Vídeo: Продали Toyota Estima знакомого Автохлама.Нет (Setembre 2024)
Per a les màquines virtuals infestades per programari maliciós que faig servir per provar productes antivirus, ja hi ha cada vegada que començo una nova prova. Recullo la màquina virtual al mateix punt de partida exactament per a cada prova, després instal·lo (o intenteu instal·lar) l’antivirus i el repto a netejar-lo. Però de vegades passa alguna cosa més; de vegades el malware convida els amics a jugar.
Ja fa temps que els hackers solitaris escrivien virus. Avui hi ha tot un ecosistema de programari maliciós, i un component pròsper d’aquest ecosistema consisteix en situacions puntuals, situacions en què un cyber-crook paga a un altre per provocar una nova amenaça sobre el programari maliciós existent. Els que anomenem "droppers" ni tan sols tenen una càrrega útil maliciosa; només serveixen de peu a la porta per a altres programes maliciosos.
Què significa això per a les proves? Com més llarg hagi de funcionar un sistema infestat abans que un nou antivirus es pugui instal·lar completament i executar una exploració, més possibilitats hi ha de la infestació existent per convidar amics a una festa. Obtenir la protecció instal·lada en aquests sistemes de vegades necessita suport tècnic. Mentre es mantenen ocupats, també és el malware; por!
Gameover ZeuS
A la conferència de Malware 2013 del mes passat, un estudiant de recerca holandès va presentar una anàlisi molt detallada de Gameover ZeuS. Com en altres casos del troià ZeuS, aquesta xarxa de programari maliciós té diverses funcions, però té com a objectiu principal robar informació sensible com les credencials de banca en línia. El diferent de Gameover ZeuS és que, en lloc d’un sistema de control i comandament centralitzat, s’utilitza una xarxa distribuïda entre pares a peus, fent més difícil el seguiment i l’eradicació. Notícies per a mi!
Imagineu-me la meva sorpresa, doncs, quan fa poc vaig rebre una nota del meu ISP dient que havien detectat trànsit Gameover ZeuS procedent de la meva adreça IP. No, no vaig obtenir cap infecció per part de l'investigador. Més aviat, una de les meves mostres existents va convidar un nou amic a acollir-se a la residència, possiblement durant una marató de suport tecnològic inusual durant molts dies que li va donar molt de temps.
Anys enrere, quan vaig començar a provar antivirus per primera vegada amb màquines virtuals infestades de programari maliciós, podria comptar gairebé amb la permanència estable de la població de programari maliciós dels meus sistemes de prova. Sempre que no instal·leu mostres de programari maliciós que intentin divulgar-se activament a Internet, podria evitar que se’m faci part del problema. La nota del meu ISP era una trucada de despertador. Si instal·lo una col·lecció representativa de mostres de programari maliciós, no hi ha garantia que cap d'ells canviï el comportament ni que comporti un company perillós.
Game Over Effectivement
Concebiblement podria canviar ISPs i evitar avís, però això no és una solució. No puc en bona consciència continuar una pràctica que pot causar danys fora de les meves màquines virtuals. No puc simplement tallar els sistemes de prova d'Internet, ja que moltes eines antivirus requereixen una connexió. I no tinc recursos per replicar el trànsit de programari maliciós en un entorn tancat, com ho fan els grans laboratoris de proves independents. Hauré d’abandonar la prova directa sobre programari maliciós.
A banda, els laboratoris de proves antivirus independents produeixen algunes proves realment bones en aquests dies. Definitivament aprofitaré més aquests resultats. Encara provaré el filtratge de correu brossa, la protecció contra la pesca, el bloqueig d’URL maliciós, qualsevol prova que no impliqui l’alliberament de programari maliciós actiu. I encara aprofundiré en totes les funcions de tots els antivirus, treballant per identificar-ne els millors. Simplement no executaré cap prova que pugui causar problemes al món exterior.
Nova prova del dia zero
A més, estic afegint una nova prova per comprovar el funcionament que cadascun dels antivirus gestiona el bloqueig de les amenaces extremadament noves. Les bones persones de MRG-Effitas, una empresa britànica d’investigació en seguretat, m’han donat accés a la seva immensa font en temps real d’URL malintencionat. Mitjançant aquest canal puc comprovar com un antivirus gestiona un centenar més dels fitxers maliciosos més nous. Bloqueja l’URL? Vols bloquejar la descàrrega? T'ho perds totalment? Espero obtenir aquesta nova prova completament en marxa.
