Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

08-02-2009, 13:01 door [Account Verwijderd], 10 reacties
[Verwijderd]
Reacties (10)
08-02-2009, 19:17 door Anoniem
Ik wil niet veel zeggen hoor maar Symantec had op 4 feb al een update de deur uit gedaan.http://www.symantec.com/en/uk/norton/security_response/writeup.jsp?docid=2009-020410-5338-99
08-02-2009, 19:56 door ctrlaltdelete
Virus-Doctor was al eerder bekend, zie deze mooie post + filmpje van een developer versie: http://www.bleepingcomputer.com/forums/topic200442.html

Nu gaat 't toevallig over Virus-Doctor, maar er verschijnt zoveel van die rommel elke dag dat je echt niet kunt zeggen dat een bepaald merk anti-virus nu beter is met het detecteren van de rogue's.

Zie maar;

Spywareremover 2009
http://www.virustotal.com/analisis/b31790e8247751d4be270e39d8d9db04

Antivirus 360
http://www.virustotal.com/analisis/e4f2abc3aeab569ae271e096523f0a57

MalwareRemovalBot
http://www.virustotal.com/analisis/76adc4d4730373356ca376e8062a6485

RegistryCleaner 2009
http://www.virustotal.com/analisis/70d1d4f9fa60f8d2df5cb223de3152c5

AdwarePro
http://www.virustotal.com/analisis/5d1f5ef0c95e8227a6141381749f3c3c

Content Cleaner
http://www.virustotal.com/analisis/9bbf270141f7c57f1261063425b45282

Spyware Nuker
http://www.virustotal.com/analisis/6f16874c573e0c903fed90cd2fced451

Er zijn natuurlijk nog veel meer voorbeelden met alweer andere resultaten op VirusTotal.

Als mensen een onbekend programma gaan installeren en dan ook nog gaan betalen omdat het totaal onbekende programma ze wijs maakt dat dat moet, dan ligt het probleem toch eerder bij die mensen dan bij de AV bedrijven die 't niet meer kunnen bijhouden met al die rogue rommel.
08-02-2009, 20:40 door Bitwiper
Wat deze software precies uitvreet weet ik niet, maar er zijn genoeg signalen dat het geen echte virusscanner is.

Informatie over de site waar je de software kunt downloaden vind je [url=http://www.robtex.com/dns/virus-doctor.com.html]hier[/url].

Een interessante passage uit de "End User License Agreement" waar je mee akkoord moet gaan voordat je downloadt:
C. Some of our products may be unsuited to run with other software. We have the right to uninstall incompatible products. We will notify our customers before uninstalling such products.
Ik heb de malware gedownload vanaf www.virus-doctor.com/download.php:
VirusDoctor.exe (1.708.770 bytes)
md5 = 82e6594e1d241f23eb2c524beecc9963
sha1 = c169761a9c8179a3dd4921f825b82a0b870d5b8f

Daarna deze uitgepakt met InnoUnpack (afkomstig van innounp.sf.net). Welke bestanden geïnstalleerd zouden worden vind je in [url=http://www.threatexpert.com/report.aspx?md5=82e6594e1d241f23eb2c524beecc9963]deze[/url] gedeeltelijke analyse, het programma zelf heette na "innounp" nog VDoctor.exe bij mij.

VDoctor.exe (1.388.032 bytes)
md5 = e05775cceef42b4df04d8ad4c53d1d25
sha1 = 36669841c846446437a58faed7ba9f28b5288301

Interessant: in deze [url=http://www.virustotal.com/nl/analisis/bc104fefe6e1f74468ab5fc2bbf2f21d]VirusTotal[/url] analyse van laatstgenoemde file herkent Sophos deze "FraudTool.Win32.VirusDoctor.a" niet! In totaal 4x detectie (AVG, Comodo, F-Secure en Kasperski) en 1x "suspicious" (eSafe).

Verder werd ondermeer een tekstbestand genaamd "vd952342.bd" uitgepakt. Dit bestand met ini formaat bevat beschrijvingen van 23 stuks malware die VirusDoctor kennelijk kan detecteren. Ik noem er enkele met hun omschrijvingen (die verderop in de file staan):

SignName2=Trojan-PSW.BAT.Cunter
SignName6=Trojan-PSW.Win32.Dripper
SignName19=Virus.BAT.Gray.705

SignDsc2=This trojan is trying to steal all your passwords for network.
SignDsc6=It's a application for Windows designed to steal users passwords. It's packed with UPX, written in Delphi.
SignDsc19=This is a dangerous nonmemory resident BAT infector. It writes itself to the end of C:\AUTOEXEC.BAT file.

Geen best Engels, en van nonmemory resident infectors die zichzelf appenden aan C:\AUTOEXEC.BAT word ik pas echt bang! ;)

Terug naar VDoctor.exe: deze kan worden uitgepakt met UPX (afkomstig van upx.sf.net) en is geschreven in Delphi (LOL, zie SignDsc6 hierboven - overigens staan er nog 2 omschrijvingen in "vd952342.bd" die Delphi vermelden).

In de executable zitten flink wat opvallende strings, ik noem er een aantal:
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
AppData
\Mozilla\Firefox\Profiles\
\prefs.js
...
"general.useragent.extra.firefox"
user_pref("general.useragent.extra.firefox", " Firefox ");
...
\cookies.sqlite
Select name,value,host From MAIN.[moz_cookies]
Waarom zou je de user agent string (momenteel bij mij "Firefox/3.0.6") willen vervangen door " Firefox "? Wellicht als een soort extra "password" als je naar hun site browsed (of automatisch om updates op te halen)?

Verder in de volgende post (mocht deze lange post niet in 1x plaatsen van security.nl)
08-02-2009, 20:46 door Bitwiper
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
ConsentPromptBehaviorAdmin
ConsentPromptBehaviorUser
EnableLUA
Wat ze hier precies mee doen weet ik niet, maar ik het zou me niet verbazen als onder Vista de "vervelende" UAC meldingen worden uitgezet (zie [url=http://computerperformance.co.uk/vista/ConsentPromptBehavior.htm]hier[/url] voor uitstekende uitleg).
Software\Microsoft\Internet Explorer\Download
CheckExeSignatures
RunInvalidSignatures
Mogelijk wordt hiermee gedrag van MSIE zo gewijzigd wordt dat je geen waarschuwingen meer krijgt als je unsigned executables downloadt en uitvoert (zie [url=http://technet.microsoft.com/en-us/library/cc783259.aspx]hier[/url]).

De volgende URL's komen er in voor (ik heb telkens http door hxxp vervangen):
hxxp://www.mitec.cz/
hxxp://vdocupdate.fdns.net/Instructions.ini
tds-soft.united-isystems.com
hxxp://virus-doctor.com/?
hxxp://virus-doctor.com/support.php?
hxxp://virus-doctor.com/help.php?
tds-soft.united-isystems.com
hxxp://pay-virusdoctor.com/index.php?
hxxp://vdocstat.co.cc/reports/install-report.php
hxxp://vdocstat.co.cc/reports/activate.php
hxxp://vdocstat.co.cc/reports/updates.php
hxxp://google.com
...
porno-gooutinfo-abxg.cn
privacy.info-oxxo.ca
finance.slook.ca
card.greed.cn
sex-cards.point.cn
porno-gooutinfo-abxg.ca
privacy.info-oxxo.cn
finance.slook.cn
card.greed.ca
sex-cards.point.ca
...
hxxp://pay-virusdoctor.com/index.php?
hxxp://virus-doctor.com/
tds-soft.united-isystems.com
www.webpayvault.com
Er zitten wel wat vreemde URL's tussen voor een antivirusprogramma... Vanaf www.mitec.cz zijn kennelijk (freeware) Delphi libraries gebruikt voor het analyseren van de PC (MiTeC System Information Storage File en MiTeC System Information Component Suite).

Wat verder opvalt is dat de programmeur overal back-quotes gebruikt waar de meeste westerlingen een quote zouden gebruiken, bijv. "Don`t run the program unless you know where it`s from or you`ve used it before".

