Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Tvorac Lasco worma preporucuje Kaspersky i F-secure

[es] :: Zaštita :: Tvorac Lasco worma preporucuje Kaspersky i F-secure

Strane: 1 2

[ Pregleda: 5039 | Odgovora: 31 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Xpirit
Dejan Nikolic
Beograd

Član broj: 8504
Poruke: 159
*.mediaworksit.net.

ICQ: 3434902
Sajt: www.f-secure.co.yu


Profil

icon Re: Tvorac Lasco worma preporucuje Kaspersky i F-secure20.01.2005. u 14:16 - pre 233 meseci
e to poslednje si potpuno u pravu... ima takvih ljudi koji godinama i nemaju nikakav AV... mada mozda i ne znaju da im neki tamo bekdorovi cuda prave :)
Now you're runnin', a?
 
Odgovor na temu

Xpirit
Dejan Nikolic
Beograd

Član broj: 8504
Poruke: 159
*.mediaworksit.net.

ICQ: 3434902
Sajt: www.f-secure.co.yu


Profil

icon Re: Tvorac Lasco worma preporucuje Kaspersky i F-secure20.01.2005. u 14:22 - pre 233 meseci
@Crews

Ako si na dialupu onda je definitivno cudno da nema upozorenja. Da li si proveravao logove? Mozda ti je ukljucena opcija da samo zapisuje desavanja u log ali da te ne upozorava svaki put kad zakolje neku svinju (sto bi reko kasperski).

Ako nema nista ni u logu... e onda menjaj bato i to trcecim korakom :)
Now you're runnin', a?
 
Odgovor na temu

Dragana Z
Dragana Zaric

Član broj: 38811
Poruke: 72
82.208.201.*



Profil

icon Re: Tvorac Lasco worma preporucuje Kaspersky i F-secure20.01.2005. u 17:59 - pre 233 meseci
@XBojoX
:) Gresis... KAV glavu cuva., ali za onim..., iza kojeg se prasina dize logicki nepodcenjujem.
Ps. volela bi da mogu da se ukljucim u raspravu ali vi ste isuvise tehnicki nadogradjeni u odnosu na mene.
Pozdrav svima.
 
Odgovor na temu

Xpirit
Dejan Nikolic
Beograd

Član broj: 8504
Poruke: 159
*.mediaworksit.net.

ICQ: 3434902
Sajt: www.f-secure.co.yu


Profil

icon Re: Tvorac Lasco worma preporucuje Kaspersky i F-secure20.01.2005. u 18:13 - pre 233 meseci
Ma kakvi, sve je ovo copy/paste

slobodno se ukljuci :)
Now you're runnin', a?
 
Odgovor na temu

dum-dum

Član broj: 35073
Poruke: 93
*.vdial.verat.net.



Profil

icon Re: Tvorac Lasco worma preporucuje Kaspersky i F-secure20.01.2005. u 18:52 - pre 233 meseci
Citat:
Sundance: Polako se približava doba kad će najvažnija odlika AV biti heuristike i općenito emulacijske mogućnosti.


Mislim da greshish. To je faza koja je vec proshla. Svaki iole pametniji pisac virusa ce pre nego shto ga pusti da ga testira kuci na sve bitnije AV softvere i nece ga pushtati dok ga ne izmeni toliko da ga nijedan njemu bitan ne prepozna.

Vrlo je verovatno da dolazi vreme kada na prvu loptu ce retko ko biti zashticen, a da ce ulogu igrati brzina kojom AV kompanije razbijaju kod i postavljaju ga u bazu.
Oni prvi ce biti neshto kao kolateralna shteta, bice samo trka da se shto manje drugih zarazi i da se oni vec zarazheni shto bolje dezinfikuju.
Te stvari ce praviti razliku medju AV programima.
Da se stvar mozhe reshiti heuristikom - vec bi se reshila u prilichnoj meri, a znamo da su sve heuristike daleko od dobrog reshenja...size does matters - bar kada je baza u pitanju :)
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: Tvorac Lasco worma preporucuje Kaspersky i F-secure21.01.2005. u 00:42 - pre 233 meseci
Citat:
dum-dum: Mislim da greshish. To je faza koja je vec proshla. Svaki iole pametniji pisac virusa ce pre nego shto ga pusti da ga testira kuci na sve bitnije AV softvere i nece ga pushtati dok ga ne izmeni toliko da ga nijedan njemu bitan ne prepozna.


Kako volim kad netko sam sebe pokopa :) Pa upravo zbog toga su napravljeni heuristički algoritmi - da se spriječe trivijalne modifikacije već postojećih virusa koje bi kidiji napravili; jednom kad imaš dovoljno generičku definiciju, sve ostalo jest dodavanje šlaga na tortu.

Heuristike su napravljene zbog nedostaka klasičnih definicija u obliku virusne signature kao neke hex maske + offset na kojoj se pojavljuje. E šta sad, ako se ta maska svako malo mijenja, ako se i offset svako malo mijenja, ako je polimorfni dekriptor previše kompleksan da vi se opisao maskom - e onda na scenu dolaze heuristike koje emuliraju tok izvođenja programa inficiranog virusom, prepoznaju neke karakteristične uzorke koda (traženje adrese kernela, parsanje export tablice za adresama API-ja, pretraga za izvršnim datotekama i njihovo modificiranje...) i postavljaju flag-ove ovisno o tome koliko je kod sumnjiv. Kad se dobije dovoljno velik broj tih "zastavica", opali se znak za uzbunu - Probably Unknown Cryptic Win32 virus detected :)

Heuristika nije tu da zamijeni klasične virusne definicije, već samo da ispuni rupu tamo gdje one imaju najviše nedostataka - u poli/oligo/meta-morfnom i kriptiranom kodu, kod crva, trojana i spyware-a koji jako često imaju nove verzije (MyDoom, Trojan.Downloader, CWS), tj. kod onog malware-a kod kojih klasične definicije mogu zakazati.

