информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Страшный баг в WindowsГде водятся OGRыЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Закопать Flash 
 Октябрьские патчи от MS и перевыпуск... 
 Microsoft отозвала октябрьское... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 1999
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




12 декабря 1999, #82

Успех "Атаки на internet", честно говоря, превзошел все мои ожидания. Конечно, мы приложили к этому все усилия (отдельное спасибо Городскому Коту за рекламу в основной рассылке), но тот факт, что в общем-то весьма специализированная книга через два с небольшим месяца после выхода возглавила список бестселлеров _года_ на оЗоне, подвинув вниз Лукьяненко и Страуструпа (не говоря уж о бестселлерах недели и месяца) - лично меня очень впечатляет.

Надо отдать должное и оЗону - через него уже сейчас ушла весьма приличная часть первоначального тиража, а ведь не будь его, до читателей за пределами Москвы и Питера книга добиралась бы гораздо дольше. В общем, если кому-то нужна success story на тему распространения компьютерной литературы через Internet, обращайтесь, у нас этого немного есть :)

Сайт же книги пополнился рецензиями и списком обнаруженных ошибок и опечаток. Так что ежели вам что-то резануло глаз - не стесняйтесь, присылайте.


троянские страсти (12.12.1999 00:34:09)

Все не удается уйти от темы троянцев на софтовых сайтах. Вскоре после выхода предыдущего обзора пришло такое письмо:

Здравствуйте, Дмитрий,

Раз уж в вашей рассылке inet.hackzone вы упомянули о вирусах, якобы распрострняемых авторами программ и мало того, ссылка оказалась именно на мою программу (spdialer), то я позволю себе несколько замечаний на этот счет. Я надеюсь, что вы сможете опубликовать эти замечания в вашей рассылке, чтобы пользователи знали, в чем тут дело: AVP считает трояном не саму программу, а ее инсталлятор. К слову сказать, этим инсталлятором пользуются достаточно многие, и все эти программы, а точнее их дистрибутивы, распознаются AVP как трояны.

Мало того, первый раз такое произошло немногим более месяца назад, тогда автор инсталлятора обратился к разработчикам AVP с претензией по поводу выдачи ложного предупреждения. Через пару дней они выпустили очередное обновление, в котором данное недоразумение было исправлено. И вот теперь мы видим, что история повторяется.

Так что насчет скептической оценки AVP я полностью с вами согласен. Видимо, они в погоне за первыми местами на конкурсах антивирусов позабыли простую истину о том, что ложная тревога часто обходится так же дорого, как и пропуск цели.

Best regards, Alexander,
spac@dialup.etr.ru

Тут мало что можно добавить. Действительно, недавнее ноябрьское обновление AVP наделало много шума. Масса программ вдруг стала опознаваться как троянцы, в то время как некоторые троянцы перестали распознаваться вообще.

Честно говоря, для борьбы с большинством троянцев было бы достаточно утилиты, честно отслеживающей попытки записи в некоторые критические места реестра, каталоги и файлы - причем обязательно с возможностью настройки. Насколько я понимаю, сейчас наиболее близок к идеалу Jammer, но и у него гибкость настроек оставляет желать лучшего, хотя авторы вроде бы собирали сделать это давным давно. Так и подмывает выбрать как-нибудь денек-другой и написать это самому...

Кстати, со злополучным руссификатором icq, с которого началась последняя волна паники, и который в итоге вроде как был признан "чистым", все-таки не все гладко. Весьма убедительные доказательства прислал Aleph:

файлы для исследования мне были независимо присланы двумя разными людьми, файлы были взяты именно на http://99rus.df.ru/, о содержавшемся там троянце я уже писал подробно раньше, апдейт AVP от 20.11.1999 определял 2 (из трех) троянских файлов как Trojan.Psw.Hooker.b и попытка "замазать" очевидное вызывает серьезную озабоченность.

Разумеется, не стоит иметь дел с "серьезными людьми" с http://99rus.df.ru/, но для тех кто захочет провести собственное расследование, некоторые данные по ключевым файлам:

Сигнатуры в левой колонке - MD5 (RSA Data Security Message Digest 5)

Подробнее о Unkeyed hash functions (MDCs) можно прочитать здесь.

Собственно инсталлятор (SFX-архив):

 171518a46fb44682a131c0e522662dfe  MD5  ICQ99B.EXE      2,135,654  00:20:16  17-Nov-1999

Файлы во временной директории %TEMP% в процессе инсталляции:

 e251836ec49415049caf100541a3b75c  MD5  IRSETUP.EXE     385,024 20:42:10  1-Nov-1999
 c32b7d0a1bdb454934034ab44c6a8f42  MD5  IRSETUP.DAT     9,627  20:32:28  23-Nov-1999
 14bf62b17c9ac663d806317a089cf679  MD5  IRSETUP.INI     59     20:42:10  21-Nov-1999

Подделать эти сигнатуры, будем говорить, невозможно, и их изменение - свидетельство того, что файлы были заменены.

Часть дампа файла IRSETUP.DAT со смещения 00000520 Hex, демонстрирующая скрипт, ответственный за установку троянца (файлы pvds32.exe и explorer.exe)

    irsetup.dat   FR       00000660     --------     9627 ¬ Hiew 6.16 (c)SEN
 00000520:  00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
 00000530:  00 00 00 00-00 00 00 00-00 00 00 01-80 13 44 3A             АD:
 00000540:  5C 69 63 71-39 39 5C 70-76 64 73 33-32 2E 65 78  \icq99\pvds32.ex
 00000550:  65 0A 70 76-64 73 33 32-2E 65 78 65-08 44 3A 5C  epvds32.exeD:\
 00000560:  69 63 71 39-39 03 65 78-65 00 25 F1-01 00 20 12  icq99exe %Ј  
 00000570:  A5 1B 38 00-F0 31 38 12-A5 1B 38 00-00 00 00 00  е8 і18е8
 00000580:  00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
 00000590:  00 00 00 00-0F 25 57 69-6E 44 69 72-25 5C 73 79      г%WinDir%\sy
 000005A0:  73 74 65 6D-00 00 00 00-00 00 00 00-00 00 00 00  stem
 000005B0:  00 00 00 04-4E 6F 6E 65-00 00 00 00-00 01 01 00     None     
 000005C0:  00 00 00 00-00 FF FF FF-FF 00 00 00-00 00 00 40             @
 000005D0:  49 00 00 75-CE A0 B0 00-00 00 00 00-00 00 00 00  I  u+а-
 000005E0:  00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
 000005F0:  00 00 00 00-00 00 00 00-00 00 00 00-01 80 15 44              А¬D
 00000600:  3A 5C 69 63-71 39 39 5C-65 78 70 6C-6F 72 65 72  :\icq99\explorer
 00000610:  2E 65 78 65-0C 65 78 70-6C 6F 72 65-72 2E 65 78  .exe explorer.ex
 00000620:  65 08 44 3A-5C 69 63 71-39 39 03 65-78 65 00 8B  eD:\icq99exe Л
 00000630:  3F 00 00 20-08 7B 1C 38-00 F0 31 38-96 74 2B 38  ?   {8 і18Цt+8
 00000640:  00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
 00000650:  00 00 00 00-00 00 00 00-00 03 43 3A-5C 00 00 00           C:\
 00000660:  00 00 00 00-00 00 00 00-00 00 00 00-04 4E 6F 6E              Non
 00000670:  65 00 00 00-00 00 01 01-00 00 00 00-00 00 FF FF  e           
 00000680:  FF FF 00 00-00 00 00 00-7D 38 00 00-C4 6D 1A E7        }8  -m






Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach