» »

Pisci malwara vedno bolj domiselni, skrivališče tudi miška

Pisci malwara vedno bolj domiselni, skrivališče tudi miška

Symantec - Pisci virusov so našli še eno mesto, kam lahko skrijejo svojo kodo v upanju, da jih protivirusni programi ne bodo odkrili. Symantec poroča o zanimivi zamisli, ki je bila mimogrede že tudi udejanjena, skrivanja zlobne kode v API-funkcije za računalniško miško. Ker se med avtomatično analizo in iskanjem zlobne kode miška običajno ne premika, ostane kode skrita in neaktivna.

Kot piše Symantec, je količina zlobne kode neverjetna. V svojem poročilu poročajo, da so lani odkrili 400 milijonov novih variant škodljive programske opreme (malware) oziroma več kot milijon dnevno. Te množice se ne da pregledati na roke, zato se zanašajo na računalniško obdelavo (automated threat analysis). Vso kodo, ki pride na pregled, poženejo v navideznih strojih (virtual machine) in preverijo njeno delovanje. Če računalniški sistem zazna nenavadno ali sumljivo vedenje, šele v enačbo vstopi človek. In tu se skriva priložnost za skrivanje.

Malware je dandanes že tako pameten (oziroma so pametni njegovi pisci), da preverja, ali teče v navideznih okoljih in se v teh primerih ne zažene. Načinov, kako lahko koda zazna navidezno okolje, je več in nekateri se uporabljajo že dlje časa. Prav tako malware dostikrat preverja, ali v sistemu teče program za nadzor in se tudi v tem primeru potuhne. Še bolj enostavna je metoda čakanja. Ker analiza ne more teči neskončno dolgo, se je včasih dovolj prihuliti za kakšno uro in se šele nato zagnati. Na tak način lahko prelisičijo sisteme za avtomatično lovljenje malwara, ki imajo za posamezno datoteko zelo malo časa.

Postajajo pa pisci vedno bolj domiselni. Symantec je pokazal primer malwara, ki izkorišča miško. Virus kliče svojo glavno rutine šele, ko se miška premakne ali kliknemo kateri gumb. Ker pri običajnem delu to redno počnemo, avtomatizirani sistemi za detekcijo virusov pa miške ne uporabljajo, je metoda zelo elegantna za skrivanje in dosego končnega cilja.

58 komentarjev

«
1
2

cen1 ::

Najboljši AV je zdrava pamet.

Je pa zgleda pri teh bazah virusov tudi precej false-pasitive primerov.. včeraj sem delal backup dokumentov in mi javi virus v dveh lastnih programih.

draciel ::

cen1 je izjavil:

Najboljši AV je zdrava pamet.



bi se kar strinjal. Sam vedno pazim da ne zaganjam cudnih .exe datotek, ter ne odpiram poste od neznanih oseb. Moram potrkat da se nikol v zivljenju nism fasal resnejsega virusa. Upam da bo tudi se maprej tako.


Sicer ta ideja z misko je briljantna...

blackbfm ::

Virus lahko fašeš na tisoč in en način, to da ne zaganjaš določenih .exe datotek ne pomeni v bistvu nič.

cen1 ::

Mislim da pomeni kar veliko.

Če nima nek uporabniški program že v osnovi varnostne luknje lahko virus dobiš samo tako da ga dejansko potegneš dol, če ni neka napredna zadeva ga moraš potem še sam zagnati.

RejZoR ::

cen1 je izjavil:

Najboljši AV je zdrava pamet.

Je pa zgleda pri teh bazah virusov tudi precej false-pasitive primerov.. včeraj sem delal backup dokumentov in mi javi virus v dveh lastnih programih.


The words of a clueless man. Zdrava pamet my ass, kako boš ti preprečil nekaj kar ne moreš vidit brez da je nek modul obešen na driver nivoju v sam sistem? Zdrava pamet je delovala 10 let nazaj, ko so bili v modi mass mail wormi v obliki PDF fajlov (no, PDF ikonc) z EXE končnico. Zdrava pamet ne deluje pri file infectorjih in ne deluje pri exploitih. Zato že nehajte bluzit s to zdravo pametjo, ker že skor desetletje ne velja več.

