информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Страшный баг в WindowsСетевые кракеры и правда о деле ЛевинаПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 1999
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




12 декабря 1999, #82

Успех "Атаки на internet", честно говоря, превзошел все мои ожидания. Конечно, мы приложили к этому все усилия (отдельное спасибо Городскому Коту за рекламу в основной рассылке), но тот факт, что в общем-то весьма специализированная книга через два с небольшим месяца после выхода возглавила список бестселлеров _года_ на оЗоне, подвинув вниз Лукьяненко и Страуструпа (не говоря уж о бестселлерах недели и месяца) - лично меня очень впечатляет.

Надо отдать должное и оЗону - через него уже сейчас ушла весьма приличная часть первоначального тиража, а ведь не будь его, до читателей за пределами Москвы и Питера книга добиралась бы гораздо дольше. В общем, если кому-то нужна success story на тему распространения компьютерной литературы через Internet, обращайтесь, у нас этого немного есть :)

Сайт же книги пополнился рецензиями и списком обнаруженных ошибок и опечаток. Так что ежели вам что-то резануло глаз - не стесняйтесь, присылайте.


троянские страсти (12.12.1999 00:34:09)

Все не удается уйти от темы троянцев на софтовых сайтах. Вскоре после выхода предыдущего обзора пришло такое письмо:

Здравствуйте, Дмитрий,

Раз уж в вашей рассылке inet.hackzone вы упомянули о вирусах, якобы распрострняемых авторами программ и мало того, ссылка оказалась именно на мою программу (spdialer), то я позволю себе несколько замечаний на этот счет. Я надеюсь, что вы сможете опубликовать эти замечания в вашей рассылке, чтобы пользователи знали, в чем тут дело: AVP считает трояном не саму программу, а ее инсталлятор. К слову сказать, этим инсталлятором пользуются достаточно многие, и все эти программы, а точнее их дистрибутивы, распознаются AVP как трояны.

Мало того, первый раз такое произошло немногим более месяца назад, тогда автор инсталлятора обратился к разработчикам AVP с претензией по поводу выдачи ложного предупреждения. Через пару дней они выпустили очередное обновление, в котором данное недоразумение было исправлено. И вот теперь мы видим, что история повторяется.

Так что насчет скептической оценки AVP я полностью с вами согласен. Видимо, они в погоне за первыми местами на конкурсах антивирусов позабыли простую истину о том, что ложная тревога часто обходится так же дорого, как и пропуск цели.

Best regards, Alexander,
spac@dialup.etr.ru

Тут мало что можно добавить. Действительно, недавнее ноябрьское обновление AVP наделало много шума. Масса программ вдруг стала опознаваться как троянцы, в то время как некоторые троянцы перестали распознаваться вообще.

Честно говоря, для борьбы с большинством троянцев было бы достаточно утилиты, честно отслеживающей попытки записи в некоторые критические места реестра, каталоги и файлы - причем обязательно с возможностью настройки. Насколько я понимаю, сейчас наиболее близок к идеалу Jammer, но и у него гибкость настроек оставляет желать лучшего, хотя авторы вроде бы собирали сделать это давным давно. Так и подмывает выбрать как-нибудь денек-другой и написать это самому...

Кстати, со злополучным руссификатором icq, с которого началась последняя волна паники, и который в итоге вроде как был признан "чистым", все-таки не все гладко. Весьма убедительные доказательства прислал Aleph:

файлы для исследования мне были независимо присланы двумя разными людьми, файлы были взяты именно на http://99rus.df.ru/, о содержавшемся там троянце я уже писал подробно раньше, апдейт AVP от 20.11.1999 определял 2 (из трех) троянских файлов как Trojan.Psw.Hooker.b и попытка "замазать" очевидное вызывает серьезную озабоченность.

Разумеется, не стоит иметь дел с "серьезными людьми" с http://99rus.df.ru/, но для тех кто захочет провести собственное расследование, некоторые данные по ключевым файлам:

Сигнатуры в левой колонке - MD5 (RSA Data Security Message Digest 5)

Подробнее о Unkeyed hash functions (MDCs) можно прочитать здесь.

Собственно инсталлятор (SFX-архив):

 171518a46fb44682a131c0e522662dfe  MD5  ICQ99B.EXE      2,135,654  00:20:16  17-Nov-1999

Файлы во временной директории %TEMP% в процессе инсталляции:

 e251836ec49415049caf100541a3b75c  MD5  IRSETUP.EXE     385,024 20:42:10  1-Nov-1999
 c32b7d0a1bdb454934034ab44c6a8f42  MD5  IRSETUP.DAT     9,627  20:32:28  23-Nov-1999
 14bf62b17c9ac663d806317a089cf679  MD5  IRSETUP.INI     59     20:42:10  21-Nov-1999

Подделать эти сигнатуры, будем говорить, невозможно, и их изменение - свидетельство того, что файлы были заменены.

Часть дампа файла IRSETUP.DAT со смещения 00000520 Hex, демонстрирующая скрипт, ответственный за установку троянца (файлы pvds32.exe и explorer.exe)

    irsetup.dat   FR       00000660     --------     9627 ¬ Hiew 6.16 (c)SEN
 00000520:  00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
 00000530:  00 00 00 00-00 00 00 00-00 00 00 01-80 13 44 3A             АD:
 00000540:  5C 69 63 71-39 39 5C 70-76 64 73 33-32 2E 65 78  \icq99\pvds32.ex
 00000550:  65 0A 70 76-64 73 33 32-2E 65 78 65-08 44 3A 5C  epvds32.exeD:\
 00000560:  69 63 71 39-39 03 65 78-65 00 25 F1-01 00 20 12  icq99exe %Ј  
 00000570:  A5 1B 38 00-F0 31 38 12-A5 1B 38 00-00 00 00 00  е8 і18е8
 00000580:  00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
 00000590:  00 00 00 00-0F 25 57 69-6E 44 69 72-25 5C 73 79      г%WinDir%\sy
 000005A0:  73 74 65 6D-00 00 00 00-00 00 00 00-00 00 00 00  stem
 000005B0:  00 00 00 04-4E 6F 6E 65-00 00 00 00-00 01 01 00     None     
 000005C0:  00 00 00 00-00 FF FF FF-FF 00 00 00-00 00 00 40             @
 000005D0:  49 00 00 75-CE A0 B0 00-00 00 00 00-00 00 00 00  I  u+а-
 000005E0:  00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
 000005F0:  00 00 00 00-00 00 00 00-00 00 00 00-01 80 15 44              А¬D
 00000600:  3A 5C 69 63-71 39 39 5C-65 78 70 6C-6F 72 65 72  :\icq99\explorer
 00000610:  2E 65 78 65-0C 65 78 70-6C 6F 72 65-72 2E 65 78  .exe explorer.ex
 00000620:  65 08 44 3A-5C 69 63 71-39 39 03 65-78 65 00 8B  eD:\icq99exe Л
 00000630:  3F 00 00 20-08 7B 1C 38-00 F0 31 38-96 74 2B 38  ?   {8 і18Цt+8
 00000640:  00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
 00000650:  00 00 00 00-00 00 00 00-00 03 43 3A-5C 00 00 00           C:\
 00000660:  00 00 00 00-00 00 00 00-00 00 00 00-04 4E 6F 6E              Non
 00000670:  65 00 00 00-00 00 01 01-00 00 00 00-00 00 FF FF  e           
 00000680:  FF FF 00 00-00 00 00 00-7D 38 00 00-C4 6D 1A E7        }8  -m



анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach