• 4 июля стартует курс «Python для Пентестера ©» от команды The Codeby

    Понятные и наглядные учебные материалы с информацией для выполнения ДЗ; Проверка ДЗ вручную – наставник поможет улучшить написанный вами код; Помощь преподавателей при выполнении заданий или в изучении теории; Групповой чат в Telegram с другими учениками, проходящими курс; Опытные разработчики – команда Codeby School, лидер по информационной безопасности в RU-сегменте

    Запись на курс до 15 июля. Подробнее ...

  • 11 июля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 20 июля. Подробнее ...

Статья Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ

Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ

749.gif


Ммм.. Приветствую, уж очень понравилось мне писать исторические сводки о различных вирусах из прошлого, идея у меня была уже о-о-очень давно в заготовке. Однажды я даже попытался что-то соорудить по этой тематике, но вышло так себе и ваши глаза, к счастью, не увидели этого кошмара. Буквально вчера, после длительного творческого перерыва, было создано вот это. Да, если не забуду, то ссылочку оставлю.

Ещё неведомо мне как вы восприняли новый формат, но что-то лайтовое, без особых нагрузок и терминологии — как раз, для того чтобы расслабиться. Как сказал бы один мой знакомый… Ай, нет, не буду нагружать вас сленгами современными, сам до конца не понимаю ничего в них.

Итак, к делу. Попытаемся в похожем формате рассмотреть один из самых, наверное, дорогостоящих для мировой экономики вирусов. А давайте интригу потяну, начнем из сюжетной предыстории, а там уже и поймете. Скажу лишь, что этот зловред в два раза переплюнул убытки от LoveLetter.

А, точно, где-то здесь появится наш классический дисклеймер, который уже два года следует по одному с моими статьями пути, где же он? Как насчет фокуса? Я заставлю дисклеймер появиться. Та-да-ам. Он.. Появился. ( отсылка к одному фильму, если поняли, отпишитесь):

Дисклеймер

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект — это знания.

Стартуем: немного сюжета, хронология

Пи-Пи-Пи. Ничем не примечательное утро, 23 января 2004 года. Наш герой, даже не открыв глаза, вступает в кулачный поединок с будильником, который, словно в каком-то Голливудском фильме, производит пронзительное звучание, разрывающее уши.

С закрытыми глазами, победив утреннего звукового монстра, Ли встает с кровати. В окне открываются живописные утренние виды Тайваня, но наш герой не видит этого, ведь пора на работу.

Этот персонаж находит забавным работу биолога, пусть и зарплата не очень, но все таки, лишь если заниматься тем, что тебе по душе, можно достичь прогресса — так считает Ли.

Странные ощущения в теле, ломота и головная боль… Наверное, на работу путь закрыт. Он даже не мог себе представить, что эта болезнь спасет ему жизнь. Ведь через 4 часа в центре Тайваня произойдёт взрыв кита, перевозимого его компанией на исследования.

Этот же день, то же самое утро. Хасад едет на джипе по улицам Ирака, его транспорт набит взрывчаткой, ещё момент… Пустота, лишь темная темень и ничего вокруг. Этим же утром какой-то старец из Румынии, предвещает свою кончину под снежными завалами, ведь его дом уже полностью погряз в снегу.

В этот день произошло много чего, некоторые события навсегда вошли в историю, но нас ведь это все не интересует. Так ведь? Да, мы собрались здесь не обсуждать взрывы китов, болезни и аномальные снегопады, в этот день произошло ещё кое-что, что повлекло за собой убытки в 40 млрд. долларов.

Оставшись один на один с болезнью, Ли Шень Шунь ( о да, ещё одна отсылка), решает проверить свою электронную почту.

1653826354914.png


Он сразу замечает несколько новых писем с заглавием “Read me” или же “message.txt”. Он решает, что это прислал ему кто-то с работы, поэтому без особых раздумий он открывает текстовый файл и… Там какая-то белиберда. Покачав головой, Ли продолжает просмотр почты. Казалось бы, ничего особого не происходит, но в то же время в папку system32 копируется какие-то странные .dll’чики, заменяется процесс taskmod.exe, а затем появляется это… "Интернат.ехе". И он тоже сразу же запускается.

