<< Előző cikk                                                                                                     Következő cikk >>

2010. március 20.


Vírushíradó - A (vak)riasztás lehetséges okairól




Egy időszakosan visszatérő témáról szeretnék kicsit bővebben írni nektek. Vírus, kémprogram, trójai, stb... Cuki téma! Számtalan visszajelzés jött már az ügyben, hogy egy-két magyarítás vagy éppen portable alkalmazás letöltése folyamán, beriasztottak a vírus, spy, trójai kereső progik.

 

S
ajnos, sokan készpénznek veszik a vírusírtók minden egyes riasztását, amit meg kell,    hogy jegyezzek nem minden esetben 100%-os. Persze az esetek többségében ezek az ellenőrző programok képesek kiszűrni a veszélyes folyamatokat, de azt is meg kell jegyeznem, hogy vakriasztásra is képesek ha olyan állománnyal találkoznak, amit nem ismernek vagy egyszerűen csak veszélyesnek minősítenek. A témában járatlan felhasználó természetesen egyszerre a legroszabbra gondol, ha ilyen riasztást kap (ami pesze érthető is).


Kapcsolódó link:
Az egyik legnépszerűbb online vírusellenőrző oldal a http://www.virustotal.com oldalon található.

A lényeg...
Ha nekikezdek egy alkalmazás magyarításának, a 'forrásprogramot' (legyen az freeware, shareware, stb) minden esetben a program eredeti weboldaláról töltöm le. Feltört programot soha nem fordítok, tehát ezzel kizárható az, hogy esetleg a feltört állomány tartalmazza a vírust/kémprogramot/trójait.

Akkor mégis hogyan lehetséges ez?
A legtöbb program készítésekor, úgynevezett Végrehajtható állomány tömörítő programokat használnak (másnéven EXE Packer). A lényege az, hogy az exe, dll, stb. végrehajtható állományokat egy ilyen programmal betömörítik, ezáltal kisebb lesz a mérete és a tartalmához se lehet (szerkesztési szempontból) egykönnyen hozzáférni. Ilyen tömörítők például az
UPX, Aspack, ASProtect, Armadillo, Themida, stb. A program a tömörítéstől függetlenül, ugyanúgy futtatható marad, sőt sok esetben még gyorsabb is lesz mint a tömörítetlen párja.

Miért írtam ezt mind le?
Mert az a gond, hogy a nagyszerűnek kikiáltott vírusirtók, ezeket az exe tömörített állományokat, már eleve gyanúsnak és/vagy veszélyesnek azonosítják. Rengeteget tesztelgettem különböző vírusirtókkal az ilyen tömörített állományokat és arra a megállapításra jutottam, hogy az eredmény lesújtó! Holott FULL legális, a kereskedelemi forgalomban kapható exe tömörítő progikról van itt szó. Sajnos, e riasztások miatt, már több alkalommal is át kellett alakítanunk/újragondolnunk telepítő programjainkat, ami persze rengeteg kisérletezgetéssel párosult és sok időnkbe tellett. Az egyik telepítőnknél például, ami egy ZityiSoft-os logóval indul, már rögtön a logo.exe fennakadt a szitán egyes víruskeresőknél (persze a jobbaknál nem), mivel ez az állomány, pont az elöbb taglalt UPX tömörítést használja. Teljesen ártalmatlan kis állomány, melynek tartalma 1 db ZityiSoft-os bmp fájl + egy 5 másodperces mp3-as zenerészlet, mindez egy exe fájlba oltva.

Aztán...
Én a telepítőknél egy *.bat (parancsfájl) állományt is használok. Például ez az állomány felelős a Logó indításáért, a futó szolgáltatás leállításáért/újraindításáért (ha szükséges), továbbá ez indítja az állományba foglalt ütemezett feladatokat (parancsikon, rendszerleíró módosítás, stb). Ez indítja a telepítést, törli az ideiglenes fájlokat, és így tovább. Sok vírus/kémprogram kereső az ilyen bat fájlokat is veszélyesnek minősíti. Viszont, érkezett már olyan visszajelzés is, hogy egyeseknél (valamilyen okból kifolyólag), nem működött a bat fájlos telepítőnk. Ekkor a bat fájlból készítettem egy exe fájlt, gondoltam így működni fog és a DOS ablak sem fog megjelenni többé, és tényleg működött is. Csak...

