Ce te faci fara antivirus!

[loki]

Tutorialul asta vi-l scriu din opiniile mele (si din amintiri), nu e nimic copy-paste. Mi-a venit ideea dupa ce am pierdut azi 10 min sa curat un comp cu un Etrust foarte timid, comp plin de exe.jpg

Introducere

Deobicei primesti "bucurii" pe mail de la prieteni de-i injuri de toate rudele. Se intampla si sa intri pe un site si sa te trezesti cu o "bucurie". De multe ori se intampla sa fie prea noua si sa nu o vada nici un antivirus (o saptamana mi-a tras-o un klez, cand era la moda, si mie si retelei si retelelor de care aveam nevoie). Pe Outlook5 era la moda sa se execute coduri din mail doar din preview, buguri IE5 (windows98) care s-au rezolvat in IE6 (patchuri win98 si mai tarziu XP).

Situatii

Nu am sa impart in wormi, troieni, virusi, iepurasi... Ma rezum la 2 categorii: viermi (wormi/troieni/keyloggers/cevretivoi) versus virusi. Diferenta: prima categorie e reprezentata de exe-uri de sine statatoare pe care le curatati cu delete iar a doua de clasicii virusi, mai rari la ora actuala, se ataseaza executabilelor, in acest caz ai intr-adevar nevoie de un antivirus.

Mituri

Cazul virusilor: de retinut: multi ma prosteau la xerox "sa nu vin cu dischete ca-s virusate". Virusii de DOS sunt destul de rari si incompatibili cu windows (in ideea ca is detectabili prin faptul ca iti crapa programele virusate). Virusi de boot nu am mai intalnit de la win95 incoace. Deci notiunea de "AM UN VIRUS" nu e chiar de speriat. Nu se mai intampla ca pe vremea lui bunicu sa bagi o discheta si sa iti viruseze compul instant. Si nu se viruseaza altceva decat executabile, dll-uri, sa nu va ganditi ca aveti poze sau mp3-uri virusate. Puteti avea doar cate un fisier numit gutza.mp3.exe cel mult, asta e cazul viermilor.

Raspandire si simptome

- Stiti cred ca se raspandesc in general prin e-mail. Computerele sunt cautate dupa address bookuri si in felul asta primiti deseori mailuri suspecte chiar de la prieteni. Unii (cum ar fi favoritul meu, "antimanele", pe care nu il mai am:(( trimit mesaje in romana precum ca e "cel mai nou si mai tare screensaver", nu mai stiu).

- NU luati un .exe de la un prieten pe mail sau mess. Nu apasati un link in engleza, gen "click here to see me naked" daca el/ea e roman/romanca. Chiar daca va doriti . Sau gen "Important, apasa aici". Intrebati si voi, ca tzaranu "wei, care e faza?"

- primiti un image.jpg.exe Intrebati-va de ce dracu e si jpg si exe. Gasiti pe disc un image.jpg fara icon de imagine, atat timp cat nici o poza din comp nu va afiseaza extensia ".jpg" Inseamna ca are o alta extensie.

Rezolvari:

Nu am sa insist despre virusi. E inutil in zilele noastre sa muncesti sa-l dezasamblezi, sa il cureti sau sa afli ca nu il poti curata ca strica prea multe (parca jeefo sau ceva de gen facea asta). Intr-o saptamana apare si antivirusul asa ca... windows nou sau gasesti o ocupatie intre timp.

Viermi: nu ai antivirus sau ai unul de faci ceva pe el. De multe ori face wormul ceva pe el si te trezesti fara definitii. Clasic pentru produsele Norton/Symantec, fiind renumite multi virusi sau viermi sunt facuti sa le faca inutilizabile. Sa ai si asta in vedere, un comportament ciudat al antivirusului: reinstaleaza-l dupa curatenie.

Primul lucru: INCERCATI SA AFLATI DE CAND AU APARUT EFECTE CIUDATE IN COMPUTER. Deduceti cand s-a infiltrat ceva. Compul merge greu? Un END-TASK ->processes si vedeti daca unul consuma mai mult decat altele. E bine sa invatati cam ce procese ar trebui sa existe in mod normal in task manager.

Cea mai sfanta metoda utilizata in momentul detectarii: SYSTEM RESTORE (din system tools sau din safe mode). Va scapa de multe busheli fara sa va bateti capul. Curata registrii, metodele de start-up, ramaneti cu compul cum era acum cateva zile, mai gasiti doar executabilele pe care le stergeti pe loc.

Sau muncitoreste:

1) Detectare:

Sfatul companiilor de antivirusi: intra in Safe Mode. De ce? Din cauza ca odata detectat nu il poti sterge (ca e pornit). Dar il poti inchide totusi cu End Process din End Task. Eu recomand un program numit procexp.exe (process explorer) care va ofera si calea spre executabil, si cateva proprietati, si o cautare dupa nume.

Pentru o simpla localizare:

- ordonati folderele C:\Windows si C:\windows.system32 dupa data. Veti vedea imediat exe-uri noi. Verificati in task-manager daca se executa.

- multi folosesc nume de fisiere standard windows. Asa ca un svchost.exe in directorul C:\windows nu are ce cauta, el e doar in system32. Ca sa le stergeti folositi metoda: end-task si delete.

2) KILL'em All

- stergeti chiar manual folderele C:\Documents and Settings\userul\Local Settings\Temp si C:\Documents and Settings\userul\Local Settings\Temporary Internet Files. La Mozilla chiar nu stiu pe unde le tine, dar stergeti toate temporarele. Metoda e buna si cand rulati un antivirus, ca sa nu consume timp prin foldere inutile. Daca aveti virusi de pe net oricum din folderele astea a aparut.

- unii viermi folosesc 2 executabile care se repornesc unul pe altul. Nu le puteti da end-task asa usor. Folositi creion+hartie=numele lor si stergeti in safe-mode

- daca un exe reapare la startup intr-un anumit loc, din safe mode faceti un folder cu numele lui si extensia exe. Nu va mai putea fi rescris pe disc.

Preferabil mutati fisierele banuite, nu le stergeti. Mi s-a intamplat sa nu imi mai porneasca compul dupa o curatenie si a trebuit sa le mut la loc.

3) Eliminati startup-ul wormilor:

- START->RUN->REGEDIT

- intrati pe [HKEY_CLASSES_ROOT]->Local Machine->Software->Microsoft->Windows->Current Version->Run. Orice intrare de executabil stiut de malefic o stergeti. (Atentie totusi ce altceva faceti in regedit). Cautati si pe calea [HKEY_CURRENT_USER]->Local Machine->Software->Microsoft->Windows->Current Version->Run.

- Start-programs-startup mai rar.

- Resetati setarile browserelor - aici nu stiu caile in registri, astept completari.

Scuzati-ma ca sunt cam imprastiat de obicei, posibil si in postul asta, dar putem continua tutorialul impreuna.

Scopul si sloganul: "Nu mai dati format de la orice, ma, baieti, se poate si altfel!"

[phreak]

Am si eu o intrebare... deobicei cand deschid winu apare windows security alerts si-mi zice ca n-am AV-ul ON ( am kasperksy) . Asta ar fi o problema de la windows sau as putea avea ceva mai putin placut care mi-l neutralizeaza? Daca ii dau pause protection la AV, dispare chestia...

[shinnok]

As dori sa adaug cateva programele pe care le puteti folosi pentru identificare si curatare manuala de virusi,trojane,...(...hmm o parte din ele):

Process Explorer v11.11 - http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx (procexp de care aminteste si lokipaki mai sus)

AutoRuns for Windows v9.13 -

http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

Process Monitor v1.26 -

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

TCPView for Windows v2.53

http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

FileAlyzer -

http://www.safer-networking.org/en/filealyzer/index.html

RegAlyzer -

http://www.safer-networking.org/en/regalyzer/index.html

RunAlyzer -

http://www.safer-networking.org/en/runalyzer/index.html

PS:Toate de mai sus sunt freeware.