Стоп-стоп, что же это значит? Теперь наш биолог поедет в интернат? М-м-м, нет. ( Кстати забыл уточнить, у Ли Виндовс 2000, а интернат.ехе намекает нам о том из какой страны это выходец).

А что же такого открыл наш Ли?

Этот вопрос рассмотрим чуточку позже, уточнив реалии ведь уверен в этом, не все помнят это время, будем честны, единственное о чем тогда думал автор, так это о палке и крапиве, а также о птичьем гриппе. Зачем о последнем?
Прошло четыре года после эпидемии LoveLetter, о котором шла речь в прошлой статье. Думаете люди поумнели? Ммм, нет. В большинстве своем все так и осталось, даже больше скажу, по прошествию четырех лет, компьютеров стало больше, намно-о-ого больше. В этом времени о понятии “информационная безопасность” или “фишинг” вряд-ли ещё слышал какой-то Ли с Тайваня.

А если и слышал, то очень посредственно и вряд-ли встречался лично.

И так, что же происходит дальше? Пока Ли спокойно смотрит почту, в это же самое время интернат.ехе создает лазейку для бэкдора, открывая TCP порты от 3127 до 3198, теперь уже Интернат способен принимать удаленные команды и выполнять их на машине Ли.

Ну типичный Реверс ТСП в реалиях 2004 года.

А теперь возвращаемся к тому самому вопросу: что же это такое?

Рад приветствовать в компании описываемых мной вирусов появилась настоящая легенда - MyDoom. По классификации это червь, который заражал все устройства, на которых был открыт файл из письма, а затем он производил DDOS серверов компании SCO, но в итоге пострадал даже Майкрософт.

Почему, зачем и для чего? Какова была истинная цель?

Навредить вот этому SCO было приоритетом для создателя вируса, хотя как по мне, не создателя, а создателей, ибо он модернизировался, дописывался и изменялся явно не одним человеком, потому что именно эта компания заявила, что имеет авторские права на код операционной системы Linux.

К каким последствиям могло привести подтверждение авторских прав на Линукс? Сложно представить, скорее всего вплоть к фундаментальному изменению принципов работы и дальнейшей разработки. Может быть, в таком виде и количестве модификаций, как есть сейчас, Линь мы бы не узрели никогда.
Screenshot_37.png


Ну и как вы могли понять, MyDoom проводил массированные атаки на сервера компании, не буду томить и скажу, что те умерли сразу же. И это продолжалось в период с 1.02 по 12.02 того же года.

Цитируем легендарного дотера и стримера, который сделал мне настроение в 2015 году, избивая офисное кресло: “ДУДОСЕЕРЫ С*ка”.

Слабонервным не смотреть:

Это я сказал к тому, что реакция руководящего состава компании SCO была примерно такой же. И они объявили награду в 250.000$ за поимку автора червя.

Итак, теперь немного хронологических сводок, как же это происходило.

На следующий день, компании-производители антивирусного программного обеспечения начинают сообщать о появлении нового вида червя, который стремительно распространяется через почту.

И проблема сама была даже не в том, что вирус есть, не в том ,что он распространяется. Загвоздка была как раз в отсутствии нормальной защиты на большинстве машин того времени.

Если тот же Пентагон или Майкрософт уже не было так сильно подвержены заражению, как в двухтысячном, то тот самый Педро и его учитель информатики - прямые жертвы.

И главное, что хотелось бы отметить: этот вредонос, скорее всего имел цель первым делом заразить крупные web-сервера. Наступает вторник, в подтверждение сказанного мной ранее, администрация крупных хостов делает заявление, что на их почтовые адреса поступает до восьми тысяч зараженных писем в час.

Вследствие этого к концу дня по всему миру было заражено больше 60.000 крупных серверов, в этот момент становится известно о существовании некого таймера внутри зловреда, по истечении времени которого будет запущена атака на сервера компании SCO.

Идем дальше по хронологии распространения вируса. Вечер вторника.

Около 15% всех писем, отправляемых по всему миру представляют собой рассылку MyDoom.

Screenshot_38.png


В этот же момент крупные компании-производители антивирусного ПО выпускают патчи для своих программ, которые уничтожают вирус на зараженных машинах и препятствуют его распространению, поэтому первая версия червя, имевшая название I.Worm.MyDoom.A стала менее эффективной.

Думаете на этом все закончилось? Ха-ха, нет конечно. К концу дня в сети появляется новая версия, которая уже блокирует обновления антивирусов и автоматически заменяет первую версию на инфицированных машинах с доступом к сети. Эта версия примечательна ещё тем, что впервые в ней был указан путь атаки не только СКО, но и главный сайт Майкрософт.

29 января, четверг. Каждое третье письмо отправленное электронными почтовыми сервисами заражено.

30 января, пятница, вечер. Удается стабилизировать распространение вируса через почтовые сервисы путем временного их отключения. Но это уже не имеет особого значения, так как количество инфицированных тачек остается колоссальным. Затем I-Worm.MyDoom.B мутирует, не сам по себе естественно, в I-Worm.MyDoom.C, который начинает свое распространения путем ARC каналов, а также по локальной сети.

31 января. Суббота. Все крупные сервера отключаются на выходные, что ещё немного сдерживает распространение. Хотя вечером на многие зараженные машины был открыт доступ через интернат.ехе. Очень многие пользователи начинают массово жаловаться на потерю личных данных из их жестких дисков, ещё что примечательно в то время появились первые известные интернет-вымогатели.

Затем некие исследователи публикуют информацию, что вирус станет неактивным после 12 февраля. Обнадеживает? М-м-м, нет, ибо в итоге это не подтвердилось на практике и он продолжил свою деятельность и после указанного срока.

1 февраля 00:00, время атаки на сервера SCO.

На этот момент крупные веб-сервера были отключены, но сути не изменило особо и СКО, как и Майкрософт умирают сразу.

Вот вы только представьте себе, 2004 год на дворе, и более чем два с половиной миллиона атакующих машин, которые отправляют в среднем по 30.000 пакетов каждую секунду. Ну трафик сами можете посчитать, на то время это просто невообразимые цифры.

2 февраля, понедельник. Ровно неделя с появления MyDoom в сети.

Число атак идет на спад и распространение замедляется, но это не избавляет от факта, что сервер SCO лежит. Майкрософт кое-как возобновляет работу, создав зеркало для клиентов.

Практически все производители антивирусного ПО выпускают программку для поиска и дезактивации червя. В это же время крупные сервера закончили очистку от червя и возобновляют работу.

3 февраля, вторник.

Эпидемия Mydoom идет на спад и распространение вируса практически остановлено. Заражено лишь каждое двадцатое письмо. Вечером этого же дня выпускаются крупные дополнения, которые способны обнаружить и ликвидировать любую версию MyDoom. Загвоздка лишь в том, что инициативу разработчика подхватили многие, кто был солидарен с их мнением и число неофициальных вредоносов на базе этого червя начало стремительно расти.

После была опубликована некая статистика по ущербу, которая насчитывала около двух-трех миллиардов долларов. Да, за всего-то неделю.

Затишье, вроде как все уже начало налаживаться и удалось усмирить дерзкого вредителя, но не все так просто.

10 февраля. В сети появляется новая версия вируса - Worm-Win32.Doom.Juice. A, которая оказалась гораздо умнее предшественников и продолжает свою работу.

И теперь отойдем немного от хронологии и возвратимся к нашему Ли, которому не посчастливилось открыть самую первую версию вируса у себя на машине.

Мы уже разобрались с тем, что сперва вредонос копирует себя в системные папки, делает копии и подгружает бэкдор, но кое-что он позаимствовал в нашего прошлого героя статьи - ЛавЛеттер, правда немного усовершенствовав.

Рассылка и распространение происходит уже не по адресной книге и не только через почтовый сервис OutLook, но и через почту от Яхуууу, или как там его читать, и аналоги. Ещё небольшой нюанс в том, что вирус сам генерирует почтовые адреса, а не копирует откуда-то.

Screenshot_23.png

В те времена понятия спама уже существовало и действовали целые организации, занимающиеся рассылкой всякого бреда, моё предположение в том, что один из создателей явно был замешан раньше в таком теневом бизнесе, ибо алгоритм генерации уж очень интересный, его мы разберем чуточку позже во время тестов на практике.

Кстати в последней, упомянутой мной, версии имелось ещё и что-то типа скрипта для рассылки спама, который подгружался из прокси сервера.

12 февраля, как оказалось основная часть вируса действительно прекратила свою деятельность, но вот TCP лазейка с бэкдором осталась.

Распространение угасло, на совсем? А уж нет.

24 июля, тот же самый год. Зараженными по всему миру остались около миллиона машин. И в этот же день происходит массовая атака на сервера Google отчего те прекращают свою работу до следующего дня.

До конца года появилось множе-е-ество версий MyDoom, видимо все больше людей становились заинтересованными в его разработке и усовершенствовании, но особого успеха сыскать не удалось.

Уже в 2005 году появляется версия MyDoom.AO, которая вроде как начинала неплохо, но её очень быстро локализовали и свели на нет.

И теперь временной скачек в будущее. Лично мне кажется очень странным то, что вирус продолжает свою деятельность на протяжении такого длительного периода времени. Взять тот же АйЛавЮ, который около годика бушевал и все. Кстати даже сейчас MyDoom продолжает свою работу.

Итак, 2009 год. Наш зловред атакует правительственные сайты США. Многие сошлись во мнении, что эта акция была спланирована Северной Кореей.

В этой операции участвовал непосредственно вирус с названием Trojan.Dozer, который был переделкой нашего главного героя Doom’a.

Ну и на этом хронологию закончим. Да.

18 лет этот вирус существует и он не просто есть, как тот же ЛавЛеттер, он до сих пор активен. Вот здесь где-то оставлю скрин-сводку об активности вируса в последнее десятилетие. За эти годы, MyDoom нанес примерно 40 млрд. долларов ущерба мировой экономике. Просто представьте насколько это огромная сумма.

Несколько людей, до сих пор неизвестных, не просто распространили вредонос, они смогли остановить работу крупных компаний, помешать развитию и нанесли такие убытки.

Здесь нет глупых отговорок, как в истории с де Гузманом, нет, они не были раскрыты и до сих пор живы где-то в тени. Если Анель пытался как-то врать, скрываться, то этих ребят даже удалось обнаружить. Браво. Не сказать, что я восхищаюсь их деяниями, но они действительно круты.

Кстати, вот небольшая ремарочка - на пике активности вирус создавал около 20% мирового трафика, а 25-30% всех писем в мире были заражены им.

Время практики: Виндоус 2000 Ли Шень Шунь и MyDoom версии A

Сперва хотелось бы отметить, что этого вредоноса называют полностью автономным, он волен распространяться покуда люди будут открывать зараженные файлы у себя на машине. То есть да. На практике мы разберем одну из самых первых версий, но в тех, что поновее появляется новый прикол.

Screenshot_36.png


Он будет пытаться соединиться с определенным айпи адресом через TCP порт 1042.

Сперва он создает свою копию в каталоге temp, как исполняемый файл под названием lsass.exe:
Код:
appdata/local/temp

Затем он изменяет привилегии через реестр с ключем TrayBar по следующему пути:
Код:
Software/Microsoft/CurrentVersion/Run

Перед простым тестом хотелось бы ещё и провести анализ, поэтому давайте перейдем в Кали, а потом уже вернемся к Ли.

Для начала нужно было достать сам образец вируса, это было.. Не сказал бы, что сложно, но вот здесь ссылочка и бесплатный API ключ для скачивания:
Код:
b4c40a5aaebc750b6dd38594858b97f330615caab82d63b84fe8c6eaf6b3aeb0

Итак, у нас есть некий codeby.exe, давайте запустим проверку и посмотрим каким методом он упакован:
Код:
file codeby.exe

Ответ следующий:
Код:
codeby.exe: PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed

Выходит, что он у нас упакован UPX методом, в целом, мы можем его распаковать и глянуть, что внутри:
Код:
upx -d codeby.exe

Теперь переходим в любой декомпилятор и поговорим о импортах.

Увидев это, можно прийти к выводу, что он редактирует и создает новые ключи в реестре:
Код:
RegSetValueExA и RegCreateKeyExA

И ещё можно заприметить индикаторы сетевых подключений и времени, смотрите сами, их здесь много:
Screenshot_18.png


Так же он создает мьютекс - это типа что-то изоляции от других процессов, используя CreateMutexА, затем создает процесс с помощью CreateProcessA и начинает рыться в файловой системе с помощью FindNextFileA и FindFirstFileA.

В примере используется функция at 0x4A465E, она принимает адрес и зашифрованную строку. Поскольку так часто его видим, это скорее всего дешифратор.