Tud ne vem od kje ideja, da analiza ne more trajat neskončno dolgo. V samem emulatorju mogoče res ne, zato pa imajo sedaj praktično vsi antivirusi behavior analyzerje, ki delajo točno to. Analizirajo sistem v nedogled v realtime. Niso popolni, ker pač nič na svetu ni ampak so pa preklemano dobri. V navezi s file reputationom in drugimi moduli so preklemano učinkoviti.
Angry Sheep Blog @ www.rejzor.com

Zgodovina sprememb…

  • spremenil: RejZoR ()

yest ::

Če še tako paziš in ne uporabljaš virusa te izzivam da si naložiš antivirus in daš scan.. Verjetno boš presenečen...
brb

bbf ::

Če analiza lahko teče neskončno dolgo in je medtem virus potuhnjen, a ne bi blo fajn, da se analiza samo navidezno dela, in se virus ne sproži? ali to zahteva 100% obremenjenost sistema..

HardFu ::

"navideznih strojih"? lol
http://codeable.io

Tear_DR0P ::

cen1 je izjavil:

Najboljši AV je zdrava pamet.

zdrava pamet sama po sebi ne pomeni veliko, potrebuješ še kopico znanja in dober antivirusnik
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

slitkx ::

cen1 je izjavil:

Najboljši AV je zdrava pamet.

Tudi tvoja zdrava pamet ima omejitve.
Če novih metod razpečevanja škodljivih kod ne poznaš, nanje ne moreš biti pozoren.

RejZoR ::

bbf je izjavil:

Če analiza lahko teče neskončno dolgo in je medtem virus potuhnjen, a ne bi blo fajn, da se analiza samo navidezno dela, in se virus ne sproži? ali to zahteva 100% obremenjenost sistema..


Ne razumem čist kaj hočeš povedat s tem. Analiza v emulatorju je dost CPU intenzivna tudi če gre za trenutno najhitrejše metode. Zato se običajno analize znotraj izvajajo omejen čas. Behavior analyzerji pa delujejo v realtime na nivoju sistema (hosta) in ne kot emuliran sistem. Ker zadeva teče v realtime je sistem pri analizi tako zmogljiv kot sistem brez behavior analyzerja. In ker ni CPU intenzivnega emulatorja je čas analize neomejen. Ko sistem zazna anomalije in odstopanja, ki so v okviru njegovih zmogljivosti/sposobnosti bo uporabniku javil, da je to in ono potencialno sumljivo oz potrjeno škodljivo in da opcijo za sanacijo zadeve.
Angry Sheep Blog @ www.rejzor.com

Beezgetz ::

this virus requires microsoft windows
GNU/Linux,
ker si raje lastim svobodni OS,
kot da ukradem tistega ki ni vreden svojega denarja.

mtosev ::

beez daj ne trollaj
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Beezgetz ::

jaz ne vem veliko, niti nisem preprican kaj trollanje tocno pomeni...

Toda se mi resnicno zdi skoda rom-a ram-a in cpu-ja za AV.
GNU/Linux,
ker si raje lastim svobodni OS,
kot da ukradem tistega ki ni vreden svojega denarja.

nekikr ::

A potem uporabljaš glinene ploščice? Za vse mainstream (Win, OSx) in tistega obskurnega (Linux) namreč obstajajo virusi. Očitno res ne veš veliko ;)

gslo ::

no kar pejt na osx mal okol po kakšnih TV streamih ali pa brskat za informacijami, ki te pripeljejo na razne "sumljive" flash strani..

res so v večini primerov AV-ji resource hog ampak brez njih na nepreverjene strani ni za hodit. bog ne daj, da v safariju danes ne izklopiš Jave.

bluefish ::

yest je izjavil:

Če še tako paziš in ne uporabljaš virusa te izzivam da si naložiš antivirus in daš scan.. Verjetno boš presenečen...
Naredim na vsakih nekaj mesecev poln pregled z dvema različnima AV programoma. Že precej let računalnik čist.

Zgodovina sprememb…

  • spremenil: bluefish ()

draciel ::

Ob tej priložnosti bi pa še vprašal na še kakšne druge načine dobiš lahko "hud" virus, če izključimo odpiranje .exe datotek ?

gslo ::

obisk okužene spletne strani, brez klika na karkoli. npr.

Gandalfar ::

Recimo eno minor verzijo jave mas prestaro.

draciel ::

sam če recimo imaš posodobljen antivirusni a ponavadi on to zazna?

