Австрийский хакер, называющий себя "Second Part To Hell", опубликовал вирус, использующий новую командную оболочку Monad, которая включена в недавно вышедшую бета-версию Windows Vista. По словам представителя F-Secure Микко Хюппонена (Mikko Hypponen), все это было вполне ожидаемо и единственное, что удивляет, так это скорость появления нового семейства вирусов - всего восемь дней с выхода беты. Хотя лично я и в этом не вижу ничего удивительного :)
Впрочем, чуть позже появилась информация о том, что Monad не войдет в стандартную поставку окончательной версии Vista. Пока планируется включить его в предположительно выходящий в 2007 года Longhorn Server, хотя, возможно, он будет выпущен в качестве дополнения к Server 2003, XP и Vista.
Все вполне прогнозируемо. Сложно верить в то, что Vista писалась с нуля. Что с нуля разрабатывалась архитектура, идеология и т.д и т.п А следовательно если писалось из "родительского" кода, то и болячки родительские на себе потащит. Разработка новой командной оболочки - это не панацея и видимо избавить Windows от всевозможной дырявости малореально.
Не в дырявости дело08.08.05 12:12 Автор: Killer{R} <Dmitry> Статус: Elderman
Вирус это обычная программа, отличающаяся от других только наличием в базе антивирусов.
Количество вирусов для какой-либо платформы зависит в первую очередь от распространенности этой платформы среди обычных юзеров и во вторую в наличии необходмимой документации и средств разработки. Любая ос в которой могут исполняться программы, которые могут сохранять файлы уже потенциальный рассадник для вирусов. И "дырявость" тут абсолютно не причем.
Вирус - это одно. А "зловредное" ПО для проведения сетевых...09.08.05 10:10 Автор: TARASA <Taras L. Stadnik> Статус: Member
> Вирус это обычная программа, отличающаяся от других только > наличием в базе антивирусов. > Количество вирусов для какой-либо платформы зависит в > первую очередь от распространенности этой платформы среди > обычных юзеров и во вторую в наличии необходмимой > документации и средств разработки. Любая ос в которой могут > исполняться программы, которые могут сохранять файлы уже > потенциальный рассадник для вирусов. И "дырявость" тут > абсолютно не причем. Вирус - это одно. А "зловредное" ПО для проведения сетевых атак - другое. Ести ли гарантия того, что код или его фрагменты, уязвимости, использованные для написания вирусов для Vista не будут использованы для написания эксплоитов и проведения сетевых атак? С моей точки зрения - нет. И вот тут-то "дырявость", не исправленные ошибки в логике и наследуемом коде проявятся во всей красе.
«Зловредность» существует на стороне автора программы, а не на стороне антивируса. Сколько можно говорить — понятие «вирус» суть просто заговор, …09.08.05 11:11 Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 09.08.05 11:18 Количество правок: 4
Subj, т.е. общество решило что вот эта прога вирус, и всё. Программа-антивирус не может решать за человека, тем более быть умнее целой когорты безопасников и высококлассных спецов, что однозначно определили её "вирусность". Поэтому базы, базы, и ещё раз базы с сигнатурами.
Это пока... Надеемся, что прогресс операционок дорастёт всё-таки до чего-то пуленепробиваемого... К примеру, исполнять только подписанный код... с проверкой и защитой железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян? :-)
Если общество решило, то опираясь на какие-то критерии...09.08.05 11:57 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 09.08.05 11:58 Количество правок: 2
> Subj, т.е. общество решило что вот эта прога вирус, и всё.
Если общество решило, то опираясь на какие-то критерии. Самые элементарные это бесконтрольное быстрое размножение и причинение вреда. Вредность программно определить тяжело, а бесконтрольное размножение можно.
> Программа-антивирус не может решать за человека, тем более > быть умнее целой когорты безопасников и высококлассных > спецов, что однозначно определили её "вирусность". Поэтому > базы, базы, и ещё раз базы с сигнатурами.
И люди тоже ошибаются, даже когорта безопасников. Пусть программа не решает, но вычислить размножающийся код она может.
Я не знаю ни одного вируса, который абсолютно не умеет размножаться, а вы?