Алгоритм расшифровки довольно прост, на самом деле это rot13. Поэтому можно достаточно легко расшифровать их с помощью IDAPython. Выглядеть будет это следующим образом:
Python:
from idc import *

from idautils import *

import codecs



def get_function_arg(addr):

    while True:

        addr = PrevHead(addr) #addr of the first push

        addr= prev_head(addr) #addr of the second push

        if GetMnem(addr) == "push":

            break

    offset = GetOperandValue(addr, 0)

 

    if offset=='esi' :

        addr = prev_head(addr) #get the push right before strlen function call

        offset = GetOperandValue(addr, 0)

 

    if is_loaded(offset): # offset is a valid offset

        size = get_item_size(offset)

        encrypted_str = get_bytes(offset, size)

    else: encrypted_str = offset

 

    return encrypted_str # string @ offset



decryption_function= 0x4A465E

xrefs = CodeRefsTo(decryption_function, 0)



for fun_call in xrefs:

    enc_str = get_function_arg(fun_call)

    dec_str =  codecs.decode(enc_str,'rot13') if type(enc_str)==str else enc_str

    set_cmt(fun_call , str(dec_str), 0)

После запуска нашего вируса он пытается открыть:
Код:
Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

Screenshot_19.png


Это подраздел корневого ключа HKEY_LOCAL_MACHINE (0x80000002) и HKEY_CURRENT_USER (0x80000002-0x1), если не удалось их открыть, он пытается выяснить запускался ли он уже или это впервые.

Если ему удалось открыть какой-либо из них, MyDoom понимает, что уже выполнялся раньше, поэтому он создает мьютекс SwebSipcSmtxS0, чтобы убедиться, что работает только один его экземпляр.

Затем MyDoom получает текущее системное время и дату, чтобы убедиться, что день 2004-02-01 и время ещё не истекло. Следовательно, не каждая зараженная машина выполнит атаку, это зависит от системного времени.

Чтобы получить жестко закодированное время, я преобразовал два 32-битных значения в dwLowDateTime и dwHighDateTime в 64-битное значение для соответствия файлового времени:
Код:
dwLowDateTime = 0x0BE9ECB00
dwHighDateTime = 0x1C3E8DD << 32
execution_filetime = (dwLowDateTime & 0xFFFFFFFF) + dwHighDateTime

Механизм DOS атак примитивный. Сначала он проверит, подключена ли машина к Интернету, затем создаст 63 потока и отправит запрос «GET /HTTP/1.1» от каждого из них на TCP-порт 80 .

Генерация сообщений происходит следующим образом, червь добавляет или 1-3 рандомных символа или какие-то имена, типа Джон, Мэй и так далее.

Screenshot_32.png


А Shimgapi.dll отвечает за бэкдор, его так же можно расшифровать с помощью UPX и давайте просмотрим, что же там у него внутри и как он устроен.

Проверим с помощью чего он упакован, а там так же UPX, и проведем декомпрессию:
Код:
file shimgapi.dll
upx -d shimgapi.dll

Затем закинем его в тот самый, не очень хороший декомпилятор, просмотрим импорты и прочее.

Так-то ничего нового он не создает и ничего особо не делает. Открывает порты TCP и отвечает за копирование в системные каталоги.

Сначала он вызывает RegisterServiceProcess, используемый для регистрации процесса в качестве службы, чтобы скрыть его от Диспетчера задач, да кстати вот таки есть такое уже.

1653827379524.png


Затем он добавляет себя в раздел реестра:
Код:
CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InprocServer32

Создав эту запись, Windows загрузит ее в адресное пространство explorer.exe.

Затем он пытается открыть любой порт в диапазоне от 3127 до 3198, любой пользователь может использовать его позже. Давайте запустим все открытые порты до запуска этого .dll:

Код:
netstat -a

А теперь приведем этот файл в выполнение, повторная проверка даст следующий результат, порт 3127 ранее был закрыт:

1653827463083.png


Кстати все “исходники”, не знаю просто как их ещё обозвать, я оставлю внизу во вложениях. Запамятовал, говорил ли я о самом MyDoom, но он так же там будет. Тестируйте на здоровье, было тяжело нарыть их, гы.

