Ukryć wirusa, czyli podręcznik niebezpieczeństwa sieciowego

12 Październik 2006

W sieci krążą setki tysięcy odmian najróżniejszego rodzaju zagrożeń dla sieci i komputerów. Nazywane są wirusami, trojanami, malware, spyware – różnie w zależności od tego co robią i jak się zachowują. Oczywiście, każdy kto ma choć odrobinę oleju w głowie wie co się „tam” kryje i najczęściej wie czego można się spodziewać, a co jeszcze bardziej mądrzejszy ma program antywirusowy. Czy to jednak oznacza, że z programem do wykrywania i usuwania tego typu zagrożeń jesteśmy bezpieczni? Nic bardziej mylnego!

Chcę Wam tutaj przedstawić testy, jakie wykonał Jan P. Monsch z Zurichu z różnymi odmianami dokumentów Worda – doc, dot, xml, html, mht i rtf.

Do testu wykorzystał dwa dobrze znane wirusy – eicar i netsky . Pierwszy nawet wirusem nie jest, a jedynie ciągiem znaków powszechnie rozpoznawanych jako wirus, drugi jest dość dobrze znanym robakiem z 2004 roku występujący w wielu odmianach. Do testu wykorzystano witrynę Virustotal, gdzie autor miał do dyspozycji 27 programów antywirusowych.
Rezultaty były dość zaskakujące. Jeśli czysty plik wirusa lub program wykonywalny z doklejonym kodem wirusa był rozpoznawany przez wszystkie programy antywirusowe, tak z wykrywalnością w pozostałych plikach Word’a było dość kiepsko. Oto wyniki:

  • DOC – eicar 20/27, netsky 21/27
  • DOT – 20/27, 20/27
  • RTF – 14/27, 14/27
  • Word 97-2003 & 6.0/95 – 14/27, 14/27
  • Strona HTML w archiwum ZIP – 9/27, 10/27
  • MHT – 8/27, 9/27
  • XML – 3/27, 3/27

W tym miejscu nie będę cytował wyników wszystkich programów antywirusowych, zaprezentuję jedynie najlepsze i najgorsze wyniki:

  • AntiVir – eicar 4/7, netsky 6/7
  • Authenium –6/7, 6/7
  • AVG i Ewido– 0/7, 0/7
  • F-Prot i F-Prot4 – 6/7, 6/7
  • Ikarus – 0/7, 0/7
  • Kaspersky – 6/7, 6/7
  • McAfee i Microsoft – 7/7, 7/7
  • NOD32v2 – 0/7, 0/7
  • Panda i Sophos – 6/7, 6/7
  • Symantec 2/7, 2/7
  • UNA – 0/7, 0/7

Autor dokonał jeszcze testu na skanerze ClamAV działającym na serwerze pocztowym Postfix. Eicar i netsky był wykryty tylko w formatach DOC i DOT, reszta dokumentów i plików przeszła niezauważalnie.

Niektórzy zapewne zaczną się zastanawiać jak możliwe jest „schowanie” kodu wirusa w formach XML. A oto i przykład:
.
Po bardziej szczegółowe informacje zapraszam do lektury dokumentu „Detection Rate of Alternative Word File Formats” autorstwa Jana P. Monscha.

Słowem zakończenia chciałbym jedynie dodać, że zagadnieniami wirusów, metodami wykrywania i korespondencją z firmami produkującymi oprogramowanie antywirusowe zajmuję się zawodowo od około 6 miesięcy, od momentu przyjścia do Microsoftu.
Cytowane tutaj wyniki nie mają na celu przekonanie Was do instalacji 27 programów antywirusowych na swoim komputerze w celu podniesienia stopnia wykrywalności zagrożeń, ale poinformowanie o potencjalnym niebezpieczeństwie kryjącym się nawet w plikach tekstowych (XML jest przecież formatem szeroko stosowanym w komunikacji między systemami i programami i stanowi ważne ogniwo procesów biznesowych).

Posted by michalos
Filed in bezpieczeństwo
Tags: ,
15 Comments »

15 Responses to “Ukryć wirusa, czyli podręcznik niebezpieczeństwa sieciowego”

  1. frob Says:

    13 Październik 2006 at 11:00

    Dzisiaj jest piatek 13. Boo ! :]

  2. Sceptyczny Says:

    13 Październik 2006 at 21:39

    Czy ten test wogole ma jakis sens? Po co szukać sygnatury wirusa zarażającego tylko exe w doc, html, xml itp?

  3. Michal Says:

    13 Październik 2006 at 22:35

    @sceptyczny: po to, by wiedziec gdzie jest zagrozenie, po to by moc je przewidziec

  4. Irma Says:

    13 Październik 2006 at 23:57

    Jestem raczej laikiem, pozwolę sobie jednak na wypowiedź.
    Przez mój skromny PC z Windows 98 SE nie przechodzi zbyt wiele plików, które wymieniasz.
    Zdarzyło mi jednak się testować pliki na multiskanerach i nie zgodzę się co do werdyktu: AntiVir ma statystycznie wyźszą wykrywalność i – szczególnie ostatnio (około roku) – nie zdarzył mi się żaden wypadek.
    Ba, nawet jedno rozpoznanie wprawiło mnie w zakłopotanie:
    plik rks.exe z nieoficjalnego serwis packa dla mojego systemu został rozpoznany jako zainfekowany TR/FlashKiller.B, czyli jakaś trudno wykrywalna pozostałość po słynnym wirusie Czarnobyl.
    Do dziś ciekawa jestem, czy rozpoznanie był zasadne (plik jednak nie został w moim systemie – zresztą jest zbędny :) )
    Zdarzyło się też, że AntiVir orzekł – wskutek heurystyki – że X-Cleaner skaner jest szkodliwym kodem i nie pozwolił go uruchomić (w Operze).
    Reasumując: nie podważam zagrożeń, ale dostrzegam skutki konkurencji pomiędzy producentami softu.
    Soją drogą wymienione przez Ciebie, zagnieżdżone fragmenty kodu w plikach Worda z pewnością nie są tak groźne jak w plikach .exe.
    Jakich warunków trzeba, by je uruchomić, jeśli trudno je odkryć?

  5. Michał Osmenda Says:

    14 Październik 2006 at 10:06

    @irma: rozumujac tak jak ty, mozna byloby pozwolic tysiacom wirusow na pobyt na dysku twardym, ale dopoki nie sa w plikach wykonywalnych, wszystko byloby OK.
    To jest BARDZO ZLE podejscie uragajace jakimkolwiek standardom bezpieczenstwa, bo czasami wystarczy Word czy inny edytor bedacy w stanie uruchomic VBScript i juz mamy REALNY problem.
    A co do „werdyktu” – to nie sa prorokokowania, to jest wynik doswiadczenia, ktore mozesz wykonac sama.

  6. ptashek Says:

    14 Październik 2006 at 12:06

    Autor napisal:
    This paper demonstrates the decoding capabilities of AV products in case
    of alternative file formats when used in a gateway scenario. Or in other words it about
    delivery vectors and not attack vectors.

    To, ze wirus lezy na komputerze ofiary zaszyty w formacie pliku, ktory nie jest jego „naturalnym srodowiskiem”, nic nie znaczy. Tak jak granat nie wybuchnie bez wyciagniecia zawleczki, tak i wirus nie zarazi systemu bez stosownych procedur.

    Cos tego wirusa musi zdekodowac i wykonac. W takim przypadku heurystyka i biezacy monitoring pamieci powinny zalatwic reszte, jesli mamy w miare niezly program antywirusowy.

    Z calym szacunkiem dla autora, ale ten artykul wnosi tyle, ze nic nie wnosi.
    Po prostu pokazuje, ze silniki dekoderow/filtrow w oprogramowaniu antywirusowym sa rozne u roznych producentow.

  7. Michał Osmenda Says:

    14 Październik 2006 at 12:34

    @ptashek: tym samym posiadanie programu antywirusowego jedynie zmniejsza ryzyko „zarazenia” komputera wirusem (w jakim stopniu, to wynika z tego dokumentu), a wazniejsza jest swiadomosc jak mozna wirus przetransportowac. Czyli znow dochodzimy do meritum kazdej publicystyki: informowac, by uswiadomic. I to, i tylko to, bez dyskredytacji jakichkolwiek producentow oprogramowania antywirusowego, bylo moim zamiarem przy publikacji tego posta.

  8. ptashek Says:

    14 Październik 2006 at 15:31

    Nie Michal, z tego dokumentu nie wynika jak posiadanie oprogramowania antywirusowego zmniejsza ryzyko zarazenia komputera wirusem, bo autor nie probowal nawet udowodnic swoich „odkryc” w praktyce (czyt.: nie probowal zarazic). Jesli udowodni, ze tak spreparowanymi plikami uda mu sie zarazic – bez wykrycia – komputer ofiary, uwierze ze ma racje.

  9. Michał Osmenda Says:

    14 Październik 2006 at 18:35

    @ptashek: to jedynie kwestia czasu, innego wirusa lub programu, który potrafi uruchomic binaria zapisane w XML.
    Dokument ten dotyczy skali wykrywalnosci i to jest chyba najwazniejsze, nieprawdaz? Coz z tego, ze najlepsze programy potrafia wykryc 90% zagrozen, skoro przepuszczaja 10%?
    Pamietasz, kiedy kilka lat temu pojawily sie wirusy-makra w dokumentach worda? Producenci oprogramownia antywirusowego musieli szybko nauczyc sie jak zbudowane sa pliki doc i dot by moc rozpoznawac nowe zagrozenia. Ta nauka nie ma konca i chyba najwyzszy czas by nauczyc sie nowych formatow.