Xserces ::

ni nujno
Intel i5-3570k @4.7GHz|MSI GTX 970 4G|MSI Z77 MPower|
G. Skill 8 GB 1600MHz|Corsair AX750|Seagate Barracuda 2TB|NZXT Gamma|

blackbfm ::

Ob tej priložnosti bi pa še vprašal na še kakšne druge načine dobiš lahko "hud" virus, če izključimo odpiranje .exe datotek ?


dobra varjanta bi bil recimo podtaknjen virus v piratski iso datoteki windowsov

ender ::

Zdrava pamet ti ne pomaga popolnoma nič ko nekdo naloži reklamo, ki izkorišča nekaj še neznanih exploitov na katerega od reklamnih ponudnikov - potem te obisk katerekoli strani lahko okuži (pa ne mislit, da je to teorija - se je že nekajkrat zgodilo).

Huje je to, da ti pri tem antivirus praktično nič ne pomaga, ker itak ne pozna exploita, in stvar spusti skozi.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Izi ::

Zdrava pamet pomaga samo, če imaš računalnik popolnoma brez kakršnekoli povezave, kar pa danes nihče več nima.
Čim si povezan v mrežo ali internet ti zdrava pamet ne koristi popolnoma nič več. Dovolj je obisk zlobne internet strani in imaš okužen računalnik, vsaka naprava, ki se poveže na računalnik in ima lastni pomnilnik, je lahko okužena, od miške, printerja, telefona, televizije, pa do USB ključkov in plošč in prenosnih diskov.
Imamo moderne računalnike in že dolgo ni potrebnega nobenega klikanja zagonskih datotek kot so COM, EXE, BAT, CMD in podobne, danes se okužiš avtomatsko brez da bi karkoli kliknil >:D

gslo ::

no, če se že pogovarjamo o zdravi pameti.. zakaj je ljudem samoumevno hodit v temne kotičke interneta in počet "ilegalne" stvari (tv streami, piratiziranje, ipd.)? A v Rio de Janeiru bi tudi samozavestno odkorakal v Favele? :-P

bbf ::

Komp brez AVja je kot da bi šel nag po svetu. Sej se da, ampak že na ulci se boš skrival, v službi boš nekje zaprt, prehladu se boš, v afriki te bojo komarji opikal če nisi ceplen... PC viroza = real life viroza, čipi going bio, medic goes digital. Zaslužki koorporacij rastejo. real life equals virtual life, vam povem!

RejZoR ::

gslo je izjavil:

no, če se že pogovarjamo o zdravi pameti.. zakaj je ljudem samoumevno hodit v temne kotičke interneta in počet "ilegalne" stvari (tv streami, piratiziranje, ipd.)? A v Rio de Janeiru bi tudi samozavestno odkorakal v Favele? :-P


Spet ne veš kaj govoriš. Najbolj high profile infekcije so na legalnih straneh, ki imajo sicer na sto tisoče obiskovalcev. Po možnosti vrinejo exploit v reklamni feed, da ga ne pokasirajo vsi uporabniki ampak se z reklamami izmenjuje, kar precej podaljša čas preden admini skapirajo kaj se dogaja.
Angry Sheep Blog @ www.rejzor.com

cen1 ::

Kje je večja verjetnost da se okužiš, da boš potegnil en crack/keygen dol s sumljive strani in bo noter virus ali da si brez AVja in ne zahajaš na sumljive strani? To da je AV bolj pomemben preprosto ne zdrži.

Zgodovina sprememb…

  • spremenilo: cen1 ()

Gandalfar ::

Glede na to, da ti danes viruse skozi reklame servirajo, ti neobiskovanje cudnih strani ne pomaga.

morbo ::

Sklepam da ad-blockerji (ter no-script, ipd.) pomagajo proti tem virusom iz reklam?

Gandalfar ::

Ne nujno, ker ti s CSS-jem skrivajo (oz. odvisno kako globo v browser so integrirani).

axee ::

yest je izjavil:

Če še tako paziš in ne uporabljaš virusa te izzivam da si naložiš antivirus in daš scan.. Verjetno boš presenečen...


