Indepartare virusi

SorinK

Buna ziua.

Daca un virus adauga codul sau la diverse programe de ce este nevoie de o definitie pentru a fi indepartat?

Un program de monitorizare al acestor adaugari si rollback ar trebuii sa il indeparteze fara sa fie nevoie de definitii.

Sa luam cazul unui nou virus.

La inceput Bitdefender Next Generation intreaba daca utilizatorul a facut update la Windows sau un alt program si ii afiseaza fisierele cu adaugiri, constatate in urma activitatii virusului.

Acesta zice ca nu a facut.

Atunci un utilitar al Bitdefender pe rand indeparteaza noul cod pentru ca primul a vazut ceea ce anume a fost adaugat nou.

Virusul avand codul mai mic decat fisierele respective nu e cazul sa compare cu un back-up, doar sa monitorizeze corespunzator privind adaugirile de cod.

Daca sar putea asa ceva nu ar mai fi nevoie nici de emulare pt depistarea noilor virusi si nici de definitii f repede.

Ar fi insa nevoie de definitii pentru a indeparta ce este trecut in registrii insa virusul ar fi tinut sub control.

Este necesar si ca procesul de monitorizare si rollback sa fie la la un nivel high ca prioritate pentru procesor, ca sa poata fi mai rapid decat virusul.

Probabil si fisierul de baza al virusului poate fi recunosc de aplicatia de monitorizare, daca se pleaca de la prezumtia ca infectarea a inceput odata cu lansarea fisierului infectat, nu la o data ulterioara si atunci aplicatia de monitorizare ii indica utilizatorului, ce fisier sa trimita pentru analiza.

E ceva bun in ideea mea?

Va multumesc.

AndreiASM

Teoretic, ideea este buna. Trebuie insa sa privim in ansamblu. De exemplu, ce se intampla atunci cand recompilam un program? Dimensiunea sa se va schimba, aproape sigur. Sau ce se intampla cu virusii care nu maresc dimensiunea fisierului gazda? Numerosi virusi se insereaza in "cavitati", adica in regiuni de stiva goale sau regiuni de date goale, astfel incat dimensiunea fisierului este nemodificata. Pentru indepartarea unor astfel de amenintari ar fi nevoie din nou de definitii.

Chiar daca BD ar detecta ca un fisier a fost infectat de catre un virus nou pt. ca si-a modificat dimensiunea, de unde ar sti ce sa caute? Virusul nu este obligat sa-si apendeze codul la sfarsitul fisierului, poate sa o faca oriunde in fisier, sau chiar sa suprascrie portiuni din codul original.

Programul respectiv de monitorizare ar trebui sa consume timp de procesor pretios, din moment ce ar trebui sa devieze orice acces de scriere spre un fisier pt. a verifica daca respectiva scriere este valida sau apartine unui cod malitios. S-ar inmulti si numarul de alarme false.

Si, in final cum ramane cu viermii ori troianii, care nu au nevoie sa infecteze alte fisiere?

In principiu, ideea nu este chiar rea. Poate corelata cu alte tehnici, intr-un viitor apropiat va fi implementata si folosita.

SorinK

Buna seara.

Eu vorbesc doar de virusi aici.

Acea scriere chiar si in stive goale se face prin niste comenzi.

Acele comenzi de scriere vor fi recunoscute de antivirus.

Ma gandesc ca nus sute de metode de a adauga cod.

Astfel acopera toata metodele de scriere.

Monitorizarea are ca scop sa vada ce program da comanda de adaugare cod indiferent unde il scrie in acel fisier!

Va ezista un buton learning prin care se analizeaza ce programe scriu in mod normal si unde etc iar apoi se va trece in modul secure.

Astfel se evita n intrebari la care utilizatorul trebuie sa raspunda.

O zi buna.

AndreiASM

SorinK, acea "comanda" este de fapt o functie (de fapt sunt mai multe functii) ale sistemului de operare cu ajutorul carora se poate scrie in orice tip de fisier. Ori ca un antivirus sa intercepteze apelurile acestor functii si sa verifice de fiecare data daca incercarea este sau nu legitima ar fi o risipa insemnata de resurse. Marea majoritate a programelor folosesc I/O cu fisierele.

In principiu, un analizator eurisitc face in mare masura acelasi lucru: analizeaza intr-un mediu controlat cum se comporta un program, daca este sau nu "curat", nu asteapta ca acesta sa incerce sa scrie in alte executabile.

