Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Тестовый malware

5 views
Skip to first unread message

Stas Degteff

unread,
Jan 28, 2011, 2:54:38 AM1/28/11
to

������, All!

��������� ����� ����� � ���� ���� ������ ��������� "���������� ��" ��� ��������
�� ��-���������.
��� �� �������, �� ������ ������ ������� ��� windows ����� �� 3 ������ ��
������� (� ���������� � �� �� ��������, � ޣ� �����).

��� � �������, ��� ��� ����� ������� ����� ����� ����� "� �������" PoC-���
������� ��� windows, ����� ��� ���������� ���������� ������ ������ ���
�������������� � �������� � ��.
����� �� ������, ��� ����� �������. ��, ��� ������ ������ "� ����� ����"
��������� �����, ��� ��� �������� ������� �����.


Stas Degteff

Eugene Grosbein

unread,
Jan 28, 2011, 6:11:32 AM1/28/11
to
28 янв 2011, пятница, в 10:54 KRAT, Stas Degteff написал(а):

SD> Hекоторое время назад у меня была задача подобрать "зловредное ПО" для
SD> конкурса
SD> на ИТ-фестивале.
SD> Как ни странно, ни одного живого руткита для windows найти за 3 недели не
SD> удалось (а специально я их не сохранял, о чём жалею).
SD> Вот и подумал, что для таких случаев имеет смысл иметь "в заначке" PoC-код
SD> руткита для windows, чтобы при подготовке конкурсной задачи слегка его
SD> модифицировать и внедрить в ОС.
SD> Опять же вопрос, где взять образец. То, что сейчас гуляет "в диком виде"
SD> настолько убого, что для конкурса слишком мелко.

Зато дешево, надежно и практично (c)

Eugene
--
With sufficient thrust, pigs fly just fine. However, this is not necessarily
a good idea. It is hard to be sure where they are going to land, and it could
be dangerous sitting under them as they fly overhead.
3rd Fundamental Truth of Networking (RFC1925)

Stas Degteff

unread,
Jan 28, 2011, 7:21:16 AM1/28/11
to
Hello Eugene!

28 Jan 11 14:11, you wrote to me:

SD>> ��, ��� ������ ������ "� ����� ����" ��������� �����,
SD>> ��� ��� �������� ������� �����.

EG> ���� ������, ������� � ��������� (c)

� �������������� �� ������� �� 5 �����, ��������� :)
�� ��� ���� (-+�����������) �������� � �������� ������ ���� ������, �������
������������� � ������. ����� �����������, ��� �� ��� ���������� ��� ���
�������, ��� ������ ����� ����� ���������� ����� �������, � �� �����������.

Stas
Jabber-ID: grum...@grumbler.org
GPG key 0x72186DB9 (keyserver: hkp://wwwkeys.eu.pgp.net)

Eugene Grosbein

unread,
Jan 28, 2011, 10:54:06 AM1/28/11
to
28 янв 2011, пятница, в 15:21 KRAT, Stas Degteff написал(а):

SD>>> То, что сейчас гуляет "в диком виде" настолько убого,
SD>>> что для конкурса слишком мелко.
EG>> Зато дешево, надежно и практично (c)
SD> И выковыривается из системы за 5 минут, буквально :)

Hет, абсолютное большинство не выковыряет рядовой троян
ни за 5 минут, ни за 15, а остальные роли не играют.

SD> За три года (-+ежемесячной) практики я встретил только один руткит,
SD> который
SD> выковыривался с трудом. Такое впечатление, что он был специально для них
SD> написан, вот только зачем СОБЕС взламывать таким образом, я не
SD> представляю.

Eugene
--
Трудно быть смертным.

Stas Degteff

unread,
Jan 28, 2011, 12:10:10 PM1/28/11
to
Hello Eugene!

28 Jan 11 18:54, you wrote to me:

SD>>>> ��, ��� ������ ������ "� ����� ����" ��������� �����,
SD>>>> ��� ��� �������� ������� �����.
EG>>> ���� ������, ������� � ��������� (c)

SD>> � �������������� �� ������� �� 5 �����, ��������� :)

EG> H��, ���������� ����������� �� ���������� ������� �����
EG> �� �� 5 �����, �� �� 15, � ��������� ���� �� ������.

���������� ����������� == "���������������� �����������" + ����������� � ������
��������
� � ��� ���� �������. :)
�� �ݣ �������, ������� � ���� ��������, ������������ �� � �������� ����, ���
���� :)

Yuriy Saloid

unread,
Jan 28, 2011, 12:15:02 PM1/28/11
to

Hi *Stas*!

SD> екоторое время назад у меня была задача подобрать "зловредное ПО" для
SD> конкурса на ИТ-фестивале


SD> Как ни странно, ни одного живого руткита для windows найти за 3 недели

SD> не удалось (а специально я их не сохранял, о чём жалею)

А я сохранял :)

SD> Опять же вопрос, где взять образец. То, что сейчас гуляет "в диком виде"
SD> настолько убого, что для конкурса слишком мелко

Тут пару недель тому я удачно зашел из голой ХР через мобильного оператора
- и как всегда в самый подходящий момент - его как-раз колбасило, да так,
что в справке по поводу доступа в сеть очередь была, до полуночи.
Hу а сразу после полуночи и мне червячок достался, добро еще, что следил
за показаниями счетчика трафика, отрубился сразу.
Hу, руками если знаешь где, то и правда через пять минут находишь что :)
Хотя по лени и недостатку времени он мне еще неделю мозги периодически
компостировал.
Вот, разобрался вроде окончательно, могу выслать если надо, пиши в мыло
- куда.
Только это и правда дичь та еще, судя по списку отрубленных в реестре
файрволлов, написано третьекурсником-второгодником, да еще и года три
тому. Просто в моей подсети много старья гуляет. Так много, что иной
раз я думаю - может это не из-за погоды вышка порой недоступна бывает,
а провайдер сам ее отрубает иной раз на ночь :)
У нас тут все-таки деревня, и электрики например чтоб отловить кто
ворует свет с целью погреться нахаляву, просто отрубают его, а потом
отправляются на машине с мощным фонарем по линии и ищут наброску...


Always yours Yuriy

0 new messages