Antivirus, trojaner & malware, del3

Här kommer till slut det avslutande inlägget i min serie om virus&malware. Julen och helgerna + jobb har kommit emellan

Vad göra?

Problemet med dagens antivirusbekämpning är att virusskaparna i princip alltid kommer ligga steget före. Det är ganska trivialt att dölja skadlig kod med metoderna tidigare beskrivna, vilket bidrar till att det väller ut virus, trojaner och liknande på nätet.

En tanke att ha i bakhuvudet är att även om man har de senaste patcharna, de senaste virussignaturerna så är man fortfarande inte helt säker.

Ett exempel;
En sårbarhet i Windows hittas av illasinnade hackers som i sin tur skriver ett program som tar över/saboterar datorn.
För att en användare  ska ska vara skyddad behövs i värsta fall följande:
* Microsoft får reda på sårbarheten och fixar fram en patch som i sin tur måste distribueras via Windows Update till användaren.
* Antivirus-företaget får tag på det skadliga programmet/programmen, analyserar det och uppdaterar sin virusdatabas. Användarens antivirusprogram får uppdateringen.

Det är inte helt ovanligt att dessa två scenarion kombineras, dvs en sårbarhet i operativsystemet öppnar för attack, vilket banar väg för hackern att få in den skadliga koden i datorn.

Problemet här är att det kan ta allt från timmar, dagar eller t.o.m veckor innan en lösning har hittats och användarnas datorer är i säkerhet.

Trender bland virusmakare

När man pratar om virus idag tror nog de flesta att det fortfarande till störst del rör sig om illasinnade program som raderar filer, saboterar och gör datorn obrukbar. Då detta till viss del existerar idag har virusmakarna (som i alla andra branscher) fått upp ögonen för Internet och de monetära möjligheterna det innebär.

Den tydliga trenden idag bland skadliga program är  att rekrytera datorer till s.k. botnets .
Detta innebär att dåligt säkrade datorer tas över utan användarens vetskap och används i kriminella syften utan att användaren märker av aktiviteten.

Infekterade datorer kan sedan användas för att skicka ut skräppost eller hjälpa till att infektera fler datorer på Internet. De illasinnade hackarna kan styra datorerna och använda dom i massiva överbelastningsattacker. Detta kan t.ex. användas i utpressningssyften mot hemsidor eller annan verksamhet på Internet.

Jag tror det viktigaste är att göra gemene man mer uppmärksam på hoten som existerar på nätet.  Vetskap, om än bara en gnutta om vilka knep och tekniker som används  kan  räcka långt. Det är på tok för många som klickar i blindo och inte bryr sig om varningsmeddelanden och liknande.

Slutligen,

Det är den gamla vanliga visan;

* Öppna inte bilagor i e-posten från skumma avsändare.
..även mail från vänner som av någon anledning är skrivna på engelska, deras adressbok kan ha använts av en mask/malware.

* Din bank kommer  aldrig kontakta dig angående lösenord och kontouppgifter per e-post.

* Facebook,Twitter eller andra sociala medier skickar inte heller ut varningar/lösenordsförfrågningar i word-dokument, pdf-filer  som dom vill du ska öppna(detta kostar helt för mycket i bandbredd på Internet). Är du osäker kommer dom garanterat ha informationen på hemsidan, kolla där istället!

Detta var den avslutande delen i min serie om antivirus, trojaner och malware, hoppas du lärt dig något!  Skriv gärna en kommentar.

Tidigare inlägg: Del 1 och Del 2

Antivirus, trojaner & malware, del2

Här är del 2 i min lilla serie om antivirus, trojaner och malware. (Om du inte redan gjort det, läs  Del1)

I denna delen kommer jag berätta lite om hur virusmakare går tillväga för att dölja sina spår och gömma elak kod i program.

Som jag nämnde i förra delen använder sig antivirusprogram av signaturfiler som innehåller bitar av skadlig kod.

När antivirusprogrammet scannar datorn använder den just dessa signaturer för att se om mönstret matchas i någon av filerna på datorn.
Vad händer då om man skulle ändra i koden för viruset eller trojanen? Filen får en annan storlek och kommer få en annan checksumma, kommer då antivirusprogrammet missa den? Troligtvis inte.

De skadliga bitarna i filen kommer se likadana eller snarlika ut när programmet kompilerats. Även om man skulle ändra vissa specifika värden i koden så kommer vissa systemanrop och liknande fortfarande behöva göras vilket kommer avslöja programmets elaka egenskaper. Eftersom jag inte är en programmerare kan jag inte djupare redogöra för hur exakt antivirusprogrammen jobbar men jag kan tänka mig att det är här heuristiken kommer in i bilden. Genom att snappa upp specifika kodsnuttar och mönster  som används vid attacker och annat hyss!

Hur bär sig då en illasinnad hacker åt för att dölja sina elaka program? Jo, det finns ett par sätt att obfuskera, eller dölja kod i filer.

Komprimering

Komprimering är just vad det låter som, man mer eller mindre ”zippar” den körbara filen. Denna metod har givetvis legitima syften och är inte något som uppfunnits av elaka virusmakare. Att komprimera en körbar fil kan t.ex. användas för att försvåra för personer som vill knäcka ett program för att se hur det fungerar. Även den faktiska storleksminskningen är ibland av nytta när man ska distribuera en applikation över t.ex. internet.
Komprimerade filer kan även kallas packade filer (packed executables).

Kryptering

Såväl som man kan komprimera en fil kan man även kryptera den. Detta för att försvåra identifieringen av skadlig kod.

Programmen packas upp och dekrypteras ”on the fly” när de körs i datorn vilket innebär att även antivirusprogram kan packa upp filer för att analys.

De flesta antivirusprogrammen idag kan läsa komprimerade och krypterade exe-filer.
Packade filer kan ibland få antivirusprogrammen att överreagera då metoderna är vanligt förekommande bland just elakartade program.

Omkodning

För att förvilla antivirusprogrammen ytterligare kan man dölja koden i program genom att kasta om processer och fylla ut filerna med oväsentlig data. Detta gör att programmet fortfarande kan exekveras av datorn men blir svårtydd av antivirusprogrammet.  Det blir helt enkelt för krävande för antivirusprogrammet att gå igenom den elaka datan.

För att råda bot på detta får man analysera och försöka  identifiera vilken algoritm  som använts och söka efter den i programmet.

Samtliga metoder kan användas och upprepas multipla gånger för att förändra signaturen för filen.

Exempel på program som kan dölja kod är till exempel PE-Scrambler skrivet av Nick Harbour (rnicrosoft.net) och msfpayload som är ett program i Metasploit sviten (metasploit.com). Det senare har även stöd för en mängd olika omkodningsalgoritmer.

Här är ett exempel där jag testar att koda om en fil som uppfattas som skadlig. Det roliga här var att filen fick fler träffar efter den blivit omkodad

Jag använde PE-Scrambler på följande sätt:

pescambler.exe -i suspektfil.exe -o suspektfil_crypt.exe

Här är resultaten från Virus Total:

Först, den okrypterade filen:

Den omkodade filen:

Detta resultat kan bero på att antivirus-företagen har analyserat PE-Scrambler och att i detta fall gav utslag av bara förekomsten av den specifika  kodningen.

Slut på del2!

I Del3 tänkte jag avsluta genom att dela med mig av lite tankar, funderingar och tips. Stay tuned!

Antivirus, trojaner & malware, del1

Detta inlägget är tänkt vara det första i en liten serie om antivirus, malware och trojaner. (Om jag nu orkar/finner tid att slutföra det   )

Jag kommer inte gå djupare in i den uppsjö av antivirusprogram som finns ute på marknaden, vilket som presterar bäst i olika tester eller liknande, utan mer spåna om hur jag ser på antivirus och skadlig programvara i stort.

Antivirusbranschen befinner sig i en ständig katt-och-råtta-lek med virusmakarna. Dagligen överöses internet med nya skadliga program och det är ett tufft jobb för antivirusföretagen att hinna ikapp.

