Il virus non verrà rilevato dagli strumenti antivirus

2

Oggi abbiamo trovato un virus / trojan sulla nostra rete che ha finora:

  1. Nascosto tutti i file e le cartelle
  2. Sostituisce i file e le cartelle nascosti con file eseguibili di se stessi, con icone corrispondenti e si è rinominato in questi file.

Kaspersky lo preleva ed è l'unico antivirus a poter essere prelevato fino ad ora. Process Explorer mostra un boofa.exe in esecuzione quando avviiamo una delle false cartelle.

Qualcuno ha avuto esperienza con questo tipo di infezione? C'è un posto dove possiamo inviare un file a Symantec o ad un'altra azienda di virus? Crediamo che sia un attacco di 0 giorni.

Informazioni correlate: avevamo un utente che aveva il suo computer "in movimento da solo" ore dopo aver trovato questo virus. Qualcuno ha preso il controllo del suo computer, è andato su Walmart.com, ha comprato una scheda di gioco WOW e ha firmato.

Inoltre, abbiamo eseguito wirehark durante l'esecuzione del virus su un computer in quarantena, ma non fa alcun tentativo di accedere a Internet.

    
posta BOMEz 21.11.2012 - 22:42
fonte

4 risposte

4

Portale di invio dei virus di Symantec: link

Ho visto questo tipo di infezione prima nel corso degli anni in varie forme.

Il computer "guida da solo" era uguale a quello infetto o a un altro computer? Se è diverso, dovremo nuotare tutte le macchine e ripartire da zero, temo. Hai un RAT .

    
risposta data 21.11.2012 - 23:17
fonte
2

In realtà non è affatto raro, secondo la mia esperienza. È possibile che tu abbia uno 0day ma sospetto che sia molto più probabile che tu abbia un virus noto che è stato offuscato. Correzione: se il computer si sta "guidando da solo" è probabile che sia stato installato un kit di root. Cattivo mojo :-( Tutto qui di seguito si applica ma è più accademico e funzionale Prova qualcosa come Sysinternals RootKit Revealer , ma dovrei cercare una versione più attuale.

Grauwulf parla dell'offuscamento del virus .... tl; dr

La maggior parte, se non tutti, i sistemi di rilevamento anti-virus / malware utilizzano la corrispondenza delle firme per determinare se un file è un virus. Le firme di solito consistono in una parte del codice sorgente che è identificabile in modo univoco in "Virus A". Combina questo con altre caratteristiche uniche come la dimensione in byte o le firme di hash, e puoi davvero restringere un virus abbastanza rapidamente.

Questa è una tecnica molto utile in quanto è molto improbabile che otterrai un falso positivo. D'altra parte, diciamo che hai un virus perfettamente buono e qualche testa doody ne ha creato una firma e ha rovinato la tua giornata :-(

Che cos'è uno script kiddy da fare? Poiché sappiamo che i file sono abbinati agli elementi della firma, e se potessimo modificarlo in qualche modo? Magari aggiungi del codice spazzatura alla fine di byteset. Forse resettare alcuni "numeri magici" nel codice e ricompilare. Qualunque cosa per renderlo abbastanza diverso. Bene, tu vai su uno qualsiasi, su molti, siti come virustotal.com (buono per esempio, nessun codice scimmia che rispettierebbe il proprio codice su un sistema di analisi fuori sito) e tu controlli. Gli attuali scanner antivirus vedono il tuo file come un virus? Se è così, continua a tweeking. Alla fine lo cambierai abbastanza da non essere taggato, ma non dovrai fare alcun lavoro reale nello scrivere un nuovo virus.

In questo modo molti "nuovi" virus sono sempre lo stesso vecchio codice riciclato Nimda usato più volte. Fornire queste varianti ai laboratori di ricerca AV aiuta a identificare nuove cose e affrontarle più velocemente, e può migliorare realmente la sicurezza generale contro questa classe di minacce.

Poi di nuovo, forse hai un giorno. :-) Le probabilità sono però, se si ottiene questo nelle mani giuste una soluzione AV può essere molto vicino dietro.

Buona fortuna.

    
risposta data 21.11.2012 - 23:51
fonte
2

Questi virus sono chiamati FUD (Fully UnDetectible). Molto probabilmente non è un giorno. È più probabile che sia un virus comune che è stato criptato.

    
risposta data 23.11.2012 - 03:16
fonte
1

In base al rapporto sulle minacce globali di Cisco 2011 4Q

"During 4Q11, 33 percent of Web malware encountered was zero-day malware not detectable by traditional signature-based methodologies at the time of encounter.

Devi leggere questo articolo che spiega come il malware viene generato in modo che gli strumenti antivirus non possano rilevarli: collegamento

Prova a inviare il file a Total virus in un paio di giorni.

    
risposta data 22.11.2012 - 08:48
fonte

Leggi altre domande sui tag