AV test - samozaštita

• 5Ovo se svidja korisnicima: ThePhilosopher, Springfield, Rogi, mcrule, djolew
  
  Registruj se da bi pohvalio/la poruku!

acafacaa ::Zato sto norton ima svoje ranjivosti naravno,upravo to sto si rekao je njegova renjivost(pokretanje malware-a iz rar-a)
Malware ne moze da se pokrene iz RARa bez da se raspakuje negde.

Citat:Ali bar je sposoban da detektuje svaki .exe nepoznati zero-hour malware koji na VT ima 0 out of 43 detection ratio,tako da za to daje domaci zadatak svima...
Ja ne bih nazvao detekcijom to pokazivanje prstom na svaki nepoznati EXE.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

bobby ::acafacaa ::Zato sto norton ima svoje ranjivosti naravno,upravo to sto si rekao je njegova renjivost(pokretanje malware-a iz rar-a)
Malware ne moze da se pokrene iz RARa bez da se raspakuje negde.

Citat:Ali bar je sposoban da detektuje svaki .exe nepoznati zero-hour malware koji na VT ima 0 out of 43 detection ratio,tako da za to daje domaci zadatak svima...
Ja ne bih nazvao detekcijom to pokazivanje prstom na svaki nepoznati EXE.

Ne mora da se raspakuje iz rar-a,moze da se pokrene malware dvoklikom direktno u rar-u.
A po meni je bolje da se nepoznati .exe aplikacije drze sto dalje od sistema dok ne stekne neku dobru reputaciju,nego da 90% populacija ima pune sisteme gamadi,to je moj stav,jer to ne moze da stvori problem sistemu kao sto moze nepoznati .exe fake XXX player koji ce enkriptivati sve fajlove u sistemu(navodim primer)

• 3Ovo se svidja korisnicima: ThePhilosopher, Springfield, mcrule
  
  Registruj se da bi pohvalio/la poruku!

Kad uradiš dvoklik u većini arhivera fajl se ekstraktuje u temp folder.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Citat:Ne mora da se raspakuje iz rar-a,moze da se pokrene malware dvoklikom direktno u rar-u.
... ali to sto je pokrenuto dvoklikom se ekstrahuje na TEMP folder.

@ bobby
Taj rad... Ako ne znas sta je - sankcionisi. A tu mu dodje gomila legitimnog (nepoznatog) softvera kao kolaterarna steta... I naravno, korisnik ce da stekne potpuno pogresne zakljucke...



btw. izuzetan clanak.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Sigurno norton nece da izoluje winlogon.exe u karantin,ili explorer,izolovace fajlove koji nisu stekli jos uvek nikakvu reputaciju,i o kojima se jos uvek ne zna dovoljno,dok se ne sazna,kada izgrade reputaciju onda moze da instalira.
U svakom slucaju,to sto korisnik skine i norton okarakterise kao malware,to ne moze da naskodi sistemu kao neki zero-hour ruski ransomware koga ce svaki av pustiti lagano u sistem samo zato sto ga nema u bazi,a koliko je samo takvih malware-a na netu,o tome da ne govorimo.

• 3Ovo se svidja korisnicima: Springfield, ThePhilosopher, mcrule
  
  Registruj se da bi pohvalio/la poruku!

acafacaa ::Ako nije radjeno malware-ima koji su u stanju da urade sve navedene napade,to za mene nije relevantno.

Kao što je već pomenuto, nije korišćen malware već legitimni programi.

Činjenica da nije korišćen malware ne znači mnogo jer postoji mnogo primeraka malware-a koji primenjuju neke od navedenih napada. Prosto, test se ne sastoji od nekih trikova ili exploita za određeni AV, već od godinama poznatih metoda za gašenje procesa i brisanje stavki u registru i na disku.

Praktično, svaka od korišćenih metoda napada je primenjiva i od strane malware-a i za svaku postoji malware koji je koristi.

Kao primer, test 3.01: "Hi, how are you?" FB trojan je restartovao mašinu u Safe Mode i tamo gazio AV.

Primer 2 (banker trojan): http://www.threatexpert.com/report.aspx?md5=67a4acf2a6745898b2608f9b609382be

Citat:The following Registry Keys were created:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Partizan

Partizan - legitiman driver (Greatis Software) <---------- Upotreba drivera za napad (3.04 i 3.05).

Citat:The following Registry Values were modified:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
BootExecute = 61 75 74 6F 63 68 65 63 6B 20 61 75 74 6F 63 68 6B 20 2A 00 61 48 64 71 45 50 61 6D 78 00

61 75 74 6F 63 68 65 63 6B 20 61 75 74 6F 63 68 6B 20 2A 00 61 48 64 71 45 50 61 6D 78 00

↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
Citat:autocheck autochk *
aHdqEPamx

Citat:The following files were created in the system:

%System%\aHdqEPamx.exe
3.03 Brisanje ... korišćenjem Native NT aplikacije


Da li sada test izgleda relevantnije?

acafacaa ::Zato ce neki av sa dodatnom zastitom uvek zaustaviti tako nesto nepoznato,tako da ne stigne ni da se se pokrene,a kamoli da uradi nesto.

Digitalno potpisan dropper koji instalira rootkit sa digitalno potpisanim file-om - za svaki HIPS će on biti trusted aplikacija i čak ni taj suludi Reputation sistem kod Nortona ga neće dirati.

Uvek?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Mislis na sony-jeve rootkite (kompanija sony) ili njima slicnim?

• 3Ovo se svidja korisnicima: dr_Bora, Rogi, mcrule
  
  Registruj se da bi pohvalio/la poruku!

Misli na mawlare poptisan COMODO-vim, DigiNotarovim i ostalim „ukradenim” digitalnim sertifikatima (mada je COMODO kao CA na lošem glasu zbog izdavanja sertifikata ni manje ni više nego tvorca malware-a).
http://nakedsecurity.sophos.com/2011/03/24/fraudul.....-we-trust/

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ja jos ne znam av koji ce uhvatiti potpisanu malicioznu aplikacuju...

• 2Ovo se svidja korisnicima: Springfield, mcrule
  
  Registruj se da bi pohvalio/la poruku!

Citat:Mislis na sony-jeve rootkite (kompanija sony) ili njima slicnim?
Ne, već mislim na pravi malware potpisan ukradenim sertifikatima ili onima izdatim od kompanija koje imaju tendenciju da brljave pri izdavanju sertifikata (Comodo je imao nekoliko "epizoda" sa izdavanjem potpisa autorima malware-a).


Primer (Stuxnet):




Edit: malo kasnim...