Daily Tech - V Pentagonu, obrambnem ministrstvu in vojaških bazah ZDA so do nadaljnjega prepovedali uporabo zunanjih podatkovnih nosilcev, kamor sodijo tudi USB-ključi, iPodi in MP3-predvajalniki, zatem ko se je "globalni virus", kasneje prepoznan kot črv Agent.btz, na tak način razširil po omrežjih SIPRNet in NIPRNet. Razumljivo so pristojni skopi in še vedno ne dajejo izjav, čeprav se je to zgodilo že pred tednom dni. Omenimo, da v Pentagonu deluje sedem milijonov računalnikov, ki jih zdaj intenzivno pregledujejo in razkužujejo. Za zdaj so tudi zaplenili vse USB-ključe, ali jih bodo na koncu preiskave vrnili lastnikom, pa še preudarjajo.
The Pentagon computer network is made up of around 17,000 networks and seven million individual computers. Pentagon computers are scanned for weaknesses millions of times each day by foreign computer users, Pentagon officials admitted.
Danes ima že vsak telefon kakšen giga prostora, pa čeprav je model tako slab, da s telefonom ne moreš nič drugega delati, kot se pogovarjati. Tako, da bi morali pregledati še vse telefone...
Careful not to overload people by making them listen and think at the same time
-Vain
Sprijazniti se moraš, da zaenkrat večina podjetij in ustanov uporablja Windows. Tudi vsi takšni in podobni programi so pisani za Windows. Tudi večina administratorjem, ki je zaposlena pri njih uporablja in zna delati izključno z Windowsim.
Drugače je pa zanimivo, da ga AVji niso zaznali preden je virus imel možnost okužiti še ostale računalnike.
Ne, to ni nič nenavadnega. Za metamorfno kodo si že slišal?
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas
Vlady, pa ti veš, da danes mnogo piscev virusov dela za vojaške organizacije? Na Kitajskem recimo...
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas
Zanimivo pri vsem tem je, da administratorji teh racunalnikov niso onemogocili autorun funkcije, ki je glavni krivec za hitro sirjenje virusa. Onemogocanje autorun traja tocno 2 minuti. Ali bi ze prej prepovedali USB kljucke in podobne pomnilniske medije, ki so tudi dober nacin za odtekanje informacij, ali pa sploh ne. Ce je prepoved samo zaradi sirjenja virusa, potem je brezvezna. Drugo je, ce sumijo, da je nekdo od znotraj kradel podatke. Sicer se pa itak pri velikosti npr. microSD kartice zelo tezko da preveriti ali jo imas pri sebi ali ne.
Ne, to ni nič nenavadnega. Za metamorfno kodo si že slišal?
Metamorfna koda ni več tak problem - problem je, ker pisci črvov uporabljajo programe, ki variirajo enkripcijo črva preden le-tega pošljejo v divjino, takšne variacije pa lahko delajo tudi večkrat na minuto. Vem za primer, ko so pisci črvov uporabljali komercialni program za zaščito .exe datotek, nakar so antivirusi dodali generično zaznavanje za ta zaščitni program, kar je povzročilo precej problemov pri legitimnih uporabnikih tega programa.
Because 10 billion years' time is so fragile, so ephemeral...
it arouses such a bittersweet, almost heartbreaking fondness.
Splošen napad na civilno informacijsko infrastrukturo ima lahko tudi konkretne vojaške učinke...
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas
Metamorfna koda ni več tak problem - problem je, ker pisci črvov uporabljajo programe, ki variirajo enkripcijo črva preden le-tega pošljejo v divjino, takšne variacije pa lahko delajo tudi večkrat na minuto.
Hunting or Metamorphic pravi da taki virusi predstavljajo velik problem antivirusnim programom. In imho tudi ni oz. niti teoreticno ne more biti resitve za to.
Polimorfni virusi so taki, da vsebujejo enkriptirano "vsebino" ter zraven se kodo za dekriptiranje le-te. Dekripcijska koda je vsakic razlicna pa tudi sama vsebina je lahko zakodirana z drugim kljucem. Torej ce bi samo gledal vsebino datoteke, ne bi mogel odkriti nekega vzorca na podlagi katerega bi odkril virus. Antivirusni program odpove ze tukaj. Dodatno pisci uporabljajo se razne "packerje".
Resitev, ki jo uporabljajo novejsi antivirusni programi je, da emulirajo izvajanje okuzenega programa. Slejkoprej dekripcijski del poskrbi za to, da je nekje v pomnilniku dejanska virusna koda, ki pa je vedno ista. Na ta nacin se vedno na podlagi nekih crnih seznamov ugotovis ali je datoteka okuzena ali ne. Je pa treba seveda paziti na to, da se vse skupaj dogaja v nekem navideznem racunalniku (da ne pride do kaksnih neljubih sprememb). To je lahko tudi slabost, ce virus detektira tako okolje npr. lahko sploh nic ne naredi.
Metamorfni virusi za razliko od polimorfnih nimajo neke zakriptirane konstantne vsebine. Delajo vedno isto, ampak sama koda je lahko zelo razlicna (pri polimorfnih virusih je samo tisti decryption engine metamorfen). Enkrat je naprimer v kodi "mov ebx, 0" ki postavi ebx na 0 in potem uporablja ta register v kodi, drugic se uporabi "xor eax, eax", ki postavi eax na 0 in potem v kodi uporablja namesto ebx eax itd. Obstaja zelo veliko takih enostavnih sprememb, ki jih virus naredi nad svojo novo kopijo. Kombinacij takih sprememb je prakticno neskoncno. Antivirusni program zdaj na noben nacin ne more vec samo po vsebini ugotavljati ali je program okuzen ali ne. Potreboval bi nek visjenivojski pogled na to kaj program dela, kar pa je povezano s precej komplikacijami. Dodatno eni virusi s seboj nosijo (na dolocen nacin skrito) izvorno kodo. Na okuzenem sistemu s prevajalnikom se lahko kopija cisto na novo prevede preden okuzi drugo datoteko (oz. v primeru crva drug racunalnik). Random spremembe nad izvorno kodo in vstavljanje junka, drug prevajalnik, druge opcije kaksne optimizacije naj prevajalnik uporabi in dobis cisto drugacen program.
Jaz sem se igral z pretentanjem UAC v Visti. Kar je dosti lažje v 32bitni Visti, kot v 64bitni. Kernel je bolj zategnjen. V 32bitni verziji mi je uspelo zamenjati Vistin UAC, večinoma z uporabo metod, ki se uporablajo pri pisanju učinkovitih malware-ov (virusov). Vendar pa moram poudariti, da bi bolj težko napisal kodo, ki bi to sama od sebe to storila - kot v virus style.
Careful not to overload people by making them listen and think at the same time
-Vain
