Hledac selfextractu - Was Re: spusteni programu z pameti

Otázka od: Dalibor Toman

21. 9. 2004 7:57

DD,

On Monday, September 20, 2004 10:56 PM [CET], Petr Vones
<konference@petrvones.net> wrote:

> From: <david.kopecek@hacktrack.com>
>> mno ja bych rekl ze by to slo ale v ASM.. treba UPX to tak dela
>> rozbali aplikaci do pameti a pak ji pusti.. ale to je trochu
jine...
>
> UPX pouze "znici" puvodni soubor, spusti sebe a pak se snazi spustit
> puvodni rozbaleny obsah ve zcela zbytecne alokovane pameti.
Vysledkem
> je potencialni chybovost, pohrbeni celeho mechanismu strankovani a
> obrovske naroky na pamet. Neni od veci takove soubory oznacovat za
> zavirovane a smazat.


btw - nevi nekdo o jednoucelovem vyhledavaci (kratky na diskete
prenositelny soubor), ktery by se specializoval prave na hledani
souboru zapakovanych jako selfextract? Protoze prakticky vsechny viry
pouzivaji tuhle techniku a obcas se nasi zakaznici potykaji s viry,
ktere zadny 'bezny antivirovy prostredek' neni prave schopen
detekovat, mohl by ten hledac byt snadnou cestou k detekci novych viru
na disku (pokud se objevi selfextract v systemovem adresari tak je to
skoro tutovka). Nasledne odeslani vzorku AV firme by mohlo zkratit
dobu vydani prislusneho update virove databaze. Nechce se mi
analyzovat vsechny dostupne metody pouzivane ke kompresi execek ...


Dalibor Toman
Fortech s.r.o.



Odpovedá: Jerry

21. 9. 2004 8:43

Zdravim vespolek,
nerad bych zacal flamewar, ale nedovolim si nereagovat.

> btw - nevi nekdo o jednoucelovem vyhledavaci (kratky na diskete
> prenositelny soubor), ktery by se specializoval prave na hledani
> souboru zapakovanych jako selfextract? Protoze prakticky vsechny viry
> pouzivaji tuhle techniku a obcas se nasi zakaznici potykaji s viry,
> ktere zadny 'bezny antivirovy prostredek' neni prave schopen
> detekovat, mohl by ten hledac byt snadnou cestou k detekci novych viru
> na disku (pokud se objevi selfextract v systemovem adresari tak je to
> skoro tutovka).

Mozna by stalo za uvahu zmenit 'bezny antivirovy prostredek' za neco,
co funguje a zacit kompletne chranit firmu zakaznika.

 Nasledne odeslani vzorku AV firme by mohlo zkratit
> dobu vydani prislusneho update virove databaze. Nechce se mi
> analyzovat vsechny dostupne metody pouzivane ke kompresi execek ...
>
Existuji dalsi programy jako je AD-aware, Spybot , ktere hledaji v pocitaci
malware.
(Popripade HijackThis)

S pozdravem
Jaroslav Vorlicek


Odpovedá: Petr Vones

21. 9. 2004 11:26

From: "Dalibor Toman" <dtoman@fortech.cz>
> dobu vydani prislusneho update virove databaze. Nechce se mi
> analyzovat vsechny dostupne metody pouzivane ke kompresi execek ...

Vsechny tyto modifikovane soubory maji vetsinou poskozenou tabulku PE importu
a velmi nestandardne vypadajici seznam sekci v PE souboru ci prvni sekci ktera
neni readonly, takze je lze snadno analyzovat. Muzes treba pouzit metodu
TJclPeImage.IsBrokenFormat v JCL.

Petr Vones


Odpovedá: Dalibor Toman

21. 9. 2004 11:40

On Tuesday, September 21, 2004 9:25 AM [CET], Jerry
<jry2000@seznam.cz> wrote:

> Zdravim vespolek,
> nerad bych zacal flamewar, ale nedovolim si nereagovat.
>
>> btw - nevi nekdo o jednoucelovem vyhledavaci (kratky na diskete
>> prenositelny soubor), ktery by se specializoval prave na hledani
>> souboru zapakovanych jako selfextract? Protoze prakticky vsechny
viry
>> pouzivaji tuhle techniku a obcas se nasi zakaznici potykaji s viry,
>> ktere zadny 'bezny antivirovy prostredek' neni prave schopen
>> detekovat, mohl by ten hledac byt snadnou cestou k detekci novych
>> viru na disku (pokud se objevi selfextract v systemovem adresari
tak
>> je to skoro tutovka).
>
> Mozna by stalo za uvahu zmenit 'bezny antivirovy prostredek' za
neco,
> co funguje a zacit kompletne chranit firmu zakaznika.

hmm. Vazne si se nikdy nesetkal s tim, ze ani nekolik AV nebylo
schopno zadny vir nalezt? Nekdo musi dostat ty viry v prvni varce -
jeste pred tim, nez to AV firmy zaradi do databazi. Nebo snad existuje
nejaky vyrobce amtiviru, ktery ma kristalovou kouli?

Neznam AV reseni, ktere by bylo tak neprustrelne. A nezalezi na tom
kolik ma (nema) bodiku ve www.virusbtn.com


> Nasledne odeslani vzorku AV firme by mohlo zkratit
>> dobu vydani prislusneho update virove databaze. Nechce se mi
>> analyzovat vsechny dostupne metody pouzivane ke kompresi execek ...
>>
> Existuji dalsi programy jako je AD-aware, Spybot , ktere hledaji v
> pocitaci malware.
> (Popripade HijackThis)

to samozrejme vim, ale ja chci univerzalni utilitku, ktera se vejde na
disketu a nepotrebuje aktualizaci z Inetrnetu...


D. Toman


Odpovedá: Dalibor Toman

21. 9. 2004 11:55

On Tuesday, September 21, 2004 11:41 AM [CET], Petr Vones
<konference@petrvones.net> wrote:

> From: "Dalibor Toman" <dtoman@fortech.cz>
>> dobu vydani prislusneho update virove databaze. Nechce se mi
>> analyzovat vsechny dostupne metody pouzivane ke kompresi execek ...
>
> Vsechny tyto modifikovane soubory maji vetsinou poskozenou tabulku
PE
> importu a velmi nestandardne vypadajici seznam sekci v PE souboru ci
> prvni sekci ktera neni readonly, takze je lze snadno analyzovat.
> Muzes treba pouzit metodu TJclPeImage.IsBrokenFormat v JCL.
>

to vypada jako dobry napad...

Dik

Dalibor Toman



Odpovedá: Ludek ZITA

21. 9. 2004 12:44

 On Behalf Of Dalibor Toman
>
> hmm. Vazne si se nikdy nesetkal s tim, ze ani nekolik AV
> nebylo schopno zadny vir nalezt? Nekdo musi dostat ty viry v
> prvni varce - jeste pred tim, nez to AV firmy zaradi do
> databazi. Nebo snad existuje nejaky vyrobce amtiviru, ktery
> ma kristalovou kouli?
>
> Neznam AV reseni, ktere by bylo tak neprustrelne. A nezalezi
> na tom kolik ma (nema) bodiku ve www.virusbtn.com
>

Ahoj,
Taky je velmi dobre mit uzivatele ve skupine "USER" - to staci proti
vetsine viru.
Pokud ma nekdo BFU uzivatele ve skupine "Power User" nebo dokonce
"Administrators" pak mu obvykle nemuze pomoci vubec nic.
A navic je to zadarmo soucasti systemu  

Ludek


Odpovedá: david.kopecek@hacktrack.com

22. 9. 2004 10:32

Zdravim

J> nerad bych zacal flamewar, ale nedovolim si nereagovat.

>> btw - nevi nekdo o jednoucelovem vyhledavaci (kratky na diskete
>> prenositelny soubor), ktery by se specializoval prave na hledani
>> souboru zapakovanych jako selfextract? Protoze prakticky vsechny viry
>> pouzivaji tuhle techniku a obcas se nasi zakaznici potykaji s viry,
>> ktere zadny 'bezny antivirovy prostredek' neni prave schopen
>> detekovat, mohl by ten hledac byt snadnou cestou k detekci novych viru
>> na disku (pokud se objevi selfextract v systemovem adresari tak je to
>> skoro tutovka).

J> Mozna by stalo za uvahu zmenit 'bezny antivirovy prostredek' za neco,
J> co funguje a zacit kompletne chranit firmu zakaznika.

J> Nasledne odeslani vzorku AV firme by mohlo zkratit
>> dobu vydani prislusneho update virove databaze. Nechce se mi
>> analyzovat vsechny dostupne metody pouzivane ke kompresi execek ...

myslim ze volba kvalitniho antivirovenho software to resi...
--
S pozdravem,
 david
 david.kopecek@hacktrack.com


Odpovedá: Dalibor Toman

22. 9. 2004 13:02

On Tuesday, September 21, 2004 1:32 PM [CET], Ludek ZITA
<konference@sales.cz> wrote:

> On Behalf Of Dalibor Toman
>>
>> hmm. Vazne si se nikdy nesetkal s tim, ze ani nekolik AV
>> nebylo schopno zadny vir nalezt? Nekdo musi dostat ty viry v
>> prvni varce - jeste pred tim, nez to AV firmy zaradi do
>> databazi. Nebo snad existuje nejaky vyrobce amtiviru, ktery
>> ma kristalovou kouli?
>>
>> Neznam AV reseni, ktere by bylo tak neprustrelne. A nezalezi
>> na tom kolik ma (nema) bodiku ve www.virusbtn.com
>>
>
> Ahoj,
> Taky je velmi dobre mit uzivatele ve skupine "USER" - to staci proti
> vetsine viru.
> Pokud ma nekdo BFU uzivatele ve skupine "Power User" nebo dokonce
> "Administrators" pak mu obvykle nemuze pomoci vubec nic.
> A navic je to zadarmo soucasti systemu  

1)tohle nastaveni nezastavi viry, ktere se nesiri mailem ale primo
bezpecnostnimi chybami ve sluzbach nabizenych Microsoftem v kazdych
windows svetu k naboreni
2) vysvetli to vsem tem co pouzivaji Internet a strasne se divi, ze je
treba pravidelne stahovat zaplaty atd


Dalibor Toman