Altervedo’s Weblog

Web and tech

Αρχείο για Malware

9 Killdisk Virus/Trojan vs 25 Security Software

4 Ιουνίου, 2009 στο 1:06 μμ · Κατηγορία Antivirus, Firewalls, Έρευνες, Ασφάλεια, Malware, Software and tagged: , , , , , , , , , , , , , , ,

Ενδιαφέρον τέστ που συγκρίνει την απόδοση 25 προγραμμάτων ασφάλειας όταν ενεργοποιoύνται κάποια virus/trojan του τύπου killdisk. Απογοητευτική η απόδοση του Mamutu της a-squared ( για όσους γνωρίζουν λίγο πιο τεχνικά πράγματα το γεγονός δεν αποτελεί έκπληξη ), Comodo και Outpost ίσως πρέπει να αναθεωρήσουν τι θεωρούν ως ιδανική default installation και default settings, το Online Armor ως συνήθως άψογο ( αν και μάλλον δοκίμασαν την paid version – παρέχει μεγαλύτερη προστασία από την αντίστοιχη free ), Shadow Defenfer – έχει κερδίσει πραγματικά την εμπιστοσύνη εδώ και πάρα πολύ καιρό, Rollback Rx άλλο ένα όνομα που συνδέεται άμεσα με την ποιότητα, Threatfire πραγματικά καλό…ο κόσμος δεν το έχει εκτιμήσει όσο πρέπει…και η δωρεάν έκδοσή του ανήκει σίγουρα σε εκείνο που λέμε ιδανικό setup ασφάλειας. DefenseWall και Sandboxie…δεν έχω σχόλια, απόλυτα εργαλεία. Malware Defender πολύ καλό επίσης.

Σχόλια

Video: Kaspersky…conficker και άλλα

26 Απριλίου, 2009 στο 1:18 πμ · Κατηγορία Antivirus, Ασφάλεια, Malware, Privacy and tagged: , , , , , , ,

Λίγο για newbies ( δεν είναι κακό βέβαια ). Χρήσιμο βίντεο γενικώς. Εκπρόσωπος της Kaspersky μιλά σε βιντεο-συνέντευξη για το Conficker και απαντά σε ερωτήσεις για άλλα θέματα ασφάλειας στο Talking Shop του Hexus.Channel.

Σχόλια

Malware Tests, Malware Research Group Project #18

24 Απριλίου, 2009 στο 1:06 μμ · Κατηγορία Antivirus, Έρευνες, Ασφάλεια, Malware, Software and tagged: , , , , , , , , , , , , ,

Πρόσφατα δημοσιεύθηκε ένα τέστ 18 προγραμμάτων antivirus/anti-spyware από την MRG. Πρόκειται για ένα τεστ που δοκίμασε τα 18 προγράμματα σε ένα on-demand test εναντίον 395.844 malwares. Τα αποτελέσματα περίπου αναμενόμενα, σχετική εντύπωση προκαλεί η δεύτερη θέση του a-squared ( με την προσθήκη και των signatures του Ikarus antivirus έχει γίνει πραγματικά δυνατό, αν και πολλοί παραπονιούνται για αυξημένο αριθμό false positives ). To antivirus της γερμανικής Avira σταθερά στην κορυφή ( σχεδόν πάντα πρώτο ή σε κορυφαία θέση), ενώ οι big όπως Norton και Kaspersky βρίσκονται παραδοσιακά κάπου εκεί στις πρώτες θέσεις. Το antivirus της GData δικαιολογεί τη χρήση δύο μηχανών antivirus με τη θέση που καταλαμβάνει. NOD32, Mcafee και F-Secure…θα περίμενα κάτι καλύτερο.

Χρήσιμο είναι να πούμε ότι τα τεστ αυτά δεν είναι η απόλυτη αλήθεια. Συχνά δε γνωρίζουμε πόσο σοβαρή είναι η εταιρία που τα δημοσιεύει, πόσο αντικειμενική είναι καθώς και αν έχει το απαιτούμενο επιστημονικό προσωπικό για να την ολοκλήρωση τέτοιων δοκιμών ( απαιτούνται αυξημένες γνώσεις στατιστικής και φυσικά αυξημένη γνώση των θεμάτων ασφάλειας, αλλά και των διαφόρων προϊόντων που δοκιμάζονται ).