Andrei

alexcrist

Salut SorinK,

Mai trebuie sa tii cont ca multi useri tin Windows Update pe automat, ceea ce inseamna ca nu stiu niciodata 100% cu siguranta daca a fost un update, sau o infectie.

Si inca un lucru: sunt foarte multe persoane care:

1) nici nu stiu ce este un Update de Windows (fara exagerari. Cunosc astfel de persoane. Trist, dar adevarat). Pentru ei, aceste alerte ar fi chineza avansata.

2) urasc BitDefender din cauza alertelor multe pe care acesta le afiseaza (Virusi si Firewall). Desi aceste alerte se pot reduce mult (eu am alerte odata la cateva zile...poate o saptamana sau mai rar), ei prefera sa dezinstaleze si sa mearga pe alt antivirus. Iti dai seama ce ar insemna pentru ei sa fie intrebati antivirusul de fiecare data cand se modifica un fisier in calculator?

Ideea, in principiu, este logica. Dar, dupa parerea mea, nu se poate aplica decat pe PC-uri gen: servere, PC-uri de birou (in general, PC-uri folosite pentru cateva aplicatii care nu modifica prea multe prin calculator).

Cris.

AndreiASM

Salut SorinK,

Mai trebuie sa tii cont ca multi useri tin Windows Update pe automat, ceea ce inseamna ca nu stiu niciodata 100% cu siguranta daca a fost un update, sau o infectie.

Si inca un lucru: sunt foarte multe persoane care:

1) nici nu stiu ce este un Update de Windows (fara exagerari. Cunosc astfel de persoane. Trist, dar adevarat). Pentru ei, aceste alerte ar fi chineza avansata.

2) urasc BitDefender din cauza alertelor multe pe care acesta le afiseaza (Virusi si Firewall). Desi aceste alerte se pot reduce mult (eu am alerte odata la cateva zile...poate o saptamana sau mai rar), ei prefera sa dezinstaleze si sa mearga pe alt antivirus. Iti dai seama ce ar insemna pentru ei sa fie intrebati antivirusul de fiecare data cand se modifica un fisier in calculator?

Ideea, in principiu, este logica. Dar, dupa parerea mea, nu se poate aplica decat pe PC-uri gen: servere, PC-uri de birou (in general, PC-uri folosite pentru cateva aplicatii care nu modifica prea multe prin calculator).

Cris.

Viata bate filmul din si din pacate o parte insemnata din utilizatori stiu sa deschida PC-ul, sa puna muzica, sa navigheze pe net si sa puna un film. Nimic mai mult. Vorba ta, Cris, pentru ei, astfel de alerte ar fi chineza avansata. Probabil ca ar da mai multa bataie de cap acestor utilizatori decat ajutor, iar cand vine vorba de un utilizator cat-de-cat avansat, acesta stie cum sa se fereasca de marea majoritate a amenintarilor. Nu prea vad multi utilizatori avansati care ar deschide atasamentul unui e-mail care se pretinde a fi nudul unei celebritati... cu extensie .exe sau .scr.

Andrei

vladx

SorinK ceea ce vrei tu defapt este un fel de modul proactiv in genul celui pe care il are Kaspersky, si trebuie sa stii ca majoritatea utilizatorilor nu folosesc Kaspersky sau il opresc deoarce chiar si pt un utilizator avansat poate fi enervant.Desigur un astfel de modul n-ar fi rau daca ar avea un whitelist imens care sa fie updatat in continuu dar si asa ramane poblema FP-urilor.Oricum ideea nu e rea deloc, dar ar cere multa munca si foarte multe resurse.

Nu prea vad multi utilizatori avansati care ar deschide atasamentul unui e-mail care se pretinde a fi nudul unei celebritati... cu extensie .exe sau .scr.

Nu stiu cat de avansat sunt, dar eu le deschid pe toate cand am ocazia chiar daca as stii ca sunt malware.

SorinK

SorinK ceea ce vrei tu defapt este un fel de modul proactiv in genul celui pe care il are Kaspersky, si trebuie sa stii ca majoritatea utilizatorilor nu folosesc Kaspersky sau il opresc deoarce chiar si pt un utilizator avansat poate fi enervant.Desigur un astfel de modul n-ar fi rau daca ar avea un whitelist imens care sa fie updatat in continuu dar si asa ramane poblema FP-urilor.Oricum ideea nu e rea deloc, dar ar cere multa munca si foarte multe resurse.

Nu stiu cat de avansat sunt, dar eu le deschid pe toate cand am ocazia chiar daca as stii ca sunt malware.

Am utilizat Kaspersky si de acolo mi-a venit ideea ca nu ar fi rea nici pentru Bitdefender, daca asta nu incalca vreun patent ceva, in situatia in care ar fi implementata cu cod propriu al programatorilor Bitdefender dar care sa faca acelasi lucru.

O zi buna.

vlad

"modul proactiv in genul celui pe care il are Kaspersky" inseamna de fapt un HIPS. Si 98% din utilizatorii de Windows ar lua-o pe campii daca tot la 3 minute ar trebui sa aprobe o lansare de aplicatie, injectare de cod (chestie pe care o face inclusiv svchost.exe, parca, in mod legitim), modificare de registry (care pentru aceiasi 98% din utilizatori e o fantoma), etc. Tehnologia HIPS e excelenta pentru utilizatorii tech-savvy (eu asa ceva folosesc acasa si e cea mai buna protectie posibila), insa pentru restul lumii e mult mai multa bataie de cap decat merita (cunosc destui oameni, unii absolventi de facultate tehnica (chiar calculatoare) care prefera sa aiba "un virus-doi p-acolo" decat sa tina un AV activ tot timpul (care mananca resurse)).

Deci tehnologia exista (SSM, CoreForce, CyberHawk, etc. - toate au incl. variante gratuite), insa nu se preteaza la nevoile majoritatii covarsitoare a utilizatorilor de PC-uri. Si a zice ca ei gresesc e ca si cum ai zice ca majoritatea soferilor gresesc pentru ca nu stiu conduce o masina de > 300 HP pe o pista de raliu. Pentru unii calculatorul e doar un player de filme/muzica/etc., si e firesc sa fie asa.

vladx

Da asa e vlad dar cum am spus cu un whitelist suficient de mare si updatat in continuu ar merge.

vlad

Si pe cine rogi sa bage in whitelist crack-uri, keygen-uri, jocuri/softuri sparte, programashu'-X-pe-care-l-a-scris-nepotu-miu'-pentru-contabilitate, restu' de jde mii de executabile facute de nush-cine in nush-ce limbaj fantoma de care utilizatoru Z are neaparata nevoie?

Sa nu ma intelegi gresit, whitelisting e o chestie foarte buna. Dar whitelisting nu e HIDS, si cel putin momentan e si mai putin practic. Pe whitelisting se bazeaza Bit9 si partial si PrevX (cred), si e implementat si in unele aplicatii HIDS. Dar tot non-fezabil e.

AndreiASM

Si pe cine rogi sa bage in whitelist crack-uri, keygen-uri, jocuri/softuri sparte, programashu'-X-pe-care-l-a-scris-nepotu-miu'-pentru-contabilitate, restu' de jde mii de executabile facute de nush-cine in nush-ce limbaj fantoma de care utilizatoru Z are neaparata nevoie?

Sa nu ma intelegi gresit, whitelisting e o chestie foarte buna. Dar whitelisting nu e HIDS, si cel putin momentan e si mai putin practic. Pe whitelisting se bazeaza Bit9 si partial si PrevX (cred), si e implementat si in unele aplicatii HIDS. Dar tot non-fezabil e.

Sunt de acord cu tine, Vlad. O baza de definitii tinuta la curent plus un modul euristic bine pus la punct cred ca sunt suficiente pentru a oferi protectia necesara unui utilizator. In fond si la urma urmei, ce rost ar avea sa se dea peste cap un soft intreg doar pentru a adauga un modul care (probabil) 99% dintre utilizatori l-ar tine dezactivat?

Andrei

vladx

Ar fi aproape imposibil se faca un whitelist care sa contina crackuri(dupa mine astea pot fi lasate s fie deectate) si jocuri...eu raman la parerea ca daca ar exista un whitelist care sa cuprinda la inceput softurile cele mai folosite(cat mai multe posibil), dupa care cu timpul sa fie updatat in continuu(cum am zis pt asta ar fi nevoie de multe resurse) a.i. sa se mentina un nr FP-urilor la un nr cat mai mic posibil ar face un astfel de modul rentabil.Astfel, cu un asemenea whitelist ar mai ramane malware-urile, crack-urile(care sincer nu-mi pasa daca sunt detectate ca malware sau nu), unele softuri mai mici si jocurile(pe care sunt sigur ca orice gamer ar stii ce jocuri a instalat) si in acest mod consider ca s-ar realiza un compromis intre usurinta de utilizare si detection rate foarte mare(99%).