Ook leuk is het volgende pad dat de programmeur kennelijk gebruikte bij het ontwikkelen van deze software:
D:\WORK\AdwareProjects\DeskTopWork\Cleaners\VirusDoctor\Skin\Skin_Defender\Packed

Ten slotte, het installeren van deze "VirusDoctor" in zakelijke omgevingen is kennelijk niet toegestaan, uit www.virus-doctor.com/legal.php:
Really legal stuff
...
The content of the site may be used exclusively for non-commercial, private purposes.
.
09-02-2009, 00:19 door Anoniem
@Bitwiper

Leuk stukje eigen onderzoek! :)
09-02-2009, 12:25 door [Account Verwijderd]
[Verwijderd]
09-02-2009, 12:56 door Anoniem
Op zich goed bedoeld, maar virustotal gebruikt enkel de signature, en als je al met iets moet rekening houden is dat je zeker geen programma moet kopen dat enkel daar op vertrouwd.
09-02-2009, 13:44 door Bitwiper
Dank voor de complimenten!

Door AnoniemOp zich goed bedoeld, maar virustotal gebruikt enkel de signature
Dat is onjuist. Als dat zo zou zijn zou je nooit generieke detecties of "suspicious" of "variant of" zien, en dat zie ik vaak genoeg. Ook heb ik nog nooit verschillen gezien tussen desktop scanners en virustotal resultaten (bij gelijke engine versie en AV-definities), maar eerlijkheidshalve ik moet daarbij vermelden dat ik natuurlijk lang niet alle scanners heb draaien.

Bovendien is een on-demand scan vaak grondiger dan een on-access scan omdat er "meer tijd" beschikbaar is (voor decryptie en evt. heuristisch onderzoek). Gebruikers houden er niet van als hun on-access scanner hun PC te veel vertraagt, en dit is dus ook iets waar in vergelijkende tests tussen AV-producten naar gekeken wordt. Dat betekent dus compromissen sluiten. Dat een on-demand scan van de hele schijf uren duurt vinden we over het algemeen niet erg.

Op één punt heb je wel gelijk: bij een on-demand scan heb je geen profijt van "behaviour-based-detection" (d.w.z. het monitoren van het gedrag van software nadat het is gestart). Maar persoonlijk ben je dan wat mij betreft te laat; als het om malware gaat kan deze al vanalles hebben uitgevroten voordat de virusscanner (evt. in combinatie met een firewall en/of anti-spyware) alarm slaat.

Voorbeeld: in de analyse hierboven lijkt het er sterk op dat Firefox instellingen worden gewijzigd, maar ook policies (o.a. ConsentPromptBehaviorAdmin). Ik kan me voorstellen dat uitgebreide intrusion detection software die policies key (en subkeys) in de gaten houdt, en alarm slaat op het moment dat malware dit probeert te wijzigen. Maar wie weet zijn op dat moment de firefox instellingen al gewijzigd door de malware; hoe zorg je ervoor dat dit weer hersteld wordt? In verreweg de meeste gevallen weet je niet wat er al aan je systeem is gewijzigd (met name als je als admin werkt is dit een groot risico).

Conclusie: virustotal is prima vergelijkbaar met een on-demand scan die je thuis uit zou voeren. In de praktijk is dat vaak grondiger dan on-access-scannen. Je mist dan wel de "behaviour-based-detection", maar persoonlijk vind ik zo'n detectie vooral een soort post-mortem alarm: "format and reinstall now", en daarmee de meerwaarde beperkt.
09-02-2009, 15:16 door [Account Verwijderd]
[Verwijderd]
09-02-2009, 19:41 door Anoniem
Malware-bestrijders hebben alleen bestaansrecht door de krankzinnige instellingen van het meeste gebruikte os ter wereld. En door het door en door slechte ontwerp daarvan, dat alles integreert en van RPC aan elkaar hangt. Zelfs op een werkstation heb je veelal de Server-service (opzich al compleet onzinnig) nodig om bepaalde instellingen te doen. Een OS waarop alle services als root draaien, en ook een brakke shell draaien met een gemeenschappelijke root, het is vragen om ellende. Ook in Windows 7 verandert deze basis niet maar worden er dingen omheen gebakken die de schijn van veiligheid moeten vergroten. Het is triest dat professionele automatiseerders hier niet doorheen prikken. En nog veel triester dat enorme hoeveelheden belastinggeld aan deze troep van kermis-kwaliteit opgaat. In feite is het erger dan triest: het is crimineel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.