Το τεστ μπορείτε να το διαβάσετε στη σελίδα: http://malwareresearchgroup.com/?page_id=2

Σχόλια

The Rise of MBR Rootkits

19 Απριλίου, 2009 στο 8:51 μμ · Κατηγορία Antivirus, Ασφάλεια, Malware and tagged: , , , , , ,

Κάποιοι από εσάς θα γνωρίζουν ήδη για μια νέα απειλή που κυκλοφορεί και η οποία ακούει στο όνομα MBR Rootkit aka Mebroot. Πρόκειται για ένα malware που κρύβεται στο Master Boot Record του σκληρού σας. Η ιδέα δεν είναι καινούρια, ωστόσο οι τεχνικές που χρησιμοποιεί το malware αυτό είναι εξαιρετικά μοντέρνες. Το MebRoot εμφανίστηκε με μια πρώτη έκδοση το 2007, ενώ κατά τη διάρκεια του 2008 εμφανίστηκε μια νέα έκδοση και η οποία φαίνεται να παρουσιάζει σημαντική διάδοση.

Σημαντικό στην όλη ιστορία είναι ότι τα περισσότερα προγράμματα ασφάλειας, όπως antivirus και anti-rootkits, μόνο πρόσφατα άρχισαν να το εντοπίζουν.

Σας προτείνω να διαβάσετε μια σχετική μελέτη που εξέδωσαν από κοινού η Symantec και η F-Secure. Πρόκειται για ένα αρχείο PDF που μπορείτε να το διαβάσετε στη διεύθυνση http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/your_computer_is_now_stoned.pdf

Σχόλια

Προστατέψτε…ό,τι πληκτρολογείτε

18 Απριλίου, 2009 στο 1:56 μμ · Κατηγορία Browsers, Firewalls, hackers, Ασφάλεια, Δωρεάν, Δωρεάν Software, Malware, Privacy, Windows and tagged: , , , , , , , , , , , , , , ,

Είναι καιρός που έγινε της μόδας να έχουμε κάποιο anti-keylogging πρόγραμμα στο pc μας. Βέβαια, χρήστες που είχαν και έχουν ιδιαίτερη ευαισθησία για την ασφάλειά τους και ειδικότερα για την ασφάλεια δεδομένων, εδώ και χρόνια φροντίζουν να μην πέσουν θύματα των keyloggers με διάφορους τρόπους.

Αλλά ας δούμε λίγο τι είναι το είδος malware που ακούει στο όνομα keylogger. Στην πραγματικότητα λέμε ότι ένα πρόγραμμα διαθέτει λειτουργίες keylogging, δηλαδή καταγραφής των χαρακτήρων που ανταποκρίνονται σε χτυπήματα στα πλήκτρα. Ένα keylogger δεν είναι εξ’ορισμού malware. Διάφορα νόμιμα και παντελώς αθώα προγράμματα παρακολουθούν το τι πληκτρολογούμε για να ξεκινήσουν αν χρειαστεί συγκεκριμένες ρουτίνες ή λειτουργίες. Για παράδειγμα το πρόγραμμα που ελέγχει την usb tv σας, παρακολουθεί το πληκτρολόγιο ώστε αν πατηθεί κουμπί που αντιστοιχεί σε λειτουργία του, π.χ. αλλαγή καναλιού, να πραγματοποιήσει τη συγκεκριμένη λειτουργία.

Στο σημείο αυτό μπορούμε να ξεκαθαρίσουμε τη διαφορά ενός malware που διαθέτει λειτουργίες keylogging και ενός οποιουδήποτε άλλου προγράμματος που παρακολουθεί το πλήκτρολόγιο για να εκτελέσει λειτουργίες. Το malware keylogger, συλλέγει τα δεδομένα που εισάγουμε μέσω πληκτρολογίου και συνήθως τα αποστέλλει σε servers online, διαμέσω των οποίων τα δεδομένα μας καταλήγουν στα χέρια ατόμων που στις περισσότερες περιπτώσεις θα τα χρησιμοποιήσουν για απάτες, των οποίων θύματα μπορεί να πέσουμε εμείς οι ίδιοι ή και τρίτοι. Σε αντίθεση, όλα τα άλλα νόμιμα προγράμματα, όπως είπα και πιο πάνω, καταγράφουν στιγμιαία το τι πληκτρολογούμε για την εκτέλεση λειτουργιών.

Στην πραγματικότητα οι keyloggers είναι μια ευρύτερη κατηγορία malware που τα τελευταία χρόνια έχουν αποκτήσει εξελιγμένες λειτουργίες και «γνώση» του γεγονότος ότι το pc δεν είναι μόνο πληκτρολόγιο, αλλά ένα πολύπλοκο οπτικο-ακουστικό σύστημα. Έτσι, καίτοι τα ονομάζουμε απλά keyloggers, δηλαδή καταγραφείς πλήτρων (πληκτρολόγησης), στις μέρες μας τα malware keyloggers φροντίζουν να μας κατασκοπεύουν μέσω της webcam, παρακολουθώντας το clipboard των windows, «τραβώντας» κατά τακτά διαστήματα screenshots του desktop μας, παρακολουθώντας τα clicks του mouse μας και φυσικά το πληκτρολόγιό μας.

