On avait crie' au canular, en fait, c'est un fantome :
http://valgasu.rstack.org/casper/
Je n'ai absolument rien contre le developpement de POC, mais
la prochaine fois qu'on viendra sur ce forum demander si ce sont
les editeurs d'anti-virus qui font les malwares...refrechissez bien
avant de repondre :
Je n'ose pas imaginer que ce code puisse etre inclus dans une
version quelconque d'Agobot (brrrr...).
Ah, j'oubliais. Heuristiques vs Furtivite' : 1 - 0
351 ms D:\Tmp\casper\Release\hook.exe Virus W32/Malware ( [
General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO -
REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 53248 bytes.
[ Process/window information ]
* Enumerates running processes.
* Modifies other process memory.
* Creates a remote thread.
)
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
C'est le IEHK : "Internet Explorer Hacking Kit is a tool box with different tools and samples for playing with IE vulnerabilities".
Très pratique quand l'attaque directe des utilisateurs est autorisée durant les tests intrusifs :)
Et puis ça démontre l'évidence de la détection de ces machins "indétectables" par les scanners à signature, d'où l'utilité de ces derniers.
Prochain épisode, Casper dans Casper skie :-)
Roland Garcia
Roland Garcia
Tweakie wrote:
Ils detournent (entre autre) des fonctions de Winsock pour pouvoir communiquer avec l'exterieur, et s'injectent dans un autre process puis tuent le process initial pour rester discrets. Mais bon, j'ai ete' agreablement surpris de constater que Norman detecte un truc fraichement compile' comme ca, c'est la furtivite' qui en a pris un coup :-D
Oui, oui, j'ai vu le code. En 15' ça suffit je te rassure :o). Mais bon, c'est pas avec ça que tu vas faire du furtif. MDR.
Inutile de dire que même si le dropper machin génère un code polymorphe, sa détection sera tout aussi évidente par les scanners à signature modernes :-)
Roland Garcia
Tweakie wrote:
Ils detournent (entre autre) des fonctions de Winsock pour pouvoir
communiquer avec l'exterieur, et s'injectent dans un autre process
puis
tuent le process initial pour rester discrets. Mais bon, j'ai ete'
agreablement surpris de constater que Norman detecte un truc
fraichement compile' comme ca, c'est la furtivite' qui en a pris un
coup :-D
Oui, oui, j'ai vu le code. En 15' ça suffit je te rassure :o). Mais bon,
c'est pas avec ça que tu vas faire du furtif. MDR.
Inutile de dire que même si le dropper machin génère un code polymorphe,
sa détection sera tout aussi évidente par les scanners à signature
modernes :-)
Ils detournent (entre autre) des fonctions de Winsock pour pouvoir communiquer avec l'exterieur, et s'injectent dans un autre process puis tuent le process initial pour rester discrets. Mais bon, j'ai ete' agreablement surpris de constater que Norman detecte un truc fraichement compile' comme ca, c'est la furtivite' qui en a pris un coup :-D
Oui, oui, j'ai vu le code. En 15' ça suffit je te rassure :o). Mais bon, c'est pas avec ça que tu vas faire du furtif. MDR.
Inutile de dire que même si le dropper machin génère un code polymorphe, sa détection sera tout aussi évidente par les scanners à signature modernes :-)
Roland Garcia
AMcD®
Roland Garcia wrote:
Inutile de dire que même si le dropper machin génère un code polymorphe, sa détection sera tout aussi évidente par les scanners à signature modernes :-)
Oui. Je comprends bien le fond du problème, hein :-). D'un côté, un tas de FW ne bronchent pas. Ce n'est pas nouveau !!! Il y a tout un tas de techniques pour bypasser les FW et certains mettent longtemps à réagir alors que ces techniques sont publiques, publiées depuis des lustres et il y a même des sites qui proposent des tas de tests.
Mais il y a le côté technique. Et là je comprends plus. Qu'est-ce qui est furtif là-dedans ???? Je suppose que n'importe quel hooker de CreateRemoteThread(), genre SSM, brâme assez vite. Sinon, il y a quelques dollars à gagner en shareware et mon avis sur les soit-disant détecteurs de Chevaux de Troie va définitivement en prendre un coup :-).
-- AMcD®
http://arnold.mcdonald.free.fr/
Roland Garcia wrote:
Inutile de dire que même si le dropper machin génère un code
polymorphe, sa détection sera tout aussi évidente par les scanners à
signature modernes :-)
Oui. Je comprends bien le fond du problème, hein :-). D'un côté, un tas de
FW ne bronchent pas. Ce n'est pas nouveau !!! Il y a tout un tas de
techniques pour bypasser les FW et certains mettent longtemps à réagir alors
que ces techniques sont publiques, publiées depuis des lustres et il y a
même des sites qui proposent des tas de tests.
