Poslao: 04 Dec 2011 21:03
|
offline
- bobby
![Male](https://www.mycity.rs/templates/simplified/images2/user-sex.gif)
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
acafacaa ::Zato sto norton ima svoje ranjivosti naravno,upravo to sto si rekao je njegova renjivost(pokretanje malware-a iz rar-a)
Malware ne moze da se pokrene iz RARa bez da se raspakuje negde.
Citat:Ali bar je sposoban da detektuje svaki .exe nepoznati zero-hour malware koji na VT ima 0 out of 43 detection ratio,tako da za to daje domaci zadatak svima...
Ja ne bih nazvao detekcijom to pokazivanje prstom na svaki nepoznati EXE.
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
Poslao: 04 Dec 2011 21:12
|
offline
- acafacaa
![Male](https://www.mycity.rs/templates/simplified/images2/user-sex.gif)
- Građanin
- Aleksandar
- Medicinski tehnicar
- Pridružio: 13 Nov 2011
- Poruke: 126
- Gde živiš: Bor
|
bobby ::acafacaa ::Zato sto norton ima svoje ranjivosti naravno,upravo to sto si rekao je njegova renjivost(pokretanje malware-a iz rar-a)
Malware ne moze da se pokrene iz RARa bez da se raspakuje negde.
Citat:Ali bar je sposoban da detektuje svaki .exe nepoznati zero-hour malware koji na VT ima 0 out of 43 detection ratio,tako da za to daje domaci zadatak svima...
Ja ne bih nazvao detekcijom to pokazivanje prstom na svaki nepoznati EXE.
Ne mora da se raspakuje iz rar-a,moze da se pokrene malware dvoklikom direktno u rar-u.
A po meni je bolje da se nepoznati .exe aplikacije drze sto dalje od sistema dok ne stekne neku dobru reputaciju,nego da 90% populacija ima pune sisteme gamadi,to je moj stav,jer to ne moze da stvori problem sistemu kao sto moze nepoznati .exe fake XXX player koji ce enkriptivati sve fajlove u sistemu(navodim primer)
|
|
|
|
|
Poslao: 04 Dec 2011 21:14
|
offline
- Fil
![Male](https://www.mycity.rs/templates/simplified/images2/user-sex.gif)
- Legendarni građanin
- Pridružio: 11 Jun 2009
- Poruke: 16586
|
Citat:Ne mora da se raspakuje iz rar-a,moze da se pokrene malware dvoklikom direktno u rar-u.
... ali to sto je pokrenuto dvoklikom se ekstrahuje na TEMP folder.
@ bobby
Taj rad... Ako ne znas sta je - sankcionisi. A tu mu dodje gomila legitimnog (nepoznatog) softvera kao kolaterarna steta... I naravno, korisnik ce da stekne potpuno pogresne zakljucke...
btw. izuzetan clanak.
|
|
|
|
Poslao: 04 Dec 2011 21:25
|
offline
- acafacaa
![Male](https://www.mycity.rs/templates/simplified/images2/user-sex.gif)
- Građanin
- Aleksandar
- Medicinski tehnicar
- Pridružio: 13 Nov 2011
- Poruke: 126
- Gde živiš: Bor
|
Sigurno norton nece da izoluje winlogon.exe u karantin,ili explorer,izolovace fajlove koji nisu stekli jos uvek nikakvu reputaciju,i o kojima se jos uvek ne zna dovoljno,dok se ne sazna,kada izgrade reputaciju onda moze da instalira.
U svakom slucaju,to sto korisnik skine i norton okarakterise kao malware,to ne moze da naskodi sistemu kao neki zero-hour ruski ransomware koga ce svaki av pustiti lagano u sistem samo zato sto ga nema u bazi,a koliko je samo takvih malware-a na netu,o tome da ne govorimo.
|
|
|
|
Poslao: 04 Dec 2011 21:51
|
offline
- dr_Bora
![Male](https://www.mycity.rs/templates/simplified/images2/user-sex.gif)
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
acafacaa ::Ako nije radjeno malware-ima koji su u stanju da urade sve navedene napade,to za mene nije relevantno.
Kao što je već pomenuto, nije korišćen malware već legitimni programi.
Činjenica da nije korišćen malware ne znači mnogo jer postoji mnogo primeraka malware-a koji primenjuju neke od navedenih napada. Prosto, test se ne sastoji od nekih trikova ili exploita za određeni AV, već od godinama poznatih metoda za gašenje procesa i brisanje stavki u registru i na disku.
Praktično, svaka od korišćenih metoda napada je primenjiva i od strane malware-a i za svaku postoji malware koji je koristi.
Kao primer, test 3.01: "Hi, how are you?" FB trojan je restartovao mašinu u Safe Mode i tamo gazio AV.
Primer 2 (banker trojan): http://www.threatexpert.com/report.aspx?md5=67a4acf2a6745898b2608f9b609382be
Citat:The following Registry Keys were created:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Partizan
Partizan - legitiman driver (Greatis Software) <---------- Upotreba drivera za napad (3.04 i 3.05).
Citat:The following Registry Values were modified:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
BootExecute = 61 75 74 6F 63 68 65 63 6B 20 61 75 74 6F 63 68 6B 20 2A 00 61 48 64 71 45 50 61 6D 78 00
61 75 74 6F 63 68 65 63 6B 20 61 75 74 6F 63 68 6B 20 2A 00 61 48 64 71 45 50 61 6D 78 00
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
Citat:autocheck autochk *
aHdqEPamx
Citat:The following files were created in the system:
%System%\aHdqEPamx.exe
3.03 Brisanje ... korišćenjem Native NT aplikacije
Da li sada test izgleda relevantnije?
acafacaa ::Zato ce neki av sa dodatnom zastitom uvek zaustaviti tako nesto nepoznato,tako da ne stigne ni da se se pokrene,a kamoli da uradi nesto.
Digitalno potpisan dropper koji instalira rootkit sa digitalno potpisanim file-om - za svaki HIPS će on biti trusted aplikacija i čak ni taj suludi Reputation sistem kod Nortona ga neće dirati.
Uvek?
|
|
|
|
Poslao: 04 Dec 2011 21:54
|
offline
- acafacaa
![Male](https://www.mycity.rs/templates/simplified/images2/user-sex.gif)
- Građanin
- Aleksandar
- Medicinski tehnicar
- Pridružio: 13 Nov 2011
- Poruke: 126
- Gde živiš: Bor
|
Mislis na sony-jeve rootkite (kompanija sony) ili njima slicnim?
|
|
|
|
|
Poslao: 04 Dec 2011 22:11
|
offline
- acafacaa
![Male](https://www.mycity.rs/templates/simplified/images2/user-sex.gif)
- Građanin
- Aleksandar
- Medicinski tehnicar
- Pridružio: 13 Nov 2011
- Poruke: 126
- Gde živiš: Bor
|
Ja jos ne znam av koji ce uhvatiti potpisanu malicioznu aplikacuju...
|
|
|
|
|