информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Атака на InternetЗа кого нас держат?Где водятся OGRы
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Google прикрыл domain fronting 
 Opera VPN закрывается 
 13 уязвимостей в процессорах AMD 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 1999
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



The Bat!

12 декабря 1999, #82

Успех "Атаки на internet", честно говоря, превзошел все мои ожидания. Конечно, мы приложили к этому все усилия (отдельное спасибо Городскому Коту за рекламу в основной рассылке), но тот факт, что в общем-то весьма специализированная книга через два с небольшим месяца после выхода возглавила список бестселлеров _года_ на оЗоне, подвинув вниз Лукьяненко и Страуструпа (не говоря уж о бестселлерах недели и месяца) - лично меня очень впечатляет.

Надо отдать должное и оЗону - через него уже сейчас ушла весьма приличная часть первоначального тиража, а ведь не будь его, до читателей за пределами Москвы и Питера книга добиралась бы гораздо дольше. В общем, если кому-то нужна success story на тему распространения компьютерной литературы через Internet, обращайтесь, у нас этого немного есть :)

Сайт же книги пополнился рецензиями и списком обнаруженных ошибок и опечаток. Так что ежели вам что-то резануло глаз - не стесняйтесь, присылайте.


троянские страсти (12.12.1999 00:34:09)

Все не удается уйти от темы троянцев на софтовых сайтах. Вскоре после выхода предыдущего обзора пришло такое письмо:

Здравствуйте, Дмитрий,

Раз уж в вашей рассылке inet.hackzone вы упомянули о вирусах, якобы распрострняемых авторами программ и мало того, ссылка оказалась именно на мою программу (spdialer), то я позволю себе несколько замечаний на этот счет. Я надеюсь, что вы сможете опубликовать эти замечания в вашей рассылке, чтобы пользователи знали, в чем тут дело: AVP считает трояном не саму программу, а ее инсталлятор. К слову сказать, этим инсталлятором пользуются достаточно многие, и все эти программы, а точнее их дистрибутивы, распознаются AVP как трояны.

Мало того, первый раз такое произошло немногим более месяца назад, тогда автор инсталлятора обратился к разработчикам AVP с претензией по поводу выдачи ложного предупреждения. Через пару дней они выпустили очередное обновление, в котором данное недоразумение было исправлено. И вот теперь мы видим, что история повторяется.

Так что насчет скептической оценки AVP я полностью с вами согласен. Видимо, они в погоне за первыми местами на конкурсах антивирусов позабыли простую истину о том, что ложная тревога часто обходится так же дорого, как и пропуск цели.

Best regards, Alexander,
spac@dialup.etr.ru

Тут мало что можно добавить. Действительно, недавнее ноябрьское обновление AVP наделало много шума. Масса программ вдруг стала опознаваться как троянцы, в то время как некоторые троянцы перестали распознаваться вообще.

Честно говоря, для борьбы с большинством троянцев было бы достаточно утилиты, честно отслеживающей попытки записи в некоторые критические места реестра, каталоги и файлы - причем обязательно с возможностью настройки. Насколько я понимаю, сейчас наиболее близок к идеалу Jammer, но и у него гибкость настроек оставляет желать лучшего, хотя авторы вроде бы собирали сделать это давным давно. Так и подмывает выбрать как-нибудь денек-другой и написать это самому...

Кстати, со злополучным руссификатором icq, с которого началась последняя волна паники, и который в итоге вроде как был признан "чистым", все-таки не все гладко. Весьма убедительные доказательства прислал Aleph:

файлы для исследования мне были независимо присланы двумя разными людьми, файлы были взяты именно на http://99rus.df.ru/, о содержавшемся там троянце я уже писал подробно раньше, апдейт AVP от 20.11.1999 определял 2 (из трех) троянских файлов как Trojan.Psw.Hooker.b и попытка "замазать" очевидное вызывает серьезную озабоченность.

Разумеется, не стоит иметь дел с "серьезными людьми" с http://99rus.df.ru/, но для тех кто захочет провести собственное расследование, некоторые данные по ключевым файлам:

Сигнатуры в левой колонке - MD5 (RSA Data Security Message Digest 5)

Подробнее о Unkeyed hash functions (MDCs) можно прочитать здесь.

Собственно инсталлятор (SFX-архив):

 171518a46fb44682a131c0e522662dfe  MD5  ICQ99B.EXE      2,135,654  00:20:16  17-Nov-1999

Файлы во временной директории %TEMP% в процессе инсталляции:

 e251836ec49415049caf100541a3b75c  MD5  IRSETUP.EXE     385,024 20:42:10  1-Nov-1999
 c32b7d0a1bdb454934034ab44c6a8f42  MD5  IRSETUP.DAT     9,627  20:32:28  23-Nov-1999
 14bf62b17c9ac663d806317a089cf679  MD5  IRSETUP.INI     59     20:42:10  21-Nov-1999

Подделать эти сигнатуры, будем говорить, невозможно, и их изменение - свидетельство того, что файлы были заменены.

Часть дампа файла IRSETUP.DAT со смещения 00000520 Hex, демонстрирующая скрипт, ответственный за установку троянца (файлы pvds32.exe и explorer.exe)

    irsetup.dat   FR       00000660     --------     9627 ¬ Hiew 6.16 (c)SEN
 00000520:  00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
 00000530:  00 00 00 00-00 00 00 00-00 00 00 01-80 13 44 3A             АD:
 00000540:  5C 69 63 71-39 39 5C 70-76 64 73 33-32 2E 65 78  \icq99\pvds32.ex
 00000550:  65 0A 70 76-64 73 33 32-2E 65 78 65-08 44 3A 5C  epvds32.exeD:\
 00000560:  69 63 71 39-39 03 65 78-65 00 25 F1-01 00 20 12  icq99exe %Ј  
 00000570:  A5 1B 38 00-F0 31 38 12-A5 1B 38 00-00 00 00 00  е8 і18е8
 00000580:  00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
 00000590:  00 00 00 00-0F 25 57 69-6E 44 69 72-25 5C 73 79      г%WinDir%\sy
 000005A0:  73 74 65 6D-00 00 00 00-00 00 00 00-00 00 00 00  stem
 000005B0:  00 00 00 04-4E 6F 6E 65-00 00 00 00-00 01 01 00     None     
 000005C0:  00 00 00 00-00 FF FF FF-FF 00 00 00-00 00 00 40             @
 000005D0:  49 00 00 75-CE A0 B0 00-00 00 00 00-00 00 00 00  I  u+а-
 000005E0:  00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
 000005F0:  00 00 00 00-00 00 00 00-00 00 00 00-01 80 15 44              А¬D
 00000600:  3A 5C 69 63-71 39 39 5C-65 78 70 6C-6F 72 65 72  :\icq99\explorer
 00000610:  2E 65 78 65-0C 65 78 70-6C 6F 72 65-72 2E 65 78  .exe explorer.ex
 00000620:  65 08 44 3A-5C 69 63 71-39 39 03 65-78 65 00 8B  eD:\icq99exe Л
 00000630:  3F 00 00 20-08 7B 1C 38-00 F0 31 38-96 74 2B 38  ?   {8 і18Цt+8
 00000640:  00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
 00000650:  00 00 00 00-00 00 00 00-00 03 43 3A-5C 00 00 00           C:\
 00000660:  00 00 00 00-00 00 00 00-00 00 00 00-04 4E 6F 6E              Non
 00000670:  65 00 00 00-00 00 01 01-00 00 00 00-00 00 FF FF  e           
 00000680:  FF FF 00 00-00 00 00 00-7D 38 00 00-C4 6D 1A E7        }8  -m






Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach