Daily Tech - V Pentagonu, obrambnem ministrstvu in vojaških bazah ZDA so do nadaljnjega prepovedali uporabo zunanjih podatkovnih nosilcev, kamor sodijo tudi USB-ključi, iPodi in MP3-predvajalniki, zatem ko se je "globalni virus", kasneje prepoznan kot črv Agent.btz, na tak način razširil po omrežjih SIPRNet in NIPRNet. Razumljivo so pristojni skopi in še vedno ne dajejo izjav, čeprav se je to zgodilo že pred tednom dni. Omenimo, da v Pentagonu deluje sedem milijonov računalnikov, ki jih zdaj intenzivno pregledujejo in razkužujejo. Za zdaj so tudi zaplenili vse USB-ključe, ali jih bodo na koncu preiskave vrnili lastnikom, pa še preudarjajo.
The Pentagon computer network is made up of around 17,000 networks and seven million individual computers. Pentagon computers are scanned for weaknesses millions of times each day by foreign computer users, Pentagon officials admitted.
Danes ima že vsak telefon kakšen giga prostora, pa čeprav je model tako slab, da s telefonom ne moreš nič drugega delati, kot se pogovarjati. Tako, da bi morali pregledati še vse telefone...
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
Sprijazniti se moraš, da zaenkrat večina podjetij in ustanov uporablja Windows. Tudi vsi takšni in podobni programi so pisani za Windows. Tudi večina administratorjem, ki je zaposlena pri njih uporablja in zna delati izključno z Windowsim.
Drugače je pa zanimivo, da ga AVji niso zaznali preden je virus imel možnost okužiti še ostale računalnike.
Hehe, točno tako, Matthai ima prav. Vsaka vlada vohuni pri sosedu(ih).
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
Zanimivo pri vsem tem je, da administratorji teh racunalnikov niso onemogocili autorun funkcije, ki je glavni krivec za hitro sirjenje virusa. Onemogocanje autorun traja tocno 2 minuti. Ali bi ze prej prepovedali USB kljucke in podobne pomnilniske medije, ki so tudi dober nacin za odtekanje informacij, ali pa sploh ne. Ce je prepoved samo zaradi sirjenja virusa, potem je brezvezna. Drugo je, ce sumijo, da je nekdo od znotraj kradel podatke. Sicer se pa itak pri velikosti npr. microSD kartice zelo tezko da preveriti ali jo imas pri sebi ali ne.
Ne, to ni nič nenavadnega. Za metamorfno kodo si že slišal?
Metamorfna koda ni več tak problem - problem je, ker pisci črvov uporabljajo programe, ki variirajo enkripcijo črva preden le-tega pošljejo v divjino, takšne variacije pa lahko delajo tudi večkrat na minuto. Vem za primer, ko so pisci črvov uporabljali komercialni program za zaščito .exe datotek, nakar so antivirusi dodali generično zaznavanje za ta zaščitni program, kar je povzročilo precej problemov pri legitimnih uporabnikih tega programa.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
Metamorfna koda ni več tak problem - problem je, ker pisci črvov uporabljajo programe, ki variirajo enkripcijo črva preden le-tega pošljejo v divjino, takšne variacije pa lahko delajo tudi večkrat na minuto.
Hunting or Metamorphic pravi da taki virusi predstavljajo velik problem antivirusnim programom. In imho tudi ni oz. niti teoreticno ne more biti resitve za to.
Polimorfni virusi so taki, da vsebujejo enkriptirano "vsebino" ter zraven se kodo za dekriptiranje le-te. Dekripcijska koda je vsakic razlicna pa tudi sama vsebina je lahko zakodirana z drugim kljucem. Torej ce bi samo gledal vsebino datoteke, ne bi mogel odkriti nekega vzorca na podlagi katerega bi odkril virus. Antivirusni program odpove ze tukaj. Dodatno pisci uporabljajo se razne "packerje".
Resitev, ki jo uporabljajo novejsi antivirusni programi je, da emulirajo izvajanje okuzenega programa. Slejkoprej dekripcijski del poskrbi za to, da je nekje v pomnilniku dejanska virusna koda, ki pa je vedno ista. Na ta nacin se vedno na podlagi nekih crnih seznamov ugotovis ali je datoteka okuzena ali ne. Je pa treba seveda paziti na to, da se vse skupaj dogaja v nekem navideznem racunalniku (da ne pride do kaksnih neljubih sprememb). To je lahko tudi slabost, ce virus detektira tako okolje npr. lahko sploh nic ne naredi.
Metamorfni virusi za razliko od polimorfnih nimajo neke zakriptirane konstantne vsebine. Delajo vedno isto, ampak sama koda je lahko zelo razlicna (pri polimorfnih virusih je samo tisti decryption engine metamorfen). Enkrat je naprimer v kodi "mov ebx, 0" ki postavi ebx na 0 in potem uporablja ta register v kodi, drugic se uporabi "xor eax, eax", ki postavi eax na 0 in potem v kodi uporablja namesto ebx eax itd. Obstaja zelo veliko takih enostavnih sprememb, ki jih virus naredi nad svojo novo kopijo. Kombinacij takih sprememb je prakticno neskoncno. Antivirusni program zdaj na noben nacin ne more vec samo po vsebini ugotavljati ali je program okuzen ali ne. Potreboval bi nek visjenivojski pogled na to kaj program dela, kar pa je povezano s precej komplikacijami. Dodatno eni virusi s seboj nosijo (na dolocen nacin skrito) izvorno kodo. Na okuzenem sistemu s prevajalnikom se lahko kopija cisto na novo prevede preden okuzi drugo datoteko (oz. v primeru crva drug racunalnik). Random spremembe nad izvorno kodo in vstavljanje junka, drug prevajalnik, druge opcije kaksne optimizacije naj prevajalnik uporabi in dobis cisto drugacen program.
Jaz sem se igral z pretentanjem UAC v Visti. Kar je dosti lažje v 32bitni Visti, kot v 64bitni. Kernel je bolj zategnjen. V 32bitni verziji mi je uspelo zamenjati Vistin UAC, večinoma z uporabo metod, ki se uporablajo pri pisanju učinkovitih malware-ov (virusov). Vendar pa moram poudariti, da bi bolj težko napisal kodo, ki bi to sama od sebe to storila - kot v virus style.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