  10. ptashek Says:

    15 Październik 2006 at 14:28

    OK, to moze napiszemy proof-of-concept? :-)
    I jak sam wspomniales, ta nauka nie ma konca. Nigdy nie bedzie programu AV, ktory wykryje 100% zagrozen. Jesli wykrywa 90%, dla mnie jest w scislej czolowce.

  11. Irma Says:

    15 Październik 2006 at 14:34

    Michał, nie lekceważę zagrożeń :)
    Dotknęło mnie trochę, że mój antywirusowy monitor nie wypadł w testach dobrze. :/
    Nie tylko z wygody w Internecie bywam Operą, która nie uruchamia niebezpiecznych formatów.
    A wirusy w jpg-ach antywirus mi zgłasza. Kiedy zetknęłam się z tym pierwszy raz, byłam zaskoczona.
    Zresztą dotychczas wiele osób nie dowierza mi, że w grafice można ukryć niebezpieczny kod (i to tych znacznie lepiej obznajomionych z informatyką ode mnie). Prawdopodobnie ten typ zagrożenia masz na myśli (za cytowanym autorem testów).
    Cieszę się, że Twoja Firma jest świadoma.
    Wspomnę jeszcze o tym, że czasem – by nie inspirować niewłaściwych ludzi – lepiej nie pisać o zagrożeniach, zanim nie znajdzie się sposobu obrony.

  12. ptashek Says:

    16 Październik 2006 at 13:34

    Troche zbaczajac z tematu ale w kontekscie ujawniania zagrozen przed znalezieniem sposobu na obrone:

    Jestem zwolennikiem „full disclosure”. Ujawnienie luk/zagrozen w tym samym czasie i producentowi danego oprogramowania i jego uzytkownikom wysyla pozadany sygnal: piszcie swoje oprogramowanie tak, aby nie bylo w nim dziur, to nie bedziecie mieli problemu. Inaczej nikt nie bedzie sie specjalnie spieszyl z poprawkami, az jakas grupa zacznie aktywnie wykorzystywac problem do niecnych celow. Microsoft, Symantec i inni wielcy sa liderami takiego podejscia, choc trzeba przyznac, ze Microsoft od pewnego czasu robi sporo sam z siebie.

    Ile zajelo zalatanie ostatnich dziur w Wordzie i PowerPoint’cie? Kilka tygodni. Czy zostalyby zalatane, gdyby nie fakt, ze informacja o problemie pokazala sie w sieci razem z dzialajacym kodem wykorzystujacym luke? Nie. A przynajmniej nie tak „szybko” (jak na Microsoft).

    I badzmy szczerzy: im mniej luk w oprogramowaniu, tym wirusy maja mniej mozliwych drog infekcji i problem w pewnym momencie zaczyna sprowadzac sie glownie do edukacji uzytkownikow – w ramach prewencji.

  13. Irma Says:

    16 Październik 2006 at 16:40

    @ptashek,
    każdy, kto jest twórcą, także oprogramowania, wie, że trudno stworzyć dzieło doskonałe :)
    Leonardo da Vinci był ogarnięty ideą doskonałości.
    W praktyce jednak ulepszanie (w tym „łatanie” oprogramowania) jest raczej trudne do uniknięcia.
    Jeśli twórcy potrzebują tego miecza obosiecznego, jakim jest publikacja, nie świadczy to o nich najlepiej, a szczególnie, gdy to – jak piszesz – wielcy tego świata :)
    Gdybym ja odkryła lukę, najpierw wysłałabym informację do twórcy, a dopiero przy braku reakcji publikowałabym swoje odkrycie ku przestrodze użytkowników.

  14. Jan P. Monsch Says:

    24 Listopad 2006 at 02:10

    Hi Mike

    I am the author of the alternative word format paper. Since I do not understand the polish comments in your blog I would be interested in a short English summary on the discussions.

    You might be interested to read the following blog which states that HIPS seem to better detect malware than AV products:
    http://mcwresearch.com/archives/344

    Kind regards
    Jan P. Monsch

  15. Amatorszczyzna hacking.pl at ITblog Says:

    22 Luty 2007 at 14:40

    [...] bezmózgowego tłumaczenia. Stali czytelnicy ITblog’a zapewne pamiętają moje tłumaczenie artykułu dot. badania stopnia wykrywalności wirusów ukrytych w dokumentach Word’a. Pięknie podane i opracowane. I z takimi dokumentami i wnioskami można się zgodzić, nawet [...]


Comments are closed.