Вирусы научились отключать виртуальные машины

Discussion in 'Мировые новости. Обсуждения.' started by system_32, 24 Nov 2006.

  1. system_32

    system_32 Elder - Старейшина

    Joined:
    6 Jul 2006
    Messages:
    61
    Likes Received:
    94
    Reputations:
    8
    Антивирусные компании столкнулись с новой проблемой: хакеры встраивают в вирусы защиту от работы в среде виртуальных машин, используемых для безопасного анализа вредоносного кода.

    Такие "поумневшие" вирусы ищут процессы или оборудование, специфичные для виртуальной машины, и отказываются "работать" – заражать компьютер и рассылать себя по Сети. Как сообщил аналитик Ленни Зельцер из центра Internet Storm (ISC) при институте SANS, 3 из 12-ти вирусов, пойманных недавно с помощью компьютеров-ловушек, отказались запуститься в VMware.

    Исследователи запускают пойманный вредоносный код на виртуальных машинах, чтобы, во-первых, избежать заражения системы при анализе и, во-вторых, протестировать работу этого кода и эффективность его удаления под разными версиями операционных систем на одном компьютере.

    Теперь же, по словам Зельцера, для полноценного анализа червя или троянца специалистам приходится искать и затирать код, отключающий работу в виртуальных машинах, что удлиняет время, необходимое для анализа. Возможно и более универсальное решение – модификация кода виртуальной машины так, чтобы вирусы не могли находить характерные для нее признаки.

    "Тот факт, что вирусописатели встраивают в свой код различные методы противодействия дизассемблированию, не является новостью, - говорит Рамиль Яфизов, ведущий технический консультант Symantec - Для наших лабораторий это не является проблемой еще и потому, что вне зависимости от степени защищенности этого кода, подход всегда один – рассмотреть функционал и выпустить «противоядие». И так как вовсе не обязательно, что все вирусы запускаются на виртуальных машинах, это помогает в данном конкретном случае. Есть и другие, перечисленные ранее подходы для решения данной проблемы".

    (ЦЕ) хакер.ру​
     
    #1 system_32, 24 Nov 2006
  2. VelloRibbo

    VelloRibbo Elder - Старейшина

    Joined:
    15 Jul 2006
    Messages:
    11
    Likes Received:
    7
    Reputations:
    0
    :D :D
     
    #2 VelloRibbo, 24 Nov 2006
    1 person likes this.
  3. [074h]

    [074h] New Member

    Joined:
    21 Nov 2006
    Messages:
    6
    Likes Received:
    1
    Reputations:
    5
    боян.
    Code:
    #include <stdio.h>
int main () {
  unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";
  *((unsigned*)&rpill[3]) = (unsigned)m;
  ((void(*)())&rpill)();

  printf ("idt base: %#x\n", *((unsigned*)&m[2]));
  if (m[5]>0xd0) printf ("Inside VM\n", m[5]);
  else printf ("Not in VM.\n");
  return 0;
}
     
    #3 [074h], 24 Nov 2006
  4. Deem3n®

    Deem3n® RTFMSDN

    Joined:
    19 Sep 2005
    Messages:
    378
    Likes Received:
    153
    Reputations:
    164
    _http://www.codeproject.com/system/VmDetect.asp
     
    #4 Deem3n®, 24 Nov 2006
(You must log in or sign up to post here.)
Loading...
Similar Threads - Вирусы научились отключать
  1. alexzir

    Учёные научились выращивать электроды прямо в организме

    alexzir, 25 Feb 2023, in forum: Мировые новости. Обсуждения.
    Replies:
    0
    Views:
    1,010
    alexzir
    25 Feb 2023
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.