Mais il y a le côté technique. Et là je comprends plus. Qu'est-ce qui est
furtif là-dedans ???? Je suppose que n'importe quel hooker de
CreateRemoteThread(), genre SSM, brâme assez vite. Sinon, il y a quelques
dollars à gagner en shareware et mon avis sur les soit-disant détecteurs de
Chevaux de Troie va définitivement en prendre un coup :-).
Inutile de dire que même si le dropper machin génère un code polymorphe, sa détection sera tout aussi évidente par les scanners à signature modernes :-)
Oui. Je comprends bien le fond du problème, hein :-). D'un côté, un tas de FW ne bronchent pas. Ce n'est pas nouveau !!! Il y a tout un tas de techniques pour bypasser les FW et certains mettent longtemps à réagir alors que ces techniques sont publiques, publiées depuis des lustres et il y a même des sites qui proposent des tas de tests.
Mais il y a le côté technique. Et là je comprends plus. Qu'est-ce qui est furtif là-dedans ???? Je suppose que n'importe quel hooker de CreateRemoteThread(), genre SSM, brâme assez vite. Sinon, il y a quelques dollars à gagner en shareware et mon avis sur les soit-disant détecteurs de Chevaux de Troie va définitivement en prendre un coup :-).
-- AMcD®
http://arnold.mcdonald.free.fr/
AMcD®
AMcD® wrote:
il y a même des sites qui proposent des tas de tests.
Un exemple parmi des millions d'autres : http://www.firewallleaktester.com/
-- AMcD®
http://arnold.mcdonald.free.fr/
AMcD® wrote:
il y a même des sites qui proposent des tas de tests.
Un exemple parmi des millions d'autres : http://www.firewallleaktester.com/
Non lui et son "copain" Spooky ne sont pas détectés par Norton à jour. Si cela vous intéresse je peux vous faire parvenir les binaires.
On va faire un mailing spécial labos ;o)
Kasper donne: Casperhook.exe est une backdoor Backdoor.Agent.aj
Roland Garcia
Pierre Vandevenne
Steph wrote in news::
Effectivement j'ai rien vu de spécial, en même temps comme toi je n'y ai passé que quelques secondes le temps de compiler et voir ce que disait l'antivirus (en l'occurence, rien).
Les anti-virus ne verront pas souvent qqe chose après recompilation d'un source quelconque: il faut que la "signature" d'identification ne soit ni modifiée ni déplacée et donc que les options de compil soient identiques à l'exemplaire connu.
Le gros truc actuellement, c'est le désassemblage d'exécutables, le graphing de leurs chemins d'exécutions et la comparaison de graphes. On arrive réellement à quelque chose qui ressemble à un code génétique, et d'ailleurs on recycle des algos qui servent en biologie moléculaire.
10 ans trop tard pour que j'y participe directement :-(
Steph <notset@none.com> wrote in news:Xns94FAC506793F5FE721A@212.27.42.69:
Effectivement j'ai rien vu de spécial, en même temps comme toi je n'y
ai passé que quelques secondes le temps de compiler et voir ce que
disait l'antivirus (en l'occurence, rien).
Les anti-virus ne verront pas souvent qqe chose après recompilation d'un
source quelconque: il faut que la "signature" d'identification ne soit ni
modifiée ni déplacée et donc que les options de compil soient identiques à
l'exemplaire connu.
Le gros truc actuellement, c'est le désassemblage d'exécutables, le
graphing de leurs chemins d'exécutions et la comparaison de graphes. On
arrive réellement à quelque chose qui ressemble à un code génétique, et
d'ailleurs on recycle des algos qui servent en biologie moléculaire.
10 ans trop tard pour que j'y participe directement :-(
Effectivement j'ai rien vu de spécial, en même temps comme toi je n'y ai passé que quelques secondes le temps de compiler et voir ce que disait l'antivirus (en l'occurence, rien).
Les anti-virus ne verront pas souvent qqe chose après recompilation d'un source quelconque: il faut que la "signature" d'identification ne soit ni modifiée ni déplacée et donc que les options de compil soient identiques à l'exemplaire connu.
Le gros truc actuellement, c'est le désassemblage d'exécutables, le graphing de leurs chemins d'exécutions et la comparaison de graphes. On arrive réellement à quelque chose qui ressemble à un code génétique, et d'ailleurs on recycle des algos qui servent en biologie moléculaire.
10 ans trop tard pour que j'y participe directement :-(
Ewa (siostra Ani) N.
Le gros truc actuellement, c'est le désassemblage d'exécutables, le graphing de leurs chemins d'exécutions et la comparaison de graphes. On arrive réellement à quelque chose qui ressemble à un code génétique, et d'ailleurs on recycle des algos qui servent en biologie moléculaire.
