A fű zöld, a másolók másolnak

2010. február 11. 18:25 - Csizmazia Darab István [Rambo]

Eredetileg valamilyen Valentin napi virtuális képeslapos figyelmeztetést gondoltam írni, de aztán valami eltérített az eredeti szándékomtól. Sebaj, a legtöbb ilyen fertőzött linkkel rendelkező képeslap amúgy sem magyar nyelvterületen csörgeti láncait, és már írtunk is hasonló tárgykörben korábban néhány szösszenetet.

Szóval nagyban zajlik az élet az Aprajafalvi víruslaborban. Először Álmodozó szól kávéscsészével a kezében, hogy megérkeztek a honeypotos kártevő minták, aztán Ügyi jelenti, hogy a vírusminták a VirusTotalról is itt vannak már. Dulifuli figyelmezteti Ügyifogyit, hogy ezek között sok ám a sérült, működésképtelen minta, és arra nagyon kell vigyázni, hogy csak valódi, életképes kártevőre történjen a riasztás. Okoska már készített egy olyan jó kis programot, ami egy adott könyvtárból felolvasva automatikusan teszteli a mintákat, így már csak az marad hátra, hogy a maradékot Törp Papa utasításai szerint kiosszák és elemezzék.

Kérdés csak az, van-e hasonlóság a törpök és valódi szereplők között. Eddig tart az idilli kép, a dolog akkor vehet izgalmasabb fordulatot, ha például az egyik csapat azt látja, hogy saját felismerési adatbázisát mintha túl gépiesen követné egy vagy több másik antivírus motor. Egy korábbi történetben már szóltunk arról, hogyan pirított rá Harun Al Rasid vagy Mátyás Király módra a Malwarebytes az IObitre. Most a Kaspersky csapat érezte úgy, megrendezi az igazság pillanatát. Kicsit vitatható módon tették ezt - hasonló erkölcsi aggályok merülhetnek fel, mint a BBC botnet bérlése vagy az Amerikából jöttem, mesterségem címere: Csalószivató című cikkben korunk Robin Hoodjainak néha újságcikket és bankszámlát is hamisítaniuk kell a gaz spammerek móresre tanításánál.

A Kaspersky Lab úgy gondolta, megleckézteti a versenytársakat, és 20 teljesen ártalmatlan állományt feltöltöttek úgy a VirusTotal oldalra, hogy szándékosan hamisítva kártékonynak jelezte őket a saját motoruk. Kis idő (10 nap) elteltével aztán 14 további antivírus is riasztott már ezekre (mint az közismert, ugye a mintákat minden AV labor egy idő után megkapja elemzésre). Ekkor borították a bilit, és Moszkvában újságírók előtt bemutatták, a blogjukban pedig megírták a leleplezést.

Félreértés ne essék, az addig egy teljesen logikus és indokolt lépés, amikor egy gyanús fájlt a hétköznapi ember, vagy a kártevő elemző bedob a VirusTotalba. Inkább az lehet a történet egyik tanulsága, hogy ne bambán, érdemi elemzés és gondolkodás nélkül minősítsenenek egy állományt kártékonynak. Ez a nehezebb út, de az érdekesebb is, olyan sikerekkel kikövezve, mint Mark Russinovits Sony rootkites leleplezése például.

Néhányan, köztük David Harley az ESET laborjából kritizálta a vitatható módon végzett kísérletet, többen pedig a publikus helyszínen való beszámolót nehezményezték a szakmán belüli, pl. AMTSO elintézési mód helyett. A történet jó reklám a Kasperskynek, de a valódi megoldást a laboroknak a minták tényleges elemzéseinek elvégzése adja. A VirusTotal sem tartotta korrektnek a lépést, bár természetesen tisztában voltak azzal az inkorrekt gyakorlattal is, amely ellen ez az akció történt. Mindenesetre látszik, a vírusvédelmet nem pótolhatja egy ilyen kártevő elemző weblap, és annak eredménye sem szentírás. Ahogy azt VírusTotal weboldal szövegeinek magyarítója ;-) frappánsan megfogalmazta

vagy kicsit másképp: "A gravitáció nemismerete nem mentesít a zuhanás alól".

7 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

DanZi 2010.02.12. 00:17:08

Csizi, van egy humorod :) remélem már rég Mac-et használsz otthon :)

Ajtony 2010.02.12. 07:32:52

Sziasztok! Az egyik gepemen nagy csinnadrattaval torolt egy virust az irto program, a neve: microsoft eredetiseg ellenorzo "akarmi" volt. :-)

Krajcs · http://uralicowboy.blog.hu 2010.02.12. 08:55:20

@Ajtony: Már a warez verziók sem a régiek... ;)

különvélemény 2010.02.12. 09:08:50

Már épp ideje volt.

Egyes remek vírusirtók szó nélkül törölnek olyan állományokat, amik nem tartalmaznak vírust, csak bizonyos cégek úgy gondolják így harcolnak a warezolás ellen.

Bár szerintem az algoritmus sem lehet túl bonyolult:
keygen.exe -> Generic.dx Trojan

Üzenném az ilyen remek vírusirtóknak, mint pl a mekkáfé, hogy elég csak a fájlnevet ellenőrizni, felesleges belenézni az állományba, így azzal is villogtathatnák hulladék terméküket, hogy mennyire gyors.

különvélemény 2010.02.12. 09:30:44

@tom sailor:

A bootvírusok, bár nem túl népszerűek mostanában, túlélik a formatcét.
süti beállítások módosítása