ארכיון רד-בורד: עידכון אבטחה ל SystemWorks של Norton.

ראשי > אבטחת מידע > עידכון אבטחה ל SystemWorks של Norton.

12/01/2006 13:57:40 cp77fk4r

יצא עידכון אבטחה שמתקן את "הכשל תיכנון" (לא מצאתי דרך יותר טובה להגדיר את זה) שהיה במערכת סריקה של SystemWorks של חברת Norton.

"הכשל תיכנון" שהיה בSW הוא שהמערכת סריקה לא הייתה סורקת את התיקית הקבצים הזמניים של התוכנה- וכך כותבי הוירוסים היו יכולים לאכסן שם תולעים ווירוסים שונים ולמרות כל העידכונים והסריקות המערכת לא הייתה מוצאת אותם.

התיקיה הזמנית (The Norton Protected Recycle Bin) הזאת משתמש את SW, ובכלל עוד מוצרים אחרים של Norton בכדי לשמור שם קבצים זמניים בכדי לעזור לבצע למשל Restore System, שמירת עותקים של קבצים ששונו או נמחקו וכו’

לתיקיה קוראים NProtect והיא בנויה בצורה כזאת שאין לפונקציות של הוינדוס (API) דרך לגשת אליה, ולכן הם חשבו שאין סיבה לסרוק אותה, מפני שאי-אפשר להעתיק לתוכנה קבצים וכו’.

ליותר מידע אפשר לגשת לידיעה הרשמית:
http://securityresponse.symantec.com/avcenter/security/Content/2006.01.10.html

לידיעה בCNET:
http://news.com.com/Symantec+provides+hiding+place+for+hackers/2100-1002_3-6026203.html?tag=cd.top

בכדי לעדכן את המערכת של SW ואת שאר המוצרים של Norton יש להריץ את שירות הLive-Update של המוצר, והשירות יעדכן את המוצר לבד.

את הכשל הזה גילו החברה של Black-Light מF-Secure.[ההודעה נערכה על-ידי cp77fk4r ב-12/01/2006 13:58:57]

12/01/2006 15:00:29 Zibi

אם אני לא טועה פעם אנטיוירוסים לא היו סורקים תקיות זמיניות והאקרים היו מנצלים את זה כדי להכניס לשם תולעים וכול מיני כאלה.

12/01/2006 16:02:59 Sin

אתה טועה ><
דרך אגב יש היום דרכים להצפין כל מיני וירוסים או לכתוב אותם בשפות שאנטי וירוס לא ידע שהם וירוס נגיד באווצה או HMM HTML ואם האנטי וירוס עצמו לא מעודכן נגיד AVG (לא רוצה להשמיץ את החברה) אבל הוא לא בנוי טוב בא נאמר ככה. ^^ אה זה מזכיר לי ראיתי כמה אקפלויטים שפשוט אתה יכול לדפוק איתם את הסריקה >< נראה לי buff overflow exploit ^^.
טוב זהו בעקרון ><.
יום טוב

13/01/2006 00:55:58 cp77fk4r

מה? Sin, את מוזמנת לחפש וירוסים שנכתבו בBatch או בHTML או בVBS ולראות איך האנטי וירוס קופץ.

לפני כמה זמן, סתם העתקתי למחשב שלי קוד של וירוס פולימורפי שנכתב באצוואה (הוא נכתב ושוחרר בשנת 2000) והאנטי וירוס שלי קפץ- למרות שהוא היה כקובץ טקסט.

ניסתי להריץ על המחשב שלי גם וירוס יותר ישן (נכתב ב1997!) בשם WM/PESAN.B, שזה וירוס מאקרו לWord עם הטמאה של הצוואה - והאנטי וירוס שלי קפץ.

אלה וירוסים שלמרות שכיום הם לא הכי מזיקים- הם נמצאים במסד החתימות של האנטי וירוסים כיום, וגם אם לא עדכנת את האנטי וירוס בחמישה שנים האחרונות :)

ובקשר למה שZibi כתב, זה לא מדוייק, לא מדובר בסתם תיקיות זמניות, מדובר בתיקיה בשם "System Volume Information", שזאת התיקיה שאחראית על הRestore System מטעם המערכת הפעלה XP עצמה, והאנטי וירוסים לא היו מסוגלים לסרוק שם- מפני שלא היה להם גישה לתיקיה הזאת, אחרי שסצינת הוירינג מצאה דרך לפרוץ את האופי של התיקיה הזאת, (הבאג מבוסס על הבאג המפורסם של החבאת מידע בNull Space) - גם תוכנות האנטי וירוס התעדכנו והתחילו לסרוק גם שם.

ואם מדברים על באגים טפשיים באנטי-וירוסים, פעם, באחד מהגירסאות הקודמות של אנטי-וירוס של Norton, היה באג מאוד טפשי, אם במחשב שלך הייתה תיקיה שהיה קיים בה קיצור דרך לעצמה- הסריקה הייתה מתבצעת בצורה אינ-סופית והסורק היה נתקע בשלב מסויים בסריקה כי הוא רץ יותר מדי זמן, אבל עידכנו את זה כבר ממזמן.

על להצפין וירוסים, זה כבר דרך אחרת, אבל יש לזה מספר חסרונות.

א’- בכדי להריץ וירוס בצורה מוצפנת אתה חייב גנרטור שיפרש אותו- כבר עשית את הוירוס שלך פחות דיסקרטי.

ב’- אפשר לבצע מעקב אחרי פעולות של קובץ מסויים, ואם האנטי וירוס רואה שיש לו "אופי זדוני" - הוא ישים אותו בארגז חול שלו.[ההודעה נערכה על-ידי cp77fk4r ב-13/01/2006 00:57:50]

עמודים: 1