Выпуск №3
Август 2010
Некоторые приёмы статического анализа кода из арсенала вирусного аналитика
Исследователи вредоносного кода часто сталкиваются с упакованными и защищёнными исполняемыми файлами. Данная статья описывает приёмы работы с такими объектами при помощи редактора Hiew (Hacker's View), пользующегося популярностью в среде вирусных аналитиков. Статья ориентирована на начинающих специалистов, в задачи которых входит анализ исполняемых файлов в форматах PE или ELF, и предполагает знакомство с архитектурой x86 и ассемблером Intel.
Анализ и лечение классических вирусов
Техника инфицирования исполняемых модулей вновь стала актуальна, обеспечивая функцию сокрытия и самозащиты вредоносной программы. Одна из задач данной статьи — представить обзор классических техник заражения исполняемых файлов. Во второй части статьи рассматривается «шаг за шагом» процесс анализа и разработки процедуры лечения для относительно старого, но не утратившего своей актуальности файлового вируса Win32.Parite.C.
Буткиты: новый виток развития
В этой статье речь пойдёт о буткитах — вредоносных программах, получающих управление до начала загрузки операционной системы посредством инфицирования главной загрузочной записи жёсткого диска (MBR). Статья представляет собой, в первую очередь, обзор новых и малоизученных семейств буткитов: Alipop, Mebratix, Black Internet. Особое внимание будет уделено принципам функционирования загрузочного кода.
TDSS: полное раскрытие
История вскрытия и анализ скрытых механизмов крупнейшего ботнета в мире. Данное исследование демонстрирует, как, имея на руках только инструмент злоумышленников (бинарный файл трояна), выйти на «цифровое ядро» киберформирования.
Атаки на банковские системы
Цель данной статьи — осветить современные тенденции в области атак на системы электронной коммерции. В первой части статьи приводится обзор технологий защиты онлайн-банкингов и схем атаки на них. Во второй части описаны результаты анализа шпионской программы Ibank - универсального инструмента для атаки на ряд популярных систем ДБО российского производства.