Hm. Kad se to asemblira pa disasemblira dobije se



Mrtva petlja od 255 iteracija dok eax ponovno ne postane 0 i tada je preskoci hlt.. or je suvisan jer dec vec postavi ZF kako treba.

Cemu bi moglo sluzit.. za usporenje emulacije?

Da nije fora u tome sto emulator pokusava da izvrsi i instrukciju posle jmp/jcc/ret i call? Pa posle ovog je naleti na hlt?

Mislim da ovo dodje kao onaj trik kad imas dva mrtva ret gde emu izvrsava prvi ret pa kaze ajde i drugi da probam i opet se umrtvi =)

Većina "brzih" AV preskače naizgled bespotrebnu petlju i odmah idu na sljedeću instrukciju, zbog čega neće preskočiti onaj hlt, u emulatoru će se dogoditi iznimka i on će se završiti emulaciju.

Vrlo jednostavan, vrlo glup i vrrrrlo učinkovit način za shebat većinu AV :>

U biti, AV ne emuliraju doslovno izvođenje asm koda, već ga samo simuliraju. Emulator bi bio otporan na ovaj trik, neki gluplji simulatori neće, jer će pretpostaviti da mogu preskočiti taj dio koda bez mijenjanja ZF. Ovaj je trik vrlo star, ali neki glupi AV (Norton!) ga još uvijek puše kao ništa.

Pokušat ću ponovo napisati isključivo generičku verziju PE infektora kojeg svi važniji AV detektiraju samo preko heuristika, pa ću testirati koliko je tko otporan na koju "caku" i postati ovdje rezultate. Da riješimo dilemu tko je najbolji jednom zauvijek :)


Ako još netko ima kakav biser neka javi :>

Uzeo sam Win32.Aztec, klasika, jedan od prvih PE infektora, sors iz 29a #4, asemblirao i skenirao:



Dakle svi osim NOD32 ga detektiraju preko signatura. Nakon toga sam prije PRVE instrukcije virusa dodao ovaj anti-emu snippet, i vid čuda:



BRUUUUUUUUUUUUUUUUUUUUUUUKAAAAAAAAAAAAAAAAAA!!!!

Dakle odmah u prvoj rundi ih je POLA palo. Uključujući famozni KAV :)

A tek sam počeo. Duga je noć, vidjet ćemo još, hehe :)

Ajd Vojislav, killer i ostali, znam da imate po još nekog asa u rukavu, da malo pljucnemo po AV i pokažemo kako su šuplje ti današnji razvikani komercijalni AV :)

Proveri mail siso =) onaj na gmail.com =)))
Da vidis kako se jebe heuristika u zdrav mozak =)))))
Vecina AV takodje trazi set instrukcija jmp/call/pop medjutim sta biva ako vas kod uopste tako i ne nalazi deltu? Sta cemo sad? tu pada heuristika, onda ajmo malo sa Thredovima da se igramo =) da vidimo kako to emulira neki AV =))
I tu padaju ko zvecke =) Ja sam ranije mislio da imena APIja se kriju zbog heuristike i slicno, medjutim to uopste nije tako...
evo 2 pravila emulacij ili heuristike (sta je sta nekako je sve blizu a opet tako daleko)
1. delta nalazenje? ne koristiti jmp/call/push nego koristiti EPO za tu svrhu
2. heuristika gleda uvek zadnji section za sumnjivim kodom
Dodajmo prazan section na kraj Rawsize = 0 RawOffset = 0, VirtualAddress = SizeOfImage VirtualSize = SectionAlignemnet, povecamo SizeOfimafe za SectionAlignment i dodamo jedan section iza optional headera =)
To je bio nacin da zeznem heuristiku, ali ovaj sa EPO je mnooooogo bolji =)))

Da....multithreaded aplikacije se jaaako teško emuliraju. Pogotovo kad ima onu running threads enkripciju o kojom sam ti pričao :>

Sad ću dodavat caku po caku, i analizirat gdje koji AV puca. Ovaj je virus dosta star, malo ću ga modernizirati, hehe.



