[OGR-25] hitparade van 28 juni

hoppa

plek 12

Ik ben blij dat nagenoeg alle grote jongens al in de MF Top 5 staan. Dan blijven wij er misschien ook nog even in

We zullen alleen de volgorde een beetje rangschikking, met TCF dus bovenaan, meer hoeven jullie niet te weten

Wil toch weer even een ideetje spammen hiero mbt. de McAfee AV die dcnet.exe niet lief vindt ...

Zover ik begrijp na een beetje onderzoek komt dit doordat dcnet.exe in het verleden wel eens als payload gedropt is door andere malware.

Herkenning van dcnet.exe gebeurt m.i. gewoon door signature-scanning. Dit is op te lossen door een exe-packer te gebruiken. Nadeel hierbij is dat veel packers dan weer geflagged worden als 'potential harmfull' door de heuristic analysis.

Nu leek het mij een leuke uitdaging om dcnet.exe zodanig te packen dat deze niet meer door McAfee geflagged wordt. Andere AVs laten we dus even buiten beschouwing.

Om dit te kunnen testen moet ik echter kunnen beschikken over een bakkie met McAfee daarop, en dan net zo geconfigged als in de 'real life' situatie. Kan iemand me van een virtueel machine'tje met McAfee + juiste (EPO ?) config ? Of kan iemand me een dergelijke config/handleiding sturen, zodat ik dit zelf in een VM met de trial versie van McAfee kan proberen ?

Dit in het kader: zonder de vervelende McAfee ellende zouden we als DPC die Russen veel beter achter ons kunnen houden

Jeej, de 500.000 mijlpaal is binnen. Helaas moet de productie wel drastisch terug worden gezet hier. Mensen beginnen te klagen over 'luidruchtige' computers (ook niet gek als ze voorheen haast niets stonden te doen, en ze nu volledig belast worden) dus gaan de clients er weer grotendeels af. Alleen even wachten tot de buffers leeg zijn (toch wel handig zo'n lokale proxy) en dan is het weer over met de pret.

Qwerty-273 schreef op vrijdag 29 juni 2007 @ 12:06:
Jeej, de 500.000 mijlpaal is binnen. Helaas moet de productie wel drastisch terug worden gezet hier. Mensen beginnen te klagen over 'luidruchtige' computers (ook niet gek als ze voorheen haast niets stonden te doen, en ze nu volledig belast worden) dus gaan de clients er weer grotendeels af. Alleen even wachten tot de buffers leeg zijn (toch wel handig zo'n lokale proxy) en dan is het weer over met de pret.

stel ze dan anders in. : als het duals zijn dan op 1 core laten draaien en anders tijdens vooraf gestelde tijden / screensaver

Cpt00kirk schreef op vrijdag 29 juni 2007 @ 12:59:
stel ze dan anders in. : als het duals zijn dan op 1 core laten draaien en anders tijdens vooraf gestelde tijden / screensaver

Het zijn voornamelijk 'simpele/oude' P4-bakken met slechts 1 core. En wat betreft de tijden, dat zou dan buiten werktijd moeten zijn, maar dan staan ze ook uit. Dus dat schiet niet op.

SKiLLa schreef op vrijdag 29 juni 2007 @ 11:36:
Wil toch weer even een ideetje spammen hiero mbt. de McAfee AV die dcnet.exe niet lief vindt ...

McAfee vindt alleen dnet niet lief als deze handmatig aan de "unwanted program" lijst is toegevoegd. versie 499/498/497 allemaal gebruikt zonder problemen onder McAfee Virusscan Enterprie 8.0.0.

Frentik schreef op vrijdag 29 juni 2007 @ 13:30:

McAfee vindt alleen dnet niet lief als deze handmatig aan de "unwanted program" lijst is toegevoegd. versie 499/498/497 allemaal gebruikt zonder problemen onder McAfee Virusscan Enterprie 8.0.0.

Oke, super. In dat geval zou je 'm dus weer uit de blacklist kunnen halen en zijn er geen problemen meer mee ? De problemen gelden in dat geval dus alleen voor non-admins die 't draaien waarbij de admins 't geblacklist hebben ?