Screenshot_35.png


Перед глазами Ли все еще открыто то самое письмо, которое гласит, мол ваш текст не был доставлен, так как адреса, на который вы отправили емейл не существует, но ведь Ли никому не писал. В чем же загвоздка?

Давайте ещё отвлечемся на установку виртуальной машины с Виндоус 2000, ибо найти нормальный .vdi для VirtualBox было тяжело, поэтому оставлю вот здеся ссылочку. О установке говорить нечего, стандартная процедура, без таких нюансов, как с 98-й.

Для корректной работы буфера обмена и гостевых папок придется установить Guest Addiction от виртуалбокса. Делается это следующим образом:

  1. Сперва включаем двунаправленный буфер обмена и функцию Drag&Drop в таком же порядке, как и буфер. Делается это во вкладочке “Устройства”, когда виртуальная машина запущена.
  2. Затем тыкаем на “Подключить образ гостевой ОС”, в разных версиях эта штука называется по-разному.
  3. Следуем простым шагам установки, даже если оно говорит о какой-то ошибке, просто жмите “продолжить установку”. В конечном счете это никак не повлияет на работу.
Допустим, у Ли во время открытия вируса ещё была открыта папка System32 и My Shared Folder, а ещё диспетчер задач.

И вот момент, когда наш герой открывает зловред, что же происходит на самом деле в системе? Давайте узнаем.
Screenshot_22.png



Первым делом наш Ли замечает, что в текстовом документе какая-то хрень, типа вот того, что на скрине. Он не обращает ни малейшего внимания на это, но его интересует появление в диспетчере нового процесса. Кстати, интересно заметить, что в этом вирусе ещё нет функции завершения процесса, когда открыт диспетчер, хотя в версиях новее, эта функция будет ему присуща.

Затем Ли листает вниз папки system32 и замечает новый .dll, который автор потом ещё на анализ заберет. Наш герой начинает что-то подозревать и пытается завершить процесс, но получает ошибку, прав недостаточно. Далее он быстро удаляет подозрительный .dll, но получает ответ ,что он занят процессом, но в идеале так быть не должно, ведь это часть червя, открывающая бэкдор.

Затем можно заметить taskmoon.exe, он имеет ту самую иконку блокнота, которую слегка побило жизнью, Ли открывает тот, но ничего не происходит, ведь это и есть сам MyDoom. Кстати при повторном запуске исходника вируса ничего не произойдёт, на первый взгляд. А мы то с вами уже знаем, как он работает в случае, если уже запущен или запускался.

Screenshot_25.png


Далее Ли решает заглянуть в файл hosts. Там он замечает появление IP адреса сайта SCO Group.

Допустим, что наш герой решает не разбираться в этом всем, просто выключает машину и включает первого февраля, именно тогда, когда должна была начаться DOS атака на сайт.

Давайте откроем любой сниффер, под рукой был Вайршарк, поэтому используем его. Переводим дату и время, перезапускаем машину.

Screenshot_28.png


И сразу же мы видим трафик от нашего зараженного ПК в сторону айпи адреса. 30.000 пакетов в секунду. Впечатляет. Давайте допустим, что Ли что-то заподозрил и решил попытаться сам уничтожить вирус у себя на ПК.

Парень он у нас смышленый, следит за новостями и вот он решил скачать некий софт, который был изначально предназначен для быстрого удаления червя. Найти его было достаточно тяжело, в реалиях 2022 года, но не суть.

Screenshot_27.png


Ли запускает утилиту и начинает сканировать файлы, результат можете увидеть на скрине. Процесс сразу же исчезает из диспетчера задач, после можно проверить удален ли вирус из папки system32

и да, действительно, его нет. Давайте ещё раз перезапустим машину. Ничего не изменилось, атака прекратилась, компьютер деинфицирован.

Итоги

Практически 40 млрд. ущерба, миллионы инфицированных устройств, DDOS атака из одного миллиона устройств, TCP бэкдоры, уничтоженная компания, массовые спам рассылки. 15% мирового трафика и 40% писем всего мира в день, создатель неизвестен по сие время. И это на 2004 год. Да, все , что вы только что прочли относится к легендарному червю - MyDoom. А теперь представьте, если бы что-то подобное появилось в наше время. Хе-е-х..

