Symantec - Pisci virusov so našli še eno mesto, kam lahko skrijejo svojo kodo v upanju, da jih protivirusni programi ne bodo odkrili. Symantec poroča o zanimivi zamisli, ki je bila mimogrede že tudi udejanjena, skrivanja zlobne kode v API-funkcije za računalniško miško. Ker se med avtomatično analizo in iskanjem zlobne kode miška običajno ne premika, ostane kode skrita in neaktivna.
Kot piše Symantec, je količina zlobne kode neverjetna. V svojem poročilu poročajo, da so lani odkrili 400 milijonov novih variant škodljive programske opreme (malware) oziroma več kot milijon dnevno. Te množice se ne da pregledati na roke, zato se zanašajo na računalniško obdelavo (automated threat analysis). Vso kodo, ki pride na pregled, poženejo v navideznih strojih (virtual machine) in preverijo njeno delovanje. Če računalniški sistem zazna nenavadno ali sumljivo vedenje, šele v enačbo vstopi človek. In tu se skriva priložnost za skrivanje.
Malware je dandanes že tako pameten (oziroma so pametni njegovi pisci), da preverja, ali teče v navideznih okoljih in se v teh primerih ne zažene. Načinov, kako lahko koda zazna navidezno okolje, je več in nekateri se uporabljajo že dlje časa. Prav tako malware dostikrat preverja, ali v sistemu teče program za nadzor in se tudi v tem primeru potuhne. Še bolj enostavna je metoda čakanja. Ker analiza ne more teči neskončno dolgo, se je včasih dovolj prihuliti za kakšno uro in se šele nato zagnati. Na tak način lahko prelisičijo sisteme za avtomatično lovljenje malwara, ki imajo za posamezno datoteko zelo malo časa.
Postajajo pa pisci vedno bolj domiselni. Symantec je pokazal primer malwara, ki izkorišča miško. Virus kliče svojo glavno rutine šele, ko se miška premakne ali kliknemo kateri gumb. Ker pri običajnem delu to redno počnemo, avtomatizirani sistemi za detekcijo virusov pa miške ne uporabljajo, je metoda zelo elegantna za skrivanje in dosego končnega cilja.
bi se kar strinjal. Sam vedno pazim da ne zaganjam cudnih .exe datotek, ter ne odpiram poste od neznanih oseb. Moram potrkat da se nikol v zivljenju nism fasal resnejsega virusa. Upam da bo tudi se maprej tako.
Če nima nek uporabniški program že v osnovi varnostne luknje lahko virus dobiš samo tako da ga dejansko potegneš dol, če ni neka napredna zadeva ga moraš potem še sam zagnati.
Je pa zgleda pri teh bazah virusov tudi precej false-pasitive primerov.. včeraj sem delal backup dokumentov in mi javi virus v dveh lastnih programih.
The words of a clueless man. Zdrava pamet my ass, kako boš ti preprečil nekaj kar ne moreš vidit brez da je nek modul obešen na driver nivoju v sam sistem? Zdrava pamet je delovala 10 let nazaj, ko so bili v modi mass mail wormi v obliki PDF fajlov (no, PDF ikonc) z EXE končnico. Zdrava pamet ne deluje pri file infectorjih in ne deluje pri exploitih. Zato že nehajte bluzit s to zdravo pametjo, ker že skor desetletje ne velja več.
Tud ne vem od kje ideja, da analiza ne more trajat neskončno dolgo. V samem emulatorju mogoče res ne, zato pa imajo sedaj praktično vsi antivirusi behavior analyzerje, ki delajo točno to. Analizirajo sistem v nedogled v realtime. Niso popolni, ker pač nič na svetu ni ampak so pa preklemano dobri. V navezi s file reputationom in drugimi moduli so preklemano učinkoviti.
Če analiza lahko teče neskončno dolgo in je medtem virus potuhnjen, a ne bi blo fajn, da se analiza samo navidezno dela, in se virus ne sproži? ali to zahteva 100% obremenjenost sistema..
Če analiza lahko teče neskončno dolgo in je medtem virus potuhnjen, a ne bi blo fajn, da se analiza samo navidezno dela, in se virus ne sproži? ali to zahteva 100% obremenjenost sistema..