P.S.: Nu zic ca ar fi usor, dar cu multa munca acest lucru ar fi fezabil si in final s-ar dovedi meritoriu.

Cd-MaN

Disclaimer: acestea sunt opinile mele personale

Whitelisting-ul este o metoda exceptionala pentru un procentaj foarte mare de oameni. Problema este ca cei care ar trebui sa implementeze asa ceva sunt de obicei oameni technici care ruleaza o gramada de utilitare micute care ar fi blocate de un astfel de utilitar si de aceea au impresia ca metoda asta ar inutilizabila.

Insa "the big picture" (parerea mea personala) este ca majoritatea problemelor pe internet sunt create de oameni pentru care calculatorul este doar o unelta de lucru nu un hobby (sau obsesie ). Acesti oameni cumpara un calculator pentru ca trebuie sa faca X (unde de obicei X este un set foarte stabil de aplicatii care nu se schimba), eventual cumpara un produs AV pe care apoi uita sa updateze sau sa cumpere licenta din nou peste un an-doua cand a expirat licenta originala si leg acest calculator la 'Net, de obicei cu o legatura de mare viteza (DSL, FO, etc).

Daca acest calculator devine infectat si incepe sa trimita spam sau sa faca un atac DoS, pe cine il suni? In cazul serverelor poti sa rezolvi problemele (relativ) rapid (max o saptamana) daca incepi sa te plangi admin-ilor ca serverul lor are bot, exploituri, etc. Insa daca calculatorul este un utilizator casnic ce poti sa faci?

• Trimiti mail la ISP, care n-are nici o motivatie sa faca ceva pentru ca cat timp clientul nu consuma prea multa banda, pe el nu-l intereseaza (problema este pentru victima ca el primeste traficul agregat de la toti clientii)
• Nu prea poti sa afli adresa clientului pentru ca ISP nu-ti da aceasta informatie (si foarte bine face).

Mai sunt metode dubioase de genul "incerci sa hackezi si tu IP-ul de unde vine traficul", dar n-as recomanda acest lucru pentru ca este o zona "gri" dpdv etic si foarte probabil ilegala.

In concluzie: daca nu reusim sa rezolvam problema oamenilor de rand care vor sa foloseasca calculatorul pentru un numar limitat de lucruri si nu sunt pasionati de securitate (deci marea majoritate a utilizatorilor de calculatoare ), o sa fim "in deep sh***" foarte rapid.

AndreiASM

Parerea mea personala.

Salut, Cd-MaN. Sunt de acord cu tine. Cunosc insa si multi pasionati (pana la o limita... ) care nu le prea au cu securitatea, adica pastreaza un antivirus updatat in 1900 toamna, cu 20000 de definitii de virusi si Windows XP Firewall. Si care este solutia dupa infectare? O reinstalare a SO la fiecare 2 saptamani. Nu glumesc. Pentru ei devina rutina acest lucru. Decat sa updateze un antivirus sa se asigure ca sunt "curati", mai bine sterg totul.

Aici nici macar nu mai amintesc de userii de rand pentru care (mi-a placut expresia lui Cris ) multe din lucrurile legate de securitate IT sunt "chineza avansata". Este trist...

Andrei

Foxter

Se pare ca sunt destul de tech savy tinand cont ca folosesc KAV. Dar pentru cei ce vor sa aiba o protectie suplimentara si fara sa ruleze un antivirus mancacios de resurse pe paranoic (fie el Norton, McAfee, KAV, Bitdefender exista ThreatFire care are o baza de date cu multe programe si nu sacaie userul. Arovax Shield de asemenea e o varianta bunicica.

Sistemul HIPS cred ca e cam singura varianta pentru amenintarile de tip zero day. Deja updateul semnaturilor nu se poate face suficient de rapid ca sa tina pasul iar analiza heuristica nu e o solutie universala.

Totusi imi e mila de suportul tehnic cand va trebui sa clasifice prin telefon aplicatile mai neobisnuite la care un HIPS sare in sus.

vlad

Ai fi surprins ce fisiere vin pe suport chiar si acum...