Skanery online dla "producentów malware" :)
#1
Specjalne systemy od czasu do czasu badają malware za pomocą wielu popularnych skanerów antywirusowych i powiadamiają autorów wirusów, czy ich "szkodniki" są rozpoznawane. Usługi Scan4you i AVcheck.ru nie mają na celu ostrzeżenia użytkownika przed złośliwym oprogramowaniem, ale raczej ułatwiają pracę twórcom wirusów.

Niegdyś twórcy malware''u korzystali z witryny Virustotal, aby sprawdzić, czy ich "szkodniki" zostają rozpoznane. Jednak od czasu, kiedy usługa przekazuje załadowane próbki producentom antywirusów, testowane w tym serwisie wirusy są uważane za "spalone". Scan4you i AVcheck.ru obiecują, że nie przekazują dalej kodu - a przynajmniej nie pokazują go producentom antywirusów.

Na scan4you można ustawiać wiele etapów testowania, korzystając z harmonogramu.

Takie szemrane usługi nie są jednak bezpłatne. Scan4You za jeden test żąda 15 centów albo 25 dolarów za miesiąc. Można wtedy ustawiać interwały regularnych, automatycznych testów. W razie wykrycia "szkodnika" do autora wysyłana jest wiadomość e-mailowa, komunikat Jabbera albo ICQ, dzięki czemu może on zmodyfikować swoje dzieło. Avcheck.ru funkcjonuje podobnie, ale ma nieco inny model cenowy i mniej opcji.

Wszystko wskazuje na to, że obie usługi sprawdzają tylko na podstawie sygnatur, czy dany plik jest zainfekowany. Nie wiadomo, czy w każdym z tych skanerów działa rozpoznawanie behawioralne. Jednak w wielu przypadkach przestępcom wystarczą proste testy, ponieważ wiele skanerów - zwłaszcza bezpłatne wersje - wciąż nie jest wyposażonych w funkcje rozpoznawania behawioralnego. Tak wiec wyścig zbrojeń producentów antywirusów i twórców wirusów trwa.

[Aby zobaczyć linki, zarejestruj się tutaj]


źródło:

[Aby zobaczyć linki, zarejestruj się tutaj]


W skrócie:
- funkcjonalność podobna do VirusTotal
- usługa płatna, zapewniana anonimowość, malware nie jest przekazywane producentom AV
- skanery pozbawione są funkcji takich jak: MicrosoftSpyNet, ESET ThreatSense.Net Early Warning System, Kaspersky Security Network, itp
- powiadomienia na email/komunikator o ustalonych interwałach o wykryciu plików przez skanery
- szczegółowe statystyki, manualny skan, zaplanowany, zdalne skanowanie

Przykładowe stronki z takimi skanerami:
- avcheck.ru
- scan4you.net
- palevo.biz
- chk4me.com
- virtest2.com

---------------------
Sam byłem kiedyś ciekaw jak sobie radzą cyberprzestępcy, że się utrzymują w necie z coraz to nowszymi wersjami tego samego malware. Odpowiedź jest w/w.
Wystarczy przepakować plik, coś dodać, coś usunąć i już się zmienia MD5 pliku Grin

Warto wiedzieć, że coś takiego w/w jest.

I jeszcze jedno jest pewne. Część kasy z zysków z malware (np. FakeAV, Ransom) idzie na konto skanerów online "dla producentów malware", bo przecież muszą wiedzieć, kiedy poprawić swoje "wypociny", a nuż ktoś to zainstaluje i wpłaci kasę. I interes się kręci Smile
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#2
Nie jestem pewny, ale wystarczy sama kompilacja od podstaw całego projektu, by zmienić MD5 (tj. build, nie compile).
Powinny się zmienić sygnatury bajtów w plikach.
Odpowiedz
#3
Zmieniają się pewne bloki w pliku (nie znam się na tym, bo nie jestem programistą), ale zaraz pokażę o co chodzi, mam serię tego samego w odstępach 10 min.

[Aby zobaczyć linki, zarejestruj się tutaj]



Są takie 2x ekrany jak w/w ze zmienionymi "liczbami i cyframi " na podglądzie, reszta pliku jest taka sama. Nie jestem programistą, więc pokazałem łopatologicznie.
To sa pewnie jakieś pozmieniane moduły w programie i się "skompilowało inaczej" Smile Wielkość pliku jest identyczna co do bajta.

Wystarczy zmienić cokolwiek w pliku i już będzie inny MD5 Smile Dobra heurystyka wyłapie dużo więcej zmian.
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#4
I zmieniają się Smile
Odpowiedz
#5
Żeby sprawdzić co dokładnie było pozmieniane, czy to w module pakera, czy w samym programie, trzeba było by się pobawić w dekompilacje jak ten kolo, co rozpracowuje rogue, ransomy i nie tylko:

[Aby zobaczyć linki, zarejestruj się tutaj]

Przykładowy filmik:

[Aby zobaczyć linki, zarejestruj się tutaj]


FakeAV eldorado:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#6
I have a series of the same at 10 minutes. There are 2x as screens w / w from the revised "numbers and figures" the preview, the rest of the file is the same. I''m not a programmer, so I showed of thumb. These are probably some dump the modules in the program and the "skompilowało or" File size is the same as a byte.


Get Braindumps demos

[Aby zobaczyć linki, zarejestruj się tutaj]

passguide with 100% success

[Aby zobaczyć linki, zarejestruj się tutaj]

Our high quality

[Aby zobaczyć linki, zarejestruj się tutaj]

itil prepares you well before appearing in

[Aby zobaczyć linki, zarejestruj się tutaj]

of

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości