Да, наши делали.

для таких случаев есть виртуалки без доступа к сети и самооткатывающиеся.

хотя, вроде слышал что из виртуалки можно вылезти наружу как-то :)

Может он на сетевой сервер сохраняет быкапы? Только вот что исходников нет — подозрительно, я бы его не стал запускать.

да, очень интересный бинарник. Внутри пачка С кода, слов victim, dl_lookup, и прочих LD_PRELOAD.

Процентов 80 вероятности, что внутри руткит.

Ой да ну. Можно конечно, но только если вирусописатель знает на какой системе и какая виртуальная машина. А ну и конечно какую-нибудь уязвимость.

А так да. Из многих виртуалок можно запускать приложения на хост системе и передавать им что-нибудь. Но это касается win/mac, а не линукса в основном.

Поставь в чрут, посмотри

watch -n 1 "sudo netstat -lapnt; sudo netstat -lpanu" 

поставь в виртуалку линукс с apparmour

аппармор в обучающем режиме натравливаешь на архиватор и в логах лицезреешь его намерения -)

проще strace

Это статически слинкованный бинарик. Значит всё, что есть в символах libc, использующихся им, будет в нём.

> зачем архиватору иметь дело с /proc/net, AppleTalk и IPX?

ZondConnect()

А вообще, ничего так архиватор.

Любопытно. Для оффтопика бинарник упакован каким-то MPRESS, который открывают в основном через отладчики. Сложность состоит в поиске OEP. Запускать эту хрень на своей рабочей машине совсем не хочется. Кто-нибудь может распаковать версию архиватора под оффтопик, чтоб поэкспериментировать с ним?

Парни изобрели tar?

MPRESS - российская разработка. Автор наотрез отказывается открывать исходники, а также делать декомпрессор. Даже для антивирусов. В итоге этот упаковщик считается хорошим только для упаковки троянов и червей, а не легальных программ, ибо (по крайней мере раньше) часто детектился некоторыми антивирусами, как сомнительное ПО.

Вопрос, а зачем нужен еще один архиватор, если уже есть tar?

Хотя бы потому, что tar не умеет архивировать метаинформацию, расширенные атрибуты файлов и пр.

К обсуждаемой теме это, впрочем, не относится.

Анонимный, говоришь?

> Поставь в чрут, посмотри

watch -n 1 «sudo netstat -lapnt; sudo netstat -lpanu»

куда ломится.

Боюсь в чрут :) На выходных проапгрейжусь, заодно ВМ поставлю, там и попробую.

> проще strace

Спасибо, что напомнил.

> MPRESS - российская разработка. Автор наотрез отказывается открывать исходники, а также делать декомпрессор. Даже для антивирусов. В итоге этот упаковщик считается хорошим только для упаковки троянов и червей

:)

Согласно странице Википедии, возможность шифровать бинарник без возможности распаковать — одна из важнейших по мнению автора фич.

> А вообще, ничего так архиватор.

Пробовал?

> Это статически слинкованный бинарик. Значит всё, что есть в символах libc, использующихся им, будет в нём.

Как могут использоваться функции libc, содержащие имена сетевых протоколов и /proc/net ?

> поставь в виртуалку линукс с apparmour

Сперва надо будет изучить apparmour...

> Может он на сетевой сервер сохраняет быкапы?

Делает вид, что архивирует, а сам прячет в сети? Как во времена доса нечестные архиваторы прятали архивируемое в скрытых файлах и свободных секторах?

> для таких случаев есть виртуалки без доступа к сети и самооткатывающиеся.

Какая виртуальная машина умеет быстро эмулировать x86-64 на процессоре без аппаратной виртуализации? VirtualBox точно не умеет, VMWare тоже, вроде.

слышал что из виртуалки можно вылезти наружу как-то

Слышал только про вылезание из chroot, FreeBSD jail и Xen.

> Анонимный, говоришь?

Какой архиватор сейчас самый быстрый? (комментарий)

> Хотя бы потому, что tar не умеет архивировать метаинформацию, расширенные атрибуты файлов и пр.

tar -pcf ?

А почему страшно в чрут? Он вроде не может отуда выйти. (если не монтировать /dev, /proc)

> Согласно странице Википедии, возможность шифровать бинарник без возможности распаковать — одна из важнейших по мнению автора фич.

Такого не бывает, если можно запустить — можно и расшифровать. Хотя, есть исключение — использование технологии Intel TXT, но там вроде как нужно знать ключ, парный к зашитом в процессор.

> А почему страшно в чрут? Он вроде не может отуда выйти.

Кто-то может. А я о чруте знаю мало, легко могу сделать какую-нибудь глупость.

> Такого не бывает, если можно запустить — можно и расшифровать.

Именно. Так его и распаковывают :)

> Как во времена доса нечестные архиваторы прятали архивируемое в скрытых файлах и свободных секторах?

O_O

Вроде-бы, если запускать без прав рута, то вылезти не может. Если уж ооочень боишься, поставь виртуальную машину. Если оооооооочень боишься, создай в виртуальной машине чрут-окружение.

зы.Рекомендую почитать http://ru.wikipedia.org/wiki/Chroot#.D0.9D.D0.B5.D0.B4.D0.BE.D1.81.D1.82.D0.B...

Знаю, слышал про него. Человек, скрывающийся под ником anonymous не из хороших парней: неоднократно нарушал все возможные и невозможные правила на ЛОРе, прослыл здесь нарушителем тишины и покоя, толстым троллем, матерщинником. Спецслужбы сообщают, что он вооружён и очень опасен.

Ну есть и свободные быстрые архиваторы. Я даже тестил, чем закончилось не помню.

>> Как во времена доса нечестные архиваторы прятали архивируемое в скрытых файлах и свободных секторах?

O_O

Первый попавшийся: http://compression.ru/arctest/descript/wic.htm

И ещё: http://datacompression.dogma.net/index.php?title=FAQ:Fake_compression_program...

Согласно странице Википедии, возможность шифровать бинарник без возможности распаковать — одна из важнейших по мнению автора фич.

Действительно важная фича, спрятать свой мегаловирус в такой вот контейнер, который антивирусы не смогут взломать. Честным людям это не надо. Степень упаковки не намного лучше, чем у UPX.

Такого не бывает, если можно запустить — можно и расшифровать. Хотя, есть исключение — использование технологии Intel TXT, но там вроде как нужно знать ключ, парный к зашитом в процессор.

Там не зашифровано, а просто упаковано и прицеплен лоадер, но функции распаковки автор в своем пакере не предоставляет. Исходников пакера тоже никому не дает, а потому антивирусы тоже не могут распаковать такой бинарник и анализируют его, как неупакованный со всеми вытекающими...

ни работает

# getcap /bin/ping
/bin/ping = cap_net_raw+ep
# tar -cfp ping.tar /bin/ping
# tar xfp ping.tar
# getcap bin/ping

> # getcap /bin/ping
Это вообще что?

У меня изначально возвращает пустую строку.

man 7 capabilities