Antivirusprogram arbetar vanligen med sk. signaturfiler. Dessa innehåller delar av virus/trojaner som redan är identifierade. När filer skannas jämförs de med programmets signaturer. Nackdelen med denna metod är att viruset redan måste vara upptäckt, analyserat och distribuerat till folks datorer. För att lösa detta problemet finns det metoder som arbetar med heuristik för att identifiera skadliga filer. Nackdelen med heuristik är att det kan  generera falska alarm som också ställer till problem.

Antivirusprogram fungerar olika och har inte alltid samma  sätt att identifiera skadlig kod. Det kan därför vara bra att kunna kolla med andra program om man misstänker att man fått något skumt via e-mail, p2p eller liknande. Att installera flera antivirusprogram är inte att rekommendera då detta med all säkerhet kommer dra onödigt mycket prestanda på datorn.

Jag tänkte börja med att länka ett par sidor där man gratis kan ladda upp filer för analys.
Dessa sidor är inte tänkta som alternativ till antivirusprogram utan mer som ett komplement eftersom det inte aktivt scannar din dator.

Först ut är Virustotal som drivs av Hispasec Sistemas.

http://www.virustotal.com/sv/

Virustotal scannar filer med ett 40-tal  mer eller mindre kända antivirusprogram, bl.a. AVG, Panda, Symantec, Microsoft Security Essentials, Comodo & ClamAV.

Resultatet visas löpande allt eftersom de olika antivirusmotorerna analyserat filen. Även information om filstorlek, MD5/SHA hash/metainfo redovisas på sidan.

Man kan även ladda ner ett program som installerar sig i ”Skicka till” vid högerklick i Utforskaren. Programmet skickar automatiskt upp filen till Virustotal och öppnar resultatsidan i webbläsaren.

Virustotal är enligt mig den bästa sidan. Ett plus för den svenska översättningen också

Nästa sida är Jotti´s malware scan.

http://virusscan.jotti.org/en

Jotti’s sida fungera i stort sett som Virustotal. Man ladda upp sin fil och får en resultatsida med information om filen.

Jotti’s scanner har inte fullt så många program som Virustotal men innehåller nått enstaka program som Virustotal inte har. Jotti har även en hash-sök på sin sida med vilken man kan söka på MD5/SHA-hashar.

Efter lite googlande hittade jag ett par tjänster till som kan användas för att scanna filer:

http://www.virscan.org/

http://scanner.virus.org/

http://www.viruschief.com/

http://www.filterbit.com/index.cgi

Slut på del1!

I  del2 tänkte jag visa vilka metoder virusskapare använder för att lura antivirusprogrammen!

goonumerator.sh – Enumerate e-mail addresses with Google Search

I chose to write this in english so that more people could benefit from it…

Google’s search engine is as you all know quite powerful and customizable when it comes to limiting and narrowing search queries.

I got the idea of writing this script when I  browsed the  scripts on the Backtrack 4 Live-CD. On the CD there are various scripts for enumerating information from among others Google. I tried the goorecon script by Carloz ”Dark Operator” Perez (wich inspired me to write this script). I didn’t get his ruby script to work so I figured I could try roll my own version in bash.

This script could be handy if you just want to do a quick search to check if a clients domain is leaking e-mail addresses in clear text,  or simply want to demonstrate for you boss how easy it is for evil spambots to harvest addresses using google.

My goonumerator script is quite crude and dirty and could probably be more efficient in other languages but since I like quick and dirty solutions and mostly write shell scripts I figured bash would suffice

The script simply browse google’s search with w3m command line style and pipes the text to a file. When the query finishes sed&grep is used to extract the e-mail addresses.

The query is based on the site: option combined with @TheDomainYouWannaScan.tld

Google only displays ten results at a time if you’re not logged in to an account so I added an option to specify how many pages of results you want.

The full query looks like this:

http://www.google.com/search?q=site:Domain.TLD+%40Domain.TLD&start=40

This example queries the Domain.TLD and gets the results starting from the 40th search result (equal to the 4:th page)

Download the script HERE and feel free to comment and leave suggestions!