Ne razumem čist kaj hočeš povedat s tem. Analiza v emulatorju je dost CPU intenzivna tudi če gre za trenutno najhitrejše metode. Zato se običajno analize znotraj izvajajo omejen čas. Behavior analyzerji pa delujejo v realtime na nivoju sistema (hosta) in ne kot emuliran sistem. Ker zadeva teče v realtime je sistem pri analizi tako zmogljiv kot sistem brez behavior analyzerja. In ker ni CPU intenzivnega emulatorja je čas analize neomejen. Ko sistem zazna anomalije in odstopanja, ki so v okviru njegovih zmogljivosti/sposobnosti bo uporabniku javil, da je to in ono potencialno sumljivo oz potrjeno škodljivo in da opcijo za sanacijo zadeve.
Zdrava pamet ti ne pomaga popolnoma nič ko nekdo naloži reklamo, ki izkorišča nekaj še neznanih exploitov na katerega od reklamnih ponudnikov - potem te obisk katerekoli strani lahko okuži (pa ne mislit, da je to teorija - se je že nekajkrat zgodilo).
Huje je to, da ti pri tem antivirus praktično nič ne pomaga, ker itak ne pozna exploita, in stvar spusti skozi.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
Zdrava pamet pomaga samo, če imaš računalnik popolnoma brez kakršnekoli povezave, kar pa danes nihče več nima. Čim si povezan v mrežo ali internet ti zdrava pamet ne koristi popolnoma nič več. Dovolj je obisk zlobne internet strani in imaš okužen računalnik, vsaka naprava, ki se poveže na računalnik in ima lastni pomnilnik, je lahko okužena, od miške, printerja, telefona, televizije, pa do USB ključkov in plošč in prenosnih diskov. Imamo moderne računalnike in že dolgo ni potrebnega nobenega klikanja zagonskih datotek kot so COM, EXE, BAT, CMD in podobne, danes se okužiš avtomatsko brez da bi karkoli kliknil
no, če se že pogovarjamo o zdravi pameti.. zakaj je ljudem samoumevno hodit v temne kotičke interneta in počet "ilegalne" stvari (tv streami, piratiziranje, ipd.)? A v Rio de Janeiru bi tudi samozavestno odkorakal v Favele? :-P
Komp brez AVja je kot da bi šel nag po svetu. Sej se da, ampak že na ulci se boš skrival, v službi boš nekje zaprt, prehladu se boš, v afriki te bojo komarji opikal če nisi ceplen... PC viroza = real life viroza, čipi going bio, medic goes digital. Zaslužki koorporacij rastejo. real life equals virtual life, vam povem!
no, če se že pogovarjamo o zdravi pameti.. zakaj je ljudem samoumevno hodit v temne kotičke interneta in počet "ilegalne" stvari (tv streami, piratiziranje, ipd.)? A v Rio de Janeiru bi tudi samozavestno odkorakal v Favele? :-P
Spet ne veš kaj govoriš. Najbolj high profile infekcije so na legalnih straneh, ki imajo sicer na sto tisoče obiskovalcev. Po možnosti vrinejo exploit v reklamni feed, da ga ne pokasirajo vsi uporabniki ampak se z reklamami izmenjuje, kar precej podaljša čas preden admini skapirajo kaj se dogaja.
Kje je večja verjetnost da se okužiš, da boš potegnil en crack/keygen dol s sumljive strani in bo noter virus ali da si brez AVja in ne zahajaš na sumljive strani? To da je AV bolj pomemben preprosto ne zdrži.
Če še tako paziš in ne uporabljaš virusa te izzivam da si naložiš antivirus in daš scan.. Verjetno boš presenečen...
Ker za svoje delo potrebujem maksimalno hitrost im delam z veliko majhnimi datotekami (nekaj tisoč fotografij, naprimer), sem brez antivirusa sedajle kakšne 3 leta. Enkrat na mesec si vzamem čas in preskeniram z Malwarebytes-om in nekaj online scannerji, npr Eset in Kaspersky, vsake toliko še z kakšnim McAffe. Ponavadi najde MBytes kakšen sumljiv piškotek, to je pa tudi to.
