+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Programy antywirusowe (https://safegroup.pl/forum-8.html)
+--- Wątek: Cloud AV zagrożone? (/thread-2594.html)
Cloud AV zagrożone? - polak900 - 21.01.2011
czyżby immunet i reszta takich av powinni się zacząć obawiać:
już się znalazł sposób na cloud av
poczytajcie sobie:
Rozpowszechniony głównie w Chinach trojan Bohu oszukuje programy antywirusowe, które do oceny zagrożenia danego pliku wykorzystują dane z serwera w chmurze. Informuje o tym Malware Protection Center Microsoftu. Bohu stosuje przy tym różne sposoby, aby uniknąć wykrycia.
Według relacji "szkodnik" dołącza do własnych plików przypadkowe dane, aby w ten sposób uniknąć rozpoznania na podstawie wartości funkcji skrótu. Skanery chmurowe przekazują jednoznaczną wartość hash do serwera, aby ustalić, czy są już dostępne informacje opisujące dany zbiór. Jednak przypadkowe dane wprowadzają w rezultacie nową wartość funkcji skrótu, w związku z czym zwykle plik na serwerze zostaje rozpoznany jako dotychczas nieznany.
Oprócz tego Bohu usiłuje zakłócać strumień danych między skanerem a chmurą. W tym celu za pośrednictwem Windows Sockets Service Provider Interface (Winsock SPI) instaluje on filtr oraz sterownik NDIS, który według Microsoftu poszukuje w strumieniach danych sieciowych albo w wywołaniach HTTP określonych słów kluczowych i adresów serwerów, a w razie trafienia blokuje wysyłanie danych do serwera.
Wszystko wskazuje jednak na to, że Bohu próbuje również zakłócać połączenia nawiązywane przez skanery chmurowe popularnych chińskich producentów Kingsoft, Rising i Qihoo. Trojan dostaje się na komputer, udając kodek wideo, i instaluje na nim kolejne pliki. Jednak z informacji Microsoftu ani też z innych opisów tego "szkodnika" nie można wywnioskować, czy oprócz funkcji blokowania ma on także funkcje szpiegowskie.
source: HO
Re: Cloud AV zagrożone? - Eugeniusz - 21.01.2011
Atakuje chińskie programy, nie martwię się
.
Re: Cloud AV zagrożone? - polak900 - 21.01.2011
Eugeniusz napisał(a):Atakuje chińskie programy, nie martwię się
do czasu
Re: Cloud AV zagrożone? - Eugeniusz - 21.01.2011
Opis inżynierów Symanteca
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Cloud AV zagrożone? - Konto usunięte - 21.01.2011
@polak900:
Wydzieliłem temat, bo to nie tyczy sie immuneta, ale wszystkich av tego typu (sam to napisałeś, więc nie wiem czemu nie zalożyłeś tematu).
Re: Cloud AV zagrożone? - shinjiru - 21.01.2011
ale jesli chodzi o chmury to z normalną bazą danych zostanie on wykryty? znaczy chodzi o normalny skan
Re: Cloud AV zagrożone? - polak900 - 13.11.2011
lukasamd napisał(a):@polak900:
Wydzieliłem temat, bo to nie tyczy sie immuneta, ale wszystkich av tego typu (sam to napisałeś, więc nie wiem czemu nie zalożyłeś tematu).
masz racje mała pomyłka, dzięki za poprawkę
