• XSS.stack #1 – первый литературный журнал от юзеров форума

Gauss - маркетинговая малварь и прочее

Отслеживать
greenzy

greenzy

(L3) cache
Пользователь
Регистрация
25.10.2010
Сообщения
208
Реакции
1
Сижу читаю ажиотаж вокруг этой малвари. Сценарий уже знаком: находится малварь с черных континентов, раздувается небывалая шумиха вокруг него (аверы поступают очень смешно: создают темы типа: "размер файла 100кб - это что то значит", "в имени файла есть буква совпадающая с именем главы госдепа какой то страны - это часть большого плана"). Но меня очень удивила и порадовала техника, которую использует Gauss. Нечто подобное предлагал z0mbie в далеком 2000 ном году. Назвал он ее "отложенным кодом" почитать. Суть: есть кусок кода зашифрованный хз каким алгоритмом. Ключа в теле нет, вместо нее берутся параметры из системы. То есть возможных вариантов оооочень много. Тем самым кусок кода (в котором может быть все что угодно: от зиродеев до простой порнушки) остается секретным хранилищем.

из описания аверлаба
Вероятно, наиболее интригующая тайна – это зашифрованный блок кода Gauss. В состав программы входит модуль под названием Godel, содержащий зашифрованный функционал. Вредоносная программа пытается расшифровать этот функционал, используя несколько строк, взятых из системы, и в случае успеха выполняет расшифрованный код. Как мы ни старались, нам не удалось расшифровать код. Поэтому сегодня мы представляем всю известную нам информацию о зашифрованных данных в надежде, что кто-то найдет решение и сможет раскрыть секрет. Мы просим всех, кто интересуется криптологией и математикой, принять участие в наших усилиях по разгадке этой тайны и расшифровке скрытого вредоносного функционала.


кто нибудь еще встречал такое?


почитайте тут, комментарии жгут
http://www.securelist.com/en/blog/20819378...d_Gauss_Payload
 
Лишний раз как обычно убеждаюсь в том, что зомба глядел более чем на 10 лет вперед...
Технология интересная, но кроме как фильтрации в инфицировании только определенных машин (машин, на которых действие для поулчения ключа будет соблюдено и контейнер можно будет расшифровать в принципе) её объективного применения я не вижу...
или есть еще сферы применения?
 
можно нести тот же самый обыкновенный шеллкод, лоадер и запустить по истечению времени. т.е. после того как программа сама себя отбрутофорсить

Добавлено в [time]1345209802[/time]
наверное еще буду несколько подобных вирусов. надо же попиариться аверам за счет них :D
 
расшифруют может быть, когда нибудь, а там наверняка вступление - "поздравляем, ты самый отчаянный долбоеб из всех тех кто пробовал это расшифровать"
ниже две сиськи (. )( .) и продолжение - "а теперь откинься на спинку кресла и хорошенько фапни". :D , а может я просто не вижу какой-либо причины такой вот реализации целевой атаки.

зы: зомба вообще много чего предлагал в свое время, иногда вот подхватывают, видимо.

upd:
перечитал сейчас их бложек, в целом-то неплохо намучено, неизвестный код сработает только на нужных машинах. каких? неизвестно. что сделает? неизвестно. тут правда с тем что зомба предлагал связь не большая, он предлагал долго долго брутить расшифровывая свой код и рано или поздно он будет расшифрован не зависимо от внешних факторов, тут же код зашифрован туевой хучей хешей с солями и прочими ингредиентами и может быть расшифрован только на сервере для управления шахтами с ядерными боеголовками на машине с определенным малоизвестным софтом. в общем-то интрига.
 
Помнится старая технология борьбы с АВ. В которой data файла была закодирована без ключа в теле файла. На декод методом брутфорса уходило порядка 7 секунд. При эмуляторе - уходило значительно больше. Если время декода было большое - тело умирало, если маленькое - все работало. Не помню чья идея и сколько ей лет, но это работало.

p.s. просто к слову. Вспомнилось что-то...
 
ar3s это и сейчас успешно используется в vx технологиях ;)
это больное место эмулей скорость эмулирования... а пока так будет, подобные техники будут работать...
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх