Взломы сайтов?

Плох тот программист, который не может написать этакую гадость.

Если он этого не может, то как он собирается защищать себя.

imho нужно соблюдать элементарнейшие правила "гигиены" и все будет очень чисто и стерильно...

К сожалению - не помогает.

Подхватил троя с помощью АллСубмиттера, видать в базе был сайт с эксплойтом. Стандартно настроенный Аутпост не запретил туннелирование ДНС запросов svchost.

Прочитал кучу всего по Аутпост, прежде, чем разобрался с безопасностью.

Во-первых он зашифрован

Во-вторых он расшифровывается не всегда верно и однозначно, что обманывает эвристику

Ну и самое главное - если подключится в dll IE то никакой файр ничего не скажет, есть примеры - можете поискать на секулабе.

Может, проясните, каким образом процессор понимает зашифрованные команды?

Перед выполнением любой, самый крутой и неоднозначный, шифр надо расшифровать, чтобы дать его на выполнение процессору. Причём расшифровать его надо именно однозначно. То есть в памяти наш друг будет практически всегда один и тот же.

А вот зашифрованным, да, он может быть по-разному (смена ключей или алгоритмов шифрования).

Но расшифровку должен выполнять код, который заведомо не зашифрован (он ведь выполняется). Хоть какой-то участок кода такого вируса должен быть незашифрованным, который запустится и вытащит остальное тело. По этому участку его и можно отловить.

UPD. Сначала не заметил, но об этом уже написали раньше:

Команды - они самые обычные, которые процессор выполняет и он не могут быть.

Зашифровано тело вируса. Причем зашифровано так, что не всегда расшифровывается. А участок который его дешефрует может быть самым безобидным - например rar sfx

Что касается "друга в памяти" - он может быть разрознен и работать как несколько независимых процессов, отследить такое будет тяжело.

Простите за сленг, но локал секурити на винде "сосет пол часа(tm)". Если почитаете соответствующие ресурсы, то там кокретно пишется, что после пробоя сплойтом происходит выкашивание антивирусного ПО... оно там перехватывает ring чего-то там, я не совсем в этом понимаю, в конкретных тонкостях винды т.е... в общем, оно прописывается на уровне антивирусного ПО и все дальнейшие действия совершаются в обход.

А пробой в нулевой ринг идет даже из под юзерского аккаунта?

Тут, простите, не понял. Не расшифровывается кем? Как минимум сам вирус себя должен уметь расшифровать, иначе можно просто случайный код в себе нести. А если он это делать умеет, то это должно быть реализовано в блоке расшифровки, алгоритм можно руками вытащить и тоже расшифровать тело.

Возможно, но не совсем безобидным, ведь ему надо не просто распаковать/дешифровать тело, но и перенести управление на начало распакованного участка в памяти, такого архиваторы не делают, и уже поэтому блок расшифровки не будет похож на "безобидный код".

На самом деле, всё равно сложно его определить, но уже по другой причине - такой код по сравнению с телом вируса может быть очень мал, и внести в него изменения (чтобы не совпадали сигнатуры) намного проще, чем изменять код самого вируса. Так, можно выпустить дюжину версий с немного отличающимся кодом дешифратора, и для каждого надо составить сигнатуру.

Открытый код вируса - это уже половина победы, неважно сколько частей.

Никто ведь не обещал, что будет легко. :)

Тема началась про сайты, а перешла в область безопасности ОС и вредоносных программ. :)

Ну и что с того? Вы думаете, что антивирь в бэкграунд режиме постоянно сканирует память? Причем от и до, независимо от загруженных процессов и прав? Он, как правило сканирует тольк процесс загрузки в память. А процесс расшифровки происходит уже в памяти :)