"
Atak, le virus qui fond dans la main des chercheurs
Par Munir Kotadia, ZDNet UK
Une nouveau ver, apparu en début de semaine, mène la vie dure aux
éditeurs de logiciels antivirus. Impossible de l'étudier comme les
autres parasites de son espèce car dès que son code est ouvert pour
consultation, il se désactive.
"
http://www.zdnet.fr/actualites/technologie/0,39020809,39161107,00.htm
C'est un virus qui utilise des trucs d'anti-debugging. Rien de plus. C'est assez rare de nos jours, mais était très fréquent du temps des virus écrit en assembleur sous DOS.
Oui, mais il fond dans la main :-) http://www.zdnet.fr/actualites/technologie/0,39020809,39161107,00.htm
Pierre Vandevenne wrote:
C'est un virus qui utilise des trucs d'anti-debugging. Rien de plus.
C'est assez rare de nos jours, mais était très fréquent du temps des
virus écrit en assembleur sous DOS.
Oui, mais il fond dans la main :-)
http://www.zdnet.fr/actualites/technologie/0,39020809,39161107,00.htm
C'est un virus qui utilise des trucs d'anti-debugging. Rien de plus. C'est assez rare de nos jours, mais était très fréquent du temps des virus écrit en assembleur sous DOS.
Oui, mais il fond dans la main :-) http://www.zdnet.fr/actualites/technologie/0,39020809,39161107,00.htm
O2000C
"Roland Garcia" a écrit dans le message de news:
... Oui, mais il fond dans la main :-)
Il y a aussi une cacahuète dedans?
"Roland Garcia" <roland-garcia@wanadoo.fr> a écrit dans le message de news:
40F59007.1010302@wanadoo.fr...
http://www.kaspersky.com/find?words=atak&search=1&x=0&y=0 http://viruslist.com/eng/viruslistfind.html?findTxt=atak Not found Found -> http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?ID9587
http://www.kaspersky.com/find?words=atak&search=1&x=0&y=0
http://viruslist.com/eng/viruslistfind.html?findTxt=atak
Not found
Found -> http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?ID9587
http://www.kaspersky.com/find?words=atak&search=1&x=0&y=0 http://viruslist.com/eng/viruslistfind.html?findTxt=atak Not found Found -> http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?ID9587
- Win32.Atak.A is an intended worm, which attempts to spread via e-mail using its own SMTP engine. Due to a bug in the code, however, it will probably not propagate in any practical situation. It will continually try to send itself to the invalid e-mail address "f". -
Qui vous disait qu'il n'y avait rien de spécial? Obfusquer et anti-debugger c'est bien, mais le code devient évidemment plus difficile.
C'était donc bien une manière de jeter un os à une presse incompétente, juste au cas ou cela serait couvert.
Que cela soit F-Secure, (auquel on pourrait me considérer lié), ou n'importe qui d'autre: la stratégie est de balancer sans arrêt des infos, en espérant que l'une ou l'autre soit amplifiée...
Evidemment, il y en a qui font cela bien, d'autres qui poussent un peu. Une des meilleures amplifications de l'histoire fut Hare-Krishna - un hystérie complète, alors que le virus, qui plantait à la seconde génération, prenait une à deux minutes pour infecter un floppy... sur certains contrôleurs disquettes seulement.
La résurgence de l'anti-debugging et de l'obfuscation, peut-être même du polymorphisme complexe et des méthodes anti-émulateurs est peut être une tendance sociale intéressante, mais à part cela...
-- Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com The IDA Pro Disassembler & Debugger - world leader in hostile code analysis PhotoRescue - advanced data recovery for digital photographic media latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp
"pecky" <peck@nospam.free.fr> wrote in news:cd64qh$lvh$1
@s1.read.news.oleane.net:
-
Win32.Atak.A is an intended worm, which attempts to spread via e-mail using
its own SMTP engine. Due to a bug in the code, however, it will probably
not propagate in any practical situation. It will continually try to send
itself to the invalid e-mail address "f".
-
Qui vous disait qu'il n'y avait rien de spécial? Obfusquer et anti-debugger
c'est bien, mais le code devient évidemment plus difficile.
C'était donc bien une manière de jeter un os à une presse incompétente,
juste au cas ou cela serait couvert.
Que cela soit F-Secure, (auquel on pourrait me considérer lié), ou
n'importe qui d'autre: la stratégie est de balancer sans arrêt des infos,
en espérant que l'une ou l'autre soit amplifiée...
Evidemment, il y en a qui font cela bien, d'autres qui poussent un peu. Une
des meilleures amplifications de l'histoire fut Hare-Krishna - un hystérie
complète, alors que le virus, qui plantait à la seconde génération, prenait
une à deux minutes pour infecter un floppy... sur certains contrôleurs
disquettes seulement.
