado: [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Re: Skanery online dla "producentów malware" :) - hanifnoor - 19.12.2014 I have a series of the same at 10 minutes. There are 2x as screens w / w from the revised "numbers and figures" the preview, the rest of the file is the same. I''m not a programmer, so I showed of thumb. These are probably some dump the modules in the program and the "skompilowało or" File size is the same as a byte. Get Braindumps demos [Aby zobaczyć linki, zarejestruj się tutaj] passguide with 100% success[Aby zobaczyć linki, zarejestruj się tutaj] Our high quality[Aby zobaczyć linki, zarejestruj się tutaj] itil prepares you well before appearing in[Aby zobaczyć linki, zarejestruj się tutaj] of[Aby zobaczyć linki, zarejestruj się tutaj] |