I’ve only tried out the script in Cygwin, Ubuntu and OpenBSD. The ’sed’ utility works differently in OpenBSD so the results gets garbled in the end…I may try to fix that and expand the script with more features later, and maybe check and use more cli browsers..

Over and out!

siteinfo.sh – shellscript för att kolla upp en domän

Äntligen fredag! Detta firas idag av ett litet fulhack jag skrev för att snabbt dra fram lite info om en domän.

Det är som sagt ett fulhack och funkar inte särskilt bra om domänen är ett alias t.ex.

Scriptet börjar med att köra en förfrågan om domänen hos netcraft för att få fram vem som står som ägare till nätet där ipadressen finns.

Sedan körs en ‘host’ för att få fram ip-adressen följt av en ‘dig -x’ för att få reverse-dns adress. (Många hemsidor ligger ju som vhostar hos olika webbhotell)

Här är ett exempel på output när scriptet körs mot ‘example.com’

Network info for: example.com

IP:             208.77.188.166
REVERSE:        www.example.com.
NETBLOCK:       ICANN

Scriptet är testat i OpenBSD, Ubuntu och i Cygwinmiljö och kan laddas ner här.

För att köra siteinfo.sh behövs curl.

Hur man undviker spam utan att behöva ha flera mailadresser

Idag får man va ganska restriktiv med var man fyller i sin e-postadress. Många sidor säljer adresser till oseriösa företag som sedan spammar eller säljer vidare adresserna till spammare. Det enklaste är ju att att använda en ”slaskmail” som man har till just till sådana tillfällen. Det kan dock vara lite jobbigt om man ska behöva hålla koll på flera e-postkonton..

Om man verkligen inte måste lämna ut sin e-postadress så finns det ett par alternativ jag brukar använda.

Jetable.org (favoriten)

Jetable är en fransk sida som erbjuder ”engångs” adresser. Man fyller i sin egen adress och får en jetable-adress i stil med ‘fdjkaorjvierl12@jetable.org’. Alla mail som skickas till denna adress skickas vidare till din e-postadress. På sidan kan man även välja hur länge man vill att adressen ska fungera(en timme, dag, vecka eller en hel månad månad).

Det finns även ett sjukt bra tillägg till Firefox. I tillägget kan man ställa in vilken adress man vill använda som standard när man ska skapa en Jetable-adress.

Inställningar för Jetable-tillägget

Ett exempel är om man fyller i ett forumulär och ska ange sin adress så räcker det med att man högerklickar i textboxen, väljer att skapa en Jetable-adress och efter en sekund eller två har en adress genererats och klistras in.

Skapa en Jetableadress on the fly

Slopsbox.com

Slopsbox är en annan liknande tjänst från killarna bakom TPB. Denna tjänsten fungerar lite annorlunda då man inte får sin mail skickad till sig utan måste logga in på slopsbox för att läsa mailen man väntar.

Istället för att få en genererad e-postadress fyller man i valfri text framför @slopsbox.com och använder då den som ”lösenord” för att nå sin e-post.

Själv gillar jag inte Slopsbox lika mycket som Jetable då den känns lite omständigare att ha att göra med. Jag kan dock se fördelar i fall då  man inte vill ha e-posten skickad till konton som riskeras läsas av andra eller på annat sätt övervakas. O andra sidan saknar sidan SSL-anslutning så om man är rädd för att man övervakas kommer meddelanden ändå skickas i klartext.

Nackdelen med Slopsbox är att bilagor inte följer med mailen.

Hur gör du för att skydda din e-post online?

Egna ringsignaler till iPhone

Att konvertera en låt till iPhonens.m4r format är inte speciellt svårt och kan åstadkommas med hjälp av iTunes.

Förutsättningen för att detta är att iTunes kan importera/spela filen, dvs är en mp3-fil eller liknande.

Redigering: Låten får max vara 40sek lång! Tack till Fieldstar som påpekade detta..

Steg ett.

Dra in filen i iTunes

Steg två.

Högerklicka på filen och välj ‘Skapa version för AAC’.

Detta konverterar filen till Apples egna .m4a-format.