Nouja, mocht iemand alsnog interesse hebben, dan hoor ik 't graag, want heb ik een ge'pack'te test executable ...

Je kan dnetc ook white washen. Echter past dit niet binnen sommige bedrijfs policies.

SKiLLa schreef op vrijdag 29 juni 2007 @ 14:00:
[...]


Oke, super. In dat geval zou je 'm dus weer uit de blacklist kunnen halen en zijn er geen problemen meer mee ? De problemen gelden in dat geval dus alleen voor non-admins die 't draaien waarbij de admins 't geblacklist hebben ?

Nouja, mocht iemand alsnog interesse hebben, dan hoor ik 't graag, want heb ik een ge'pack'te test executable ...

Ik weet niet zeker of ik volgende week nog op de UvA kom, maar dan kan ik hem daar wel even testen.

Heb zelf namelijk een koetje op USB stick, maar ik moet er altijd eerst voor zorgen dat de scanner tijdelijk uit staat voor ik de koe kan starten.

Anders wordt het waarschijnlijk pas eind augustus dat ik het kan testen.

hmmm... anderhalve T.... wie flushed er langs de proxy?

Heb inmiddels getest met McAfee AV Enterprise 8.5i (Trial). Hij wordt weldegelijk herkend mits je de optie "beleid voor ongewenste programma's" ("policy for unwanted programs" ?) inschakeld (staat default uit).

Daarna herkend hij het als 2 verschillend spywares (gewoon "Distributed.Net" en soms als "Proxy-DistNet", afhankelijk van de gekozen actie en de vorm van 'packing' voor/van de .exe) ??? Blijkbaar bestaan er dus 2 signatures voor, waarschijnlijk in 2 verschillende modules (als in: b.v. een heuristic signature en een malware signature ofzo).

Heb de .exe inmiddels gepack't met "upx --best" en vervolgens met de hand 'nabewerkt' omdat ie alsnog door 1 van de 2 detecties herkend werd ... Nu niet meer

Het icoontje, het about-scherm en een aantal menu items (waardoor die nu helaas alleen nog in de text-based 'configure mode' werkt, dus helaas geen 'throughput' grafieken scherm) hebben afgescheid genomen van de .exe, maar de app zelf werkt & cruncht echt !

Uiteraard ga ik proberen zoveel mogelijk orginele functionaliteit weer toe te voegen, maar mocht iemand interesse hebben, dan kan ik je huidige aangepaste versie (de nieuwste versie 4.9013.499) mailen. Stuur me gewoon een PM

Hopelijk heb ik dit weekend tijd & inspiratie genoeg om precies uit te vogelen hoe ik de app met zo min mogelijke aanpassingen alsnog er doorheen kan laten glippen en zal de resultaten hier posten. Of is het misschien een idee om er een apart DPC topic voor te openen ?

De app is uiteraard malware vrij, maar ik ben wel geinteresseerd welke AVs 'm alsnog detecteren, nu weet ik dat je van die online virusscanners hebt waar je een app naar upload (of mailt) en dat ze 'm dan door <X> scanners halen en de resultaten laten zien. Weet iemand zo'n Url, kon het zo snel ff niet vinden op google

TO DO lijst:

- Alternatief icoontje toevoegen
- Menu items herstellen (en dus het throughput scherm)
- About scherm herstellen

[ Voor 2% gewijzigd door SKiLLa op 29-06-2007 17:33 . Reden: download Url verwijderd ... ]

Skilla: www.virustotal.com, ben nu bezig om hem voor je te scannen (nog ff 5 minuutjes geduld, want het gaat niet zo snel daar )

edit: Het resultaat:

