баги в трояне

[avva]

Ошибочка вышла:

- It should add the following registry keys:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun$sys$drv with value
%sysdir%$sys$drv.exe

and

HKLMSoftwareMicrosoftWindowsCurrentVersionRun$sys$drv with value
%sysdir%$sys$drv.exe

but due to a bug in code, instead of SoftwareMicrosoftWindowsCurrentVersionRun
the registry keys are

HKLMkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj$sys$drv
HKCUkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj$sys$drv

Backdoor.IRC.Snyd.A

Кстати, программистам и вообще компьютерщикам советую следить за блогом Марка Руссиновича, где последнюю неделю можно наблюдать развитие увлекательнейшей истории. Началась она с того, что Марк обнаружил руткит в технологии DRM на музыкальных дисках Sony. DRM в данном случае - технология, защищающая песни от копирования, когда их проигрывают на компьютере; а руткит - это способ, с помощью которого вирусы и троянские кони "прячут" свои файлы и процессы от пользователя так, что их очень трудно обнаружить. Вся эта история постепенно превращается в PR-катастрофу для Sony, судя по всему. Ссылка, по которой я нашёл процитированное выше (о первом обнаруженном трояне, который использует эту технологию Sony, чтобы спрятать себя), была в комментах в блоге Марка.

А сам сайт SysInternals.com давно хорошо известен всем, кто интересуется внутренностями Windows, программированием ядра и прочими прелестями. Я сейчас не очень интересуюсь, но когда-то давно именно этим и занимался. В частности, на этом сайте есть много очень полезных мелких утилит, из которых особенно стоит отметить FileMon и RegMon - простые и надёжные программы, отлавливающие и показывающие все обращения всех процессор в системе к файлам и реестру.

Comments

[nine_k]

Поскольку Somy Music давно и прочно сошла с ума, я буду только рад, если PR-катастрофа сметёт её нынешнее руководство.
Ведь Sony Electronics способна делать отличное железо :)

"музыкальных дисках Sony"

[aburachil.livejournal.com]

А что это такое --- это что-то вроде CD, но не по стандарту CDDA?

[avva.livejournal.com]

Это, с одной стороны, обычный CD, но у него также есть data-секция, и их DRM-технология загружается автоматически, когда вставляешь CD.

Я так и не понял, если честно, есть ли защита на уровне самого диска (т.е.
специальных дефектов в контрольных суммах, которые обычно игнорируются CD-плейерами, но в компьютерных CD-драйвах возникают проблемы). Иными словами, если нажать на Shift, когда вставляешь диск, чтобы не загружался autorun.exe диска - будет возможно просто его проиграть или списать на Windows или нет? Не знаю.

[aburachil.livejournal.com]

А ну понятно, я про такое слыхала краем уха. Тут их называют прикольным словом UnCD. Уже был приговор суда, который запретил компьютерному журналу ставить ссылку на программку, которая зачитывает через звуковую карту музыку с этих штук, сохраняя файл с некачественной копией.

Я вот чего не понимаю: проблема ведь просто в том, что сама по себе ОС-виндоуз является классическим троянским конём (загружая все эти autorun.exe, поддерживая региональные коды DVD-дисководов и т.д.) или тут есть более глубокие соображения?

[zhenyach.livejournal.com]

Насчёт "Shift" - пару лет назад пытались засудить одного студента именно за нажатие Shift при вставлении CDшек. Если поискать в Гугле "shift autorun lawsuit", то много любопытного можно почитать.

тяжелый случай.

[fyysik.livejournal.com]

а просто за тотальное отключение autorun при вставке дисков безотносительно к аудиоСД - не пытались?

Re: "музыкальных дисках Sony"

[anton.livejournal.com]

Это обычный CD, но с автоустанавливающимся руткитом на нём:)

[anton.livejournal.com]

На слешдоте это уже превратилось в ежедневную рубрику:)
Теперь, вот, все обсуждают то, что, оказывается, Sony не прошла мимо и Маков. Но вообще, они реагируют как-то очень странно. Вместо того, чтобы дистанцироваться от руткита, они упорно продолжают твердить о его безвредности, хоть и выпустили uninstaller.

[piggymouse.livejournal.com]

Sony sued over copy-protected CDs (http://news.bbc.co.uk/1/hi/technology/4424254.stm)

[birdwatcher.livejournal.com]

Да, похоже, что не PR-, а просто так катастрофа.

[olegs.livejournal.com]

Вот мы устанем , а они нас добьют.

[iliat.livejournal.com]

Russinovich rules !
I think it was him who'd discovered that the difference between server and desktop flavours of some Windows version was only a registry key.

[avva.livejournal.com]

Да, по-моему тоже он.

[(Anonymous)]

Еще есть такая тема http://paullee.ru/
http://www.livejournal.com/users/xpehob/43659.html

>отлавливающие и показывающие все обращения
Наверно, это сильно сказанону, если вспомнить применяемые антитрассировочные средства, к примеру, aspack(обходимые за счет изменения имени устройств в софтине Русимовича),но похоже и в XP
уже что-то сложней, может когда софт сам свои драйвера подгружает
для вводв-вывода, ... но нередко вcтречался с потерей следов деятельности программы,но это впечатления,чисто,как пользователя тулзины,в тонкости не лез.

[http://users.livejournal.com/_iga/]

А могли бы Вы создать rss-трансляционный эккаунт в ЖЖ для блога Руссиновича?
Это прерогатива платных пользователей :(

[avva.livejournal.com]

А есть уже. Собственно упоминалось где-то выше в этом обсуждении.

[aburachil.livejournal.com]

А ещё они код из свободных программ воруют: ссылка, правда, по-немецки (http://www.heise.de/newsticker/meldung/66423)...