> Это пока... Надеемся, что прогресс операционок дорастёт > всё-таки до чего-то пуленепробиваемого... К примеру, > исполнять только подписанный код... с проверкой и защитой > железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян? > :-)
А если программист отлаживает программу? Пуленепробиваемая подпись должна легко вырабатываться? Что мешает вирусу выработать подпись при заражении?
Застал я одну красивую операционку: RSX-11M. В ней обычный пользователь мог выполнять программы только специально установленные в системе администратором. Может кто знает - сколько было вирусов на DEC'овских системах?
Дану. Вот есть вирус который пишет чегото там в файлы. То...09.08.05 12:37 Автор: Killer{R} <Dmitry> Статус: Elderman
> > Subj, т.е. общество решило что вот эта прога вирус, и > всё. > > Если общество решило, то опираясь на какие-то критерии. > Самые элементарные это бесконтрольное быстрое размножение и > причинение вреда. Вредность программно определить тяжело, а > бесконтрольное размножение можно. Дану. Вот есть вирус который пишет чегото там в файлы. То что она пишет сама себя ты не определишь - она пишет совершенно разные байты ибо полиморф. В исполняемые файлы писать совсем необязательно. Он может писать в темпари которые затем переименовывать шеллскриптами. А трекить все эти изменения - ты представляешь как все будет тормозить. Не ОСовское это дело.
Другой пример - система развертывания приложения на предприятии - с сервера админ ставит софтину на сотни компов. Вирус?
А вебсервер с которого пользователи скачивают ехешники? Как ты его отличишь от червя который себя другим раздает? Да никак с точки зрения "машинной логики"
> > Программа-антивирус не может решать за человека, тем > более > > быть умнее целой когорты безопасников и высококлассных > > спецов, что однозначно определили её "вирусность". > Поэтому > > базы, базы, и ещё раз базы с сигнатурами. > > И люди тоже ошибаются, даже когорта безопасников. Пусть > программа не решает, но вычислить размножающийся код она > может. > Я не знаю ни одного вируса, который абсолютно не умеет > размножаться, а вы?
> А если программист отлаживает программу? Пуленепробиваемая > подпись должна легко вырабатываться? Что мешает вирусу > выработать подпись при заражении? Ммм.. а ты знаешь что такое цифровая подпись?
> Застал я одну красивую операционку: RSX-11M. В ней обычный > пользователь мог выполнять программы только специально > установленные в системе администратором. Может кто знает - > сколько было вирусов на DEC'овских системах? А сколько пользователей тех систем? А сколько пользователей теперешних виндов?
Повторяю свою другую мессагу - вирусы давно перестали быть главным злом. Это скорее так - апчхи. А targeted вирусные атаки никакая мега-ос не остановит.
Короче все это пустой треп.
Я не могу даже представить себе ситуацию, когда в процессе...09.08.05 18:15 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 09.08.05 18:17 Количество правок: 2
> Дану. Вот есть вирус который пишет чегото там в файлы. То > что она пишет сама себя ты не определишь - она пишет > совершенно разные байты ибо полиморф. В исполняемые файлы
Я не могу даже представить себе ситуацию, когда в процессе работы пользователя за компьютером какой-нибудь программе потребуется внести изменения в существующую екзешку.
> писать совсем необязательно. Он может писать в темпари > которые затем переименовывать шеллскриптами. А трекить все
Переименовывание - под контроль! Удаление, создание новых и прочие действия - по желанию тоже можно контролировать.
> эти изменения - ты представляешь как все будет тормозить. > Не ОСовское это дело.
Пусть не сама ОС, а добавочная компонента. Какое торможение - десяток микроинструкций: проверить при открытии файла на запись на то, что это екзешка.
Если выполняемый файл открывается на запись через его создание (функция creat() ), то можно и ни какого сообщения не выдавать.
> Другой пример - система развертывания приложения на > предприятии - с сервера админ ставит софтину на сотни > компов. Вирус?
Это происходит по желанию админа. Вирус распространяется без желания людей. Как правило еще и незаметно для всех.
> А вебсервер с которого пользователи скачивают ехешники? Как
Пользователи скачивают екзешки только потому, что они хотят это сделать. Они сами нажимают кнопку [Скачать].