Antivirus	Version	Update	Result
AhnLab-V3	2007.6.29.0	06.29.2007	no virus found
AntiVir	7.4.0.37	06.29.2007	HEUR/Crypted
Authentium	4.93.8	06.28.2007	no virus found
Avast	4.7.997.0	06.29.2007	no virus found
AVG	7.5.0.476	06.28.2007	no virus found
BitDefender	7.2	06.29.2007	no virus found
CAT-QuickHeal	9.00	06.29.2007	(Suspicious) - DNAScan
ClamAV	devel-20070416	06.29.2007	no virus found
DrWeb	4.33	06.29.2007	no virus found
eSafe	7.0.15.0	06.28.2007	suspicious Trojan/Worm
eTrust-Vet	30.8.3751	06.29.2007	no virus found
Ewido	4.0	06.29.2007	no virus found
FileAdvisor	1	06.29.2007	no virus found
Fortinet	2.91.0.0	06.29.2007	no virus found
F-Prot	4.3.2.48	06.28.2007	no virus found
F-Secure	6.70.13030.0	06.29.2007	no virus found
Ikarus	T3.1.1.8	06.29.2007	no virus found
Kaspersky	4.0.2.24	06.29.2007	no virus found
McAfee	5063	06.28.2007	no virus found
Microsoft	1.2701	06.29.2007	no virus found
NOD32v2	2364	06.29.2007	no virus found
Norman	5.80.02	06.29.2007	no virus found
Panda	9.0.0.4	06.29.2007	no virus found
Sophos	4.19.0	06.28.2007	no virus found
Sunbelt	2.2.907.0	06.28.2007	VIPRE.Suspicious
Symantec	10	06.29.2007	no virus found
TheHacker	6.1.6.140	06.28.2007	no virus found
VBA32	3.12.0.2	06.28.2007	no virus found
VirusBuster	4.3.23:9	06.29.2007	no virus found
Webwasher-Gateway	6.0.1	06.29.2007	Heuristic.Crypted

[ Voor 91% gewijzigd door Marcj op 29-06-2007 17:01 ]

Ben ik dan de enige die zich afvraagt of dit legaal is ?

PS: thanx Marcj, die bedoelde ik !

Het packen van een executable is legaal; in hoeverre de aanpassingen verder legaal zijn (in NL) durf ik niet te zeggen, de verspreiding ervan lijkt me in ieder geval wel een overtreding van de EULA. Maarja, EULAs zijn juridisch gezien niet sterk in NL (eenzijdige afspraak) en is privaat-recht, geen strafrecht.

Laten we zeggen dat de huidige status een 'wetenschappelijk experiment' is. Misschien kan ik wel een 'patch tool' schrijven, zodat iedereen zelf de wijzigingen op z'n eigen dnetc.exe kan doorvoeren. Dat is in ieder geval voor mijn kant legaal

Uiteraard wil ik de aanpassingen wel met D.net delen. Een nieuwe officiele release betekent echter ook nieuwe blacklisting. Zolang de app redelijk 'private' blijft, is er niets aan de hand lijkt me.

PS: Heb er eigenlijk helemaal niet bij stil gestaan dat het eigenlijk 'illegaal' is, de software is gratis, het is voor een goed doel ('probleem oplossen') en eigenlijk schaad je er dus niemand mee. Heb na enige reflexie de download Url in ieder geval toch uit de vorige post verwijderd ...

Ik schrijf wel een handleiding, zodat iedereen 't zelf kan uitvoeren, dat maakt detectie van de aanpassingen ook veel moeilijker Indien D.net geinteresseerd is in de modificatie (lees: de oorzaak van detectie), dan hoor ik het graag (* HINT * HINT * Floppus ) Immers, zolang McAfee geen klachten krijgt over de nieuwe release (met een andere signature), zullen ze 'm ook niet gaan blacklisten !
Stuur Floppus strax wel een PM erover, maar ga eerst naar huis weekend vieren !

[ Voor 33% gewijzigd door SKiLLa op 29-06-2007 17:43 . Reden: de PS ]

SKiLLa schreef op vrijdag 29 juni 2007 @ 17:14:
PS: thanx Marcj, die bedoelde ik !

PS: Heb er eigenlijk helemaal niet bij stil gestaan dat het eigenlijk 'illegaal' is, de software is gratis, het is voor een goed doel ('probleem oplossen') en eigenlijk schaad je er dus niemand mee. Heb na enige reflexie de download Url in ieder geval toch uit de vorige post verwijderd ...

Het is niet dat ik het wil ontmoedigen, ik snap het nobele doel en de "noodzaak" en de technische uitdaging ervan, maar een probleem ermee krijgen moet natuurlijk ook niet. Ik vroeg het mij dus alleen af en veroordeel niets he Overleg met Floppus is evt een idee.

