Prieberčivý vírus infikuje pomalé PC len niekedy

DSL.sk, 26.11.2010

Na zaujímavý vírus upozornila tento týždeň spoločnosť F-Secure.

Jedna z nových verzií vírusu Zbot, ktorý tvorí botnet ZeuS, podľa analýzy spoločnosti počítače s procesorom pomalším ako 2.15 GHz nainfikuje len s istou pravdepodobnosťou. Čím je procesor pomalší, tým je táto pravdepodobnosť nižšia.

Zodpovedný je za to kód, ktorého primárnym účelom je podľa F-Secure detekcia aktívneho debuggera a zabránenie tak jednoduchej analýze škodlivého kódu antivírusovými spoločnosťami.

Zodpovedný kód porovnáva horných 32 bitov počtu taktov ubehnutých od posledného resetu, vracaných inštrukciou RDTSC, v dvojsekundovom odstupe. Ak sa nezmení, vírus sa ukončí, nevykoná svoj škodlivý kód a neinfikuje počítač.

"Vzorka (škodlivého kódu), ktorú som analyzoval, sa uisťuje, že debugger nemanipuluje hodnoty vracané inštrukciou RDTSC," uviedol Tim Hirvonen z F-Secure pre server DSL.sk. Debuggery v niektorých prípadoch menia hodnoty vracané RDTSC, aby znemožnili svoju detekciu škodlivým kódom inou technikou využívajúcou RDTSC.

K nezmeneniu horných 32 bitov počtu ubehnutých taktov za dve sekundy môže ale prísť aj pre pomalší procesor. Za dve sekundy stihne vykonať 2 ^ 32 taktov potrebných na zaručenú zmenu horných 32 bitov len procesor s taktom minimálne 2.15 GHz, u pomalších procesorov k zmene horných 32 bitov môže a nemusí prísť na základe rýchlosti a stavu dolných 32 bitov pri prvom meraní.

Pri pomalších procesoroch ako 2.15 GHz tak vírus infikuje PC len s určitou pravdepodobnosťou. Napríklad pri 1 GHz procesore príde k infekcii s pravdepodobnosťou 46.6%. PC s 500 MHz procesorom sa nainfikuje s pravdepodobnosťou len 23.3%.

Či ide o chybu pri programovaní alebo zámer tvorcov tejto verziu Zbota nie je jasné.


Najnovšie články:



Diskusia:

vsetci Od: dobrenapapany | Pridané: 26.11.2010 11:40 Takze vsetci svihom na 386 :P Odpovedať Známka: 9.6 Hodnotiť:

Re: vsetci Od: yutyu | Pridané: 26.11.2010 16:32 preco vzdy pisu PC? Ved infikuje windows a na PC moze byt aj linux, bsd atd... a zasa na Mac moze byt windows (bootcamp). Odpovedať Známka: 5.8 Hodnotiť:

Re: vsetci Od: maaatttooo | Pridané: 26.11.2010 17:58 presne tak ved PC znamena ze Personal Computer a to je snad kazdy pokial neratame Linuxove stanice ... Odpovedať Známka: -2.0 Hodnotiť:

Re: vsetci Od: isteeeeeee | Pridané: 26.11.2010 18:03 http://en.wikipedia.org/wiki/IBM_PC_compatible Odpovedať Známka: 8.8 Hodnotiť:

Re: vsetci Od: ttttt | Pridané: 27.11.2010 1:13 takze na tomto nejde windows a nemoze byt napadnuty? http://tinyurl.com/322ntv9 PC to rozhodne nieje ;) Odpovedať Známka: 6.0 Hodnotiť:

Re: vsetci Od: jajajajajaja | Pridané: 27.11.2010 10:41 skor mi to pripomina eeepc ako telefon, iked to ma aj funkcie telefonu... vzdy mi chybala v takychto zariadeniach moznost telefonovat a tu mame dokonaly hybrid... moohli by moznost telefonovat dat aj do notebookov... lebo do telefonov pomalicky davaju vsetky moznosti notebookov. Odpovedať Známka: 0.0 Hodnotiť:

Re: vsetci Od: jadro | Pridané: 26.11.2010 17:51 jadra na to nemaju ziadny vplyv? Odpovedať Známka: 0.0 Hodnotiť:

Re: vsetci Od: anon | Pridané: 30.11.2010 8:50 Vsetci svihom na unixoidne OS (distra linuxu, freeBSD ...) :) Odpovedať Hodnotiť:

Doba... Od reg.: Muhahaha PnL | Pridané: 26.11.2010 11:42 Už ani vírusy nie sú to čo bývali.... Odpovedať Známka: 9.2 Hodnotiť:

Re: Doba... Od: lolofo | Pridané: 26.11.2010 11:52 mylsis sirenie cez diskety? =D Odpovedať Známka: 9.6 Hodnotiť:

Re: Doba... Od: trezor | Pridané: 26.11.2010 14:11 Praveze naopak, dosla doba inteligentnych vyberavych virusov. Tento neinfikuje slabsie konfiguracie, tak to znamena, ze onedlho dojde taky, ktory nebude infikovat tie silnejsie:) Odpovedať Známka: 6.7 Hodnotiť:

vykonny hardware Od: martin z martina | Pridané: 26.11.2010 11:46 nemas potrebny hardware a ani virus Ti tam uz nepojde, tak to je ina sila :-D Odpovedať Známka: 10.0 Hodnotiť:

Re: vykonny hardware Od reg.: Zmurko | Pridané: 26.11.2010 12:30 bude to ako pri PC hrach :) REQUIREMENTS minimal: Intel/AMD 2.8 GHz, 1GB RAM recomended: E5200 dual-core, 1GB RAM(XP),2GB RAM(Vista/7) Odpovedať Známka: 10.0 Hodnotiť:

Re: vykonny hardware Od: prdlajs | Pridané: 26.11.2010 14:18 A graficky akcelerator na rychle automaticke otvaranie pornostranok :) Odpovedať Známka: 9.1 Hodnotiť:

Re: vykonny hardware Od: brutto | Pridané: 26.11.2010 20:54 Nie, je to o výbere najlepších pc pre "exkluzívny botnet" na najnáročnejšie úlohy. :) Odpovedať Známka: 10.0 Hodnotiť:

rdtsc Od: matos123 | Pridané: 26.11.2010 12:05 no a co tym chcel majster slova povedat? Ze opisal normalne spravanie sa instrukcie RDTSC a nasledne implementovane porovnavanie 64b premennej namiesto bezne pouzivanej 32b? Odpovedať Známka: -5.9 Hodnotiť:

Re: rdtsc Od: cinko@krcma | Pridané: 26.11.2010 12:11 ze nas tvoje trapne prispevky nebudu zaujimat kebyze sem napises.chod si zapnut wowko a pozerat nejake tie hole tetky na net a neotravuj slusnych ludi Odpovedať Známka: 5.0 Hodnotiť:

Re: rdtsc Od: matos123 | Pridané: 26.11.2010 12:15 neviem cim konkretne som urazil vasu vysost ale svoju inteligenciu by si mohol ist prejavovat aj inde :) Odpovedať Známka: -3.9 Hodnotiť:

Re: rdtsc Od reg.: Zmurko | Pridané: 26.11.2010 12:31 Cinko ty s kym bankujes? So socialnou poistovnou, ze si mozes dovolit byt o takomto case v krcme? Haa?! :D Odpovedať Známka: 7.1 Hodnotiť:

Re: rdtsc Od: cinko@krcma | Pridané: 26.11.2010 14:48 nerobim hladam pracu :( zasrate slovensko tazko sa hlada Odpovedať Známka: 1.2 Hodnotiť:

Re: rdtsc Od: parazol | Pridané: 26.11.2010 16:13 to hladas tu? Odpovedať Známka: 7.9 Hodnotiť:

Re: rdtsc Od: kakadu | Pridané: 27.11.2010 0:07 "...zasrate slovensko..." Tak chod inde ked Ti tu nie je dobre. Ono to ze nemas pracu asi nebude len tym "zasratym slovenskom" ale aj tym ako si schopny/neschopny. Ci ? Odpovedať Známka: 8.7 Hodnotiť:

