XAMLPad i programy antywirusowe

20 Marzec 2009

Niektóre osoby mogły zaobserwować dość niepokojące zachowanie programu antywirusowego przy po ściągnięciu lub w trakcie instalacji programu XAMLPad (plik nazywa się XamlpadX_4.0.exe), pochodzącego z Microsoftu (program jest dostępny na MSDN). Program ten był traktowany jako malware przez kilka programów antywirusowych. Poniżej znajduje się lista programów i nazwa rozpoznania:

• a-squared -  Trojan.Generic!IK
• BitDefender - Trojan.Generic.872546
• Fortinet – PossibleThreat
• GData - Trojan.Generic.872546
• Ikarus - Trojan.Generic
• K7AntiVirus - Trojan.Win32.Agent.FQZE
• McAfee+Artemis - Generic.dx
• NOD32 - probably a variant of Win32/Agent
• Norman – W32/Agent.FQZE
• nProtect – Backdoor/W32.RA-based.1814186
• Panda – Generic Trojan
• Symantec - Trojan Horse
  

Informacje dostępne na VirusTotal.com

Podobnie ma się z dodatkiem do Age of Empires II. Plik o nazwie age2_x1.icd jest niepoprawnie rozpoznawany jako malware (raport z VirusTotal.com).

Ten pliki oczywiście nie są trojanem ani żadną inną formą złośliwego oprogramowania. Mój zespół skontaktował się już ze wszystkimi producentami programów antywirusowych i poprosił ręczną analizę pliki i usunięcie rozpoznania.

Takie sytuacje się zdarzają. Ze względu na liczebność programów antywisurowych są to sytuacje wręcz nie do uniknięcia. Celem naszego zespołu w Microsofcie jest minimalizowanie tego typu zachowań poprzez współpracę z producentami oprogramowania antywirusowego.

Adware z BIOS'u?

14 Styczeń 2009

Wpadła mi w ręce informacja dotycząca nieczystego zagrania pewnego dużego producenta komputerów przenośnych. Ze względu na toczącą się analizę problemu, nie ujawnię jego nazwy.
Na świeżo zainstalowanym systemie Windows Vista na komputerze od tego producenta, pokazało się okno Internet Explorera z reklamą pewnej usługi. Warto podkreślić, że nie był to obraz systemu, jaki zazwyczaj jest dostarczany z komputerem, ale świeża instalacja (nie tzw. OEM, ale FPP) wprost “z pudełka”. W grę nie wchodziły żadne programy, które mogły zainstalować się z Internetu. Poza systemem operacyjnym na komputerze nie było zainstalowane żadne inne oprogramowanie.

Dalsza analiza problemu pokazała, że niechciany software pochodził … z BIOS’u!

Amerykańska firma Absolute Software dostarcza rozwiązanie do ukrywania pewnego rodzaju oprogramowania wprost w BIOS’ie systemu. Oprogramowanie to, zwane Computrace, ma za zadanie namierzenie skradzionego komputera w momencie gdy jego nowy użytkownik połączy się z siecią Internet. System ten działa z powodzeniem w Stanach Zjednoczonych od 1997 roku. Stosuje go wielu znanych producentów systemów komputerowych (lista) – sugeruję sprawdzenie w swoim BIOS’ie.

Jednak firma Absolute Software dla jednego z tych producentów wykazała więcej inicjatywy i dostarczyła opcję wyświetlania reklam.

W 2006 roku program antywirusowy AVG znajdował w plikach rpcnetp.exe i rpcnetp.dll trojana. Nie pomagało usuwanie plików, używanie innych skanerów, ani nawet re-instalacja systemu. Pliki te zawsze “magicznie” pojawiały się w systemie po restarcie. Autorem tych dwóch plików jest firma Absolute Software (Computrace LoJack for Laptops) i pliki te były kopiowane z BIOS’u. Od tego czasu AVG już nie znajduje w tych dwóch plikach trojanów, ale jakby nie było, niesmak pozostał.

Problemów z tego rodzaju oprogramowaniem jest co najmniej kilka. Ale najbardziej niepokąjaca nie jest idea, że na naszych komputerach możemy mieć zainstalowane oprogramowanie, którego nie pozbędziemy się nawet stosując format dysku. Nawet jeśli Computrace stworzony został w zacnym celu, może okazać się przykry w skutkach, jeśli zostanie rozpracowany przez autorów malware.

Oryginalne okno z reklamą usługi Computrace. Wyciąłem nazwy i loga producenta oprogramowania.

Apple doradza: zainstaluj antywirusa

2 Grudzień 2008

Przeczytane na BBC.

Na swojej stronie internetowej Apple sugeruje użytkownikom MacOS korzystanie z jednego z trzech wymienionych tam programów antywirusowych: Intego VirusBarrier, Symantec Norton Anti-Virus for Macintosh i McAfee VirusScan for Mac.

Pamiętacie poniższą reklamę?

Wydaje się, że od 2 maja 2006 roku, od daty początku ukazywania się reklam Mac vs. PC, troszkę się zmieniło. Reklama wciąż jest prawdziwa, bo wirusy pisane pod PC prawdopodobnie nie będą działać z równą skutecznością na Mac’ach i jedne drugich nie “zarażą”. Ale dla Maców powstaje dedykowany malware. I to powstaje tak szybko i zaczyna być na tyle skutecznym zagrożeniem, że firma Apple zaczęła to zauważać.

Przykładem może być AppleScript.THT, trojan który spisuje bufor klawiatury i zapamiętuje zrzuty akranu. Na komputery użytkowników dostaję się dzięki zmodyfikowanym stronom WWW, jak również poprzez iChat i Limewire. Polecam lekturę na stronie SecureMac w celu poznania innych efektów działań robaka.

Jak dla mnie to nie tylko koniec ery komputerów z jabłuszkiem wolnych od wirusów, ale definitywny koniec marketingu pod tytułem virus free Mac.

AVG: tym razem Flash jest be

19 Listopad 2008

Program antywirusowy firmy AVG znowu okazał się być mylny. Tym razem wczoraj (18/11/2008) program wziął na celownik niektóre animacje Adobe Flash uznając je za trojan PSW.Generic6.AQPD… i zarządał ich usunięcia.

Po kilku godzinach od wpadki AVG wypuściło zaktualizowaną bazę danych z poprawioną detekcją.

A nie tak dawno AVG uznało jeden z kluczowych plików Windowsa za wirus…

Ostatnie wpadki producentów oprogramowania antywirusowego

29 Wrzesień 2008

W ciągu ostatnich dwóch miesięcy dwie duże firmy antywirusowe spowodowały niemały chaos na systemach użytkowników PC. Przyczyną były niepoprawne aktualizacje, które wskazywały, że programy wchodzące w skład Windows, takie jak explorer.exe, są “szkodnikami”.

W sierpniu mieliśmy okazję się przekonać, że McAfee dzięki swojej aktualizacji z poniedziałku, 4-tego, uznał, że Office Live Meeting Microsoftu jest trojanem. Chodziło o plik LMCAPI.exe, komponent Live Update. Osoby, które miały okazcję otrzymać taką niespodziankę od McAfee dowiadywały się, że program dostarczany przez Microsoft jest szkodnikiem o nazwie Swizzor. W rezultacie plik był kasowany.

Mimo, że jak potwierdziła to firma w oficjalnym komunikacie prasowym, problem dotknął jedynie małego procenta użytkowników, administratorzy systemów musieli dystrybuować nowe wersje Live Update, a także poprawiony plik DAT dla skanera.[1][2]

Inny przypadek zdarzył się w piątek, 5-tego września, kiedy Trend Micro zidentyfikował wiele kluczowych elementów systemu Windows jako trojany. W rezultacie utraty kluczowych plików system stawał się niestabilny, nierzadko powodując restart maszyny. Trend poprawił swój błąd jeszcze tego samego dnia, ale zostawił wielu użytkowników z problemem naprawy systemu operacyjnego.

W tym wypadku, Trend Micro Internet Security wskazywał na robaka Troj_Generic.ADV, jakoby znajdującego się w wielu plikach DLL. Efektem mogł być brak paska zadań, wiele aplikacji uruchamiających się przy starcie nie uruchamiało się, aplikacje takie jak Word czy Excel pokazywały różne błędy.[3]

To tylko dwa przykłady, z całej palety błędów producentów oprogramowania antywirusowego. Do klasyki można zaliczyć Kasperskiego traktującego Windows Explorer jako szkodnik, AVG podobnie traktującego Adobe Reader, a CA i McAfee nie pozwalającego na uruchomienie nieszkodliwego kodu JavaScript.

Problem zdaje się nie istnieć na pojedynczych komputerach domowych, choć może być bardzo dokuczliwy. Prawdziwy problem dotyka firmy, które instalują oprogramowanie antywirusowe na wszystkich komputerach w firmie. W takim wypadku, incydent z Trend Micro mógłby zakończyć się prawdziwym paraliżem niejednego biura.

Jest kilka metod, które mogą zabezpieczyć nas przed wpadkami innych firm. Jedną z nich jest dystrybuowanie uaktualnień z własnego systemu, nie z systemu producenta (na zasadzie działania Windows Update + SMS’y). Przy takim rozwiązaniu warto posiadać komputer, na którym mamy zainstalowane wszystkie najpopularniejsze programy używane w firmie i traktować go jako poligon doświadczalny dla nowych aktualizacji.