Bitdefender被發現一個安全漏洞,當在處理一個加工過的PE檔案時
會有導致int overflows(整數易位),通過此漏洞可以在系統中寫入任一代碼
受影響的版本為7.60825,之後的版本不排除也一樣有這個漏洞
該漏洞在Secunia被評級為"高危"
用戶可以經由自動更新修補 (繼續閱讀...)
2008-12-20
BitDefender Antivirus for Linux 發現高危漏洞
Bitdefender被發現一個安全漏洞,當在處理一個加工過的PE檔案時
會有導致int overflows(整數易位),通過此漏洞可以在系統中寫入任一代碼
受影響的版本為7.60825,之後的版本不排除也一樣有這個漏洞
該漏洞在Secunia被評級為"高危"
用戶可以經由自動更新修補 (繼續閱讀...)
2008-12-05
BitDefender發現偽裝成Firefox addon的密碼匯集病毒!
BitDefender研究室發現了一種新型態的病毒
該病毒會偽裝成Firefox addons
然後偷偷的收集用戶的銀行帳密!
這種新型態病毒目前被定義為Trojan.PWS.ChromeInject.A
感染的途徑是利用其它惡意軟體進行下載對象到Firefox plugin目錄內
換句話說該惡意addons安裝時Firefox不會有任何擴充套件安裝的提示
因為是屬於秘密安裝行為,成功安裝後就跟其它你的擴充套件一樣
在每一次的Firefox啟動後該惡意擴充套件就會開始運作!
這個偽裝的擴充套件會收集被指定的英國線上購物會金融交易帳密
並且將這些收集到的資料發送到[removed]eex.ru.
這兩個域名的伺服器均來自俄羅斯 (繼續閱讀...)
2008-09-12
(續)不得不公佈!現在還有大廠在使用檔案大小判毒!
前幾天我發現的這一個現象,目前事情已經告一個段落了!
事情的真相就是AVIRA跟BD在引擎方面都有問題!
之前我只發現AVIRA跟BD會誤報這個檔案
但後來測了其他的AV,發現有類似問題的數量還不少!以下就是同樣也會誤報的AV:
連Norton都誤報了!
BD的回應是啟發式偵測誤報!
AVIRA則是回應靜態偵測有問題
但只修正誤報,引擎短時間內似乎不會修改!
這是個擁有怪異結構的可執行檔案,某些AV(例如BD)會出現無法UNPack的現象
而AVIRA可以UnPack,但是卻因為靜態分析問題,誤報了自解壓縮檔本身!
這是一個非常很微小的特徵,只要有一叮點不同,AVIRA就不會報了!
只要檔頭或是檔尾加入幾Byte的垃圾資料,就抹去了這個特徵!
因為如此簡單就把特徵給抹去了,讓我誤以為AVIRA跟BD用檔案大小報毒
但事實是AVIRA用檔案大小作首個分析樣本的特徵定義名!
不過也因為這件事情讓我發現,AVIRA對於用戶的上報處裡很差勁!
AVIRA大量啟用機器人處理用戶大量上報的樣本,使得有一些家族性病毒
無法有效的偵測,必須一一上報才可以一個樣本就讓所有的家族一網打盡!
我相信因為這種方式被誤報或者是沒報的樣本不在少數!
雖然AVIRA偵測率高,但它的誤報還有不報的問題也是需要好好探討一下!
對於不喜歡高誤報的朋友,我個人會推薦給你ESET,McAfee,Norton
這三家廠商都有極低的誤報,而且樣本的處裡幾乎全部都由人工分析
降低了因為機器分析而引起的大量誤報問題! (繼續閱讀...)
事情的真相就是AVIRA跟BD在引擎方面都有問題!
之前我只發現AVIRA跟BD會誤報這個檔案
但後來測了其他的AV,發現有類似問題的數量還不少!以下就是同樣也會誤報的AV:
Asquared :Trojan.Generic
Ikarus:Trojan.Generic
Norman:Trojan Smalltroj.BSXG
Norton:Trojan Horse
QuickHeal:TrojanDownloader.Agent.efy
TheHacker:Trojan/Downloader.Agent.efy
VBA32:infected Trojan-Downloader.Win32.Agent.efy
VirusBuster:Trojan.Agent.DZIW
連Norton都誤報了!