Когда же принимаешь почту с сервера, а аутлук незаметно рассылает письма всем, кто прописан в адресной книге, с сообщением: "I love you", это уже вирус.
> ты его отличишь от червя который себя другим раздает? Да > никак с точки зрения "машинной логики"
С точки машинной логики возможность есть. Вирус будет либо модифицировать существующую екзешку, открывая файл на запись. Либо писаться в новую вместе с программой, но потом он будет обязан переименовать/удалить существующую программу и переименовать/переместить новый зараженный файл в старый.
> > А если программист отлаживает программу? > Пуленепробиваемая > > подпись должна легко вырабатываться? Что мешает вирусу > > выработать подпись при заражении? > Ммм.. а ты знаешь что такое цифровая подпись?
Ну где-то компилятор программиста (или скачивалка из интернета) будет брать секретный ключ. Вот и вирус его найдет. Алгоритм будем считать известен. Это похоже на существующую систему сертификатов для защищеных соединений или подпись драйверов. Геморой увеличивается, а эффективность полностью отсутствует.
> Повторяю свою другую мессагу - вирусы давно перестали быть > главным злом. Это скорее так - апчхи. А targeted вирусные > атаки никакая мега-ос не остановит.
Согласен, но злом, хоть и не главным, они остаются.
> Короче все это пустой треп.
Ну не пустой. Я много чего интересного почерпнул из этого обсуждения. Если кому-то не интересно - участвовать в обсуждении никто не принуждает.
Насчет подписи и вирусов09.08.05 11:22 Автор: Killer{R} <Dmitry> Статус: Elderman
Вирусы на самом деле фигня. Спайвары гораздо вреднее. Да и подписаться у verisign'а они смогут запросто за 300 баксов.
Это шутка? То есть если очистить базу антивируса, то вирус...08.08.05 13:17 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 08.08.05 13:22 Количество правок: 1
> Вирус это обычная программа, отличающаяся от других только > наличием в базе антивирусов.
Это шутка? То есть если очистить базу антивируса, то вирус перестанет быть вирусом? Зачем новый вирус включать в базу, если он не вирус, поскольку в базе не числится?
> Количество вирусов для какой-либо платформы зависит в > первую очередь от распространенности этой платформы среди > обычных юзеров и во вторую в наличии необходмимой > документации и средств разработки. Любая ос в которой могут > исполняться программы, которые могут сохранять файлы уже > потенциальный рассадник для вирусов. И "дырявость" тут
Самое главное условие - это чтоб программа могла порождать программу. Вирус - это программа, которая размножается без желания пользователя и приносит ущерб (само безконтрольное размножение является уже ущербом).
Если в системе будет отключена возможность модифицировать файлы, которые можно выполнять, считывать их содержимое, изменять их атрибуты и прочее, то в такой системе вирусы жить не смогут.
> абсолютно не причем.
А касаемо "дырявости" - это лишний повод существовать определенному классу вирусов, таких как прикрепленных к электронному письму, если есть возможность написать письмо так, чтоб программа начала выполняться вне желания адресата. Или размножиться используя "дыру" в сетевой защите.
Универсальных антивирусов не существует. Доказано кем то там (но точно не занусси)09.08.05 00:45 Автор: amirul <Serge> Статус: The Elderman
> Самое главное условие - это чтоб программа могла порождать > программу. Вирус - это программа, которая размножается без > желания пользователя и приносит ущерб (само безконтрольное > размножение является уже ущербом).
Математически доказано, что невозможно вывести функцию V(Program), которая бы на выходе давала булевый ответ "Является ли Program вирусом". Впрочем, универсальных (необнаружимых) вирусов тоже не бывает
> Если в системе будет отключена возможность модифицировать > файлы, которые можно выполнять, считывать их содержимое, > изменять их атрибуты и прочее, то в такой системе вирусы > жить не смогут.
Как уже было сказано, есть как минимум mind вирусы. Последний массовый mind-вирус, который мне запомнился - Yeti Sports (особенно первая часть). За день убытков - на десятки, а то и сотни миллионов и много сотен тысяч копий. Вирус ли?