Citat:
Vrlo je verovatno da dolazi vreme kada na prvu loptu ce retko ko biti zashticen


Tj. dolazi vrijeme kad će onaj tko prvi detektira nove nepoznate varijante crva biti najbolje zaštičen.

Citat:
a da ce ulogu igrati brzina kojom AV kompanije razbijaju kod i postavljaju ga u bazu.


Opovrgnula te ova maloprije Analiza sa MyDoom.A kad je AV kompanijama trebalo bar 10 sati da počnu davati definicije. Za to vrijeme je crv opustošio desetke tisuća računala. A Slammer-a da ne spominjem :)

Citat:
Da se stvar mozhe reshiti heuristikom - vec bi se reshila u prilichnoj meri, a znamo da su sve heuristike daleko od dobrog reshenja...size does matters - bar kada je baza u pitanju :)


Velika baza bez dobrih heuristika je samo naizgled dobra zaštita. KAV izdaje najviše broja novih virusnih definicja tjedno od svih AV, misliš li da je to zbog razloga što moraju potencijalno nekvalitetne heuristike kompenzirati ogromnom bazom? :)

Bi li ti radije se pouzdao u NOD32 Advanced heuristics koji detektira sve novije verzije MyDoom samo preko heuristika ili bi čekao 10-ak sati da KAV izbaci definiciju? Dolazi vrijeme mreža ogromne propusnosti u kojem će se period u kojem će crvi dolaziti do vršne infekcije sve više smanjivati. Prije su to bili dani, sad su to već 10-ci sati. Za Slammera su to bile minute. Heuristike i dinamička analiza koda će postati važniji nego ikad.

Same heuristike su samo površan i prvi korak prema bihevioralnoj analizi širenja malware-a. Došlo je vrijeme kad više neće biti nemoguće tražiti malicozne programe koji se nalaze na sustavu čisto po bihevioralnoj analizi pojedinih procesa i njihovom reverznom inspekcijom do izvora infekcije.

Imam još ponešto reći o ovome, ali odoh spavat, sutra imam rano labose, čujemo se sutra!

PS: O tome su heuristike vrlo bliska budućnost sve više detekcije nije samo moje mišljenje, već dosta cijenjenih AV analitičara. Sutra pejstam par citata :)
 
Odgovor na temu

Dragana Z
Dragana Zaric

Član broj: 38811
Poruke: 72
82.208.201.*



Profil

icon Re: Tvorac Lasco worma preporucuje Kaspersky i F-secure21.01.2005. u 11:00 - pre 233 meseci
Ho,ho... (((: Kaspersky PersonalPro 6.0 Dolby Surround
 
Odgovor na temu

Vojislav Milunovic

Član broj: 25
Poruke: 2117
195.252.85.*



+1 Profil

icon Re: Tvorac Lasco worma preporucuje Kaspersky i F-secure21.01.2005. u 16:19 - pre 233 meseci
Upravu je Sunčani =) Mislim ajde recite mi ovo?
Koliko programa ima APIje u PE headeru? NIJEDAN, a opet glupi Symantec ne može da provali da mu to guram virus, i ajde da su još u pitanju checksumovi nego bre lepo piše "CreateFileA", "CreateFileMappingA" itd i on ništa ko da ne postoji ništa sumnjivo...

Strašno bre...
 
Odgovor na temu

dum-dum

Član broj: 35073
Poruke: 93
*.vdial.verat.net.



Profil

icon Re: Tvorac Lasco worma preporucuje Kaspersky i F-secure21.01.2005. u 19:13 - pre 233 meseci
Citat:
Sundance:
PS: O tome su heuristike vrlo bliska budućnost sve više detekcije nije samo moje mišljenje, već dosta cijenjenih AV analitičara. Sutra pejstam par citata :)


Chuj, verovatno znash za cenjene struchnjake iz sredine 20og veka koji su predvidjali da ce za ceo svet biti dovoljno nekoliko rachunara - i bili su citirani, samo nisu mogli da budu pejstovani :)

Znachi, jednostavno nas ova diskusija nece dovesti dalje od shpekulacija, a znajuci nas dvojicu - verovatno i do flejma :)))

Ti verujesh u heuristiku u nadi da nece biti lazhnih uzbuna, ja se uzdam u baze i brzu reakciju...a vendori tvrde da je najbolje bash ono shto oni prave.
Dakle - nereshiva diskusija bi bila pred nama... :)
 
Odgovor na temu

Xpirit
Dejan Nikolic
Beograd

Član broj: 8504
Poruke: 159
*.mediaworksit.net.

ICQ: 3434902
Sajt: www.f-secure.co.yu


Profil

icon Re: Tvorac Lasco worma preporucuje Kaspersky i F-secure22.01.2005. u 21:06 - pre 233 meseci
A sta je sa kombinacijom baza i heuristike? S tim da se recimo ove prve i optimizuju da otklanjaju lazne uzbune koje napravi heuristika?


Now you're runnin', a?
 
Odgovor na temu

[es] :: Zaštita :: Tvorac Lasco worma preporucuje Kaspersky i F-secure

Strane: 1 2

[ Pregleda: 5039 | Odgovora: 31 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.