Πώς μπορούμε να προστατευτούμε; Σε κάθε περίπτωση πρέπει να ξεκαθαρίσουμε ότι το antivirus και το firewall που συναντάμε στα περισσότερα pc χρηστών, στις περισσότερες περιπτώσεις δε θα σας βοηθήσουν. Ή για να το θέσω πιο σωστά, το antivirus θα σας βοηθήσει αν το malware είναι γνωστό και το signature του έχει προστεθεί στη βάση δεδομένων του. Επίσης ίσως να πιάσει κάτι αν διαθέτει εντοπισμό διαμέσου heuristics και έχετε ρυθμίσει σωστά την ευαισθησία του μηχανισμού. Το κλασσικό firewall…μπορεί να σας ενημερώσει για κάποια επικοινωνία προς τον έξω κόσμο..ωστόσο…θα μπορούσατε άνετα να πατήσετε να επιτραπεί η ενέργεια, μιας και η ειδοποίηση του firewall μπορεί να μην σας δώσει να καταλάβετε για το τι ακριβώς πρόκειται, αλλά ας μην ξεχνάμε ότι συχνά malware keyloggers εμφανίζονται και σαν νόμιμες εφαρμογές. Επίσης, αν το malware δεν είναι ένα καθαρό keylogger αλλά διαθέτει άλλες μολυσματικές ιδιότητες, τότε πιθανότατα θα φροντίσει να επικοινωνήσει με τον έξω κόσμο, χρησιμοποιώντας κάποιο μολυσμένο αρχείο του συστήματος ή κάνοντας inject κώδικα σε κάποια εφαρμογή για την οποία έχετε ήδη δώσει άδεια, μέσω του firewall, να έχει πρόσβαση στο internet.

Συνεπώς το antivirus μόνο του…ειδικά αν πρόκειται για πρόσφατη ή 0day απειλή είναι μάλλον αδύνατον να σας προστατέψει. Το firewall, αν είναι ένα κλασσικό firewall, πιθανότατα και αυτό θα κάνει νανάκια.

Τι χρειαζόμαστε λοιπόν; Απαραίτητη, όχι μόνο για τους keyloggers αλλά γενικότερα για την προστασία από κάθε είδος malware, είναι η real time προστασία από ένα πρόγραμμα τύπου HIPS. Δηλαδή, Host based Intrusion Prevention System. Πρόκειται για εφαρμογές που παρακολουθούν τις ενέργειες που εκτελούνται στο σύστημα. Αν οι ενέργειες αυτές διαπιστωθεί ότι έχουν ως σκοπό την «αλλοίωση» του συστήματος, με βάση προκαθορισμένους κανόνες, κανόνες που έθεσε ο διαχειριστής του συστήματος ή με βάση την ανάλυση της συμπεριφοράς μιας εφαρμογής ( αν το HIPS σας δουλεύει και ως behaviour based anti-malware ), τότε, μπλοκάρετε η εκτέλεση της εφαρμογής και η αποφυγή μιας μόλυνσης ή της παρακολούθησής μας στην περίπτωση των keyloggers.

Στις μέρες μας οι πιο γνωστές και αξιόλογες εφαρμογές τύπου firewall (ή security suites) διαθέτουν και κάποιο HIPS component. Συνεπώς, φρόνιμο είναι να ελέγξετε αν το firewall σας διαθέτει λειτουργίες HIPS ( πιθανότατα θα το έχετε καταλάβει ήδη μιας και θα διαπιστώσατε ότι σας «ενοχλεί» με μηνύματα που δεν αφορούν μόνο την πρόσβαση στο internet ). Αν το firewall σας δε διαθέτει HIPS, μπορείτε να προσθέσετε στο σύστημά σας κάποιο καθαρό HIPS ή να περάσετε σε ένα firewall με HIPS. Θα ήθελα να τονίσω, ότι συχνά free versions εμπορικών firewalls…περιορίζουν τις δυνατότητες του HIPS τους ή κάνουν δυσκολότερη τη ρύθμισή του.