> А касаемо "дырявости" - это лишний повод существовать > определенному классу вирусов, таких как прикрепленных к > электронному письму, если есть возможность написать письмо > так, чтоб программа начала выполняться вне желания > адресата. Или размножиться используя "дыру" в сетевой > защите.
Дырявость - все тот же человеческий фактор. Если бы юзера пользовались хотя бы теми средствами защиты, которые УЖЕ ЕСТЬ в винде, вирусов было бы на несколько порядков меньше. Стоит ли еще более усложнять защиту, если даже текущая сложность не по зубам простому юзверю. И кроме того, дырявость никак не связано с собственно ОС. Последняя уязвимость, которая серьезно компрометировала мою систему - уязвимость в zlib-е (наверное не стоит перечислять все программы, которые в одночасье стали уязвимыми из-за этой библиотеки). А она - кроссплотформенная
А чтобы ВЫ встроили в СВОЙ антивирус, если бы решили его написать?09.08.05 13:40 Автор: noonv <Vladimir> Статус: Member
Ничего... В OS — защищённые средства исполнения... Бабаяна в проц ;-) Экзешники — ф топку, пусть приложения компилятся перед исполнением… Каждому — своё, объект исполнения получает только те интерфейсы, которые ему определили «свыше».09.08.05 13:48 Автор: HandleX <Александр М.> Статус: The Elderman
Неа, не старается... Результаты JIT-компиляции не сохраняются для повторного использования... Компиляция не оптимизируется под мой проц/кэш и т.д, и т.п...09.08.05 14:47 Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 09.08.05 14:48 Количество правок: 1
Не надо так катигорично. Существует (если в антивирусе останется только эвристический анализ). Беда только в том, что этот интелектуальный анализ программ на вирусность будет слабоэффективен. То есть он будет реагировать на малый процент вирусов, на многие не будет срабатывать, будет срабатывать ошибочно, медленно работает и ресурсоемок в отношении процессорного времени. В антивирусы его закладывают только для того (в том то по определению его прелесть), что он может определять огромное семейство вирусов, которых еще нет, а только могут быть написаны. Чем не универсальность?
Почему бы и не сработать основному критерию - вирус будет писаться в екзешки или переименовывать прочие файлы в екзешки! К стати CDM ловил 99% вирусов, исключение составляли разве что бутовские.
> Математически доказано, что невозможно вывести функцию > V(Program), которая бы на выходе давала булевый ответ > "Является ли Program вирусом". Впрочем, универсальных > (необнаружимых) вирусов тоже не бывает
А не надо анализировать саму прогу, надо анализировать ее работу. Причем последнее слово оставим за человеком, поскольку, действительно, ОДНОЗНАЧНО и АБСОЛЮТНО ТОЧНО идентифицировать вирус програмно нельзя. Что может быть проще - играете ли вы в игрушку или читаете электронную почту. Вдруг выскакивает сообщение "Какая-то там программа желает что-то записать в файл winnt.dll! Позволим ей сделать это действие или нет?"
> Дырявость - все тот же человеческий фактор. Если бы юзера > пользовались хотя бы теми средствами защиты, которые УЖЕ > ЕСТЬ в винде, вирусов было бы на несколько порядков меньше. > Стоит ли еще более усложнять защиту, если даже текущая > сложность не по зубам простому юзверю. И кроме того, > дырявость никак не связано с собственно ОС. Последняя > уязвимость, которая серьезно компрометировала мою систему - > уязвимость в zlib-е (наверное не стоит перечислять все > программы, которые в одночасье стали уязвимыми из-за этой > библиотеки). А она - кроссплотформенная
Я имел в виду дырявость в отнощении программистов, а не прользователей. Уязвимость в zlib-е - это дырявость софта. Кликнул на неопознанный аттачмент или установил пустой пароль для админа - не дырявость софта/ОС.
«Какая-то там программа желает что-то записать в файл winnt.dll» — «да конечно, пусть пишет», сказала секретарша, а то я не могу поиграть в эротический пасьянс, который мне прислал бойфренд...09.08.05 10:42 Автор: HandleX <Александр М.> Статус: The Elderman