BD的回應是啟發式偵測誤報!
AVIRA則是回應靜態偵測有問題
但只修正誤報,引擎短時間內似乎不會修改!
這是個擁有怪異結構的可執行檔案,某些AV(例如BD)會出現無法UNPack的現象
而AVIRA可以UnPack,但是卻因為靜態分析問題,誤報了自解壓縮檔本身!
這是一個非常很微小的特徵,只要有一叮點不同,AVIRA就不會報了!
只要檔頭或是檔尾加入幾Byte的垃圾資料,就抹去了這個特徵!
因為如此簡單就把特徵給抹去了,讓我誤以為AVIRA跟BD用檔案大小報毒
但事實是AVIRA用檔案大小作首個分析樣本的特徵定義名!
不過也因為這件事情讓我發現,AVIRA對於用戶的上報處裡很差勁!
AVIRA大量啟用機器人處理用戶大量上報的樣本,使得有一些家族性病毒
無法有效的偵測,必須一一上報才可以一個樣本就讓所有的家族一網打盡!
我相信因為這種方式被誤報或者是沒報的樣本不在少數!
雖然AVIRA偵測率高,但它的誤報還有不報的問題也是需要好好探討一下!
對於不喜歡高誤報的朋友,我個人會推薦給你ESET,McAfee,Norton
這三家廠商都有極低的誤報,而且樣本的處裡幾乎全部都由人工分析
降低了因為機器分析而引起的大量誤報問題! (繼續閱讀...)
2008-09-07
不得不公佈!現在還有大廠在使用檔案大小判毒!
又有兩家廠商偷機被我抓包了!這兩家大廠居然用檔案大小的方式判斷病毒!
防毒軟體依據技術能力的不同,有技術有資金的廠商,會試著把解殼引擎、啟發引擎等加強
但是這兩個部分的加強不是說加強就可以馬上加強,如果程式設計師沒有具有一定的程度
是沒有辦法設計出一個有效的解決方案!
所以有些時候會出現一些沒什麼技術成分,卻又不恰當的偵測方式
例如檔案名稱以及雜湊值判斷!檔案名稱故名思意就是根據檔案名稱判斷
像一直以來都很猖獗的機器狗病毒,假設機器狗所有變種都會產生一個abc.sys的檔案..
並且做為它的中心驅動,那有些廠商如果無法從技術上做抵禦的方法
可能就會開始走一些偏門,例如只要在windows\system32下產生的abc.sys一律報毒的這種做法!
或者是用雜測值偵測的方式,雜測值是一種資訊摘要演算法,兩個不同的檔案
是不可能得到相同的雜湊值,不過MD5已被破解,但這個不在這次的討論範圍內!
所謂的雜湊直就是利用SHA-1或者是MD5檢測檔案是否符合
只要一符合或又同時達成其它必要條件(例如檔案位置所在)既會報毒!
上述兩種方法一直都存在,像我在去年曾經踢報過金山毒霸利用檔案名報毒
當時就覺得太誇張了,但是到了今天更讓我驚訝的是現在居然有廠商用檔案大小來報毒!而且兩家都不是沒有技術跟資金的小廠商..
這兩家廠商分別是在最新一次AV-TEST獲得非常優異成績的BitDefender以及AVIRA兩家知名大廠
他們私底下就我所知應該無任何技術交流,但是他們卻都用了同一種方式報毒
這種方式也不像樣本交換所導致出來的問題,因為它是經過引擎判斷結構
還有檔案大小後才做出來的判斷!
首先是BitDefender它報Trojan.Generic.74723
在以前有些人曾經猜測過,有些AV的定義名尾段這些奇怪的數字是什麼?
有些人覺得是某段的特徵長度,或者是由機器判斷的編號,也有人說是基因編號,也有人說是隨機產生不代表任何意義!
以上猜測我個人不予以否認,但是今天發生的事情讓我相信檔案大小偵測還確有其事!
不過只看BitDefender看不出個所以然來!AVIRA報的就清楚多了!
AVIRA把這個樣本報做TR/Agent.271995
請注意最後那段奇怪的數字271995,它居然跟樣本的檔案大小一致!
我把樣本解壓縮後再用BitDefender還有AVIRA再掃瞄一遍,居然沒有報了!