Mikor ezt az állományt feltöltöttem a www.virustotal.com oldalra ellenőrzés céljából, teljesen kiakadtam. 23 keresőből 8 gyanúsnak azonosította (AVG + névtelen társai). Na ekkor, ismét át kellett kozmetikáznunk a teljes telepítő programunkat. Ebben az a legbosszantóbb, hogy tényleg teljesen ártalmatlan állományokról van szó, amiket a 'gyengébb' víruskeresők (mivel nem tudnak mit kezdeni velük), egész egyszerűen veszélyesnek titulálnak. És... ugye a tapasztalatlan vagy a témában járatlanabb felhasználók, egyszerre farkast kiáltanak egyes fórumokon. Én megmondom őszintén a NOD32 víruskeresőt használom évek óta, DE!!!! még eddig (pedig már egy-két programot lefordítottam), 1x sem riasztott be nálam, az elkészült fordítással kapcsolatban gyanús állományra hivatkozva!!! Csak egy példát írnék, ezzel kapcsolatban. Egy fórumon az egyik felhasználó ajánlotta a weboldalamat másoknak, amelyet rengetegen meg is köszöntek neki! Csupán egy valaki volt aki, egy letöltött magyarításom alapján (mivel riasztást kapott), egész egyszerűen elkezdett fikázni, stb-stb. A srác aki a weboldalamat ajánlotta, elküldte ezt az állományt a riasztást küldő vírusirtó készítő cégnek, akik megvizsgálták az állományt és sűrű bocsánatkérések közepette, mivel megállapították, hogy vakriasztás történt, megígérték a fickónak, hogy a program következő verziója tartalmazni fogja a javítást. Na szóval ezt csak azért írtam le, mert sokan, ilyen vakriasztások alapján ítélik meg az ember munkáját és mondanak, ez esetben negatív kritikát róla, mindenféle háttértudás nélkül!

A portable programoknál...
A programok portable mivolta, már eleve gyanús a víruskeresőknek!
                                                          

Hogy miért is?
- Mert önfuttatóak
- Mert elszigeteltek
- Mert a memóriába/memóriából dolgoznak
- Mert különböző tömörítési/kódolási eljárásokat használnak
- Mert a sandboxba helyezik ki ideiglenes állományaikat
- Mert emulálják a registry-t
- Mert virtuálisan futtatnak különböző szolgáltatás modulokat
És még sorolhatnám....

 

A portable készítő programok  (ThinApp, Xenocode, stb...) ugyanúgy alkalmaznak az állománytömörítési eljárásokat, tehát ezek is betömörítik a készleteket. Nem csoda tehát, hogy egy-két víruskereső hisztizni fog ezeknél is!

És végül, ha továbbra sem győzött meg ez a leírás....

Arra kérlek, ha kételkedsz a portable cuccaink tisztaságában, itt az oldalon is közzétett, portable készítési bemutató alapján, készíts saját portablét egy egyszerű és természetesen legális programból. Először töltsd fel a feltelepített program állományait a Virustotal-ra ellenőrzés céljából, majd készítsd el a portable-t és az elkészült állományt úgyszintén töltsd fel! Hát lehet, hogy meg fogsz lepődni a vizsgálati eredményeken! Deeee... talán megérted azt, amit már hosszú idő óta meg akarunk értetni. Sajnos sikertelenül!

Példaként, feltöltöttem egy állományt ellenőrzésre a virustotal-ra. Ez a program a SBMAV Disk Cleaner Lite (http://www.sbmav.com/files/dclite_setup.exe).
Ha a képre kattintasz, két oszlopra bontva láthatod a feltöltött eredeti, és az elkészült portable állomány vizsgálati eredményeit.