Očitno zdrava pamet pomaga.. pa priznam da nimam vse legalno pridobljeno. Pač maraš malce poznati sceno in iz zanesljivih virov potegniti piratske vsebine, pa si varen. Dobra zaščita je tudi Adblock, glede na to da so te čase že marsikatere reklame "sumljive"..
Tudi podtaknjeni virusi v raznih keygenih ali v samih ISO-tih Windowsev so seveda mogoči, ampak če spremljaš travnik več kot en teden počasi vidiš, kateri uporabniki in katere release skupine so zanesljive.
Pa ne da bi podpiral piratiziranje na forumu (ko mi bo programska oprema začela prinašati dobiček jo bom nabavil).
Zdrava pamet te namreč pripelje do tega, da ne podpiraš OS monokulture, kajti še vse monokulture v naravi so slej ko prej izumrle zaradi enega samega banalnega vzroka.
Stabilnost in zdravje je v raznolikosti, tako v naravi kot na internetu.
Zdrava pamet te namreč pripelje do tega, da ne podpiraš OS monokulture, kajti še vse monokulture v naravi so slej ko prej izumrle zaradi enega samega banalnega vzroka.
Stabilnost in zdravje je v raznolikosti, tako v naravi kot na internetu.
Kot npr. koruza in pšenica ?
Bo treba tudi v OS svetu uvesti 3 letno kolobarjenje :D.
Se popolnoma strinjam z Rejzorjem. AV-ji so danes izjemno učinkoviti. Dejansko so tako učinkoviti, da jim kvaliteto in superiornost priznavajo celo eminentni strokovnjaki za računalniško varnost, ki so bili do nedavna sicer negativno nastrojeni proti arhaičnim postopkom detekcije ter pomanjkljivim načinom implemantacije in poznavanja osnovnih varnostnih mehanizmov v teh produktih.
Zavoljo uporabe naprednih mehanizmov odkrivanja zlonamerne kode in izjemnih dosežkov pri zaščiti uporabnikov je bila na letošnji konferenci Black Hat USA celotna AV industrija nominirana za laskavo nagrado "Pwnie Awards" v prestižni kategoriji Most epic fail.
Letos jim nagrade žal ni uspelo pobrati. Več sreče prihodnje leto.
A potem uporabljaš glinene ploščice? Za vse mainstream (Win, OSx) in tistega obskurnega (Linux) namreč obstajajo virusi. Očitno res ne veš veliko ;)
kheh, saj sem napisal, da ne vem veliko, niti to ne vem kaj je virus, kheh heh heh...
Jap, za linux so tudi virusi, se mi zdi da je v celi zgodovini (20 let) bilo okoli 40 njih...?
Takoj ko bo bolj popularen (naslednje leto je leto Linuxa kajne?) bo teh virusov malo morje. Trenutno ga masa niti ne povoha in posledično ni tako zanimiv, pa kljub temu obstaja nekaj nesnage zanj. Že sama arhitektura pravi, da imaš lahko virusov kolikor hočeš, samo ljudi rabiš, ki jih bodo napisali. Točno tako kot za vsak drug desktop OS.
kar se mene tice je vsako leto gnu/linux leto, kheh... kar se tice raje, to je zmeraj creda ki ne ve kaj dela (recimo jaz nimam pojma o avtih, pa ga kao znam vozit).
Ce bi pa sam sestavil avto, to je drugo...
Tako jaz skompajlam vse.
kot receno, skoda rom-a, ram-a in cpu-ja za AV
GNU/Linux,
ker si raje lastim svobodni OS,
kot da ukradem tistega ki ni vreden svojega denarja.
(recimo jaz nimam pojma o avtih, pa ga kao znam vozit).
Ce bi pa sam sestavil avto, to je drugo...
Tako jaz skompajlam vse.
Dejstvo, da bi sam sestavil avto, ti ne prinaša garancije, da se znaš z njim vozit ...
Se pa strinjam, da je raja kot reka (path with the least resistance).
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein
Jah pametnjakovici bodo pametnjakovici. Real time antivirus je potrata resrsov. Vsake tok casa en normalen scan in to je to. Za viruse preko spletnih strani pa je dokaj enostavno. Vse jave, skripte in flashe izklopis pa so vse strani varne.