然後我又直接對樣本壓縮檔刪去或是增加檔案,讓檔案大小改變
最後確定檔案大小只要不是271995byte,它們就都不報了..
也由於BitDefender的關係,導致GDATA也有這個問題
直接使得AVK 2009的高偵測率受到了多少質疑,因為我自己已經開始思考..
這兩家AV究竟靠這類的方式,不一定是檔案大小這樣的方式!
而是類似這種靠檔案大小判斷的投機方式
到底額外獲得了多少偵測率?這真是一個有趣的問題!
高偵測率的背後究竟還有多少不為人知的問題?
就一般人而言,他們只重視偵測率,認為偵測率高就是最好
但是評判一個AV好或壞,偵測率絕對不是唯一或是最重要指標
但是又有多少人能夠看輕這一點呢? (繼續閱讀...)
防毒軟體依據技術能力的不同,有技術有資金的廠商,會試著把解殼引擎、啟發引擎等加強
但是這兩個部分的加強不是說加強就可以馬上加強,如果程式設計師沒有具有一定的程度
是沒有辦法設計出一個有效的解決方案!
所以有些時候會出現一些沒什麼技術成分,卻又不恰當的偵測方式
例如檔案名稱以及雜湊值判斷!檔案名稱故名思意就是根據檔案名稱判斷
像一直以來都很猖獗的機器狗病毒,假設機器狗所有變種都會產生一個abc.sys的檔案..
並且做為它的中心驅動,那有些廠商如果無法從技術上做抵禦的方法
可能就會開始走一些偏門,例如只要在windows\system32下產生的abc.sys一律報毒的這種做法!
或者是用雜測值偵測的方式,雜測值是一種資訊摘要演算法,兩個不同的檔案
是不可能得到相同的雜湊值,不過MD5已被破解,但這個不在這次的討論範圍內!
所謂的雜湊直就是利用SHA-1或者是MD5檢測檔案是否符合
只要一符合或又同時達成其它必要條件(例如檔案位置所在)既會報毒!
上述兩種方法一直都存在,像我在去年曾經踢報過金山毒霸利用檔案名報毒
當時就覺得太誇張了,但是到了今天更讓我驚訝的是現在居然有廠商用檔案大小來報毒!而且兩家都不是沒有技術跟資金的小廠商..
這兩家廠商分別是在最新一次AV-TEST獲得非常優異成績的BitDefender以及AVIRA兩家知名大廠
他們私底下就我所知應該無任何技術交流,但是他們卻都用了同一種方式報毒
這種方式也不像樣本交換所導致出來的問題,因為它是經過引擎判斷結構
還有檔案大小後才做出來的判斷!
首先是BitDefender它報Trojan.Generic.74723
在以前有些人曾經猜測過,有些AV的定義名尾段這些奇怪的數字是什麼?
有些人覺得是某段的特徵長度,或者是由機器判斷的編號,也有人說是基因編號,也有人說是隨機產生不代表任何意義!
以上猜測我個人不予以否認,但是今天發生的事情讓我相信檔案大小偵測還確有其事!
不過只看BitDefender看不出個所以然來!AVIRA報的就清楚多了!
AVIRA把這個樣本報做TR/Agent.271995
請注意最後那段奇怪的數字271995,它居然跟樣本的檔案大小一致!
我把樣本解壓縮後再用BitDefender還有AVIRA再掃瞄一遍,居然沒有報了!
然後我又直接對樣本壓縮檔刪去或是增加檔案,讓檔案大小改變
最後確定檔案大小只要不是271995byte,它們就都不報了..
也由於BitDefender的關係,導致GDATA也有這個問題
直接使得AVK 2009的高偵測率受到了多少質疑,因為我自己已經開始思考..
這兩家AV究竟靠這類的方式,不一定是檔案大小這樣的方式!
而是類似這種靠檔案大小判斷的投機方式
到底額外獲得了多少偵測率?這真是一個有趣的問題!
高偵測率的背後究竟還有多少不為人知的問題?
就一般人而言,他們只重視偵測率,認為偵測率高就是最好
但是評判一個AV好或壞,偵測率絕對不是唯一或是最重要指標
但是又有多少人能夠看輕這一點呢? (繼續閱讀...)
2007-08-17
2007-08-15
訂閱:
文章 (Atom)