A malware MacOSX rendszerekre fordított verzióját az 50 antivirus közül mindössze 4 ismeri fel. Érdekes módon viszont itt az Avast benne van ebben a négyben. Érthetetlen ezekután, hogy a Windows verziót miért nem ismeri fel.
- Hunger blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
subscribe (a flame miatt, az eredmény nem lepett meg)
- A hozzászóláshoz be kell jelentkezni
+1
--
blogom
- A hozzászóláshoz be kell jelentkezni
Nagyjából két hetes tapasztalatom szerint, hogy egy vírusmintát elkezdjenek felismerni, fel kell seedelni a nagyobb víruskergetők adatbázisát, és onnantól kezdve 2-3 nap amíg elfogadható mennyiségű irtó elkezdi érzékelni.
- A hozzászóláshoz be kell jelentkezni
Két kérdés: a nagy nevű AV-k miért nem ismerték fel? Illetve az eddigiek azért ismerték fel, mert a kód mintát már ismerték, vagy beépített analizáló detektálta?
- A hozzászóláshoz be kell jelentkezni
Egy hete, amikor aktuális volt a téma (és ha valaki elindította a trójait elővigyázatosság nélkül, akkor azt egy hete tette inkább nagyobb valószínűség szerint, mert akkor még nem volt tele vele a sajtó, hogy kártékony szoftver), akkor egyedül csak a Sophos ismerte fel. A beépített analizálók (legalábbis, amit a marketingesen viselkedés-alapú vírus analízisnek reklámoznak) nem nagyon tudnak ilyesmit detektálni. Egy elindított program elküldött egy (két) filet egy szerverre... Lehetne ez épp a user is önszántából, egy ssh/scp/sftp kliens segítségével, vagy egyéb fileküldő szoftverrel. Ezt az eseményt egy antivirus képtelen detektálni (vagy ha igen, akkor hatalmas fals pozitív rátával, amitől a valóságban használhatatlanná válik). Az ilyen adatszivárogatatás ellen a DLP (Data Loss Protection) szoftverek próbálnak egyébként inkább védeni, de azok is sokkal inkább kevesebb, mint több sikerrel.
Túl bonyolultak a rendszerek és a használatuk ahhoz, hogy egy ilyen folyamatot pontosan ki lehessen egy szoftverből modellezni, ráadásul azonnal kellene ezt tudni kiértékelni és blokkolni, ami a jelenlegi számítógépes kapacitásokkal lehetetlen.
- A hozzászóláshoz be kell jelentkezni
De ha jelszóval le van védve a wallet, az sem segít?
- A hozzászóláshoz be kell jelentkezni
Ez már csak a trójai "tudásától" függ. Ha nem csak lemásolja a filet, hanem megvárja, amíg egyszer megnyitod jelszóval, akkor szintén hozzájut a bitcoinjaidhoz. De ha nem választasz elég erős jelszót, akkor is feltörhető "off-line".
- A hozzászóláshoz be kell jelentkezni
de ha a detektalas ilyen nehez, akkor a sophos hogyan ismerhette fel?
--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)
- A hozzászóláshoz be kell jelentkezni
Ők voltak ezúttal a leggyorsabbak akik felismerték és berakták a szekvenciáját az adatbázisukba. Egy nappal korábban még a Sophos sem ismerte fel.
- A hozzászóláshoz be kell jelentkezni
Érdekes: Windows vonalon tegnap délelőtt még csak négyen ismerték fel, ha jól láttam. Ma már... nem számoltam meg, de közel a felük. Engem csak az zavar, hogy az ilyen találatokat, amiket mindössze egy vagy két kereső vélt felismerni, eddig fals pozitívként kezeltem. Ezek után marad, hogy ilyenkor várok egy-két hetet és ismét megnézem?
Azért az hozzá tartozik, hogy eddig csak olyan találatokhoz volt szerencsém, ami hivatalos oldalról letöltött telepítőben (libreoffice, víruskereső) jelzett malware-t.
