Показано с 1 по 1 из 1.

Нужны сигнатуры известных троянов

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2012
    Сообщений
    1
    Вес репутации
    44

    Нужны сигнатуры известных троянов

    Всем доброго времени суток.

    Общая вводная:
    Являюсь глав. программистом одной веб-студии, сайтов в портфолио сделано под 500 штук. Проблема в том, что время от времени клиент компрометирует свои ftp-логин-пароль, либо что ещё хуже - один из хтмл-верстальщиков(а только они сидят на винде) наших цепляет какую-нибудь гадость. Бороться с этим в точках исходного заражения довольно бесполезно.. Было принято решение разработать собственный "антивирус", естественно бесплатный для клиентов.

    Стратегия того ПО что делаем:
    Общий способ заражения - инфицирование .js файлов, как правило туда дописывается document.write на <script src="где-то в лесу, где живут злыдни">. Полагаю такой способ долго ещё будет основным, ибо на мой взгляд он самый простой для гарантии стабильности как инфицирования (без ошибок ява-скрипта, чтобы срабатывало) так и заражения посетителей сайта.
    В силу специфики и внутренних ограничений нашей системы - в общем-то это единственный способ заражения.

    Месяца 3 назад сделали и пока обкатываем такую весчь:
    1)есть md5-сигнатуры наших ява-скриптов установленных у клиента и даты последней модификации. "FTP-паук" бегает по сайтам, смотрит даты модификации у 5 случайно отобранных из базы скриптов - если они не менялись - то остальные не проверяет - security-by-obscurity, зато не нужно проверять 100 файлов и гонять лишний трафик или напрягать фтп-сервер. Есть тоже самое, но модульное, работает ежеминутно по крону, проверяет все .js файлы на соответствие локальной базе подписей, если чу не так - п.2. - это для нагруженных проектов, где за минуту пробегает сотня посетителей.

    2)если сигнатура всего скрипта не соответствует оригиналу - берём оригинал из нашего репозитория, и выгружаем на хостинг клиента, также моментально уведомляем о заражении сайта наш саппорт и клиента, дабы сменили пароль фтп и полечились. +переобновляем из репозитория все файлы .js, сохраняя на всякий случай "заражённую версию".

    3)к сожалению - уже не первый раз сталкиваюсь с тем, что происходит ложное срабатывание, когда клиент заказывает что-то у стороннего разработчика, а не у нас (появляется новый ява-скрипт(как файл его не воткнёшь - нужно регистрировать в системе, собственно из-за этого и срабатывает всё), либо же появляется какой-нибудь новый кусочек кода в старом скрипте).

    4)потихонечку у нас накапливается база сигнатур реальных заражений (ручной разбор инфицированных версий), но сейчас там примерно 20 вариантов.. понимаю что в реальности их на несколько порядков больше. Вот хотелось бы отказаться от модели "2" и перейти к модели - потенциально опасно (обфусцированный ява-скрипт, или не известный документ.врайт - проверить), и однозначно опасно - лечить(при соответствии скрипта регулярке из базы)

    Итак мой ключевой вопрос такой -
    где бы мне найти список вида (желательно в виде SQL-таблицы либо .csv файла) -
    Название трояна.Версия: код заражения
    Название трояня.Версия2: код заражения
    ....

    Буду безмерно благодарен, по завершению тестового периода выложим кроновскую версию в открытый доступ.

    С уважением,
    Александр.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 15.02.2010, 11:34
  2. Эвристика ругается, а сигнатуры нет...
    От akrav в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 27.05.2009, 17:39
  3. Ad-aware SE - одна из лучших и самых известных
    От Geser в разделе Антивирусы
    Ответов: 21
    Последнее сообщение: 10.08.2007, 22:43

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01030 seconds with 16 queries