Dat we niet straks een stel jankende Russen krijgen die ons van cheaten betichten en dat dnet ze gelijk geeft ofzo, want dan zijn we nog verder van huis

[ Voor 10% gewijzigd door ParaNoiMia op 29-06-2007 17:59 ]

Dat snap ik Waardeer je opmerking ook, daar ik mogelijk iets te hard van stapel liep. Maar cheaten kun je het moeilijk noemen. Er is ook absoluut 0,0 aan de code van de client gewijzigd; de code pack je zodat daar geen signature in gevonden kan worden (dat is deel 1). Detectie op afstand van de wijziging is dan ook absoluut onmogelijk (met de huidige client).

Blijft over de 2e herkenning en die zit 'm in de resources van de client (forms, text, icons). Zover ik tot nu toe kan oordelen is het wijzigen van het icoontje + nog onbekende factor (menu item en/of text) voldoende om niet meer herkend te worden. De PoC die ik gemaakt heb, is relatief drastisch bewerkt om het in ieder geval te laten werken. Enige fine-tuning zal uitsluitsel geven ...

Beide stappen (packen + resource change) zijn ook voor niet-techneuten makkelijk uit te voeren met gratis online tools. Zodra ik de exacte details boven water heb, zal ik deze met D.net (hopelijk middels Floppus) overleggen.

Een eventuele handleiding (mocht D.net niet een kudde stieren op me afsturen) zal daarna zsm. volgen. Het eerlijkst is om dat uiteraard via de officiele kanalen en in het Engels kenbaar te maken.

SKiLLa schreef op vrijdag 29 juni 2007 @ 19:45:
Dat snap ik Waardeer je opmerking ook, daar ik mogelijk iets te hard van stapel liep. Maar cheaten kun je het moeilijk noemen. Er is ook absoluut 0,0 aan de code van de client gewijzigd; de code pack je zodat daar geen signature in gevonden kan worden (dat is deel 1). Detectie op afstand van de wijziging is dan ook absoluut onmogelijk (met de huidige client).

Blijft over de 2e herkenning en die zit 'm in de resources van de client (forms, text, icons). Zover ik tot nu toe kan oordelen is het wijzigen van het icoontje + nog onbekende factor (menu item en/of text) voldoende om niet meer herkend te worden. De PoC die ik gemaakt heb, is relatief drastisch bewerkt om het in ieder geval te laten werken. Enige fine-tuning zal uitsluitsel geven ...

Beide stappen (packen + resource change) zijn ook voor niet-techneuten makkelijk uit te voeren met gratis online tools. Zodra ik de exacte details boven water heb, zal ik deze met D.net (hopelijk middels Floppus) overleggen.

Een eventuele handleiding (mocht D.net niet een kudde stieren op me afsturen) zal daarna zsm. volgen. Het eerlijkst is om dat uiteraard via de officiele kanalen en in het Engels kenbaar te maken.

De aangepaste client wordt niet herkend door McAfee hier!

**verwacht nu overal nieuwe koeien**

Reneger schreef op dinsdag 03 juli 2007 @ 10:24:
**verwacht nu overal nieuwe koeien**

Als iemand Mobees wil inlichten......

Zou de spanning in de top 3 wel ten goede komen

Is die client die niet door mcafee gededecteerd wordt al te downloaden Skilla ?
Of eventueel de handleiding om deze zelf te bewerken zodanig deze kan gebruikt worden ?

wacht eerst even de officiele reactie van dnet (Floppus) af..

ik doe er niks mee zonder officiele goedkeuring van Dnet zelluf

en mij inlichten is dus niet meer nodig

Even voor de duidelijkheid... heb alleen getest of deze herkend wordt, en of ik hem kan draaien.

Het lijkt of alles goed werkt, zonder melding van McAfee.

Heb hierna gewoon de detectie van McAfee weer uitgezet, en de originele cliënt gedraaid, ik verwacht namelijk dat Dnet niet happig is op "modified" cliënts.

Van mij mag die client nog wel even wachten

Jodel schreef op dinsdag 03 juli 2007 @ 14:34:
Van mij mag die client nog wel even wachten

van mij niet maar zal wel moeten helaas