Security News » Malware

Anubis aktualizacja

bartek — Thu, 23 Oct 2008 09:36:01 +0000

Emulator Anubis służący do analizy zachowania malware został zaktualizowany. Nowości:

Dodatkowe formaty raportów: W dodatku do raportów w HTML, jest możliwe przejrzenie raportów w formatach PDF, plain text i XML
Możliwość wgrania dodatkowych plików (DLL i innych) potrzebnych do uruchomienia aplikacji
Analiza poprawności plików wykonywalnych i w przypadku wykrycia błędnej struktury wyświetlany jest wynik komendy unixowej ‘file’
Poprawki poprawiające stabilność pracy w engine Anubisa
Analiza i raportowanie adresów URL otwieranych przez Internet Explorera oraz zachowanie przeglądarki
Konta użytkowników, pozwalające na łatwy dostęp do poprzednio wysłanych próbek i wyników
Możliwość wysłania całej paczki malware w postaci archiwum ZIP z dodatkowymi plikami

Strona domowa — http://anubis.iseclab.org/

Praca w F-Secure

bartek — Mon, 26 May 2008 10:53:51 +0000

Firma antywirusowa F-Secure ogłosiłą na swoim blogu, że poszukuje pracownika do pracy nad silnikiem programu antywirusowego. Praca w Helsinkach, więc nie tak daleko.

Szczegóły oferty:
http://careers.fi/f-secure/careers.cgi?…job_id=315

Lista wszystkich dostępnych pozycji w F-Secure:
http://www.f-secure.com/f-secure/careers.html

Praca w ClamAv

bartek — Sun, 30 Mar 2008 22:44:25 +0000

Praca przy rozwijaniu oprogramowania antywirusowego ClamAv.

Wymagania to m.in. doświadczenie w pracy z:

OllyDbg lub innym debuggerem windowsowym
ProcessMonitor i FileMonitor
Sandboxie

Pełna treść ogłoszenia – tutaj

Praca przy analizie malware

bartek — Tue, 18 Dec 2007 22:28:16 +0000

Nie piszą w jakiej firmie, jedynie, że można pracować również w polskiej siedzibie (Symantec?), jeśli szukasz roboty może warto spróbowac:

http://praca.money.pl/researcher-antivirus…

PS.
Pozdrowienia dla wszystkich z Symanteca

Atak na użytkowników FOTKA.PL

bartek — Tue, 13 Nov 2007 20:28:44 +0000

Właśnie dostałem powiadomienie na maila, że ktoś posłał mi prywatną wiadomość poprzez popularny serwis fotka.pl:

Oczywiście link z maila nie pokrywał się z linkiem, który został otworzony w przeglądarce:

http://www2.fotka.pl.tag239913.be4koy.com.es/service/profil/?dLmR8vy2LZ0sPb6vMMSu4gGjoYDGTO

Ze źródeł strony wynika, że na stronie znajduje się w linkach fałszywy instalator Flash (skompresowanych UPX-em), dla zainteresowanych jego analizą wgrałem go na serwer (rozszerzenie .bin, żeby przypadkiem go nie uruchomić:

Zainfekowany instalator Flash

A tutaj zamieszczam wyniki skanowania pliku przez VirusTotal:

http://www.virustotal.com/resultado.html?b6210fe53ee7d00bc2cca0f57e17c2d0#

Dowiedziałem się przed chwilą, że taki sam plik był rozprowadzany wśród użytkowników YouTube, o czym napisano na blogu F-Secure.

PS.
Dzisiaj dostałem kolejny e-mail, tym razem adres prowadził pod:

http://www5.fotka.pl.portal430843.caafreeeman.com/service/profil/?login=16ksthadrDfhmAGOjy

Pimp My PE

bartek — Thu, 25 Oct 2007 04:24:27 +0000

Prezentacja przedstawia analizę plików wykonywalnych PE pod kątem występowania modyfikacji charakterystycznych dla wirusów czy innego rodzaju malware.

http://research.sunbelt-software.com/ViperSDK/

Analiza trojana Ascesso

bartek — Sat, 13 Oct 2007 05:11:05 +0000

Analiza deszyfrowania trojana Ascesso:

http://zairon.wordpress.com/2007/10/04/some-words-on-how-to-decrypt-trojan-ascesso/

Analiza podejrzanego oprogramowania

bartek — Fri, 28 Sep 2007 10:00:49 +0000

Jeśli zdarzyło ci się dostać jakiś podejrzany plik i chciałbyś zobaczyć co robi ale boisz się go uruchomić, polecam wypróbowanie wirtualnych środowisk z logowaniem zmian systemowych.

Norman Sandbox

http://www.norman.com/microsites/nsic/Submit/en

Anubis

http://analysis.seclab.tuwien.ac.at/index.php

Dzięki tym usługom, można wgrać dowolny plik binarny i pozwolić, żeby został uruchomiony w wirtualnym środowisku, a wszystkie zmiany, jakich dokonał w systemie (pliki, rejestr, połączenia sieciowe) zostaną szczegółowo zalogowane i dostarczone na maila.