И вот мы все о негативных сторонах появления этого вредоноса, но давайте размышлять здраво. Он дал огромный толчок в развитии информационной безопасности, указал на ключевые моменты и просчеты компаний и привел к эволюционированию антивирусного ПО. Разве это не хорошо? Такова цена прогресса и практического постижения своих ошибок. Общество изменилось благодаря этому вирусу. И если бы не он, что-то подобное бы возникло и рано или поздно повторило его достижения. Но произойди это позже, ущерб был бы намного больше. Не так ли ?

А с вами как всегда был какой-то парень под ником DeathDay и очередная писанина. Спасибо, что уделили время прочтению этого материала, надеюсь, что вам было весело и вы узнали что-то новое для себя. Не прощаюсь, цикл Исторической Вирусологии запущен. Мира всем.


I-Worm.MyDoom.​
 

Вложения

  • special for codeby. MyDoom.A.zip
    194,3 КБ · Просмотры: 10
Последнее редактирование:

Крисофник

Green Team
22.07.2020
12
15
Сам себя переплюнул, каждая статья все лучше и лучше, новый формат пушка. Первое с Джокера, а второе к Темнее черного ✅
 
Последнее редактирование:
  • Нравится
Реакции: DeathDay

Zander You

One Level
24.10.2021
7
6
Очень круто, бро. Твой стиль и юмор Потрясающе

Ляяяяяя, 👁️👁️👁️👁️👁️👁️ первый нормальный русскоязычный разбор крутых вирусов
 
  • Нравится
Реакции: DeathDay

SearcherSlava

Red Team
10.06.2017
909
1 228
Братья, сестры, здравы будьте!

Знаний почерпнуть не забудьте.

Конявский В.А., Лопаткин С.В. Компьютерная преступность. В 3-х томах.
Климентьев К.Е. Компьютерные вирусы и антивирусы: взгляд программиста.

Компьютерный андеграунд
Знает Linux и команду mount
В темных байтах он продвинут
Состоит из невидимок
В белой шляпе он не ходит
В сети инфу он находит
Иногда закон обходит
Алгоритм для всех един
Интернет у всех один
Темный байт их господин
Из сознания глубин возникает
И посредством больших знаний
В сети ноуты и средства связи
Незаметно для других проникает
Иногда у них вопросы к гуглу возникают
Да такие что вокруг все вздыхают
Знанием своим они намекают
Что серьезные спецы много знают
Иногда у них кукушку замыкает
И тогда вопросов еще больше возникает

Byte to byte
Black and white
It’s all right
Take invite!

Кто ты, программист
На Винде своей
Сколько в стеке байт
Единиц, нолей
Кто ты, программист
На Лине своем
Вайн мы установим
Чая мы попьем

Уволен с работы, уверенно волен
Неужто свободно ты мыслить изволил
Неужто ты с мнением стал несогласен
Неужто в познаниях ты стал опасен
Неужто недавно сидел на Винде
Неужто в сети ты не виден нигде
Неужто недавно сидел на Лине
Неужто реально невидим извне
Неужто с работы уйти ты решил
Был блэком, стал вайтом, а где нагрешил?
Ведь много ошибок ты совершил
Наверное Бога ты насмешил
А может стать прогером ты поспешил
Но все же с работы уйти ты решил
Был вечер на сборы
Готов чемодан
Был куплен билет
Впереди океан

Временны мы - люди
Вечен океан
Знание познания
Я кладу в карман
В мире очень много
Городов и стран
Временны мы - люди
Вечен океан

Когда у прогера ничего нет
И к месту он особо не привязан
Всем что имеет в голове
«Оттуда» кто работает, обязан

Обернувшись VPN через Tor
Смотрит хакер в сеть
Там такой простор
Смотрит блэк на вайта
Ты забыл два байта
В стеке положить
Смотрит вайт на блэка
Сидя на Винде
Где же эти байты
А, нашел, вот здесь
Смотрит блэк на вайта
Сидя на Лине
Хватит этих байтов
И тебе и мне
В прогерстве познания
Между нами равные
Смотрим в мир по разному
Едины мы в сети
 
Последнее редактирование:

Faust_1st

Green Team
16.06.2020
17
11
Не сомневаюсь в возможностях автора писать занимательные статьи. Я даже подписался на тебя!
 
  • Нравится
Реакции: DeathDay
Мы в соцсетях:

Похожие темы