1

Тема: Aidstest

Привет!

Разгребаю очередную коллекцию, нашел очень интересный артефакт:
антивирус Лозинского, одна из ранних версий - база из 6 вирусов :)))

Post's attachments

aidstest6.png, 13.54 kb, 641 x 400
aidstest6.png 13.54 kb, 224 downloads since 2020-01-12 

Attachment icon av.zip 67.47 kb, 222 downloads since 2020-01-12 

2

Re: Aidstest

О, это реально раритет! Этот антивирус дал мне путёвку в жизнь. Я лично общался с Лозинским, Мостовым, Касперским и другими антивирусниками и даже помогал устранять баги в антивирусных продуктах, в том числе и в Aidstest.

Интересно, какую рекламу эта версия показывает...

3 Отредактировано Voldemar0 (13-01-2020 06:00)

Re: Aidstest

Вроде никакую. У неё ни ключей для рекламы нет ни попыток её показать.

Мне понравилось, что в заставке сразу описания всех вирусов есть :))
У нынешних авиров даже описаний -то ненайдешь, энциклопедии вирусные заброшены,
да и вирусы теперь стали бактериями. Реальных вирусов -то уже лет 15-20 как нет - которые бы встраивались в чужой код.

Последнее сообщение о вирусе мелькало лет 7 назад: какой-то баг был найден в TCP-стеке MSSQL, кажись, и
зараза через это ползала по серверам, даже не записываясь в файлы.

А уж про спецэффеты вообще молчу - всё в 90-х осталось...

Кстати, где-то в инете видел aidstest даже версию 1 - с одним вирусом. Но 6 , 7 и 12 там нет...

4 Отредактировано Wierzbowsky (14-01-2020 03:48)

Re: Aidstest

Не соглашусь. Новые вирусы постоянно появляются, есть и новые версии "старичков". Хотя появляются они не в таком количестве как раньше. Троянов и бэкдоров несравненно больше конечно. Стало много ransomware - после 2011 года все стараются заработать бабло на троянах. Часто используют coinminer модули чтобы майнить на зараженных компах криптовалюту. Трояны в основном либо воруют файлы и информацию, либо дают удалённых доступ к зараженному компу.

Также полно эксплойтов - каждый месяц появляются десятки новых эксплойтов для Винды или её компонентов, а также для продуктов Adobe, Oracle и некоторых других фирм. Больше сказать не могу, так как я под NDA.

Вирусы есть самые разные, от простых, которые внедряются в уже скомпилированный код, до сложных, которые внедряются в исходники программ и при компиляции уже являются частью программы с подлинной подписью (если файл потом подписывается). Так что вирусы не умерли. До сих пор выпускают Parite, Sality и прочую хрень. Некоторые настолько криво написаны, что убивают носитель или делают его лечение невозможным. Руки бы поотрывать...

Сейчас появился трэнд - вместо вирусов и троянов делаются всякие "Driver updater", "Registry repair", "PC Speedup" и фейковые антивирусы. Эти программы ничего не делают кроме пугания пользователя всякими страшными ошибками, которые на самом деле ошибками не являются. "Лечение" конечно только за деньги, подписка с автопродлением. Мы с этим хламом упорно боремся, но его становится всё больше и авторы этого дерьма становятся всё агрессивнее. Я как раз с ними общаюсь по работе. Иногда встречаются редкостные мудаки.

5 Отредактировано Voldemar0 (14-01-2020 06:13)

Re: Aidstest

А, ну тогда всё хорошо :))

Как думаешь, те вирусы, которые всё таки остались вирусами и встраиваются в исполняемые файлы или в исходники: они расчитаны на широкую аудиторию или такое пилят, скорее, под конкретную цель ?


> Также полно эксплойтов - каждый месяц появляются десятки новых эксплойтов для Винды

Тут немного странно: ну вот появляются они по куче в месяц, а какой у них процент выживаемости?
Т.е. легко ли им реально скакать по пользовательским компам и приводить к эпидемиям, хотя бы локальным ?

Я довольно продолжительно наблюдал за сообщениями о security update для FreeBSD, очень часто бывает так:
дыра обнаружена, ей присвоен высокий уровень опасности, но при этом для её использования нужно соблюдение
очень многих условий: быть локальным пользователем, в системе должна быть разрешена какая нибудь
нечасто используемая библиотека или сервер или какая-то фича в этом сервере и т.д...
Т.е. в реале, для обычного web-сервера, сайты на котором держат неанонимные пользователи, опасности, практически, никакой.
За 10 лет я только раз, помню, была реальная дырка, которая позволяла конкретно на моих серверах
поднять привелегии от обычного юзера до рута. Ну и пришлось её сразу затыкать со всеми предшествующими
и последующими проверками.