Ker za svoje delo potrebujem maksimalno hitrost im delam z veliko majhnimi datotekami (nekaj tisoč fotografij, naprimer), sem brez antivirusa sedajle kakšne 3 leta. Enkrat na mesec si vzamem čas in preskeniram z Malwarebytes-om in nekaj online scannerji, npr Eset in Kaspersky, vsake toliko še z kakšnim McAffe. Ponavadi najde MBytes kakšen sumljiv piškotek, to je pa tudi to.

Očitno zdrava pamet pomaga.. pa priznam da nimam vse legalno pridobljeno. Pač maraš malce poznati sceno in iz zanesljivih virov potegniti piratske vsebine, pa si varen. Dobra zaščita je tudi Adblock, glede na to da so te čase že marsikatere reklame "sumljive"..

Tudi podtaknjeni virusi v raznih keygenih ali v samih ISO-tih Windowsev so seveda mogoči, ampak če spremljaš travnik več kot en teden počasi vidiš, kateri uporabniki in katere release skupine so zanesljive.

Pa ne da bi podpiral piratiziranje na forumu (ko mi bo programska oprema začela prinašati dobiček jo bom nabavil).

pegasus ::

cen1 je izjavil:

Najboljši AV je zdrava pamet.

Ki je, kot kaže, v velikem pomanjkanju.

Zdrava pamet te namreč pripelje do tega, da ne podpiraš OS monokulture, kajti še vse monokulture v naravi so slej ko prej izumrle zaradi enega samega banalnega vzroka.

Stabilnost in zdravje je v raznolikosti, tako v naravi kot na internetu.

Beezgetz ::

nekikr je izjavil:

A potem uporabljaš glinene ploščice? Za vse mainstream (Win, OSx) in tistega obskurnega (Linux) namreč obstajajo virusi. Očitno res ne veš veliko ;)

kheh, saj sem napisal, da ne vem veliko,
niti to ne vem kaj je virus, kheh heh heh...

Jap, za linux so tudi virusi, se mi zdi da je v celi zgodovini (20 let) bilo okoli 40 njih...?
GNU/Linux,
ker si raje lastim svobodni OS,
kot da ukradem tistega ki ni vreden svojega denarja.

amigo_no1 ::

pegasus je izjavil:

cen1 je izjavil:

Najboljši AV je zdrava pamet.

Ki je, kot kaže, v velikem pomanjkanju.

Zdrava pamet te namreč pripelje do tega, da ne podpiraš OS monokulture, kajti še vse monokulture v naravi so slej ko prej izumrle zaradi enega samega banalnega vzroka.

Stabilnost in zdravje je v raznolikosti, tako v naravi kot na internetu.

Kot npr. koruza in pšenica ?


Bo treba tudi v OS svetu uvesti 3 letno kolobarjenje :D.

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

denial ::

Se popolnoma strinjam z Rejzorjem. AV-ji so danes izjemno učinkoviti. Dejansko so tako učinkoviti, da jim kvaliteto in superiornost priznavajo celo eminentni strokovnjaki za računalniško varnost, ki so bili do nedavna sicer negativno nastrojeni proti arhaičnim postopkom detekcije ter pomanjkljivim načinom implemantacije in poznavanja osnovnih varnostnih mehanizmov v teh produktih.

Zavoljo uporabe naprednih mehanizmov odkrivanja zlonamerne kode in izjemnih dosežkov pri zaščiti uporabnikov je bila na letošnji konferenci Black Hat USA celotna AV industrija nominirana za laskavo nagrado "Pwnie Awards" v prestižni kategoriji Most epic fail.

Letos jim nagrade žal ni uspelo pobrati. Več sreče prihodnje leto.

Now go update you AV. Just for the lulz.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

nekikr ::

Beezgetz je izjavil:

nekikr je izjavil:

A potem uporabljaš glinene ploščice? Za vse mainstream (Win, OSx) in tistega obskurnega (Linux) namreč obstajajo virusi. Očitno res ne veš veliko ;)

kheh, saj sem napisal, da ne vem veliko,
niti to ne vem kaj je virus, kheh heh heh...

Jap, za linux so tudi virusi, se mi zdi da je v celi zgodovini (20 let) bilo okoli 40 njih...?

Takoj ko bo bolj popularen (naslednje leto je leto Linuxa kajne?) bo teh virusov malo morje. Trenutno ga masa niti ne povoha in posledično ni tako zanimiv, pa kljub temu obstaja nekaj nesnage zanj. Že sama arhitektura pravi, da imaš lahko virusov kolikor hočeš, samo ljudi rabiš, ki jih bodo napisali. Točno tako kot za vsak drug desktop OS.

