Virus & Worms

Cílem následujícího seriálu je popsat techniky úpravy PE kódu. V prvním díle se seznámíme s nezbytnou strukturou PE souboru a popíšeme si, jak vytvořit v souboru novou sekci pomocí editoru, a jak zajistit vykonání našeho kódu uloženého v této sekci.

„Nový malware XYZ využívá velmi pokročilý polymorfní engine. Antivirová společnost ABC je schopna ho detekovat s přesností 20%.“ Pojmy jako polymorfismus a metamorfismus se staly denním chlebem všech IT specialistů, bezpečnostních konzultantů i řadových programátorů. Máme polymorfní viry, polymorfní exploity, polymorfní packery (Občas mám pocit, že i komentáře ve fórech a diskuzích jsou polymorfní :) ) Ale jen málokdo dokáže skutečně vysvětlit rozdíl mezi jednotlivými morfismy.

Zemra botnet je poměrně nový kód vytvořený v jazyce C# určený primárně pro DDoS útoky.

Na lednové konferenci ShmooCon byl prezentován koncept Android botnetu, jehož Control && Command Center používá pro ovládání botů zprávy SMS.

Autoři malware mají snahu ukrývat své výtvory nejen před zraky uživatelů, ale taktéž i před ‘zraky’ různých analyzérů a detektorů. Důvod je zřejmý: Udržet svůj kód co nejdéle neviditelný znamená jeho vyšší životnost. K tomuto účelu autoři nejen oprašují a renovují již dříve známé techniky, ale vyvíjejí i nové. Jednou ze starších technik je skrývání modulů v běžícím procesu s využitím struktury PEB.

Vyšel již třetí release EOF-project E-Zinu.

Zdrojové kódy loaderu obcházející zabezpečení velkého konkurenta a nástupce notoricky známého ZeuS trojanu s názvem SpyEye se objevily ke stažení na www.mirrorcreator.com. Kódy údajně poskytla skupina Reverse Engineers Dream Crew (RED Crew).

Zdrojové kódy notoricky známého červa Stuxnet v podobě dumpu z Hex-Rays ke stažení na www.megaupload.com.

"Greedy bee" je jednoduchý infektor PHP skritů, vytvořený v PHP. Vznikl jako PoC pro pár lidí, které zajímalo, jakým způsobem se masově infikují webové stránky na hostinzích.

Link:

UPDATE