И поэтому мне странно, что если уж такие вирусы существуют (я имею ввиду, которые даже в исходник могут
залезть или встроиться в собранный уже файл), то почему я не встречался в новостях с сообщениями и каких либо массовых атаках ? Или почему свежий корпоративный вирусолов не свистит мне ежедневно о тех эксплоитах, которые каждый месяц где-то появляются ? Может быть всё таки, несмотря на массовость выпуска, эта зараза имеет крайне плохую приспособленность для реального мира ?

6 Отредактировано Wierzbowsky (14-01-2020 20:40)

Re: Aidstest

Деньги любят тишину. Чтобы зарабатывать на вирье - нужно делать это незаметно, то есть быть "ниже радара". Поэтому эпоха массовой рассылки троянов и червей по почте и массового использования крутых эксплойтов типа GDI (2004 год, если не изменяет память) прошла. Больше глобальных эпидемий не будет. К тому же Микрософт основательно улучшила безопасность самой Винды. Поэтому глобальных 0-day эксплойтов уже почти не встречается. Точнее они конечно есть в узких кругах, но стоят бешеных денег и в основном используются в атаках, которые могут принести большие дивиденды - промышленный шпионаж, взлом инфраструктуры вероятного противника и т.д. Когда их обнаруживают, то сразу выпускают патч, иногда даже срочный. Зависит от того насколько легко этот эксплойт можно использовать и сколько версий Винды от него не защищены.

Вирусы использовались в основном для увеличения выживаемости. То есть заражая большое количество файлов была вероятность что даже после лечения что-то останется и сможет вылезти наружу. У не-сетевых червей такая же фича - рассовывать себя по всем папкам. У сетевых червей - рассовывать себя по локальной сети. Это только механизм самосохранения. Но основной функционал ради чего всё затевалось - или удалённый доступ, или скачивание дополнительных модулей, например локеров. Сам по себе вирус не приносит денег. А вот возможность что-то сделать с машиной удалённо (превратив её в так называемое "зомби") - очень даже выгодное предприятие.

Ботнеты тоже приносят бабло. Захваченные машины и кластеры с возможностью управлять ими удалённо из одного командного центра продаются для разных атак (DDOS, спам и т.д.). Также захваченные машины могут быть использованы в прокси-цепочках для кибератак повышенной сложности.

Эксплойты тоже любят тишину. Ведь засвеченный эксплойт уже никому не интересен и продать его нельзя. Была даже целая история о том, как слили эксплойт с номером автомобиля одного из разработчиков (это была внутренняя метка, которую в конце должны были удалить). Даже фотку чувака потом нашли, который этот эксплойт делал. Он потом долго ругался, что "слили эксплойт с внутренним маркером". Поэтому редкие эксплойты стараются использовать в адресных атаках, которые приносят деньги или могут помочь достать компромат. У каждой развитой страны есть хакеры, которые эти эксплойты пишут и применяют. То, что мы видим в паблике - маленькая часть того, что есть в наличии. Но если у тебя нет ничего интересного (военных и технологических секретов), то вероятность, что тебя хакнут минимальна. Больше вероятность нарваться на ransomware, которое пошифрует диск и потребует бабло или же на cryptominer, который будет насиловать твой процессор чтобы помогать делать бабло какому-то бездельнику-долбоёбу.

7

Re: Aidstest

Помнится, первый компьютерный вирус я на "Правце" нашел :) Мне тогда еще хозяин компа сказал: "что то он записывает при просмотре каталога". И правда, в процессе изучения DOS я обнаружил кусок кода, который после выполнения команды CATALOG записывал два сектора со своим кодом на диск. Там еще отличие было: количество свободных блоков не показывалось, этот код был заменен на тело вируса. Ну и портил этот вирус в основном диски с игрушками.

8 Отредактировано Wierzbowsky (15-01-2020 18:31)

Re: Aidstest

Я первый вирус на MSX словил. Ну а потом на 286й. С тех пор это моя специальность - ловить и обезвреживать вирусы и трояны.

9 Отредактировано Voldemar0 (16-01-2020 05:49)

Re: Aidstest

> И правда, в процессе изучения DOS я обнаружил кусок кода, который после выполнения команды CATALOG записывал два сектора со своим кодом на диск

Кстати, на Агате тоже я такое встречал, но только в одной коллекции. Переписывался кусок доса, который работает с Бейсик-60.
Именно два сектора. И, кажется, именно где-то в том регионе, который отвечает за команду CATALOG. Что он вредного делает, кроме самораспространения - не знаю, не изучал. Но гадство в том, что он не проверяет - есть реально ДОС там или нет и какой версии. Запись идёт куда-то в сектора, примерно, 10-11 трека 1, соответственно, если ДОС нет - портит файлы, попавшие на этот трек. Если там ИКП-Бейсик - портит его.

--

> Я первый вирус на MSX словил. Ну а потом на 286й. С тех пор это моя специальность - ловить и обезвреживать вирусы и трояны.

А печатки рисовать - хобби только ?

10

Re: Aidstest

Электроника - хобби. Как и программирование.