ClamAV, i jos neki, moraju na popravni ispit

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Jutros sam u jedan program koji radimo za AV Test ugradjivao podrsku za analizu ClamAV logova, i naisao sam na par zanimljivih stvari.

Tvorci ClamAV-a su se malo zeznuli dok su radili analize par crva koji su u zadnje vreme spopadali net. Napravili su jako pogresan signature (pricam ja njima vec neko vreme, ali me ne slusaju) za:
Worm.Bagle.BB-gen
Worm.Mytob.GH

Naime, za signature su uzeli deo koda koji ne pripada samom crvu, vec packeru kojim su doticni bili zapakovani.
Iz ovog razloga, svi programi koji su zapakovani PeX i MEW packerima ce biti identifikovani kao jedan od gorespomenutih crva.
Pazljivo sa brisanjem fajlova koje ClamAV nadje.

Jutros sam im poslao 4 fajla za primer, uz to sam im poslao i doticne pakere.
Za razliku od nekih koji su odgovarali u roku od par sati, ovi se igraju sa mojim strpljenjem...

Takodje zanimljivost vezana za ovaj AV (za koju neznam da li se moze svrstati u korisne ili ne):
ClamAV ima zavidno veliko prepoznavanje source fajlova virusa. Kada kazem zavidno veliko, onda mislim u odnosu na poznatije komercijalne programe.
Kao sto rekoh, neznam kakvu samo korist ima korisnik od ovoga.
Od programa za cije logove sam ugradjivao podrsku u nas spomenuti program, po kolicini prepoznatih source fajlova, lista 'uspesnosti' bi isla ovako:
1. FProt (Trial)
2. ClamAV
3. AVG i BitDefender (Free verzije)
4. KAV

Da napomenem da je prepoznavanje source fajlova od jako male vaznosti za kvalitet AV Programa, tako da ovo smatram samo opterecivanjem baze definicija (signatura).
Pod ovim podrazumevam VisualBasic source, Pascal/Delphi source, C/C++ i ASM source.
Zamislite da je jedan AV program prepoznavao Form fajlove kao trojance.
Programeri znaju da su fajlovi koji opisuju formu bezopasni, i da su irelevantni.
Najverovatnije je signature za neki virus bio zasnovan na nekom stringu, a taj string je deo forme doticnog trojanca.
Sada ulazimo u jos veci paradoks:
Imamo, znaci, source nekog trojanca, i isti se sastoji iz vise fajlova (forme, izvrsni kod, resource fajlovi...) od kojih je najbitniji (za nas) fajl koji sadrzi izvrsni kod (da ga tako nazovem), dok su resource i forma nebitni. Nas AV program ce da nas resi fajla forme, dok ce onaj u kome se nalazi izvrsni kod ostati neobrisan...

Ovo samo govori o tome sa kojom paznjom je neko pravio signature za neki virus.

Znam primer u kome se NAV-ov signature za jedan virus sastojao samo u prepoznavanju jednog jedinog slova na odredjenoj poziciji u fajlu.
Znate li koliki je tu potencijal za pravljenje laznih uzbuna, a i za egzekuciju neduznih fajlova?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Razvojni tim ClamAV'a nikada nije ni bio raspolozen za saradnju.
(Još od prošlog testa .. nekako mi se čini da su u nekoj ljušturi)
Mada nije ni bitno .. valjda će shvatiti šta si im poslao a pored toga i zašto.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Kako jedan takav razvojni tim koji radi na antivirusu moze da dozvoli takve sitnice? Ljudi rade na antivirusu koji ce ljudi da koriste da bi se zastitili a takve gluposti da im se dese.. To je krajnje neozbiljno..

@bobby
A ta dva crva sta radE? Jel imas nesto opsirnije o njima?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

http://www.viruslist.com/en/viruses/encyclopedia?virusid=78835
Worm.Bagle.BB-gen

http://www.google.com/search?hl=sr&rls=com.mic.....AV&lr=
Worm.Mytob.GH

google je besplatan