malware

Anti-Reverse Engineering

przez

Zachęcam Was do przeczytania kolejnego wydania magazynu Programista, które ukaże się 27 maja. Znajdziecie w nim obszerny artykuł mojego autorstwa, traktujący o technikach stosowanych przez malware w celu utrudnienia analizy firmom antywirusowym i samym antywirusom.

Magazyn Programista 5/2013

Artykuł obejmuje takie tematy jak m.in.:

  • wykrywanie wirtualnych maszyn
  • piaskownice (z ang. sandbox)
  • scramblery, exe-protectory, exe-cryptory, virtualizery etc.
  • obfuscatory
  • wykrywanie debuggerów
  • modyfikacja źródeł
  • niepopularne kompilatory
  • szyfrowanie danych i kodu
  • bomby czasowe
  • cyfrowe sygnatury
  • skanery online

Znajdziecie tam mnóstwo szczegółów technicznych, życiowych przykładów opisanych technik, utrudniających analizę oraz przykładowe kody źródłowe.

Anubis aktualizacja

przez

Emulator Anubis służący do analizy zachowania malware został zaktualizowany. Nowości:

  • Dodatkowe formaty raportów: W dodatku do raportów w HTML, jest możliwe przejrzenie raportów w formatach PDF, plain text i XML
  • Możliwość wgrania dodatkowych plików (DLL i innych) potrzebnych do uruchomienia aplikacji
  • Analiza poprawności plików wykonywalnych i w przypadku wykrycia błędnej struktury wyświetlany jest wynik komendy unixowej 'file’
  • Poprawki poprawiające stabilność pracy w engine Anubisa
  • Analiza i raportowanie adresów URL otwieranych przez Internet Explorera oraz zachowanie przeglądarki
  • Konta użytkowników, pozwalające na łatwy dostęp do poprzednio wysłanych próbek i wyników
  • Możliwość wysłania całej paczki malware w postaci archiwum ZIP z dodatkowymi plikami

Strona domowa — http://anubis.iseclab.org/

Koniec grupy 29A

przez

Na oficjalnej stronie grupy ukazał się komunikat VirusBuster’a, w którym można przeczytać, że legendarna grupa virii 29A kończy działalność.

Grupa od dawna była nieaktywna (ostatni numer magazynu 29A#8 wyszedł w 2005 roku) i dawno temu opuścili ją najbardziej utalentowani członkowie jak z0mbie, vecna i GriYo, więc można powiedzieć, że było to tylko przypieczętowanie faktycznego stanu rzeczy.

29A

Finał niejedno ma imię i wątpliwości może budzić fakt, że w przeszłości grupa potrafiłą się reaktywować w związku z wydawaniem nowego zina no i to, że upadłość grupy ogłosił tylko jeden człowiek.

Wszystkie numery magazynu 29A można ściągnąć ze strony:
http://vx.netlux.org/vx.php?id=z001

Praca w firmie Symantec

przez

Firma Symantec poszukuje reverserów do analizy malware, wymagania to m.in.:

  • Degree in computer science or equivalent experience (niekoniecznie)
  • Knowledge of x86 assembly or other variants advantageous
  • Experience in C/C++ programming a plus
  • Understanding of networking and Windows system internals
  • Experience in reverse engineering including using disassemblers and debuggers is a plus
  • Knowledge of scripting languages such as Perl or Python is a plus

Praca na miejscu w Irlandii:
http://jobview.monster.ie/GetJob.aspx?JobID=67463216