W sieci krążą setki tysięcy odmian najróżniejszego rodzaju zagrożeń dla sieci i komputerów. Nazywane są wirusami, trojanami, malware, spyware – różnie w zależności od tego co robią i jak się zachowują. Oczywiście, każdy kto ma choć odrobinę oleju w głowie wie co się „tam” kryje i najczęściej wie czego można się spodziewać, a co jeszcze bardziej mądrzejszy ma program antywirusowy. Czy to jednak oznacza, że z programem do wykrywania i usuwania tego typu zagrożeń jesteśmy bezpieczni? Nic bardziej mylnego!
Chcę Wam tutaj przedstawić testy, jakie wykonał Jan P. Monsch z Zurichu z różnymi odmianami dokumentów Worda – doc, dot, xml, html, mht i rtf.
Do testu wykorzystał dwa dobrze znane wirusy – eicar i netsky . Pierwszy nawet wirusem nie jest, a jedynie ciągiem znaków powszechnie rozpoznawanych jako wirus, drugi jest dość dobrze znanym robakiem z 2004 roku występujący w wielu odmianach. Do testu wykorzystano witrynę Virustotal, gdzie autor miał do dyspozycji 27 programów antywirusowych.
Rezultaty były dość zaskakujące. Jeśli czysty plik wirusa lub program wykonywalny z doklejonym kodem wirusa był rozpoznawany przez wszystkie programy antywirusowe, tak z wykrywalnością w pozostałych plikach Word’a było dość kiepsko. Oto wyniki:
- DOC – eicar 20/27, netsky 21/27
- DOT – 20/27, 20/27
- RTF – 14/27, 14/27
- Word 97-2003 & 6.0/95 – 14/27, 14/27
- Strona HTML w archiwum ZIP – 9/27, 10/27
- MHT – 8/27, 9/27
- XML – 3/27, 3/27
W tym miejscu nie będę cytował wyników wszystkich programów antywirusowych, zaprezentuję jedynie najlepsze i najgorsze wyniki:
- AntiVir – eicar 4/7, netsky 6/7
- Authenium –6/7, 6/7
- AVG i Ewido– 0/7, 0/7
- F-Prot i F-Prot4 – 6/7, 6/7
- Ikarus – 0/7, 0/7
- Kaspersky – 6/7, 6/7
- McAfee i Microsoft – 7/7, 7/7
- NOD32v2 – 0/7, 0/7
- Panda i Sophos – 6/7, 6/7
- Symantec 2/7, 2/7
- UNA – 0/7, 0/7
Autor dokonał jeszcze testu na skanerze ClamAV działającym na serwerze pocztowym Postfix. Eicar i netsky był wykryty tylko w formatach DOC i DOT, reszta dokumentów i plików przeszła niezauważalnie.
Niektórzy zapewne zaczną się zastanawiać jak możliwe jest „schowanie” kodu wirusa w formach XML. A oto i przykład:
< ![CDATA[[binaria]]>.
Po bardziej szczegółowe informacje zapraszam do lektury dokumentu „Detection Rate of Alternative Word File Formats” autorstwa Jana P. Monscha.
Słowem zakończenia chciałbym jedynie dodać, że zagadnieniami wirusów, metodami wykrywania i korespondencją z firmami produkującymi oprogramowanie antywirusowe zajmuję się zawodowo od około 6 miesięcy, od momentu przyjścia do Microsoftu.
Cytowane tutaj wyniki nie mają na celu przekonanie Was do instalacji 27 programów antywirusowych na swoim komputerze w celu podniesienia stopnia wykrywalności zagrożeń, ale poinformowanie o potencjalnym niebezpieczeństwie kryjącym się nawet w plikach tekstowych (XML jest przecież formatem szeroko stosowanym w komunikacji między systemami i programami i stanowi ważne ogniwo procesów biznesowych).
Dzisiaj jest piatek 13. Boo ! :]
Czy ten test wogole ma jakis sens? Po co szukać sygnatury wirusa zarażającego tylko exe w doc, html, xml itp?
Jestem raczej laikiem, pozwolę sobie jednak na wypowiedź.
Przez mój skromny PC z Windows 98 SE nie przechodzi zbyt wiele plików, które wymieniasz.
Zdarzyło mi jednak się testować pliki na multiskanerach i nie zgodzę się co do werdyktu: AntiVir ma statystycznie wyźszą wykrywalność i - szczególnie ostatnio (około roku) - nie zdarzył mi się żaden wypadek.
Ba, nawet jedno rozpoznanie wprawiło mnie w zakłopotanie:
plik rks.exe z nieoficjalnego serwis packa dla mojego systemu został rozpoznany jako zainfekowany TR/FlashKiller.B, czyli jakaś trudno wykrywalna pozostałość po słynnym wirusie Czarnobyl.
Do dziś ciekawa jestem, czy rozpoznanie był zasadne (plik jednak nie został w moim systemie - zresztą jest zbędny :))
Zdarzyło się też, że AntiVir orzekł - wskutek heurystyki - że X-Cleaner skaner jest szkodliwym kodem i nie pozwolił go uruchomić (w Operze).
Reasumując: nie podważam zagrożeń, ale dostrzegam skutki konkurencji pomiędzy producentami softu.
Soją drogą wymienione przez Ciebie, zagnieżdżone fragmenty kodu w plikach Worda z pewnością nie są tak groźne jak w plikach .exe.
Jakich warunków trzeba, by je uruchomić, jeśli trudno je odkryć?
To jest BARDZO ZLE podejscie uragajace jakimkolwiek standardom bezpieczenstwa, bo czasami wystarczy Word czy inny edytor bedacy w stanie uruchomic VBScript i juz mamy REALNY problem.
A co do “werdyktu” - to nie sa prorokokowania, to jest wynik doswiadczenia, ktore mozesz wykonac sama.
Autor napisal:
This paper demonstrates the decoding capabilities of AV products in case
of alternative file formats when used in a gateway scenario. Or in other words it about
delivery vectors and not attack vectors.
To, ze wirus lezy na komputerze ofiary zaszyty w formacie pliku, ktory nie jest jego “naturalnym srodowiskiem”, nic nie znaczy. Tak jak granat nie wybuchnie bez wyciagniecia zawleczki, tak i wirus nie zarazi systemu bez stosownych procedur.
Cos tego wirusa musi zdekodowac i wykonac. W takim przypadku heurystyka i biezacy monitoring pamieci powinny zalatwic reszte, jesli mamy w miare niezly program antywirusowy.
Z calym szacunkiem dla autora, ale ten artykul wnosi tyle, ze nic nie wnosi.
Po prostu pokazuje, ze silniki dekoderow/filtrow w oprogramowaniu antywirusowym sa rozne u roznych producentow.
Nie Michal, z tego dokumentu nie wynika jak posiadanie oprogramowania antywirusowego zmniejsza ryzyko zarazenia komputera wirusem, bo autor nie probowal nawet udowodnic swoich “odkryc” w praktyce (czyt.: nie probowal zarazic). Jesli udowodni, ze tak spreparowanymi plikami uda mu sie zarazic - bez wykrycia - komputer ofiary, uwierze ze ma racje.
Dokument ten dotyczy skali wykrywalnosci i to jest chyba najwazniejsze, nieprawdaz? Coz z tego, ze najlepsze programy potrafia wykryc 90% zagrozen, skoro przepuszczaja 10%?
Pamietasz, kiedy kilka lat temu pojawily sie wirusy-makra w dokumentach worda? Producenci oprogramownia antywirusowego musieli szybko nauczyc sie jak zbudowane sa pliki doc i dot by moc rozpoznawac nowe zagrozenia. Ta nauka nie ma konca i chyba najwyzszy czas by nauczyc sie nowych formatow.
OK, to moze napiszemy proof-of-concept?
I jak sam wspomniales, ta nauka nie ma konca. Nigdy nie bedzie programu AV, ktory wykryje 100% zagrozen. Jesli wykrywa 90%, dla mnie jest w scislej czolowce.
Michał, nie lekceważę zagrożeń
Dotknęło mnie trochę, że mój antywirusowy monitor nie wypadł w testach dobrze. :/
Nie tylko z wygody w Internecie bywam Operą, która nie uruchamia niebezpiecznych formatów.
A wirusy w jpg-ach antywirus mi zgłasza. Kiedy zetknęłam się z tym pierwszy raz, byłam zaskoczona.
Zresztą dotychczas wiele osób nie dowierza mi, że w grafice można ukryć niebezpieczny kod (i to tych znacznie lepiej obznajomionych z informatyką ode mnie). Prawdopodobnie ten typ zagrożenia masz na myśli (za cytowanym autorem testów).
Cieszę się, że Twoja Firma jest świadoma.
Wspomnę jeszcze o tym, że czasem - by nie inspirować niewłaściwych ludzi - lepiej nie pisać o zagrożeniach, zanim nie znajdzie się sposobu obrony.
Troche zbaczajac z tematu ale w kontekscie ujawniania zagrozen przed znalezieniem sposobu na obrone:
Jestem zwolennikiem “full disclosure”. Ujawnienie luk/zagrozen w tym samym czasie i producentowi danego oprogramowania i jego uzytkownikom wysyla pozadany sygnal: piszcie swoje oprogramowanie tak, aby nie bylo w nim dziur, to nie bedziecie mieli problemu. Inaczej nikt nie bedzie sie specjalnie spieszyl z poprawkami, az jakas grupa zacznie aktywnie wykorzystywac problem do niecnych celow. Microsoft, Symantec i inni wielcy sa liderami takiego podejscia, choc trzeba przyznac, ze Microsoft od pewnego czasu robi sporo sam z siebie.
Ile zajelo zalatanie ostatnich dziur w Wordzie i PowerPoint’cie? Kilka tygodni. Czy zostalyby zalatane, gdyby nie fakt, ze informacja o problemie pokazala sie w sieci razem z dzialajacym kodem wykorzystujacym luke? Nie. A przynajmniej nie tak “szybko” (jak na Microsoft).
I badzmy szczerzy: im mniej luk w oprogramowaniu, tym wirusy maja mniej mozliwych drog infekcji i problem w pewnym momencie zaczyna sprowadzac sie glownie do edukacji uzytkownikow - w ramach prewencji.
@ptashek,
każdy, kto jest twórcą, także oprogramowania, wie, że trudno stworzyć dzieło doskonałe
Leonardo da Vinci był ogarnięty ideą doskonałości.
W praktyce jednak ulepszanie (w tym “łatanie” oprogramowania) jest raczej trudne do uniknięcia.
Jeśli twórcy potrzebują tego miecza obosiecznego, jakim jest publikacja, nie świadczy to o nich najlepiej, a szczególnie, gdy to - jak piszesz - wielcy tego świata
Gdybym ja odkryła lukę, najpierw wysłałabym informację do twórcy, a dopiero przy braku reakcji publikowałabym swoje odkrycie ku przestrodze użytkowników.
Hi Mike
I am the author of the alternative word format paper. Since I do not understand the polish comments in your blog I would be interested in a short English summary on the discussions.
You might be interested to read the following blog which states that HIPS seem to better detect malware than AV products:
http://mcwresearch.com/archives/344
Kind regards
Jan P. Monsch