La résurgence de l'anti-debugging et de l'obfuscation, peut-être même du
polymorphisme complexe et des méthodes anti-émulateurs est peut être une
tendance sociale intéressante, mais à part cela...
--
Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com
The IDA Pro Disassembler & Debugger - world leader in hostile code analysis
PhotoRescue - advanced data recovery for digital photographic media
latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp
- Win32.Atak.A is an intended worm, which attempts to spread via e-mail using its own SMTP engine. Due to a bug in the code, however, it will probably not propagate in any practical situation. It will continually try to send itself to the invalid e-mail address "f". -
Qui vous disait qu'il n'y avait rien de spécial? Obfusquer et anti-debugger c'est bien, mais le code devient évidemment plus difficile.
C'était donc bien une manière de jeter un os à une presse incompétente, juste au cas ou cela serait couvert.
Que cela soit F-Secure, (auquel on pourrait me considérer lié), ou n'importe qui d'autre: la stratégie est de balancer sans arrêt des infos, en espérant que l'une ou l'autre soit amplifiée...
Evidemment, il y en a qui font cela bien, d'autres qui poussent un peu. Une des meilleures amplifications de l'histoire fut Hare-Krishna - un hystérie complète, alors que le virus, qui plantait à la seconde génération, prenait une à deux minutes pour infecter un floppy... sur certains contrôleurs disquettes seulement.
La résurgence de l'anti-debugging et de l'obfuscation, peut-être même du polymorphisme complexe et des méthodes anti-émulateurs est peut être une tendance sociale intéressante, mais à part cela...
-- Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com The IDA Pro Disassembler & Debugger - world leader in hostile code analysis PhotoRescue - advanced data recovery for digital photographic media latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp
Roland Garcia
pecky wrote:
Olivier Aichelbaum wrote:
http://www.kaspersky.com/find?words=atak&search=1&x=0&y=0 http://viruslist.com/eng/viruslistfind.html?findTxt=atak Not found
Found -> http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?ID9587
Win32.Atak.A is an intended worm, un des rares virus (ver) de collection non terminés :-)
S'il a un bug on comprend la difficulté pour les analystes de trouver qu'elles étaient les intentions de l'auteur.....
joke0
Salut,
Pierre Vandevenne:
Que cela soit F-Secure, (auquel on pourrait me considérer lié), ou n'importe qui d'autre: la stratégie est de balancer sans arrêt des infos, en espérant que l'une ou l'autre soit amplifiée...
On pourrait même s'amuser à en tenir un historique. Sérieux.
La résurgence de l'anti-debugging et de l'obfuscation, peut-être même du polymorphisme complexe et des méthodes anti-émulateurs est peut être une tendance sociale intéressante, mais à part cela...
Sociale?
Vous voulez dire que le retour au codage de bestioles moins minables à une origine sociale?
-- joke0
Salut,
Pierre Vandevenne:
Que cela soit F-Secure, (auquel on pourrait me considérer
lié), ou n'importe qui d'autre: la stratégie est de balancer
sans arrêt des infos, en espérant que l'une ou l'autre soit
amplifiée...
On pourrait même s'amuser à en tenir un historique. Sérieux.
La résurgence de l'anti-debugging et de l'obfuscation,
peut-être même du polymorphisme complexe et des méthodes
anti-émulateurs est peut être une tendance sociale
intéressante, mais à part cela...
Sociale?
Vous voulez dire que le retour au codage de bestioles moins
minables à une origine sociale?
Que cela soit F-Secure, (auquel on pourrait me considérer lié), ou n'importe qui d'autre: la stratégie est de balancer sans arrêt des infos, en espérant que l'une ou l'autre soit amplifiée...
On pourrait même s'amuser à en tenir un historique. Sérieux.
La résurgence de l'anti-debugging et de l'obfuscation, peut-être même du polymorphisme complexe et des méthodes anti-émulateurs est peut être une tendance sociale intéressante, mais à part cela...
Sociale?
Vous voulez dire que le retour au codage de bestioles moins minables à une origine sociale?
-- joke0
Pierre Vandevenne
joke0 wrote in news::
Vous voulez dire que le retour au codage de bestioles moins minables à une origine sociale?
disons que la population qui code ce genre de truc est différente de celle qui poste du worm VBS ou une resucée de troyen connu. Leurs motivations aussi.
Mais ce n'est qu'un sentiment, je n'en fait pas une étude ;-)
joke0 <joke0@tiscali.fr> wrote in news:XnF9527E87971DFjoke0@127.0.0.1:
Vous voulez dire que le retour au codage de bestioles moins
minables à une origine sociale?
disons que la population qui code ce genre de truc est différente de celle
qui poste du worm VBS ou une resucée de troyen connu. Leurs motivations
aussi.
Mais ce n'est qu'un sentiment, je n'en fait pas une étude ;-)
Vous voulez dire que le retour au codage de bestioles moins minables à une origine sociale?
disons que la population qui code ce genre de truc est différente de celle qui poste du worm VBS ou une resucée de troyen connu. Leurs motivations aussi.
Mais ce n'est qu'un sentiment, je n'en fait pas une étude ;-)
djehuti
salut "Pierre Vandevenne" a écrit dans le message news:
joke0 wrote in news::
Vous voulez dire que le retour au codage de bestioles moins minables à une origine sociale?
disons que la population qui code ce genre de truc est différente de celle qui poste du worm VBS ou une resucée de troyen connu. Leurs motivations aussi.
la première vague avant le BigOuane ?
@tchao
salut
"Pierre Vandevenne" <pierre@datarescue.be> a écrit dans le message
news: Xns9528167A3909pierredatarescue@195.238.3.190
joke0 <joke0@tiscali.fr> wrote in news:XnF9527E87971DFjoke0@127.0.0.1:
Vous voulez dire que le retour au codage de bestioles moins
minables à une origine sociale?
disons que la population qui code ce genre de truc est différente de
celle qui poste du worm VBS ou une resucée de troyen connu. Leurs
motivations aussi.
salut "Pierre Vandevenne" a écrit dans le message news:
joke0 wrote in news::
Vous voulez dire que le retour au codage de bestioles moins minables à une origine sociale?
disons que la population qui code ce genre de truc est différente de celle qui poste du worm VBS ou une resucée de troyen connu. Leurs motivations aussi.
la première vague avant le BigOuane ?
@tchao
Pierre Vandevenne
"djehuti" wrote in news:40f7cbf8$0$15282 $:
disons que la population qui code ce genre de truc est différente de celle qui poste du worm VBS ou une resucée de troyen connu. Leurs motivations aussi.
la première vague avant le BigOuane ?
AMHA, difficile de faire beaucoup plus méchant que slammer qui a réellement causé une grande partie des malheurs qu'on lui attribue (ou que, par exemple, Witty).
Il y a des exigences contradictoires si j'ose dire - un truc simple de moins de 100 octets qui sature le net en 8 minutes, ou un truc hyper complexe à analyser mais forcémment beaucoup plus gros: la différence de force de frappe est difficile à évaluer.
Si j'avais prévu les vers/troyens complexes quelques années avant qu'ils ne représentent la majorité des emm..., le simple frappeur aveugle à la slammer, là, je ne m'y attendais pas du tout.
-- Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com The IDA Pro Disassembler & Debugger - world leader in hostile code analysis PhotoRescue - advanced data recovery for digital photographic media latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp
"djehuti" <djehuti55@aol.com> wrote in news:40f7cbf8$0$15282
$636a15ce@news.free.fr:
disons que la population qui code ce genre de truc est différente de
celle qui poste du worm VBS ou une resucée de troyen connu. Leurs
motivations aussi.
la première vague avant le BigOuane ?
AMHA, difficile de faire beaucoup plus méchant que slammer qui a réellement
causé une grande partie des malheurs qu'on lui attribue (ou que, par
exemple, Witty).
Il y a des exigences contradictoires si j'ose dire - un truc simple de
moins de 100 octets qui sature le net en 8 minutes, ou un truc hyper
complexe à analyser mais forcémment beaucoup plus gros: la différence de
force de frappe est difficile à évaluer.
Si j'avais prévu les vers/troyens complexes quelques années avant qu'ils ne
représentent la majorité des emm..., le simple frappeur aveugle à la
slammer, là, je ne m'y attendais pas du tout.
--
Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com
The IDA Pro Disassembler & Debugger - world leader in hostile code analysis
PhotoRescue - advanced data recovery for digital photographic media
latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp
disons que la population qui code ce genre de truc est différente de celle qui poste du worm VBS ou une resucée de troyen connu. Leurs motivations aussi.
la première vague avant le BigOuane ?
AMHA, difficile de faire beaucoup plus méchant que slammer qui a réellement causé une grande partie des malheurs qu'on lui attribue (ou que, par exemple, Witty).
Il y a des exigences contradictoires si j'ose dire - un truc simple de moins de 100 octets qui sature le net en 8 minutes, ou un truc hyper complexe à analyser mais forcémment beaucoup plus gros: la différence de force de frappe est difficile à évaluer.
Si j'avais prévu les vers/troyens complexes quelques années avant qu'ils ne représentent la majorité des emm..., le simple frappeur aveugle à la slammer, là, je ne m'y attendais pas du tout.
-- Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com The IDA Pro Disassembler & Debugger - world leader in hostile code analysis PhotoRescue - advanced data recovery for digital photographic media latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp
