AV test - samozaštita

4

AV test - samozaštita

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

acafacaa ::Zato sto norton ima svoje ranjivosti naravno,upravo to sto si rekao je njegova renjivost(pokretanje malware-a iz rar-a)
Malware ne moze da se pokrene iz RARa bez da se raspakuje negde.

Citat:Ali bar je sposoban da detektuje svaki .exe nepoznati zero-hour malware koji na VT ima 0 out of 43 detection ratio,tako da za to daje domaci zadatak svima...
Ja ne bih nazvao detekcijom to pokazivanje prstom na svaki nepoznati EXE.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Aleksandar
  • Medicinski tehnicar
  • Pridružio: 13 Nov 2011
  • Poruke: 126
  • Gde živiš: Bor

bobby ::acafacaa ::Zato sto norton ima svoje ranjivosti naravno,upravo to sto si rekao je njegova renjivost(pokretanje malware-a iz rar-a)
Malware ne moze da se pokrene iz RARa bez da se raspakuje negde.

Citat:Ali bar je sposoban da detektuje svaki .exe nepoznati zero-hour malware koji na VT ima 0 out of 43 detection ratio,tako da za to daje domaci zadatak svima...
Ja ne bih nazvao detekcijom to pokazivanje prstom na svaki nepoznati EXE.


Ne mora da se raspakuje iz rar-a,moze da se pokrene malware dvoklikom direktno u rar-u.
A po meni je bolje da se nepoznati .exe aplikacije drze sto dalje od sistema dok ne stekne neku dobru reputaciju,nego da 90% populacija ima pune sisteme gamadi,to je moj stav,jer to ne moze da stvori problem sistemu kao sto moze nepoznati .exe fake XXX player koji ce enkriptivati sve fajlove u sistemu(navodim primer)



offline
  • Pridružio: 26 Avg 2010
  • Poruke: 10622
  • Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building

Kad uradiš dvoklik u većini arhivera fajl se ekstraktuje u temp folder. Wink

offline
  • Fil  Male
  • Legendarni građanin
  • Pridružio: 11 Jun 2009
  • Poruke: 16586

Citat:Ne mora da se raspakuje iz rar-a,moze da se pokrene malware dvoklikom direktno u rar-u.
... ali to sto je pokrenuto dvoklikom se ekstrahuje na TEMP folder.

@ bobby
Taj rad... Ako ne znas sta je - sankcionisi. A tu mu dodje gomila legitimnog (nepoznatog) softvera kao kolaterarna steta... I naravno, korisnik ce da stekne potpuno pogresne zakljucke...



btw. izuzetan clanak. Ziveli

offline
  • Aleksandar
  • Medicinski tehnicar
  • Pridružio: 13 Nov 2011
  • Poruke: 126
  • Gde živiš: Bor

Sigurno norton nece da izoluje winlogon.exe u karantin,ili explorer,izolovace fajlove koji nisu stekli jos uvek nikakvu reputaciju,i o kojima se jos uvek ne zna dovoljno,dok se ne sazna,kada izgrade reputaciju onda moze da instalira.
U svakom slucaju,to sto korisnik skine i norton okarakterise kao malware,to ne moze da naskodi sistemu kao neki zero-hour ruski ransomware koga ce svaki av pustiti lagano u sistem samo zato sto ga nema u bazi,a koliko je samo takvih malware-a na netu,o tome da ne govorimo.

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

acafacaa ::Ako nije radjeno malware-ima koji su u stanju da urade sve navedene napade,to za mene nije relevantno.

Kao što je već pomenuto, nije korišćen malware već legitimni programi.

Činjenica da nije korišćen malware ne znači mnogo jer postoji mnogo primeraka malware-a koji primenjuju neke od navedenih napada. Prosto, test se ne sastoji od nekih trikova ili exploita za određeni AV, već od godinama poznatih metoda za gašenje procesa i brisanje stavki u registru i na disku.

Praktično, svaka od korišćenih metoda napada je primenjiva i od strane malware-a i za svaku postoji malware koji je koristi.

Kao primer, test 3.01: "Hi, how are you?" FB trojan je restartovao mašinu u Safe Mode i tamo gazio AV.

Primer 2 (banker trojan): http://www.threatexpert.com/report.aspx?md5=67a4acf2a6745898b2608f9b609382be

Citat:The following Registry Keys were created:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Partizan


Partizan - legitiman driver (Greatis Software) <---------- Upotreba drivera za napad (3.04 i 3.05).

Citat:The following Registry Values were modified:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
BootExecute = 61 75 74 6F 63 68 65 63 6B 20 61 75 74 6F 63 68 6B 20 2A 00 61 48 64 71 45 50 61 6D 78 00


61 75 74 6F 63 68 65 63 6B 20 61 75 74 6F 63 68 6B 20 2A 00 61 48 64 71 45 50 61 6D 78 00

↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
Citat:autocheck autochk *
aHdqEPamx


Citat:The following files were created in the system:

%System%\aHdqEPamx.exe

Arrow 3.03 Brisanje ... korišćenjem Native NT aplikacije


Da li sada test izgleda relevantnije?

acafacaa ::Zato ce neki av sa dodatnom zastitom uvek zaustaviti tako nesto nepoznato,tako da ne stigne ni da se se pokrene,a kamoli da uradi nesto.

Digitalno potpisan dropper koji instalira rootkit sa digitalno potpisanim file-om - za svaki HIPS će on biti trusted aplikacija i čak ni taj suludi Reputation sistem kod Nortona ga neće dirati.

Uvek?

offline
  • Aleksandar
  • Medicinski tehnicar
  • Pridružio: 13 Nov 2011
  • Poruke: 126
  • Gde živiš: Bor

Mislis na sony-jeve rootkite (kompanija sony) ili njima slicnim?

offline
  • Pridružio: 26 Avg 2010
  • Poruke: 10622
  • Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building

Misli na mawlare poptisan COMODO-vim, DigiNotarovim i ostalim „ukradenim” digitalnim sertifikatima (mada je COMODO kao CA na lošem glasu zbog izdavanja sertifikata ni manje ni više nego tvorca malware-a).
http://nakedsecurity.sophos.com/2011/03/24/fraudul.....-we-trust/

offline
  • Aleksandar
  • Medicinski tehnicar
  • Pridružio: 13 Nov 2011
  • Poruke: 126
  • Gde živiš: Bor

Ja jos ne znam av koji ce uhvatiti potpisanu malicioznu aplikacuju...

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

Citat:Mislis na sony-jeve rootkite (kompanija sony) ili njima slicnim?
Ne, već mislim na pravi malware potpisan ukradenim sertifikatima ili onima izdatim od kompanija koje imaju tendenciju da brljave pri izdavanju sertifikata (Comodo je imao nekoliko "epizoda" sa izdavanjem potpisa autorima malware-a).


Primer (Stuxnet):




Edit: malo kasnim...

Ko je trenutno na forumu
 

Ukupno su 899 korisnika na forumu :: 3 registrovanih, 0 sakrivenih i 896 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: Battlehammer, lord sir giga, Živković