Μια άλλη επιλογή για την προστασία σας είναι τα λεγόμενα behaviour based anti-malware. Δηλαδή προγράμματα που επεμβαίνουν για τον τερματισμό ή διακοπή εκτέλεσης μιας εφαρμογής μετά από ανάλυση της συμπεριφοράς της. Αν η συμπεριφορά της χαρακτηρίζεται από «κινήσεις» που μπορεί να θεωρηθούν ύποπτες για την ασφάλεια τους συστήματος…τότε το πρόγραμμα επεμβαίνει αυτόματα για τον τερματισμό της ύποπτης εφαρμογής ή σας ρωτά για το τι πρέπει να κάνει.

Συχνά HIPS και behaviour based anti-malware μπλέκονται και έτσι θα συναντήσετε προγράμματα που συνδυάζουν και τις δύο μεθόδους προστασίας.

Για μια πιο extra ή αν θέλετε…πιο εξειδικευμένη προστασία…μπορείτε παράλληλα να εγκαταστήσετε κάποιο εξειδικευμένο anti-keylogger πρόγραμμα. Όχι πως το HIPS σας στις περισσότερες περιπτώσεις δεν είναι αρκετό. Αλλά αν νοιώθετε την ανάγκη για το επιπλέον, τότε σας χρειάζετε ένα anti-keylogger. Δε θέλω να προτείνω κάποιο μιας και για να το κάνω…θα πρέπει να έχω ποιοτικά στοιχεία για κάποια από αυτά. Το να κρίνετε γενικότερα τα προγράμματα ασφάλειας, δεν είναι εύκολο και επιπλέον το web είναι γεμάτο με μη αντικειμενικές και μη εξειδικευμένες γνώμες. Οπότε, στην περίπτωση των anti-keyloggers δεν είμαι σε θέση να σας προτείνω κάτι. Θα μπορούσα να το κάνω…ίσως ακολουθώντας κάποια τάση ή μόδα…αλλά τότε δε θα ήμουν σοβαρός απέναντί σας. Προσωπικά δε χρησιμοποιώ κάποιο anti-keylogger.

Έχω ωστόσο να σας προτείνω κάτι απλό και δωρεάν…δεν είναι ολοκληρωμένο anti-keylogger πρόγραμμα…δεν τρώει πηγές από το σύστημά σας και πιστεύω ότι καλό είναι να υπάρχει στο οπλοστάσιό σας. Πρόκειται για το Κeyscrambler Personal. Είναι δωρεάν, προστατεύει μόνο ό,τι πληκτρολογείτε μέσα στον Firefox, Internet Explorer και Flock. To Keyscrambler κρυπτογραφεί τα πατήματα των πλήκτρων σε άμεση επικοινωνία με τους drivers του πληκτρολογίου σε επίπεδο kernel. Η κρυπτογράφηση αυτή με τη χρήση του συγκεκριμένου μηχανισμού είναι ικανή να σας προστατεύσει κατά ένα μεγάλο ποσοστό. Στον τομέα της ασφάλειας των υπολογιστών ποτέ κάτι δεν είναι σίγουρο, μιας και οι δημιουργοί των malware βρίσκουν συνεχώς νέους τρόπους για να αποφύγουν ή να προηγηθούν των προγραμμάτων ασφάλειας.

Ωστόσο, το να έχετε το Keyscrambler Personal εγκατεστημένο στον υπολογιστή σας σίγουρα δε βλάπτει. Το αντίθετο, υπάρχει περίπτωση να σας σώσει κάποια στιγμή. Ειδικότερα, συνδυασμένο με κάποιο καλό antivirus, firewall, HIPS και behaviour based anti-malware μπορεί αποτελέσει ένα ακόμα σημαντικό κομματάκι στο pazzle της ασφάλειας του pc σας.

Το Keyscrambler Personal μπορεί να εγκατασταθεί ως πρόγραμμα, οπότε προστατεύει την πληκτρολόγηση στα παράθυρα των Firefox, Internet Explorer και Flock, είτε ως Firefox addon, οπότε ενεργοποιείται μόνο με το άνοιγμα του Firefox.

Τέλος, θα ήθελα να τονίσω…ότι όλα αυτά για τα οποία μιλάμε καταντούν σχεδόν ανούσια αν χρησιμοποιείτε, από την αρχή που στήσατε το σύστημά σας, κάποιο πρόγραμμα που διαμέσω ενός virtual environment φροντίζει για την ασφάλειά σας. Μιλάω για προγράμματα τύπου Sandboxie…ή ακόμα καλύτερα τύπου Shadow Defender. Κατά τη γνώμη μου η απόλυτη μέθοδος για την ασφάλειά μας στις μέρες μας. Για αυτά θα μιλήσω κάποια άλλη στιγμή.