A bal oldali oszlopban a sima telepített SBMAV Disk Cleaner Lite programfájlainak vizsgálati eredményeit, a jobb oldali listában pedig az elkészült portable vizsgálati eredményeit láthatod.

Megjegyzés: Természetesen a portable-t, teljesen vírusmentes virtuális környezetben (Parallels Workstation)  készítettem!

Mi is látható az összehasonlítási táblátzatban?

Hát az, hogy a sima feltelepített program állományait 41 víruskereső modulból egyetlen egy sem találta gyanúsnak, viszont ugyanezen állományokat tartalmazó portable alkalmazást a ClamAV  - Trojan.Dropper-22862 illetve a Rising  -Packer.Win32.UnkPacker.b vizsgálati eredménnyel jutalmazta.
 

                                                                                                                
                                                                                                                   
                                                                                                                    Üdvözlettel:

                                                                                                                        

 

Egy témához kapcsolódó hír

Idén taroltak az ál-antivírusok
Koi Tamás, 2009. december 15. 09:29

A 2009-es év újabb fordulatot hozott a kártevő programok körében, hívja fel a figyelmet az amerikai Sunbelt Software kutatócsoportja. A "legnépszerűbb" kártevők idén az ál-antivírusok lettek - ezek a programok telepítésük után valójában csak több kárt tesznek, ráadásul eltávolításuk is költséges lehet.
 

A SunBelt toplistájának közel hároméves fennállása óta nem fordult még elő, hogy ál-antivírus került volna a lista élére. Erre először októberben volt példa, ráadásul november során is a döntően hamis biztonsági szoftvereket tartalmazó Trojan.Win32.Generic!BT okozta a legtöbb fertőzést - áll a cég jelentésében. Az úgynevezett scareware programok közé tartozó károkozó család tagjai hamis biztonsági riasztást okoznak a felhasználó gépén, természetesen azonnal felajánlva egy "biztos" megoldást nyújtó antivírus letöltését a probléma megoldásához. A megijedt felhasználó által letöltött program azonban teljesen értéktelen, legtöbbször újabb káros alkalmazásokat tölt le a háttérben, illetve gyakran felbukkanó üzenetekkel a termék megvásárlására buzdítja az áldozatot. A scareware-ek fejlesztői ráadásul sok esetben magasabb áron kínálják az éves licencdíjat, mint a legnagyobb vírusirtókat fejlesztő cégek, sőt, előfordult már a 99 dolláros (kb. 18.000 forintos) licencdíj is. A második helyen a Trojan-Spy.Win32.Zbot.gen található, amely szintén több hasonló kártevőt foglal magában. Ezek a kémprogramok elsősorban jelszavak megfigyelésére és eltulajdonítására specializálódtak. A harmadik helyen az Exploit.PDF-JS.Gen (v) található, amely a PDF olvasó JavaScript futtatókörnyezetének hibáit kihasználva távoli oldalakról tölt le újabb káros szoftvereket.

Sokan bedőlnek nekik, pedig nyilvánvaló a csalás

"A tendencia egyértelmű: a bűnözők a lehető legegyszerűbb módját választják a pénzkeresésnek, hiszen egy ál-antivírusért könnyen kicsikarható 10-15.000 forint, ami mindössze pár ezer sikeres átverés után már sokmilliós összeggel gyarapítja a bűnözők számláját. Ehhez pedig a Google hirdetésektől a spameken át már a valódi vírusirtók neveinek elgépelését is kihasználják – nagyon sok, a legnagyobb gyártók, vagy operációs rendszerek fejlesztőinek nevéhez nagyon hasonló nevű kártevők is megjelennek." – mondta el Bódis Ákos, a Sunbelt Software magyarországi képviseletének ügyvezetője. A Sunbelt Software vezérigazgatója Flickr-oldalán ebben az évben több mint 359 ál-antivírust gyűjtött össze, vagyis az év minden napjára jut legalább egy hamis biztonsági szoftver.

 

Written by Zityi


<< Előző cikk                                                                                                     Következő cikk >>