Milyen a felismerési aránya a bitcoin lopó trojainak a víruskeresők körében

Egy héttel ezelőtt kiszivárgott MtGox csomagban a kereskedési adatok és egyéb információk mellett megtalálható volt egy TibanneBackOffice nevű alkalmazás is MacOSX és Windows rendszerekre, amelyről hamar kiderült, hogy valójában egy bitcoin pénztárcák után kutató trójai, amely egy bolgár szerverre küldi el az áldozatok gépeiről a wallet.dat fájlokat.

Kiváncsi voltam, hogy egy héttel később hány antivirus szoftver ismeri fel ezeket az alkalmazásokat, ezért feltöltöttem őket a közismert virustotal weboldalra, hogy analizáltassam a víruskeresők aktuális verzióival. Az eredmény (számomra már kevésbé) meglepő. Az 50 antivirus szoftver közel fele továbbra sem detektálja kártékony programként a coinstealer trójai Windows verzióját. Rendben találja a kártevőt tartalmazó állományt az Avast antivirus, a szabad szoftveres közösség körében igen népszerű ClamAV, a Comodo, az F-Prot, a TrendMicro és a Microsoft víruskeresője is.

A malware MacOSX rendszerekre fordított verzióját az 50 antivirus közül mindössze 4 ismeri fel. Érdekes módon viszont itt az Avast benne van ebben a négyben. Érthetetlen ezekután, hogy a Windows verziót miért nem ismeri fel.

( carlcolt | 2014. 03. 16., v – 17:43 )

subscribe (a flame miatt, az eredmény nem lepett meg)

( Sulc v | 2014. 03. 16., v – 17:45 )

Nagyjából két hetes tapasztalatom szerint, hogy egy vírusmintát elkezdjenek felismerni, fel kell seedelni a nagyobb víruskergetők adatbázisát, és onnantól kezdve 2-3 nap amíg elfogadható mennyiségű irtó elkezdi érzékelni.

( log69 | 2014. 03. 16., v – 18:29 )

Két kérdés: a nagy nevű AV-k miért nem ismerték fel? Illetve az eddigiek azért ismerték fel, mert a kód mintát már ismerték, vagy beépített analizáló detektálta?

Egy hete, amikor aktuális volt a téma (és ha valaki elindította a trójait elővigyázatosság nélkül, akkor azt egy hete tette inkább nagyobb valószínűség szerint, mert akkor még nem volt tele vele a sajtó, hogy kártékony szoftver), akkor egyedül csak a Sophos ismerte fel. A beépített analizálók (legalábbis, amit a marketingesen viselkedés-alapú vírus analízisnek reklámoznak) nem nagyon tudnak ilyesmit detektálni. Egy elindított program elküldött egy (két) filet egy szerverre... Lehetne ez épp a user is önszántából, egy ssh/scp/sftp kliens segítségével, vagy egyéb fileküldő szoftverrel. Ezt az eseményt egy antivirus képtelen detektálni (vagy ha igen, akkor hatalmas fals pozitív rátával, amitől a valóságban használhatatlanná válik). Az ilyen adatszivárogatatás ellen a DLP (Data Loss Protection) szoftverek próbálnak egyébként inkább védeni, de azok is sokkal inkább kevesebb, mint több sikerrel.

Túl bonyolultak a rendszerek és a használatuk ahhoz, hogy egy ilyen folyamatot pontosan ki lehessen egy szoftverből modellezni, ráadásul azonnal kellene ezt tudni kiértékelni és blokkolni, ami a jelenlegi számítógépes kapacitásokkal lehetetlen.

Érdekes: Windows vonalon tegnap délelőtt még csak négyen ismerték fel, ha jól láttam. Ma már... nem számoltam meg, de közel a felük. Engem csak az zavar, hogy az ilyen találatokat, amiket mindössze egy vagy két kereső vélt felismerni, eddig fals pozitívként kezeltem. Ezek után marad, hogy ilyenkor várok egy-két hetet és ismét megnézem?
Azért az hozzá tartozik, hogy eddig csak olyan találatokhoz volt szerencsém, ami hivatalos oldalról letöltött telepítőben (libreoffice, víruskereső) jelzett malware-t.

"Azért az hozzá tartozik, hogy eddig csak olyan találatokhoz volt szerencsém, ami hivatalos oldalról letöltött telepítőben (libreoffice, víruskereső) jelzett malware-t."Az se garancia hogy hivatalos oldal,láttunk mi már olyat hogy így úgy de vírus/malware került telepítőbe.

Windows vonalon tegnap délelőtt még csak négyen ismerték fel, ha jól láttam.

Nem. Az OSX vonalon ismerte fel csak 4 antivirus, Windows vonalon kb. a fele, de sok fontos és népszerű víruskereső azok közül sem, mint az Avast, a ClamAV, vagy a Microsoft keresője.

Ezek után marad, hogy ilyenkor várok egy-két hetet és ismét megnézem?

Nem lehet ilyenben sem bízni. Ha nem tömeges terjesztés történik, hanem célzott támadások, akkor akár több évig is felismerhetetlen maradhat egy trójai/vírus. A 2010-ben felfedezett Stuxnetről is kiderült, hogy már 2007-ben is töltöttek fel egy korai verziójából mintát a Virustotalra, csak semmi sem ismerte fel.

Azért az hozzá tartozik, hogy eddig csak olyan találatokhoz volt szerencsém, ami hivatalos oldalról letöltött telepítőben (libreoffice, víruskereső) jelzett malware-t.

Nincs olyan, hogy "hivatalos", hacsak nincs aláírva digitálisan a telepítő, ami még mindig nem zárja ki, hogy az aláírás előtt nem módosíthatták illetéktelenek.

"Nincs olyan, hogy "hivatalos", hacsak nincs aláírva digitálisan a telepítő, ami még mindig nem zárja ki, hogy az aláírás előtt nem módosíthatták illetéktelenek."

@HZ:
Lásd a Lenovo, ahol emlékeim szerint pár éve aláírt driverek tartalmaztak a weboldalukon fertőző kódot. Volt itt hír.

Nem hülyéskedtem amikor azt írtam, hogy alig látok...
Esküdni mertem volna, hogy a windows-os listát nyitottam meg. :(

Egyébként egyre kevésbé tudom, mi a bánatot lehet kezdeni ezekkel a dolgokkal azon túl, hogy felkeresek egy dokit és megkérem, írjon valami gyógyszert paranoia ellen. :)
Hivatalos alatt értem, az adott szoftver "saját" oldalát (illetve az annak látszót - lásd pár napja a google DNS-ének eltérítése :D), ahogy pl. a libreoffice-t a libreoffice.org-ról szedem le, nem valamelyik szoftverterjesztésre szakosodott site-ról.
Aztán ha ilyenben talál valamit valamelyik kereső... akkor anyázhatok, hogy most valami szemetet töltöttem le vagy fals pozitív a riasztás. AVG-t pl. utálom ilyen szempontból, mert rengeteg fals pozitívnak látszó riasztást adott régebben. Azóta sem tudom, hogy valóban FP volt vagy olyasmit talált, amit másik három CD-ről bootoló kereső sem.
(akkoriban még nem ismertem a virustotalt)