цитата с хабра, из этой статьи.


Delsian 23 ноября 2009, 15:28

Недавно столкнулся с украинским судопроизводством. Компьютерные квесты отдыхают: побеседуй с NPC, получи от него квестовый айтем, отнеси его в блуждающую локацию и за это другой NPC в третьей локации сообщит тебе код перехода на следующий уровень :)
Ну нафиг, лучше в такое на компе играть, чем вживую :)


я понял почему сталкера сделали на/в Украине :)

ну вот - что и т.д.

судя по всему хороший способ скрыть xss лежит в использовании tinyurl и подобных сервисов.

PoC думаю делать бесполезно, любой желающий проверит самостоятельно.

думаю что идея не нова, исследованием не занимался особо, но к коротким урлам буду относиться с опаской.

установка софта : _ttp://ninite.com/
записки : _ttp://www.evernote.com/
синхровеб : _ttp://www.getdropbox.com/

привет Танги :)

via dustweb

Сказки будущего

http://vimeo.com/3514904

самый глупый вопрос который я слышал в связи с заразой " а как же вирус попал на компьютер, он же полностью обновлен ! (xpsp3) и антивирус (symantec9) установлен !? "

даже не нашелся что ответить.

выловил более 20 разновидностей, больше всего мучался с новой эволюцией
siberia -> siberia2 -> revolution6 вирус+руткит безусловно радующий своим поведением. как оказалось уже детектится многими, каспером как virus.win32.protector.b, что обидно — думал что что-то новенькое.

вообще поразительно насколько умудряется загадить за 2 месяца новенький ноут обычная женщина.

revolution6 (internal name) / protector.b (kasper) / ntrootkit.2912 (drweb) / fakedis
характерен интересными действиями - изначально инфицирование я естественно не застал, пришлось бороться с последствиями.

одна из компонент внедряет (инъектирует) драйвер в ndis.sys (причем в оба ndis.sys, и в system32/driver и в system32/dllcache), во время активности руткита определение поражения ndis.sys затруднено за счет перехвата низкоуровневых функций, и пораженный и защищенный руткитом ndis.sys выглядит как обычный, имеет соответствующий размер и отсутствие внедренного кода.

в результате анализа зараженного ndis.sys можно найти характерную строку
c:\programs\revolution6\protect\objfre_w2k_x86\i386\Protect.pdb
и тело дропаемого драйвера.

внедренный в ndis.sys компонент вынимает из себя еще один драйвер в оперативную память.
в дампе можно найти строку
c:\programs\revolution6\innerdrv\objfre_w2k_x86\i386\InnerDrv.pdb


присутствие можно выявить с помощью rootkitunhooker и gmer.

gmer однозначно позволяет определить наличие в памяти последнего компонента innerdrv и его адрес.
rku так же позволяет определить перехват функций ntconnectport hooked by unknown module, хук ntkrlnlpa и хук ndis.sys опять таки с адресами памяти. хук на ntkrnlpa функции iofcalldriver ссылающийся на [unknown_code_page] вероятно либо вызывает загрузку драйвера, либо контроллирует обращения к инфицированному файлу на уровне драйвера файловой системы и соответствует адресу перехвата ntconnectport и адресу полученному в gmer - самая интересная часть.

дамп области памяти можно получить встроенной утилитой в rku, и тут собствнно и находится тот самый драйвер загружаемый непосредственно в область памяти - определяется по строке содержащей строчку с innerdrv.pdb

поражение и внедрение
Кроме внедрения кода в ndis.sys в системе появляются
- reader_s.exe в system32/ и в %userprofile% (Virus.Win32.Virut.ce по детекту Каспера или же Neprodoor)
- restore.sys в system32/ (trojan.NtRootKit.361)

Так же отключается служба брэндмауера windows, и производятся разнообразные записи в реестр позволяющие вирусу грузится практически во всех вариантах загрузки windows.

поражение системы может быть настолько значительно, что в результате может потребоваться переустановка os.

лечение
- загрузка с winpe/drweb livecd, замена зараженных ndis.sys на корректные
- удаление всего в %temp% и %tmp%
- удаление точек восстановления
- удаление reader_s.exe и protect.sys из system32/ и %userprofile%
- обязательная чистка реестра, в частности веток winlogon, currentcontrolset/services и safeboot, а так же проверка списка запуска windows nt/svchost/netsvc

дальше по вкусу, использование avz, combofix, ccleaner

крайне желательно использование sfc в режиме /scanonce (и перезагрузка для проверки)
так, же желательно производить это действие с пустым dllcache, дабы необходимые файлы восстанавливались из дистрибутива.