Beezgetz ::

kar se mene tice je vsako leto gnu/linux leto, kheh...
kar se tice raje, to je zmeraj creda ki ne ve kaj dela
(recimo jaz nimam pojma o avtih, pa ga kao znam vozit).

Ce bi pa sam sestavil avto, to je drugo...

Tako jaz skompajlam vse.

kot receno, skoda rom-a, ram-a in cpu-ja za AV
GNU/Linux,
ker si raje lastim svobodni OS,
kot da ukradem tistega ki ni vreden svojega denarja.

Zgodovina sprememb…

  • spremenil: Beezgetz ()

dope1337 ::

Beezgetz je izjavil:


(recimo jaz nimam pojma o avtih, pa ga kao znam vozit).

Ce bi pa sam sestavil avto, to je drugo...

Tako jaz skompajlam vse.


Dejstvo, da bi sam sestavil avto, ti ne prinaša garancije, da se znaš z njim vozit ...

Se pa strinjam, da je raja kot reka (path with the least resistance).
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein

Beezgetz ::

"Dejstvo, da bi sam sestavil avto, ti ne prinaša garancije, da se znaš z njim vozit ... "

huh, to bom pa tezko verjel...
GNU/Linux,
ker si raje lastim svobodni OS,
kot da ukradem tistega ki ni vreden svojega denarja.

Reycis ::

Jah pametnjakovici bodo pametnjakovici. Real time antivirus je potrata resrsov. Vsake tok casa en normalen scan in to je to. Za viruse preko spletnih strani pa je dokaj enostavno. Vse jave, skripte in flashe izklopis pa so vse strani varne.

LightBit ::

Pisci malwara vedno bolj domiselni, pisci Anti-malwara vedno bolj zabiti.

blackbfm ::

Tako jaz skompajlam vse.

kot receno, skoda rom-a, ram-a in cpu-ja za AV


ker kompajlanje vse z nule je manj časovno potratno kot uporaba avja, bravo

TallCezar ::

Več povezav = večja ranljivost

Beezgetz ::

blackbfm je izjavil:

ker kompajlanje vse z nule je manj časovno potratno kot uporaba avja, bravo


jah, je, jaz sem probal, si ti?

Gre za to da strojna oprema pocne to kar ji jaz recem,
in ne kar mi drugi "nalozi".
GNU/Linux,
ker si raje lastim svobodni OS,
kot da ukradem tistega ki ni vreden svojega denarja.

blackbfm ::

Upam da si tut sam pišeš VSO svojo programsko opremo, ker drugače si zgrešil bistvo.

Beezgetz ::

daj daj, odgovori, kaj sam sodis...

sicer pa ja, imam en kup lastnih aplikacij, jap. bash rulez!!!!

kar kompajlam pa itak prej odprto kodo md5 checkiram -> ok -> compile

pa se bunite kolikor zelite, jaz sem bil na windowsih, seveda, redko kdo je zacel s cem drugim,
toda ko zelis kaj uredit pa ne mores!
GNU/Linux,
ker si raje lastim svobodni OS,
kot da ukradem tistega ki ni vreden svojega denarja.

pegasus ::

Pa si pregledal vso kodo, da ne vsebuje backdoorov? Ter, kako lahko zaupaš prevajalniku, da ti ne podtika backdoorov v tvoje prevedene datoteke?
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Pisci malwara vedno bolj domiselni, skrivališče tudi miška (strani: 1 2 )

Oddelek: Novice / Varnost
5811534 (8529) Beezgetz
»

Najboljši plačljivi antivirus (2011)?

Oddelek: Programska oprema
306058 (5162) krneki0001
»

Zla koda v grafičnih procesorjih

Oddelek: Novice / Grafične kartice
63974 (2921) denial
»

V enem izmed Ubuntujevih neuradnih ohranjevalnikov zaslona najdena zlonamerna koda (strani: 1 2 )

Oddelek: Novice / Varnost
748568 (6376) Ales
»

Nagrada za pisca virusa za Mac OS X

Oddelek: Novice / Operacijski sistemi
436180 (4435) MrStein

Več podobnih tem