Hmmm...as vrea totusi sa iti retragi putin cunvintele in legatura cu imaginile si mp3-urile virusate.Sunt destul de multe exploituri out-there care pur si simplu folosesc imagini ,fisiere audio,fisiere playlist,you name it,craftate intrun anumit mod,care exploateaza anumite buguri in anumite programe cu care le deschizi si genereaza sa zicem un buffer overflow in aplicatia mentionata.Iar atata timp cat acestea pot contine un payload anume poate fi executat de exemplu un virus daca vrei sa-l numesti asa sau worm sau trojan.Ca exemplu faimosul .ani pe windows si multe altele.Daca vrei mai multe exemple poti sa imi zici si o sa postez cate vrei.

Kenpachi : merged two posts because they seemed usefull

nu mai fa double post shinnok

[loki]

Am si eu o intrebare... deobicei cand deschid winu apare windows security alerts si-mi zice ca n-am AV-ul ON ( am kasperksy) . Asta ar fi o problema de la windows sau as putea avea ceva mai putin placut care mi-l neutralizeaza? Daca ii dau pause protection la AV, dispare chestia...

Multi antivirusi nu sunt recunoscuti de windows si de aia mai apare bula. Ai totusi optiune "I have an antivirus sollution..." adica "stiu eu mai bine ca am".

Hmmm...as vrea totusi sa iti retragi putin cunvintele in legatura cu imaginile si mp3-urile virusate.Sunt destul de multe exploituri out-there care pur si simplu folosesc imagini ,fisiere audio,fisiere playlist,you name it,craftate intrun anumit mod,care exploateaza anumite buguri in anumite programe cu care le deschizi si genereaza sa zicem un buffer overflow in aplicatia mentionata.Iar atata timp cat acestea pot contine un payload anume poate fi executat de exemplu un virus daca vrei sa-l numesti asa sau worm sau trojan.Ca exemplu faimosul .ani pe windows si multe altele.Daca vrei mai multe exemple poti sa imi zici si o sa postez cate vrei.

Chiar te rog, posteaza daca ai mai multe exemple. Nu am intalnit niciodata cazuri din astea si am prins destui la viata mea (sau ceva curios intalnit a fost doar un swf care se ducea prin imprimantela, nu stiu ce cauta exact acolo). Dar cele mai intalnite situatii sunt totusi fisiere cu dubla extensie. Nu prea sunt sanse sa asculti muzica in winamp si sa crape... cred ca e vorba de anumite fisiere.

Asa ca, macar statistic, vorbind eu zic ca nu ar trebui sa ne facem griji prea multe pentru muzica din comp.

EDIT: mi-am adus aminte ca wmv-urile te pot redirecta pe anumite siteuri, pe motivul licentei. Partea asta stiu ca poate fi exploatata.

[Guest Nemessis]

Da loki sunt cateva exploituri mai vechi in jpeg, wma, avi, wmv, m3u, pls. Probabil vor mai apare in timp versiuni noi la ele. Winampul spre exemplu are 10 security updates pe an. Oricum worm care sa se imprastie la randul lui creand fisiere cu extensie jpeg, avi, m3u etc nu am vazut in viata mea. Toate dropeaza sau creeaza executabile.

[loki]

Mi-ai dat o idee cam SF, nu stiu: oare exista un exploit care sa asocieze din registri cu o anumita extensie (sa zic jpeg ca e mai rara, se foloseste jpg) sa fie executabile sau scripturi.... si apoi sa se inmulteasca dopand fisiere cu extensia respectiva? Desi ar avea doar rol de inmultire pe acelasi comp... hmm...

Am omis ceva din tutorial relativ la asta:

Sunt wormi care asociaza executabilele sa se deschida prin el. Daca ai sters wormul, iti merge windowsul dar nu mai poti rula programe, iti da o eroare ca nu stie in ce sa le deschida.

Solutia e in registri (posibil si din file asociations) dar... nu poti porni regeditul nici din run. Nici task-manageru sa ii dai in cap. De aia nu sterg niciodata fisierele problematice, ci le mut. In aceste situatii se pune la loc wormul si se inchide/sterge dupa ce e pornit regeditul si avem in cap ce sa ii facem.

Aici pt siguranta am mai folosit ceva: un editor de texte Ultraedit32, util in html, C# etc pentru highlighting, pentru editare direct prin FTP... dar si pentru o comanda speciala din menuul Advanced: Run Dos Command. Nu il intereseaza cum e asociat exe-ul.

Se cauta in regedit numele fisierului malefic la asocieri exe. Se sterg keys de "open width" parca. Eu compar cu intrarile de pe al 2-lea comp. Cred ca merge si sters din file-asociations (unde nu apare niciodata exe in lista), faptul ca nu am patit-o de acum 3 ani nu am cea mai buna solutie exacta in cap.

[kynder]

ce te faci fara antivirus?

o intrebare relativ usoara.. daca ai un pc de mai bine de 2 ani..

1. poti foarte bine sta fara antivirus daca stii ca folosesti fisiere "sigure".

2. instalezi xp.. instalezi ce ai nevoie fara a folosi prea mult netu si pui deepfreeze... si ai pc ca nou la fiecare restart (registrii cache si bla bla bla)

3. daca totusi intampini probleme cu wingozu.. te asiguri ca ai C,D,E:\windows curat si iti faci alt account cu drept de administrator ..

[loki]

ce te faci fara antivirus?

3. daca totusi intampini probleme cu wingozu.. te asiguri ca ai C,D,E:\windows curat si iti faci alt account cu drept de administrator ..

Imposibil sa ai ocazia sa ai un nou cont neafectat (doar daca ti-o trage un worm prea prost facut). [HKLM]->Local Settings ... Run se adreseaza tuturor userilor. Multe sunt si pentru user si pentru all users. Un nou comp te rezolva doar in cazul slabiciunilor compului datorate vechimii windowsului.

EDIT Ah, bine inteleg, scuze, doar daca e curat. Iti faci alt cont sa previi anumite probleme ireparabile. System Restore e un pic mai bun in acest caz.

Totodata e bine de dezactivat restore-ul dupa ce a fost reparat sistemul, activat la loc si creat un nou restore point. Nu de alta dar la al 2-lea restore in alta zi poti incarca virusi vechi.

[darkking]

Mi-ai dat o idee cam SF, nu stiu: oare exista un exploit care sa asocieze din registri cu o anumita extensie (sa zic jpeg ca e mai rara, se foloseste jpg) sa fie executabile sau scripturi.... si apoi sa se inmulteasca dopand fisiere cu extensia respectiva? Desi ar avea doar rol de inmultire pe acelasi comp... hmm...

Nu stiu daca exista, dar cred ca s-ar putea face. la lansarea initiala faci sa i se asocieze o extensie, apoi, chiar sa iasa ok, de fiecare data cand se lanseaza acea exensie sa faca morph, sa faca drop la alt executabil, si sa asocieze alta extensie samd...ummm...as mai adauga sa fie si de gen "spider", sa se inmulteasca la un anumit interval random de timp, mai exact, sa creeze executabile cu aceleasi functii in mare, dar modulate diferit. In caz de se descopera unul, nici unul din celelate sa mai semene cu originalul(asta nu mai stiu s-o fac xD). Nu am 100% idee despre metodele de identificare ale antivirusilor, dar cred ca daca ar fi bine intelese s-ar putea crea ceva

[shinnok]

Chiar te rog, posteaza daca ai mai multe exemple. Nu am intalnit niciodata cazuri din astea si am prins destui la viata mea (sau ceva curios intalnit a fost doar un swf care se ducea prin imprimantela, nu stiu ce cauta exact acolo). Dar cele mai intalnite situatii sunt totusi fisiere cu dubla extensie. Nu prea sunt sanse sa asculti muzica in winamp si sa crape... cred ca e vorba de anumite fisiere.

Asa ca, macar statistic, vorbind eu zic ca nu ar trebui sa ne facem griji prea multe pentru muzica din comp.

EDIT: mi-am adus aminte ca wmv-urile te pot redirecta pe anumite siteuri, pe motivul licentei. Partea asta stiu ca poate fi exploatata.

Ok pentru inceput asa vrea sa intri pe http://www.milw0rm.com/platforms/windows si sa derulezi pana dai de [ windows - local ]

Desi majoritatea de acolo nu executa ceva malitios deoarece sunt POC-uri(Proof Of Concept) insa payload-ul(secventa de cod care determina ce actiune are loc dupa ce exploit-ul a avut loc cu success denumit in majoritatea cazurilor shellcode) poate fi schimbat sa faca destul de multe chestii urate.

Ok acum o sa va prezint si doua exemple concrete pe care eu personal le-am testat si au functionat:

1:Microsoft Office .WPS File Stack Overflow Exploit (MS08-011)

http://www.milw0rm.com/exploits/5107

http://www.microsoft.com/technet/security/Bulletin/MS08-011.mspx

Codul de pe milw0rm l-am testat pe Microsoft Windows XP Service Pack 2 && Microsoft Office 2003 acum cateva saptamani si a functionat.Codul compilat nu face decat sa creeze un fisier de tipul .wps(http://filext.com/file-extension/WPS) care apoi deschis cu office word ar trebui sa ruleze calc.exe.Codul este compilabil cu gcc(cygwin) si cu visual studio.Mai jos aveti un link catre un badboy.wps creat cu acest program ca sa va puteti convinge.Insa ar treb sa stiti ca nu functioneaza in toate cazurile,pot fi zeci de motive pentru care un anumit exploit in cazul asta cel de fata sa nu functioneze.Pentru cei care a functionat va rog postati ca sa vada si ceilalti.

http://rapidshare.com/files/100843863/badboy.rar.html

2:VLC <=0.8.6.e Subtitle parsing local buffer overflow exploit

http://www.milw0rm.com/exploits/5250

http://www.videolan.org/vlc/

Toate cele de mai sus sunt valabile si in cazul asta.Codul de pe milw0rm compilat si executat creeaza doua fisiere:unul cu extensia .avi si unul cu extensia.ssa.

http://rapidshare.com/files/100845147/Bof-VLC.rar.html

Linkul de pe rapidshare contine cele doua fisiere pe care le puteti folosi ca sa testati exploitul.

Bof-VLC.avi

Bof-VLC.ssa

Tot ce treb sa faceti e sa deschideti .avi cu vlc si ar treb sa ruleze calc.exe.

Acum nu pot sa sper decat ca cele de mai sus vor functiona pentru cei care vor sa le testeze.In cazul cel mai rau nu pot face decat sa omoare(crash) aplicatia cu care a fost deschisa(ceea ce e iarasi de-ajuns pentru un poc).Sunt multe alte exemple out-there care fac cam acelasi lucru:transforma niste fisiere aparent inofensibile(imagini,audio,video,subtitrari,documente).E deajuns sa va uitati pe milw0rm ca sa va faceti o idee.Happy testing!

[Malla]

foarte interesant imi place cum tratati subiectele

[crs12decoder]

mda... pt mine e simplu... ma duc la msconfig si dezactivez tot din startup (las doar ce stiu eu ca-mi trebuie) dau un restart la calc si ma uit din nou la msconfig si daca a ramas tot ce-am vrut eu dezactivat, atunci e clar ca nu mai sunt virusi in calc... (virusu tre' sa porneasca la inceputu windows-ului ca sa faca ceva..)

[shinnok]

msconfig nu iti este deajuns. Downloadeaza

http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

si ai sa vezi despre ce vorbesc.