Update
Судя по всему зараза доставляется с помощью трояндроппера Trojan.Win32.Pakes.xxx(Kasper) / Trojan.Pandex (Symantec) / BackDoor.Bulknet.xxx (DrWeb)


с помощью какого трояндаунлоадера выкачивается pakes, но первоначальное вторжение производится в каталог %temp% под именем начинающимся на BN<произвольно от 1 до 3 символов>.tmp


Beware ! ;)

посмотрел "Dead snow". забавная зомби-комедия. смеялся :) чем-то напоминает "Shaun of the dead", но конечно по уровню стеба не дотягивает.

31

новый Kido/Conficker/Downadup.

Первичная цель - перезаражение компьютеров уже зараженных предыдущей версией.

Первичные признаки заражения - блокирование сайтов антивирусных компаний, остановка службы восстановления системы, появление на переносных носителях и подключенных сетевых дисках (с достаточными правами конечно же) файлов autorun.inf (трудночитаемые глазами) и /RECYCLER/S-5-3-42-2819952290-8240758988-879315005-3665/<rnd>.vmx, где rnd - псевдослучайное имя файла.

принципы атаки те же, добавлен функционал убивания процессов антивирусного софта и вспомогательных и защитных утилит:

( список )

так же в новой версии введен новый алгоритм генерации доменных имен (куда кидо обращается за инструкицей), что сводит к минимуму пререгистрацию доменов проводимую антивирусными компаниями.

меры противодействия для чайников:
1) полечите систему бесплатным антвиврусом в безопасном режиме - таковые есть у нескольких компаний - f-secure/kasper/drweb и т.д. по вашему выбору.
безопасный режим для лечения обязателен.

( утилиты для борьбы с kido )

( upd: утилиты с моего сайта )

2) ставьте заплатки (update) на винду
( заплатки )

3) отключайте автозапуск в системе
в особенности если часто пользуетесь флешками и переносными дисками, а так же работаете в локальной сети, и на вашей системе подключены сетевые диски.

3.1 файл для добавления в реестр:
( реестр )

Все эти меры не гарантируют неуязвимости вашего компьютера.

Date:	2009-02-10 01:30
Subject:	Jeroen Tel [WAVE] MoN/FM Cmd64 Robocop 3 tune
Security:	Public
Mood:	ecstatic

i love it ! jeroen tel rocks и все такое :) великолепный прогрессив-ремикс на ностальгичную тему Dutch Breeze/Robocop 3 (Progressive Uplift)

помимо этого ;)

Commodore64 remixes SLAY Radio
AYland radio
Chiptune radio 2000 [tmp unavailable]
nectarine к сожалению пока к жизни тоже не вернулся, вместо него на спасет scenemusic.eu

ps: ну и конечно оригинал Jeroen Tel [WAVE] Robocop 3

кино макс пэйн - фуфло. по такой игре снять такое фуфло - надо уметь. режиссера и сценариста отправить на съемки фильма по диггеру, сокобану и пэкмэну.

но понравился звук. сочный.

а я даже и не знал.

one king to rule them all,
one king to find them,
one king to bring them all
and in the darkness bind them

одна буква поменялась, но какой смысл !!!

вообще скринсейверы не особо долюбливаю, но некоторое время озадачился таким вопросом - отключение монитора через определенное или неопределенное время, но такое, что б все остальное продолжало работать.

изменение схемы питания меня не очень устраивает, да и порой хочется отключить монитор прям вот сразу, не оставляя его дожидаться срабатывания apm.

перекопав команды rundll32 ничего полезного не нашел, да, можно полный суспенд и все такое, но... не того мне надо.

ковыряние powercfg - меняет схему питания, некузяво. опять-таки погасить монитор по желанию не выйдет.

один из вариантов - вооружиться чем-нибудь вроде c++/c# и набором системных функций и наклепать себе такую хрень, однако... нашелся в процессе изысканий способ побыстрее-проще.

традиционное использование скринсейвера. механизм скринсейверов вообще можно считать неким небольшим скедулером ( с большими оговорками конечно, но тем не менее ;) )

нашелся вот такой вот продукт - power dimmer screensaver. в управлении скринсейверами выставляем время срабатывания, в скринсейвере настраиваем время затухания. либо же "powerdimmer.scr /s" в ярлыке, коммандной строке и на что еще хватит воображения.

единственное что - по моим наблюдениям монитор в суспенд так и не переводится, но яркость свечения убирается полностью (настраивается по желанию).


для меня - засыпающего под уроки gnomon - самое подходящее дело.


примерно того же можно добиться с помощью
Poweroff

upd:а так же весьма интересная управлялка
Wizmo

способ полностью доломать свой мозг:

и снова в Карелию :)

отправляюсь в субботу. едем на машине по маршруту Москва - Беломорск - Вирма - Сумский посад - Надвоицы - Москва.

тусим на озерах и берегу белого моря :)

завидуйте ;)

грядет запуск Большого Адронного Коллайдера в ЦЕРНе. учимся рисовать лямбду "λ" и закупаем монтировки.

умер Роберт Асприн. мэтры уходят :(