- A hozzászóláshoz be kell jelentkezni
"Azért az hozzá tartozik, hogy eddig csak olyan találatokhoz volt szerencsém, ami hivatalos oldalról letöltött telepítőben (libreoffice, víruskereső) jelzett malware-t."Az se garancia hogy hivatalos oldal,láttunk mi már olyat hogy így úgy de vírus/malware került telepítőbe.
- A hozzászóláshoz be kell jelentkezni
Tudom, hogy nem garancia, de azért van annak oka, hogy csak hivatalos forrásból szerzem be a használt programokat. :)
- A hozzászóláshoz be kell jelentkezni
Windows vonalon tegnap délelőtt még csak négyen ismerték fel, ha jól láttam.
Nem. Az OSX vonalon ismerte fel csak 4 antivirus, Windows vonalon kb. a fele, de sok fontos és népszerű víruskereső azok közül sem, mint az Avast, a ClamAV, vagy a Microsoft keresője.
Ezek után marad, hogy ilyenkor várok egy-két hetet és ismét megnézem?
Nem lehet ilyenben sem bízni. Ha nem tömeges terjesztés történik, hanem célzott támadások, akkor akár több évig is felismerhetetlen maradhat egy trójai/vírus. A 2010-ben felfedezett Stuxnetről is kiderült, hogy már 2007-ben is töltöttek fel egy korai verziójából mintát a Virustotalra, csak semmi sem ismerte fel.
Azért az hozzá tartozik, hogy eddig csak olyan találatokhoz volt szerencsém, ami hivatalos oldalról letöltött telepítőben (libreoffice, víruskereső) jelzett malware-t.
Nincs olyan, hogy "hivatalos", hacsak nincs aláírva digitálisan a telepítő, ami még mindig nem zárja ki, hogy az aláírás előtt nem módosíthatták illetéktelenek.
- A hozzászóláshoz be kell jelentkezni
"Nincs olyan, hogy "hivatalos", hacsak nincs aláírva digitálisan a telepítő, ami még mindig nem zárja ki, hogy az aláírás előtt nem módosíthatták illetéktelenek."
@HZ:
Lásd a Lenovo, ahol emlékeim szerint pár éve aláírt driverek tartalmaztak a weboldalukon fertőző kódot. Volt itt hír.
- A hozzászóláshoz be kell jelentkezni
Realtek és JMicron esetén is voltak hasonlók, csak ott ráadásul kiderült, hogy ellopták a cégektől a digitális aláíráshoz szükséges privát kulcsokat és azokkal írták alá a támadók a saját rootkitjeiket.
- A hozzászóláshoz be kell jelentkezni
Nem hülyéskedtem amikor azt írtam, hogy alig látok...
Esküdni mertem volna, hogy a windows-os listát nyitottam meg. :(
Egyébként egyre kevésbé tudom, mi a bánatot lehet kezdeni ezekkel a dolgokkal azon túl, hogy felkeresek egy dokit és megkérem, írjon valami gyógyszert paranoia ellen. :)
Hivatalos alatt értem, az adott szoftver "saját" oldalát (illetve az annak látszót - lásd pár napja a google DNS-ének eltérítése :D), ahogy pl. a libreoffice-t a libreoffice.org-ról szedem le, nem valamelyik szoftverterjesztésre szakosodott site-ról.
Aztán ha ilyenben talál valamit valamelyik kereső... akkor anyázhatok, hogy most valami szemetet töltöttem le vagy fals pozitív a riasztás. AVG-t pl. utálom ilyen szempontból, mert rengeteg fals pozitívnak látszó riasztást adott régebben. Azóta sem tudom, hogy valóban FP volt vagy olyasmit talált, amit másik három CD-ről bootoló kereső sem.
(akkoriban még nem ismertem a virustotalt)
- A hozzászóláshoz be kell jelentkezni