Sality – koszmar z przeszłości

VirusDziś odpaliłem swojego starego toolsa z 2003 roku i okazało się, że był zainfekowany. Co gorsza, był to infektor plików PE z polimorficznym szyfrowaniem i w dodatku z rootkitem, gdyby nie szybka reakcja miałbym „mielone” ze wszystkich EXE w systemie.

Najbardziej zaskakujące jest to, że infektor mający 13 lat nadal jest kompatybilny z najnowszymi wersjami Windows i bez problemu poradził sobie z infekcją nawet skompresowanych UPX-em plików, mimo wykorzystania mechanizmu OEP obscuring, czyli nadpisania kodu entrypoint, polimorficznym dekryptorem reszty wirusa, doklejonym do ostatniej, rozszerzonej sekcji pliku PE.

Przedstawiam ten koszmar z przeszłości, który jak widać był całkiem solidnie zaprogramowany i przetestowany:

https://en.wikipedia.org/wiki/Sality

PS. Z dezinfekcją poradził sobie systemowy MRT Microsoftu, dedykowany tools do usuwania tego od AVG zawiesił się w trakcie działania, kompatybilność wirusa okazała się większa od dedykowanego antywirusa 😉

Ile zarabia analityk malware lub programista w firmie antywirusowej?

Idąc za ciosem ankiety o zarobkach pentesterów, kolejna ankieta, tym razem skierowana do pracowników firm antywirusowych (obecnych i byłych). Przedmiotem pytania jest ile w stanie jest wycisnąć analityk lub programista pracujący w firmie antywirusowej (czy to na etat, czy sumarycznie robiąc pojedyncze zlecenia w miesiącu).

Mc Afee

Ile miesięcznie potrafi zarobić analityk malware?

Zobacz Wyniki

Loading ... Loading ...

PS. Pan z obrazka to John McAfee, założyciel firmy McAfee – producenta oprogramownia antywirusowego.

CTB-Locker

Jakiś czas temu napisał do mnie mój ehem kolega, który nie odzywał się do mnie z 6 lat i nagle, żebym mu pomógł, bo zaatakował go wirus CTB-Locker, bo ja się na tym znam, bla, bla bla… :).

Pomijając takich kolegów, wirus ten jak się okazuje wykorzystuje szyfrowanie AES do wyłudzenia pieniędzy od biednych użytkowników, którym to szyfruje wszystko co leci na dysku i w zamian żąda okupu w BitCoinach.

shut-up-and-give-me-your-money

Dzisiaj natknąłem się na analizę tego wirusa na blogu Zairona:

https://zairon.wordpress.com/2015/02/09/ctb-locker-files-decryption-demonstration-feature/