Konvertera till AAC

(Valet att skapa ringsignal finns som alternativ men fungerar bara med köpta låtar från iTunes)

Steg tre.

i nästa steg döper vi helt enkelt om filen från .m4a till .m4r vilket är iPhonens filändelse för ringsignaler.

Döp om filen till .m4r

(Filen som ska döpas om finns i iTunesbiblioteket \Mina dokument\Min musik\iTunes\iTunes) Music)

Klart!

Nu kan du öppna filen i iTunes och  använda den  som ringsignal.

Hur man fixar en skadad ‘Remote Access Connection Manager’ i Windows XP

Tänkte dela med mig av mina erfarenheter angående ett irriterande problem jag stött på ett par gånger nu.

Ett par av datorerna på jobb har 3G modem / vanligt telefonmodem som används  när tillgången till en vanlig internetanslutning är begränsad.

Efter att ha installerat Panda anti-virus på maskinerna slutade modemen att fungera. Jag spårade problemet till Windowstjänsten Remote Access Connection Manager som har med modemanslutningar att göra. När jag manuellt startade tjänsten fick jag felmeddelande om att tjänsten inte kunde startas.

Nu vet jag inte om problemet endast kan skyllas på Panda eftersom dom datorerna som har haft kombon modem + panda även haft en installation av Symantec Endpoint Protection som jag fick avinstallera.

För att göra en lång historia en aning kortare fick jag nys om ett Microsoftprogram som heter ‘rarepair.exe’ som lagar ovanstående problem. Jag vet inte om det är ett inofficiellt program eller om det rent av inte är gratis… Hur som helst lyckades jag googla mig fram till filen.Jag länkar det här om någon skulle behöva det.

rarepait.exe

Använda xcopy med exclude

Satt och pillade med ett enkelt bat-backupscript och slet mitt hår ett tag. Problemet var att xcopy inte ville svälja exclude-växeln med min sökväg.

Felmeddelandet ” Det gick inte att läsa filen: ” dök upp varje gång jag körde skriptet. Vare sig rättigheter eller sökväg var fel. Jag testade att använda alla möjliga sätt att skriva sökvägen, enkelfnuttar, dubbelfnuttar och inget ville fungera. Däremot funkade det när jag la filen under c:\exclude.txt.

Till slut fann jag en lösning.. Inte speciellt snyggt av Microsoft men det fungerar.

Det verkar som xcopy inte tar exclude-parametern med långa filnamn och mellanslag.. Efter att jag slängde in gamla hederliga 8:3 sökvägarna så fungerade det (jag valde att ha exclude.txt i profilen)

xcopy mapp1 mapp2 /Exclude:C:\Docume~1\hex29a\Applic~1\exclude.txt

Backup / fildelning i molnet

Ska tipsa om två gratistjänster jag själv nyligen börjat använda mig av,

Dropbox

Efter att man installerat Dropbox får man en ny mapp i Utforskaren, Findern eller Nautilus.

När man skapar/kopierar filer till Dropboxmappen synkar programmet de aktuella filerna i bakgrunden till Dropbox servrar.  Man kan även välja att  dela mappar och filer med folk över internet.

Dropbox

SpiderOak

SpiderOak skiljer sig  från Dropbox på det sättet att det inte är en enhet i systemet utan mer en bakgrundstjänst. Allt sköts från ett programfönster med aktuell status och logg.

Fördelen med SpiderOak är att man kan välja specifika kataloger eller enheter som man vill ska syncas eller backas upp. Man kan ställa hur ofta man vill programmet ska skanna de aktuella katalogerna och allt sköts i bakgrunden. Även SpiderOak stödjer delning av filer.

Spideroak

Båda tjänsterna har sina användningsområden och konkurerar inte direkt med varandra. Dropbox är mer för lagring och delning av filer medans SpiderOak riktar in sig på synkronisering/backup.

Utrymmet är det samma hos de två tjänsterna, 2GB och båda företagen erbjuder mer utrymme mot betalning.

…Till sist och kanske det bästa av allt; båda tjänsterna finns för Windows, Mac och Linux!!

http://getdropbox.com

http://spideroak.com