Imam ideju. Da opalim nezavisnu mirko-nit koja će odrediti delta offset i zapisati ga sa WriteProcessMemory. Možda je čak i bolje nego skrivanje u domaćina.



Ovaj kod što ja testiram jest prva generacija. Dakle nešto što bi baaaaš svi trebali naći. Ove komplikacije ćemo ostaviti za sami kraj, kad se pokaže tko ima najbolju heuristiku :>

Ja upravo razvijam ideju za sledeci experimentalni kod koji ce samo da se zasniva na debugging funckijama (virtualAllocEx, CreateRemoteThread, Write/Read Process memory) =) Da vidim da ovde odrade emulaciju, samo jos mi nije jasno u glavi sta sve zelim da uradim pa ce mi treba duze vreme za razradjivanje ideje =)

Još malo bruke.......užasno velike bruke :)

Dakle, na taj sors od Win32.Aztec, samo sam izmjenio fju kojom traži bazu od kernel32.dll:


gdje su kernel_ i kernel_wNT predefinirani kao:



(Ovaj školski virus je star ~5 god, imate sors u 29a #4)

E ja sam taj dio zamijenio sa svojom super-nadji-kernel32 fjom koju sam napravio za potrebe svog shellcode-a :) (sorry na lošem formatiranju, ne da mi se sad dotjerivat :) :



Pošto je ona stara metoda donekle obsoletna...i opalim ja sken....i šta to moje oči vide:



Samo su Orion emulacijski engine iz f-prota i NOD32 u igri. A nisam ni počeo se igrati sa višenitnim stvarčicama, enkripcijom, pikanterijama OS-a... :>

Idemo dalje.

Evo moj skromni doprinos - nesto cime sam se zezao pre par godina (pre nego sto sam shvatio da od toga nema 'leba )
Nisam siguran da li je ovo vec provaljena fora al nema veze

E jebo si mu kevu sto si napisao rutinu za trazenje kernela =)))
Zar nije bilo prostije da skeniras SEH ? =)
Imaj malo milosti prema svojim ortacima koji moraju da citaju ovaj kod =)))
I gde vrisis to skeniranje? Na netu? ili imas sve AVove kod kuce =)

:)

Pa šta joj fali? Baš je "jeba*ka". Koristi kombinaciju svih poznatih metoda koje nešto valjaju :)



Misliš PEB/TEB blok? Mislim da je onaj SEH koji prvo testira baze kernela na ne-winXP platformama i ubio većinu emulatora. Baš ću to sad probat.

Tako star anti-debugging trik, a da se primjeniti i na obsfukiranje execution-flowa :>



Pisao sam ja i ružnijeg koda :>

Mogli bi i bacit neko natjecanje, tko će u manje bajtova napraviti neki infektor? Ne mora biti za PE, možemo i ELF. Evo ovdje sam jučer slučajno naletio asm tut za BSD. Znam da imaš nezavršen jedan virus za BSD, možda ti bude zanimljivo :> Samo bad je što mi se neće instalirati pa moram pod VMware ga pičit :(



http://www.virustotal.com/flash/index_en.html

Ma ne bas sam mislio SEH, pogledaj source sto sam ti poslao =)
Doduse to jeste deo TEBa ali bas mislim na pointer i handler u okviru SEH, ono dok ne dodjes do 0XFFFFFFFF e kad nadjes taj handle onda je SEH ispred pointer na kernel32.dll pa samo umanjujes adresu 0x10000 i normalno obrises low word pre toga i tako trazis MZ =) Ne moz da omane =)

http://nonenone.net/freebsd_tut.txt pa znam ja kako se pozivaju API na FreeBSD =)
Uvek moras da imas jedan dummy dword pre int 0x80 =)))

lol =) Jos niko =)

Tako Aztec izvorno i koristi, align na 10 page-va je klasika :>

Bolje je prvo lookup tablica, pa PEB, pa tek onda ta metoda jer je jako spora pošto za svako "fulavanje" se opali iznimka koja troši tisuće CPU ciklusa :>



Koliko ti je trebalo za ovaj textić, 10 min da ga napišeš? :) Šala :)

Dobar ovaj BSD, mnogo mi se više sviđa nego onaj đumbus od linuxa :>

Evo, nakon temeljitog peterosatnog testiranja mogu reći da od testiranih AV samo NOD32, Panda i f-prot imaj nešto što se može nazvati heurističkim engine-om. Ostali su svi ostali baš totalno s*****.

Prešao sam većinu najčešćih caka, gornja 3 ovaj modificirani Aztec detektiraju baš isključivo preko heuristika, dok fakin neuništivi Symantec još uvijek nalazi Bloodhound.W32.2 :) Mislim, znam da koristi klasičnu signaturu, samo još nisam "upecao" o kojem se snippetu koda radi :)

Eto, tek tako da se zna :) Napisat ću tokom dana opširnije komentare, a sljedeću noć idemo na nasty anti-emu trikove, hehe.

Btw Mikky onaj tvoj trik naravno ne djeluje protiv NOD32, ali zato f-prot ga ne prijavi! Kasnije, kad napravim još neke modifikacije, prijavi ga. Pa kad još neke, ne prijavi, sad kad sam unakazio ovaj Aztec opet ga prijavljue. Čudan ovaj f-prot :>

Mogu vam reći da nakon što sam ovo prošao, ne bih se čudio da neki AV ovo detektiraju kao win32.Aztec:



Pravo čudo kako neki AV imaju muda govoriti da imaju heuristike. Imaju qrac!

Haha ko je to presao na C =))))

Ma dobar je C za ovako nešto na brzinu. Mada je C# za klasu produktivniji alat :>

Evo u C# složio programčić koji može slati mejl direktno na virustotal sa mojim testnim sample-om kao attachmentom, tako da ne moram svaki put ručno slati već ga mogu staviti u .bat gdje asembliram virii. U C-u bi trebao koristiti neku opskurnu biblioteku za SSL, a pazi kako je to u C# jednostavno:



Dodaš ga još kao hotkey u ultraedit i stvar je rješena :> Samo je bad što moraš ručno gledati rezultat preko webmail sučelja, ali što je tu je, ionako čekaš po 10-ak min, a gmail se sam refresha :>

Ma idi begaj, i sta mu dodje ovo cudo http://microsoft.com...
A zar smtp.gmail.com ne ide preko 465 i ne trazi autentifikaciju? =)))

Pogledaj malo bolje pa ćeš vidjeti da postoje i username i pass :>>

A može i preko 465 ili whatever, iako koristi SSL :> Oni Fields[] elementi su jaaako nedukementirane XML šeme koje interno koristi CDO API, preko koga je implementirana System.Web.Mail.MailMessage klasa. Ovo je totalno nedokumentirano, pogledaj samo na MSDN što piše. NIŠTA! LOL!

Ima na webu sve i svašta za CDO, ali nisam našao nijedan primjer koji koristi SSL, a kojeg gmail zahtijeva. Samo gomila lamera moli da im netko napiše managed wrappere :))

Ludnica.

Bloodhound.W32.2







Mirror, mirror, on the wall, what's the stupidest AV heuristics of them all?






U biti sam skužio kako zaobići heruistike svakog od njh na testu, ovo sa Symantecom je samo sprdnja :> U biti mogu napraviti false positive generator za svaki AV :>

Tut stiže većeras ili....kad uhvatim slobodnog vremena. Ovako loši proizvodi zaslužuju jednu poštenu demistifikaciju.

Znaci sugavi Symantec je pobednik?!!?!?

Au contraire mon ami, Symantec je najgluplji od svih :)

haha vidim volis Herkula Poaroa =))))

U ovom ću kratkom članku (za dužu verziju tko plati više :) pokazati kakvo su s***** današnji AV i kako su primitivne njihove so-called generičke zastite za viruse za koji još ne postoje definicije, u narodu poznate kao heuristike.

Za primjerak sam odabrao klasiku, old skul primjerak PE infektora - Win32/Aztec virus iz poznatog tutoriala Billy Belcebu-a Billy Belcebu Virus Writing Guide 1.00 for Win32. Taj tutorial je star...prilično, i predstavlja jedan od prvih tutoriala kako pisati Win32 viruse. U to vrijeme nije bilo puno dokumentacije, ljudi nisu puno znali o windows internals pa su se snalazili kako mogu :>

E sad se malo pozabavimo Win32/Aztec. Aztec je klasičan PE infektor, praktički najelementarniji i najjednostavniji mogući virus koji se može napisat. Neke od tehnika koje Billy opisuje i koristi u svome tutorialu su obsoletne, te su danas pronađeni sigurniji i bolji ekvivalenti. Aztec je virus koji i dan dana ima hrpicu varijacija - budući da je Billy-ev tut praktički početnica za Win32 viruse, svaki 'aker početnik napravi neku svoju verziju koja se malo razlikuje od dotičnog virusa. Recimo ne inficira datoteke u Windows direktoriju, nego u Program Files :))) Šala. Evo i dan danas (11.2.2005), gledam dnevni update od NOD32, i sto to vidim: Win32/Aztec.1344, Win32/Aztec.1356 :))

Dakle, šta radi ovaj Aztec.

-> Kad se pokrene prvo na klasičan način računa delta offset
-> Nakon toga traži bazu u memoriji od kernel32.dll tako što koristi SEH-zaštićenu petlju, spuštajući se po 10 page-va u odnosu na adresu iz koje virus pozvan u memoriji
-> Nakon toga traži adrese API-ja koji su mu potrebni tako sto parsira export tablicu kernel32.dll. Imena API-ja su pohranjeni kao statički stringovi
-> Nakon toga sprema u sebe stringove koji predstavljaju Windows direktorij, sistemski direktorij i trenutni direktorij
-> Nakon toga u petlji u svakom od tih direktorija inficira po 5 datoteka sa maskom "*.exe"
-> Rutina za inficiranje je klasika: MMF + potpis u jednom od rezerviranih polja PE headera, stavlja svoj potpis "AZTC" čime označava već inficirane datoteke kako se nebi dogodila višestruka infekcija
-> Inficirane datoteke e imati entrypoint preusmjeren na tijelo virusa koje je pridodano zadnjoj sekciji, kojoj je usto postavljen +w atribut.

Dakle, sve u svemu klasika. Danas, da netko piše virus, malo bi što koristio od gore navedenog:

-> Delta offset se računa u letu, ili ga daje inficirani domaćin, ili se uopće ne oduzima onaj "offset delta" čime se dobijaju manji opkodi i smanjuju zastavice za heuristike
-> Adresa kernel32.dll se u 4 instrukcije vadi iz PEB-a
-> Adrese API-ja se pohranjuju kao neki jednostavni hashevi (CRC32, Adler-32, neki glupi rot + shift algo...)
-> Ne inficiraju se sistemske datoteke bez da se prethodno ne isključi SFP/WFP, jer ih win po defaultu vrati čim se oni promijene. Osim toga, nadgleda ih i većina AV.
-> MMF se još uvijek koriste, ali potpisi se ne ostavljaju preko nekih takvih očitih signatura koje se mogu vidjeti u hex editoru. Obično se provjerava da li je aktivan mutex/postoji globalni atom/da li je dužina datoteke modulo <neki broj> = magičan broj/umetni matematički što perverzniji algoritam iz teorije brojeva po želji, tj. nešto puuuno manje sumnjivo, tj. nešto sto se moze odrediti tek @ runtime, a ne za vrijeme statičke analize koda :)
-> NE INFICIRA se zadnja sekcija osim ako se baš i ne mora :) POGOTOVO se entrypoint prve instrukcije programa ne preusmjerava u nju. Ako se inficira zadnja sekcija, koristi se EPO za redirekcju kontrolnog toka izvođenja, a ne redirekcija OH_AddressOfEntryPoint polja. I zaražena sekcija nema IMAGE_SCN_MEM_WRITE bit postavljen, već se u letu mijenjaju permisije page-eva s VirtualProtectEx, ili se tijelo virusa kopira na stog koji je obicno (gle čuda :) writable. Mada na novijim procesorima sa NX/EDB bitom + DEP neće biti executable, ali njih rijetko tko ima danas :>>>

Dakle, manje više se u tih 5-6 godina koliko je ovaj virus star sve živo promijenilo :)

Ono....trebali bi ga svi AV detektirati kao od šale. Dakle što dobijemo skeniranjem korištenjem virustotal servisa:



Dakle svi ga detektiraju manje-više. Billy veli da je Aztec nastao kao varijacija Iced virusa, pa ga neki i kao takvog imaju u bazi :>

E sad se počnimo igrati. Kao što sam spomenuo na samom početku ove teme, imamo jedan uberkul komadić koda koji ide ovako:



Šta ovaj komadić koda radi, pročitajte na početku ove teme :>

U biti je kod jaaaaako, jaaaako glup. Općenito se anti-emu forice sastoje od nekih trikova kod kojih će emulator "krivo pretpostaviti" šta kod radi. U ovom slučaju su krivo procijenili petlju, pa su pretpostavili da će se izvršiti hlt instrukcija koja će, pošto se program izvodi pod ring3, uzrokovati iznimku i emulacija će se završiti.

Druge, općenite, cake su sl. ovoj i općenito se sastoje od eksploatiranja nedostatatka znanja AV-a o okolini u kojoj se virus izvodi. Recimo, korištenje nedokumentiranih memorijskih lokacija (PEB/TEB je idealan!, mogu i neki dijelovi sistemskih DLL-ova..), caka vezanih za pojedini OS (recimo cs selektor, njegova pretpostavljena vrijednost na NT familiji) koje se mogu iskoristiti za generiranje grananja koda, prije AV nisu dobro emulirali retf (far return), pa ako bi radio push offset func, push cs, retf - ne bi skužio :> ....poanta je napraviti što VIŠE takvih potencijalno nepoznatih grananja, sa što vise slijepih ulica, kako bi AV jako teško "upiknuo" onu pravu.

AV je vremenski i resursima jako ograničen pri analizi pojedine datoteke. Također, svaka heuristika je kao mini virtualna mašina - zna PUNO toga o detaljima OS-a kojeg emulira, ali ne zna SVE, tj. postoje rupice koje virus može eksploatirati kako bi izbjegao život u matrixu :) U biti su heuristike baš to -> OS so real that you wouldn't know the difference between the emuOS and the realOS...............you think that's the memory you're reading? :>>>

Enivej, takvi se nedostaci odavno iskorištavaju prije svega za EPO. Zamislite da virus zarazi neki program sa kompleksnim GUI-em (a koji to danas na win nije :)...virus recimo patcha DefWndProc handler za, recimo, neku specifičnu WM_* poruku...emulator se konkretno u ovom slučaju može hebat. Zato jer naravno nema resursa/vremena na raspolaganju da emulira cijelu logiku izvođenja sve do tog konkretnog dijela koda.

Zato su neki AV pomalo glupi. Ustvari jako glupi :) U biti imaju predefiniranu bazu "sumnjivog" koda, te parsaju sekciju za kod i u potrazi za tim "sumnjivim" snippetima, te ako ih ima dovoljan broj, oglase zvona za uzbunu. Nedostatak tog pristupa kod kojeg nema dubinske analize kontrolnoga toka jest što je jaaako podložan generiranju FP (False Positive), te neće raditi za bilo koji inteligentnije kriptirani kod (koji standardni, glupi x-raying ne može penetrirati, recimo sa klizećim XOR ključem baziranim na kongruentnom modelu). Koliko je ta metoda s*****, pokazao sam već na Symatecovim "heuristikama" koje ju koriste, i na onom 20-instruction so-called virusu :))))

Daklem, da počnemo...

Umentimo anti_emu snippet kao makro odmah na sam početak virusa...dovoljno je jednom. I to ovako:





I padoše ih....POLA!

Redom: AVG, ClamAV (uvijek sam govorio koliko je OSS nekvalitetan :), DrWeb, eTrust-Iris, Fortinet, F-Prot, Kaspersky. Skoro pa pola :)

Od ostalih ih preko signature detektiraju BitDefender, NOD32v2 i eTrust-Vet, ostali ih preko heuristika nalaze. Zanimljiv je Sybari-ev rezultat koji ga prijavljuje kao spawn NGVCK kita za kreiranje virusa!

Mislim....smiješno....AV koji tvrde da imaju heuristiku, a nisu u stanju emulirati i najobičniju kvazibeskonačnu petlju!! Get Real!!!!!

Također, za f-prot mala zamjerka, pošto će kasnije on nakon nekih modifikacija OPET prijavljivati infekciju. Ali otom potom :)

Sljedeći korak pri modificiranju ovog školskog primjerka virusa jest bila zamjena GetK32 fje sa novijom, modernijom varijantom. Više nije potrebno trošiti skupe CPU cikluse brutforsajući memoriju, već elegantno kombiniramo informacije iz PEB-a. Nisam stavio onu direktnu, kratku verziju, već jednu malo modificiraniju, koju sam sam napisao za svoje potrebe. Moja verzija te fje prvo testira nekoliko već poznatih baza kernel32.dll, nakon toga pokušava iskoristiti PEB, pa tek u krajnjem slučaju poziva onu povratnu adresu sa stoga pa brutforsa. U svakom slučaju ima da radi, na ovaj ili onaj način :) Ta fja izgleda ovako (umjesto defaultne GetK32):



Nakon toga opalih sken:



Kao što vidimo gotovo se ništa nije promijenilo. Čini se da su dotični AV otporni na ovakve cake, ili da su detekcije bazirane na nekoj sekvenci koda koja se dogodila prije poziva GetK32 procedure. NOD32v2 sad virus ne detektira preko signature, već preko heuristika.

Sljedeće što nam je na umu jest maknuti sve baš statičke karakteristike ovog virusa. Payload je u vx terminologiji ono što virus radi (recimo destruktivan payload - brisanje hard diska, konstruktivan payload - 29a logo za bootanja mašine :) E pa payload ove bebe jest običan Message Box za vrijeme prve generacije, i njega brišemo:



Nadalje, u tijelu virusa je ostavljen "potpis", i njega mičemo:



Dakle totalno trivijalne stvari. Par statičkih stringova, i to je to. Reasemblirarm i analiziram:



Padoše redom: BitDefender, eTrust-Vet, Norman i Sybari. Mislim.....koja bruuuuuuka. A sve što sam uradio jest izbrisao par stringova :> Mislim, mogao sam uzeti i hex editor i prebrisati ih sa "U STUPID AV" stringom :)))

Stvarno smiješno......Eto, zasad samo AntiVir detektira preko signature, a još nisam ni počeo nešto što bi se pod normalnim okolnostima moglo nazvati "sakrivanje" podataka/koda od heuristika.

Nakon toga sam primjenio Mikky-ev savjet, te izmjenio pri računanju delta offseta onaj:



u:



Pri čemu je pao:



f-prot :))

Moram napomenuti da mi je jučer već bio otpao i AntiVir do ove točke (u biti na prošloj). Izgleda da ovaj virustotal SURAĐUJE SA ANTIVIRUSNIM KOMPANIJAMA TAKO ŠTO IM PROSLJEĐUJE PRIMJERKE!

Đubre jedno.

Idemo dalje. Dosta je bilo dječjih igara (iako se čini da su većina testiranih heuristika baš to - dječja igra), vrijeme je za pravu akciju. Napravljene su sljedeće izmjene (neću pejstat sve kodove pošto je puno izmjena, šaljem na mejl na zahtjev):

- maknute su Aztecove obsoletne i implementirane vlastite procedure za traženje adresa API-ja, ovaj put preko hash tablice a ne preko stringova, maknuti SVI statički stringovi u kodu

- maknut infection mark:



- x_push makro za ".EXE" (tj. EXE_MASK), z0mbijev makro koji on-the-fly generira zadani string na stogu + x_pop za poravnanje esp

- OpenFile procedura inline-irana -> NOD32 mijenja prijavu u: NOD32v2 1.995/20050210 found [probably modified virus Win32/Highway.C (WIN32) [7]] ludnica :))

- inline-irane su - TruncFile, MapFile, CreateMap, Align procedure

- Umetanjem hlt instrukcije pri samom počcetku virusa ostaje jednaka detekcija kod svih, iz čega možemo zaključiti da se emulacija nastavlja čak i ako je došlo do greške kod nekih instrukcija. Sad više nije u igri obsfukacija kontrolnog toka, već micanje broja zastavica za sumnjive dijelove koda. Mada, čini se, postoji OGROMNA razlika u načinu kako je to implementirano kod nekih proizvoda. Recimo, ako unesem BAŠ SRANJA od instrukcija, recimo direktan poziv na ExitProcess i sl. nebuloze, jedino će Symantec davati FP, što će reći da kod ostalih heuristika postoji neka vrsta tolerancije prema potencijalnim junk instrukcijama, pogotovo jednobajtnim.

- novi kod za delta offest:



Ništa komplicirano, samo hrpa izmjena kako bismo malo modernizirali virus :) Evo rezultata:



Odoše f-prot i AntiVir :)) Eh šta ti je kad su ti heuristike hrpa govana....

Sad mogu reći da samo Panda, Nod32 (i f-prot, ovisi kako mu šune :) imaju nešto što se može nazvati heuristikama. Ostalo su sve marketinški nabumbani proizvodi koji LAŽU svojim mušterijama o podršci detekcije još nepoznatog malware-a. Ako nisu uspjeli detektirati ovako TRIVIJALNO modificirani virus otvorenog koda, star 5 god, onda im od heuristike ne ostaje ni h.

Nakon toga su napravljene u kodu sljedece preinake, pri cemu mi je cilj bio sto "opcenitija" definicija virusa:

- izmjenjen dio koda nakon delta offseta, ebx preuzeo ulogu delta registra (prije bio ebp):



- maknuti svi viškovi koda uzrokovani prethodnim dodavanjima..

- inline-irane su procedure: PrepareInfection, InfectAll

- ebp->ebx sve do kraja koda, i u dijelu za infekciju, dodana privremena varijabla temp

- obsfukirana provjera za "PE" signaturom u infekcijskoj proceduri -> pao nod32!





Rezultat koji prijavljuje AntiVir zanemarimo, jer mi ovaj isti virus prije 2 dana nije detektirao. Njegova trenutna detekcija je 99.99% rezultat suradnje sa virustotal servisom preko kojeg je ovaj sken obavljen :>

Idemo dalje.

- Panda je izgleda opušila na komentiranju hardcoded adresa kernela:





Ode i glupa Panda. NOD32 je bar umro časno -> nije prepoznao modificiranu verziju cmp instrukcije :) Ovaj dio koda koji sam maknuo za Pandu je ionako star i nepotreban, služi samo za ubrzavanje procedure. Bio sam ga napisao kad sam pravio (prvi!) generički win32 shellcode, 2 mjeseca prije nego što je neke njegove dijelove rippala ona đubrad iz LSD :> Tad još PEB trik nije bio siguran, pa se sve koristilo :>

Ovaj glupavi AntiVir opet zanemarimo, jer, kao što rekoh, jučer nije ništa prijavljivao. Hebeni virustotal, sunce mu hebem, neću više ništa na njega slati :>>>> Uostalom, kao što se vidi, ne rade mu heuristike, već neka fixna signatura koju bih, da mi se sad da (a ne da), maknuo vjerojatno komentiranjem/mijenjanjem par instrukcija :>

