Sality – koszmar z przeszłości

VirusDziś odpaliłem swojego starego toolsa z 2003 roku i okazało się, że był zainfekowany. Co gorsza, był to infektor plików PE z polimorficznym szyfrowaniem i w dodatku z rootkitem, gdyby nie szybka reakcja miałbym „mielone” ze wszystkich EXE w systemie.

Najbardziej zaskakujące jest to, że infektor mający 13 lat nadal jest kompatybilny z najnowszymi wersjami Windows i bez problemu poradził sobie z infekcją nawet skompresowanych UPX-em plików, mimo wykorzystania mechanizmu OEP obscuring, czyli nadpisania kodu entrypoint, polimorficznym dekryptorem reszty wirusa, doklejonym do ostatniej, rozszerzonej sekcji pliku PE.

Przedstawiam ten koszmar z przeszłości, który jak widać był całkiem solidnie zaprogramowany i przetestowany:

https://en.wikipedia.org/wiki/Sality

PS. Z dezinfekcją poradził sobie systemowy MRT Microsoftu, dedykowany tools do usuwania tego od AVG zawiesił się w trakcie działania, kompatybilność wirusa okazała się większa od dedykowanego antywirusa 😉

CTB-Locker

Jakiś czas temu napisał do mnie mój ehem kolega, który nie odzywał się do mnie z 6 lat i nagle, żebym mu pomógł, bo zaatakował go wirus CTB-Locker, bo ja się na tym znam, bla, bla bla… :).

Pomijając takich kolegów, wirus ten jak się okazuje wykorzystuje szyfrowanie AES do wyłudzenia pieniędzy od biednych użytkowników, którym to szyfruje wszystko co leci na dysku i w zamian żąda okupu w BitCoinach.

shut-up-and-give-me-your-money

Dzisiaj natknąłem się na analizę tego wirusa na blogu Zairona:

https://zairon.wordpress.com/2015/02/09/ctb-locker-files-decryption-demonstration-feature/

Koniec grupy 29A

Na oficjalnej stronie grupy ukazał się komunikat VirusBuster’a, w którym można przeczytać, że legendarna grupa virii 29A kończy działalność.

Grupa od dawna była nieaktywna (ostatni numer magazynu 29A#8 wyszedł w 2005 roku) i dawno temu opuścili ją najbardziej utalentowani członkowie jak z0mbie, vecna i GriYo, więc można powiedzieć, że było to tylko przypieczętowanie faktycznego stanu rzeczy.

29A

Finał niejedno ma imię i wątpliwości może budzić fakt, że w przeszłości grupa potrafiłą się reaktywować w związku z wydawaniem nowego zina no i to, że upadłość grupy ogłosił tylko jeden człowiek.

Wszystkie numery magazynu 29A można ściągnąć ze strony:
http://vx.netlux.org/vx.php?id=z001