Σχόλια

Μία νέα μολυσμένη σελίδα κάθε 5 δευτερόλεπτα

23 Απριλίου, 2008 στο 9:05 πμ · Κατηγορία hackers, Έρευνες, Ασφάλεια and tagged: , , , , , , ,

Σύφωνα με ανάλυση της Sophos, κάθε 5 δευτερόλεπτα ανακαλύπτεται μια web page που περιέχει malware. Οι σελίδες αυτές συνήθως ( σε ποσοστό 79% ) ανήκουν σε κανονικά web sites, τα οποία έπεσαν θύματα κάποιου hacker. Συνεπώς, σιγά σιγά, αρχίζει να καταρρίπτεται ο μύθος που λέει ότι κάποιος δεν κινδυνεύει αν δεν επισκέπτεται «περίεργες» ιστοσελίδες, ή σελίδες με warez, porn, cracks, keygens και παρόμοια. Μπορεί οποιαδήποτε στιγμή να επισκευθείτε μια σελίδα που επισκέπτεστε χρόνια χωρίς προβλήματα και να βρεθείτε μολυσμένοι.

Η Sophos εντόπισε πάνω από 15000 μολυσμένες σελίδες από την 1η Ιανουαρίου 2008 έως τέλος Μαρτίου.

Οι Ηνωμένες Πολιτείες είναι η νούμερο 1 χώρα στη φιλοξενία τέτοιων σελίδων με ποσοστό 42%, δεύτερη έρχεται η Κίνα με 30.1% και τρίτη η Ρωσσία με 10.1%.

Όπως μπορείτε να δείτε και από την πιο πάνω εικόνα, πάνω από 50% των μολυσμένων σελίδων περιέχουν τα Mal/Iframe και Mal/ObfJS.

Από την αναφορά της Sophos προκύπτει ότι τα email μας γενικώς έγιναν αρκετά πιο ασφαλή. Στο πρώτο τετράμηνο του 2008 παρατηρήθηκε σημαντική μείωση των μολυσμένων emails, με 1 στα 2500 να είναι μολυσμένο το 2008 σε αντίθεση με το 1 στα 909 το 2007. Ωστόσο, το 92.3% των emails είναι spam. Μπορεί να μην μας μολύνουν αλλά μετατρέπουν τους λογαριασμούς email μας σε χωματερές ( βέβαια τα spam filters κάνουν τη δουλειά τους, οπότε γενικώς το Inbox μας είναι αρκετά καθαρό ).

Σύμφωνα με τη Sophos τα περισσότερα spam emails ξεκινούν από servers που βρίσκονται στην Αμερική, ενώ εντύπωση προκαλεί η τρίτη θέση της Τουρκίας με ποσοστό 5.9%. Φανταστείτε ότι η Τουρκία είναι πιο spam χώρα και από την Κίνα.

Μπορείτε να διαβάσετε ολόκληρη την έκθεση στο αρχείο pdf: Sophos Security Threat Report Q1 2008

Σχόλια

Τα malware παράγουν τέχνη

12 Απριλίου, 2008 στο 9:50 πμ · Κατηγορία Malware and tagged: , , ,

Με τη χρήση των ανιχνεύσεων της MessageLabs και τον αλγόριθμο που έγραψε ο Alex Dragulescu, ο κώδικας των malware και των phishing emails αποκτά μορφή. Οι εικόνες που προκύπτουν από την ανίχνευση και επεξεργασία επαναλαμβανόμενων patterns στον κώδικα των malware, όχι μόνο αποτελούν μια μορφή τέχνης, αλλά παρέχουν και μια βασική ιδέα για τον τρόπο λειτουργίας ενός malware. Έτσι, για παράδειγμα, στην εικόνα (ένα ακραίο παράδειγμα), μπορείτε να δείτε τον ιό Parite με τα πλοκάμια του γύρω από το worm NetSky. Πράγματι βασικό χαρακτηριστικό του Parite είναι ότι «τυλίγεται» γύρω από όλα τα executables αρχεία και εκτελείται με την έναρξη οποιουδήποτε προγράμματος.
PariteΗ μόνη ανρώπινη επέμβαση στην αναπαράσταση των ιών (εντάξει άνθρωπος έγραψε και τον αλγόριθμο) είναι η επιλογή χρωμάτων, η θέση της κάμερας και effects που αφορούν το φως.

Για περισσότερες εικόνες και παραδείγματα επισκευθείτε τη σελίδα του Wired.com: Visualizing Viruses

Comments (1)