10 ans trop tard pour que j'y participe directement :-(
Permettez moi de vous faire remarquer que de nos jours la conjugaison de compétences dont vous parlez n'est pas exotique du tout :-)
Ewcia
-- Viva Kuerten
Le gros truc actuellement, c'est le désassemblage d'exécutables, le
graphing de leurs chemins d'exécutions et la comparaison de graphes. On
arrive réellement à quelque chose qui ressemble à un code génétique, et
d'ailleurs on recycle des algos qui servent en biologie moléculaire.
10 ans trop tard pour que j'y participe directement :-(
Permettez moi de vous faire remarquer que de nos jours la conjugaison
de compétences dont vous parlez n'est pas exotique du tout :-)
Le gros truc actuellement, c'est le désassemblage d'exécutables, le graphing de leurs chemins d'exécutions et la comparaison de graphes. On arrive réellement à quelque chose qui ressemble à un code génétique, et d'ailleurs on recycle des algos qui servent en biologie moléculaire.
10 ans trop tard pour que j'y participe directement :-(
Permettez moi de vous faire remarquer que de nos jours la conjugaison de compétences dont vous parlez n'est pas exotique du tout :-)
Ewcia
-- Viva Kuerten
Pierre Vandevenne
"Ewa (siostra Ani) N." wrote in news:3632424234 $:
Le gros truc actuellement, c'est le désassemblage d'exécutables, le graphing de leurs chemins d'exécutions et la comparaison de graphes. On arrive réellement à quelque chose qui ressemble à un code génétique, et d'ailleurs on recycle des algos qui servent en biologie moléculaire.
10 ans trop tard pour que j'y participe directement :-(
Permettez moi de vous faire remarquer que de nos jours la conjugaison de compétences dont vous parlez n'est pas exotique du tout :-)
:-) ce n'est pas tout à fait la même chose. Il ne s'agit plus "simplement" de biologistes moléculaires compétents dans le domaine de l'assembleur et du hacking, mais plutôt de recherches d'isomorphismes de graphes etc... L'essentiel ici n'est ni la biologie ni la connaissance de l'assembleur, mais plutôt une solide base mathématique.
--- Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com The IDA Pro Disassembler & Debugger - world leader in hostile code analysis PhotoRescue - advanced data recovery for digital photographic media latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp
"Ewa (siostra Ani) N." <niesz@yahoo.com> wrote in news:3632424234
$20040601013308@ewcia:
Le gros truc actuellement, c'est le désassemblage d'exécutables, le
graphing de leurs chemins d'exécutions et la comparaison de graphes. On
arrive réellement à quelque chose qui ressemble à un code génétique, et
d'ailleurs on recycle des algos qui servent en biologie moléculaire.
10 ans trop tard pour que j'y participe directement :-(
Permettez moi de vous faire remarquer que de nos jours la conjugaison
de compétences dont vous parlez n'est pas exotique du tout :-)
:-) ce n'est pas tout à fait la même chose. Il ne s'agit plus "simplement"
de biologistes moléculaires compétents dans le domaine de l'assembleur et
du hacking, mais plutôt de recherches d'isomorphismes de graphes etc...
L'essentiel ici n'est ni la biologie ni la connaissance de l'assembleur,
mais plutôt une solide base mathématique.
---
Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com
The IDA Pro Disassembler & Debugger - world leader in hostile code analysis
PhotoRescue - advanced data recovery for digital photographic media
latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp
"Ewa (siostra Ani) N." wrote in news:3632424234 $:
Le gros truc actuellement, c'est le désassemblage d'exécutables, le graphing de leurs chemins d'exécutions et la comparaison de graphes. On arrive réellement à quelque chose qui ressemble à un code génétique, et d'ailleurs on recycle des algos qui servent en biologie moléculaire.
10 ans trop tard pour que j'y participe directement :-(
Permettez moi de vous faire remarquer que de nos jours la conjugaison de compétences dont vous parlez n'est pas exotique du tout :-)
:-) ce n'est pas tout à fait la même chose. Il ne s'agit plus "simplement" de biologistes moléculaires compétents dans le domaine de l'assembleur et du hacking, mais plutôt de recherches d'isomorphismes de graphes etc... L'essentiel ici n'est ni la biologie ni la connaissance de l'assembleur, mais plutôt une solide base mathématique.
--- Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com The IDA Pro Disassembler & Debugger - world leader in hostile code analysis PhotoRescue - advanced data recovery for digital photographic media latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp
AMcD®
The IDA Pro Disassembler & Debugger - world leader in hostile code
Toujours pas de version au tarif abordable pour des gens non multi-millionnaire :o( ?
-- AMcD®
http://arnold.mcdonald.free.fr/
The IDA Pro Disassembler & Debugger - world leader in hostile code
Toujours pas de version au tarif abordable pour des gens non
multi-millionnaire :o( ?