E sad je ostao još samo Symantec. Symantec je specifična priča. Radi se o ultimativnom đubretu od heuristika. Zašto? Zato jer ovaj:



komadič koda prijavljuje kao "virus" ! Taj sam komadić koda dobio micanjem "viškova" sa originalnog virusa. Naravno da je ovaj komadić koda bezopasan i da ništa ne radi. I što je najbolje, RUŠI SE kad se pokrene. Zanimljivi su ovi dijelovi: Prvi i treći su standardni snippeti za align sekcije nakon što joj je dodano tijelo virusa, drugi je dio u kojem se uzima RVA posljednje sekcije u eax, pod pretpostavkom da su esi i edi adrese PE headera, dok je zadnji dio postavljanje read i write bitova na atribute te sekcije. Divan virus, nema šta :) E ove iz Symanteca treba osobito naklepat :))

Zaključak

Mislite da ste sigurni ako imate najnovijeg Nortona? Ako vas na taskbaru čuva Pandina šapica? E pa niste. Barem ne od klasičnih virusa koji su divljini. A kamoli od opskurnog malware-a koji profiji pišu po narudžbi. Panda, f-prot, NOD32 su pobjednici. Crveni karton dobiva Symatec zbog FP na "virus" od 20 instrukcija. Ostalo sve srednja žalost. Tj. s*****. Imam neki osjećaj da ako sad napišem neki FP fuzzer i pošsaljem ga Virus Bulletin, nijedan AV u sljedećem broju ne bi imao 100% :)))

Ma jok. Stavit ću da svaki dan 10000 takvih FP šalje na virustotal. Pa neka AV "stručnjaci" umru dok ne nađu bugove u svojim patetičnim heuristikama. Lako je ubaciti binary u program koji će nakon 10 sati rada ispljunuti sigurnu definiciju, ali brate, popravi ti bug u programu tako da i dalje ne generira FP! Malo teško....we'll see :)

Malo anti-Symantec propagande, pošto je zauzeo zadnje mjesto i još uvijek lažira svoje rezultate:

http://www.nod32.com/news/cnet_zdnet.htm
http://www.nod32.com/news/joe_wells.htm



Ljudi, nemojte nasjedati Norton propagandi, ne budite Amerikanci da mediji manipuliraju Vašim životima. Imate ovdje crno na bijelom, sve što sam ovdje napisao će potvrditi svaki ozbiljniji (anti)virusni stručnjak.

Slobodno pokažite ovaj članak vašim obližnjim AV distributerima :>

AV odabirite prema vlastitoj procjeni, a ne kako vam trgovci kažu.

Sa http://www.virustotal.com/flash/index_en.html



Damn.....zašto ovo nisam prije vidio :)

Mogu ovo da prevedem i posaljem u F-Secure? I da li bi vise hteo da probas i F-Secure posto ga viruslist nema?

Hehe legendarno.
Prevedi i posalji ovo za sledeci a29 issue.

Fenomenalno bratac, fenomenalno =) Joj kako bi da se najabem keve onom kasperskom, ili bi mu zenu dovatio ipak =) Ruskinja, a cujem da se ruskinje satiru od k**** =))) hahaha =)

p.s. ne znam koji mi vrag, ali sam izgleda prso u poslednje vreme =)

Sve mi je jasno, ali odakle vam toliki AV skeneri... ne bih bas mogao svaki da instaliram na komp pa da isprobavam...

Evo malo sa nezavisne studije [1] :





Papir je inače fenomenalan, preporučam zainteresiranima da ga pročitaju do kraja.

Jedina zamjerka što nisu testirali sa AV koji imaju prave heuristike (f-prot, NOD32..), a ne ova Norton i McAfee govanca...

---

[1] http://www.cs.wisc.edu/wisa/papers/safeTR1467/cj03.html

Haha fino :))