Re: rdtsc Od: cinko@krcma | Pridané: 27.11.2010 0:25 ci? ked rozdas 100 zivotopisov a vsade ti zadru nemas prax tak co mam robit?ist do billy nepojdem ani do lidla.ps robil som u tel operatora takze aku taku úrax mam a napr ani za posrateho predavaca ma nezobrali.a este jedna perla..v ba hladali skladnika do predajne s pc hrami.typni si kolko ludi im zaslalo zivotopis.asi 100-110 Odpovedať Známka: 6.7 Hodnotiť:

Re: rdtsc Od: nasakja | Pridané: 27.11.2010 12:03 takto si ale pracu nenajdes, ja idem na linku strihat kable a to som nedavno spravoval servery. hold tazka doba treba brat kazdu robotu co sa ponuka a popri nej si hladat nieco lepsie. Odpovedať Známka: 6.7 Hodnotiť:

Re: rdtsc Od: cinko@krcma | Pridané: 27.11.2010 17:03 pravdu mas.mal som pracu pred dvoma mesiacmi ale vyhodili ma lebo: nepredstavovali sme si to takto..mal som popri praci este aj predavat cez telefon co som jasen povedal pri pohovore ze nechcem.nadnarodna spolocnost takze staci vyhodit bereme novych Odpovedať Známka: 7.5 Hodnotiť:

Re: rdtsc Od: -123- | Pridané: 28.11.2010 21:29 a jaka? Odpovedať Hodnotiť:

Re: rdtsc Od: cinko@krcma | Pridané: 29.11.2010 12:38 sidli v petrzalke v blave len tolko Odpovedať Hodnotiť:

Virus... Od: jarkov1@azet.sk | Pridané: 26.11.2010 13:01 Nová generácia vírusov sa bude šíriť cez wifi len vo veľkých kancloch pomocou hotových papierov. A šíriť sa budú primárne cez PDA. Odpovedať Známka: 3.3 Hodnotiť:

Re: Virus... Od: tuxx | Pridané: 26.11.2010 13:14 len pokial nenainstalujes najnovsi update Opera 9.10 Odpovedať Známka: 5.2 Hodnotiť:

Re: Virus... Od: jarkov1@azet.sk | Pridané: 26.11.2010 13:20 A pokial zjes supravodive jablko Odpovedať Známka: 5.8 Hodnotiť:

Re: Virus... Od: ndndgbvbsdbg | Pridané: 27.11.2010 0:49 nejedzte supravodive jablka, sposobuju vodivost :X Odpovedať Známka: 8.0 Hodnotiť:

infooo Od: patrezzz | Pridané: 26.11.2010 18:40 tu je info http://goo.gl/C6l0q Odpovedať Známka: -8.3 Hodnotiť:

Re: infooo Od: neklikat | Pridané: 26.11.2010 18:43 neklikat spam ! Odpovedať Známka: 7.9 Hodnotiť:

Re: infooo Od: -123- | Pridané: 27.11.2010 2:11 darcek, ach ty kur-- spinava... bzdocha vyjeb-- negramotna spina ! Odpovedať Známka: 6.4 Hodnotiť:

Re: infooo Od: name (required) | Pridané: 27.11.2010 7:55 ty jedno vyjebané hovado, že by ťa pes pojebal do rána, aj tvoju mater skurvenú, aj tvojho vyjebaného fotra, ty jedno geňo zajebané, skurvené, spičené!!!!!! jebeš denne so sestrou, otec ti rozjebuje riť a matka ti kúri tvojho vyjebaného malého vtáka! Odpovedať Známka: -4.3 Hodnotiť:

Re: infooo Od: RytmusHD | Pridané: 28.11.2010 15:47 mate to v rodine drsne Odpovedať Známka: 7.1 Hodnotiť:

aaach Od: Lozy... | Pridané: 27.11.2010 12:02 http://necyklopedia.wikia.com/wiki/Baba_Vanga Už je to tu :) Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár