Hoe pc te infecteren?

Makkelijkste manier om exploits op te lopen is een machine (of je VM, somehow) direct aan het internet te hangen zonder firewall. Kost maar een paar minuten, schijnt het.

Meeste virussen e.d. loop je volgens mij op met cracks (misschien niet handig om hier de url te geven ) voor bijvoorbeeld spellen.

Als je de computer eens goed wilt infecteren dan zou ik je adviseren het woord warez in google in te tikken (kom je namelijk snel op vreemde websites uit die vol met dergelijke rommel zitten )

Battle Bunny schreef op maandag 26 januari 2009 @ 22:28:
Makkelijkste manier om exploits op te lopen is een machine (of je VM, somehow) direct aan het internet te hangen zonder firewall. Kost maar een paar minuten, schijnt het.

Lijkt me geen goed idee. Je loopt een reëel risico om te worden opgenomen in een botnet, waarbij je ISP je in quarantaine kan zetten of zelfs kan afsluiten.

Ik zou het eens proberen in een VM met juist wel een firewall, waarbij je goed in de gaten houdt wat er gebeurt. Je kan voorzichtig eens wat poorten opengooien (uitzoeken welke voor de exploit die je wil laten slagen) of de malware zelf opzoeken en als het bijvoorbeeld ineens 30 connecties per seconde gaat maken naar buiten op poort 25 dan gauw (!) de boel dichtgooien. De firewall wel buiten de VM draaien (in de host), want anders wordt die mogelijk gesaboteerd door de exploit. Denk ook aan tools als wireshark om je netwerkverkeer te monitoren.

[ Voor 3% gewijzigd door gertvdijk op 26-01-2009 22:37 ]

Je hebt aan alle programma's niks, omdat virussen steeds anders worden geschreven, dan houden deze programma's niks tegen.
Indien je oude firewall/virusscanners bekijkt en vergelijkt met de nieuwe firewall/virusscanner, dan zie je wat het probleem is, java, scipts, flash, etc, en dat xp niet veilig is, de meeste mensen werken als administrator, en dan kan alles wat je opstart iets installeren of wijzigen in je xp, ja zelfs een avi starten is onveilig.
Websites kunnen van alles wijzigen op je xp.
Zoek maar eens naar beveiligings sites daar vind je veel software met fouten, door deze fouten te benutten kunnen ze van alles installeren/wijzigen.

Vergelijk maar ubuntu/linux met xp t.a.v. veiligheid, dan weet je precies warom het niet veilig is.

1 als administrator werken is onveilig.
2 alle software staat op ubuntu server, zonder virussen/spyware.
3 ubuntu geen firewall en virusscanner nodig.
4 software word automatisch geupdate bij ubuntu t.a.v. veiligheid.

Indien je op deze site de info over beveiliging leest, dan moet je niet als administrator werken.
Java scipts flash etc gaan blokkeren, dit is wat firewalls en virusscanners kontroleren zodat er niks word geinstalleerd.

Voorbeeld in firefox, install noscipt en adblock, dan ben je een heel stuk veiliger.
Dus je xp word een beetje onbruikbaarder.

In xp gebruikte ik avg, welke gratis is, en normaal geen problemen, nod is beter, maar het licht eraan wat je blokkeerd of wat je opent, welke site je bezoekt.

[ Voor 18% gewijzigd door jan99999 op 26-01-2009 22:47 ]

Anoniem: 280187 schreef op maandag 26 januari 2009 @ 22:39:
[...]


Destijds had ik het ook opgelopen door een crack te installeren van PowerISO,die ik had gedownload via Bittorrent.
Helaas heb ik zo'n beetje alle PowerISO-torrents gedownload en geinstalleerd, maar daar zit 'ie niet meer tussen.

Ik had dat laatst ook met een Partition Magic torrent. In de self executable zat een of andere trojan downloader meeverpakt. Die ging dus gelijk wat downloaden en binnen een mum was het hele systeem in de soep. Soms doe je weleens wat doms, want ik had ook nog geen virusscanner geinstalleerd. Hoe dan ook, toen ik diezelfde file later in een vm testte gebeurde er niks meer. Hij ging niks meer downloaden gewoon, of de pogingen daartoe strandden iig. Ik denk dat van veel van dat soort troep de houdbaarheid dus maar zeer beperkt is.

Als je een eerlijke vergelijking wilt zul je moeten testen met een gelijk aantal samples waarvan je weet dat deze actief zijn en geen corrupte bestanden zijn. Een aantal verschillende dubieuze sites bezoeken is niet fair omdat je niet met 100% zekerheid kan zeggen dat iedere machine met en in dezelfde hoeveelheid wordt geinfecteerd.
Daarbij komt ook nog de vraag waarop je wilt gaan testen? Ga je testen aan de hand van "signatures" (dus op bestandsvergelijkingen) of ga je op heuristieke basis (patroon/gedragsherkenning).

Het is jammer dat Schouw(Kaspersky virusanalist) niet meer actief is op dit forum, die wist nog wel eens wat

Miki schreef op maandag 26 januari 2009 @ 23:00:
Als je een eerlijke vergelijking wilt zul je moeten testen met een gelijk aantal samples waarvan je weet dat deze actief zijn en geen corrupte bestanden zijn. Een aantal verschillende dubieuze sites bezoeken is niet fair omdat je niet met 100% zekerheid kan zeggen dat iedere machine met en in dezelfde hoeveelheid wordt geinfecteerd.
Daarbij komt ook nog de vraag waarop je wilt gaan testen? Ga je testen aan de hand van "signatures" (dus op bestandsvergelijkingen) of ga je op heuristieke basis (patroon/gedragsherkenning).

Het is jammer dat Schouw(Kaspersky virusanalist) niet meer actief is op dit forum, die wist nog wel eens wat

Je kan natuurlijk een image maken van een machine die flink geïnfecteerd is en daarop diverse programma's loslaten. Alleen dan kun je natuurlijk geen realtime protectie testen omdat het kwaad immers al geschied is.

fckgw schreef op maandag 26 januari 2009 @ 23:06:
[...]

Je kan natuurlijk een image maken van een machine die flink geïnfecteerd is en daarop diverse programma's loslaten. Alleen dan kun je natuurlijk geen realtime protectie testen omdat het kwaad immers al geschied is.

Maar dan blijven er nog steeds vragen openstaan:

• Hoe weet je zeker dat alle infecties daadwerkelijk actief zijn en geen corrupte bestanden. Het komt voor dat er malware in omloop is dat wel afgevlagt wordt maar onschuldig is omdat het door een bug niet tot werking komt. De ene anti-virus zal dit bestand wel afvlaggen (bestandsherkenning) en de andere niet omdat simpelweg het gedrag niet herkend wordt aangezien het virus corrupt is.
• Gaat het uberhaupt nog lukken om anti-virus of anti-malware te installeren nadat er infectie(s) heeft/hebben plaatsgevonden.

Het doen van dit soort testen vraagt toch wel enige inzicht in hoe het 1 en ander werkt om tot een eerlijke en gelijke vergelijking te komen. Het is ook niet zo gek dat er genoeg AV bedrijven zijn die in de ene test 100% scoren en in de andere keihard onderuit gaan puur omdat de test-condities verschillen. Prima materiaal om marketing te bedrijven op internetforums en computerbladen. Vertel mij welke test daadwerkelijk ons verteld welk product beter is?

[ Voor 13% gewijzigd door Miki op 26-01-2009 23:18 ]

Links bewaren van malware die je via die link had gedownload heeft geen nut. Kan elke minuut weer andere malware zijn die je via dezelfde link download...
Sla de malwarebestanden op in een met wachtwoord beveiligd zipje of rar bestand.
Ook handig om een bestand eerst even te scannen op virustotal.com en die resultaten ook te bewaren.
Eventueel de malware ook even laten analyseren bij Sunbelt en ThreatExpert. Dan krijg je wat mooie rapporten en geeft het je misschien een beetje een idee wat er gebeurt en waar je naar moet zoeken.

Er is malware die weigert te werken in een VM omgeving, dus is dit niet de beste manier om te testen.

Stuur me een mailtje als je samples zoekt en/of een beter programma wilt testen.

Anoniem: 280187 schreef op maandag 26 januari 2009 @ 23:24:
[...]


Simpel:
Als ik na installatie van een geinfecteerd programma, of openen van een binder, bepaalde windows services niet meer werken en dat in bepaalde vensters opeens cruciale tabbladen ontbreken, dan weet ik wel genoeg.
Ook de bekende pop-upvenster zijn natuurlijk een dead-giveaway.
Aan de hand daarvan zie je echt wel of een probleem komt door een corrupt bestand of een echte infectie.
Dat verschil is echt duidelijk wel te zien.

En het gaat hier inderdaad om het testen van de preventieve werking van sommige programma's, en dus niet iets installeren nadat een pc eenmaal al geinfecteerd is.
In het reactieve ben ik bewus niet in geinteresseerd. Puur en alleen preventie.

Hoe weet je nu wat de exacte payload is van de malware die je gaat testen? Enigzins afgaan op symptonen die mogelijk zich kunnen voordoen is helemaal geen graadmeter of een product wel of niet naar behoren werkt. Er is genoeg malware bekend wat pas op een veel later tijdstip actief wordt dan dat de daadwerkelijke infectie heeft plaatsgevonden.

Een goed begin is je eerst te gaan verdiepen in hoe virussen en anti-virus programma's werken. Neem eens een kijkje naar de volgende presentatie om je een beeld te geven wat er allemaal bij komt kijken: http://www.av-test.org/down/papers/2000-02_eicar_2000.zip

Ander leuk leesvoer:
http://www.f-prot.com/workshop2007/presentations.html
http://www.av-test.org/in...sub=Papers&menue=1&lang=0

Waarom installeer je niet gewoon een sandboxie?
Heb je geen last van virussen

Anoniem: 194828 schreef op dinsdag 27 januari 2009 @ 00:23:
Er is malware die weigert te werken in een VM omgeving, dus is dit niet de beste manier om te testen.

Er is maar weinig 'slimme' malware die dit verschil zien.
Behalve misschien door de bridge connector.

Ik raad de TS wel aan om heel erg voorzichtig te zijn met Fysieke <> VM shares / link.
Mocht je echt iets agressiefs binnen halen dat je niet je fysieke systeem besmet.

Anoniem: 280187 schreef op dinsdag 27 januari 2009 @ 17:29:
<knip>
De zogenaamde literatuur over virussen kan mij bespaard worden, ik zit hier niet in een studeerkamer en ben echt praktisch georienteerd.
Ik wil zo goed mogelijk de besmetting van iets hardnekkig of Virtuemonde oplopen, om te kijken hoe goed bepaalde anti-malwareprogramma's daadwerkelijk stand houden.

Met deze instelling kun je dus nooit enigszins een serieuze test doen want het is niet eens duidelijk wat je precies wilt aantonen.
Zoals je zelf al zegt ben je praktisch georiënteerd, waarom dan al die moeite doen als het praktischer is om naar de winkel te gaan om anti-virus software te kopen van een gerenomeerd bedrijf.

Anoniem: 280187 schreef op dinsdag 27 januari 2009 @ 18:12:
En ja, ik draaide het inderdaad onder een admin-account, omdat ik een crack van PowerISO wilde installeren.

Je wilt dus een softwarematige oplossing voor een domme gebruiker? Good luck with that...

[ Voor 59% gewijzigd door Herko_ter_Horst op 27-01-2009 18:25 ]

Anoniem: 280187 schreef op dinsdag 27 januari 2009 @ 18:12:
[...]


Als je m'n eerdere postings goed gelezen had, dan had je gezien dat ik nu al wat heb draaien, maar dat ik dit niet genoeg vind.

Ik zal het speciaal voor jou het nog even opnieuw uitleggen.
Ik heb al ESET's NOD32 anti-virus draaien, al vele jaren zelfs en ken het systeem erg goed.
Maar had enkele maanden geleden toch een akelige infectie opgelopen.
Dit was met een stuk kwaadaardige code genaamd "Virtumonde", wat binnen 60 seconden m'n hele systeem vernaggelde.
60 seconden, en echt niet langer. Ik overdrijf niet.

En ja, ik draaide het inderdaad onder een admin-account, omdat ik een crack van PowerISO wilde installeren.
Ondanks dat NOD32 wel netjes meteen melding maakte van de nieuwe infectie en vroeg of ik het wilde verwijderen, kreeg ook NOD32 het toch niet weg.
Resultaat:
- Enkele tabbladen ontbraken meteen onder "Beeldscherm-eigenschappen", schermbeveiliging kon niet meer ingesteld worden.
- Constant willekeurige pop-ups, ongeacht of Internet Explorer draaide of niet.
- Automatische Update-service stond opeens uitgeschakeld, en kreeg ik sindsdien ook niet meer handmatig ingeschakeld.
Mij stond nog iets bij dat ik handmatig nog wat ingrepen had gepleegd om het toch nog draaiende te krijgen, maar tevergeefs.

Kortom, uiteindelijk moest ik alles herinstalleren.
Nu gebleken is dat NOD32 dus niet alles is, probeer ik op dit moment zo snel en zonder te veel gedoe uit te zoeken welke van de andere beveiligingsprogramma's NOD32 goed kan aanvullen, daar waar NOD32 steken laat vallen.
De lijst van die andere programma's staan in mijn openingspost.

Het gevolg van de virusinfectie was mij al duidelijk en hoefde je niet nog een keer op te sommen

Waar het mij om gaat en waarover ik je vragen stel is over jouw test waarop jij schijnbaar wilt aantonen dat product X + Y de in jouw ogen gewenste resulaat bied. Want nog steeds blijft staan wat je precies met jouw test wilt aantonen.

Even enkele zaken op een rijtje:

Waarop ga je testen?
Op bestandsvergelijking, signature based of heuristiek (gedrags/patroon herkenning). Daarin verschillen anti-malware programma's behoorlijk onderling en helemaal als je daar tegenover een specifieke viruscollectie zet. Je kunt dus bijwijze van je gehele testresultaat beinvloeden alleen al door "verkeerde" testsamples te gebruiken op product X.
Daarnaast is herkennen van anti-malware 1, maar het repareren van de schade 2. Ook hierin verschillen de anti-malware bedrijven behoorlijk. Waar het ene bedrijf alle malware vind maar je OS vernageld omdat het de bestanden verwijderd en niet cruciale bestanden niet hersteld in vergelijking tot product B die zeg 85% van je malware collectie vindt maar wel een werkende computer achter laat.

Hoe betrouwbaar is je collectie virussen?
Wie zegt dat virusbestand X daadwerkelijk actief is? Het kan best zijn dat jouw computer besmet raakt met bestand X maar dat er helemaal niets gebeurd omdat de website/domein waar het virus de werkelijke payload vandaan haalt helemaal niet meer bestaat. Hierdoor zullen er dus ook geen pop-ups en tabbladen verdwijnen, maar als nog ben je besmet met dat virus.

Hoe zorg je dat je testomgeving gelijk is?
Natuurlijk is virtualisatie een goede stap in de richting. Maar welke criteria stel je aan je anti-malware programmatuur. Daarmee doel ik op het meetpunt dat alle anti-malware software dezelfde updates in tijdseenheid hebben en allemaal dezelfde gelijke aantal "besmettingkansen". Ik ken anti-malware oplossingen die iedere uur updaten.

[ Voor 5% gewijzigd door Miki op 27-01-2009 18:51 ]

Anoniem: 280187 schreef op dinsdag 27 januari 2009 @ 08:42:
[...]


Waarom zou malware niet functioneren binnen een VMWare-VM?
Hoe zou malware dat kunnen controleren?

Tja, als je de antwoorden op dit soort dingen niet weet danwel niet uit je eigen opzoekt, heb ik zo mijn vraagtekens bij de kwaliteit van je test. En dan heb ik het maar niet over de manier waarop je virtumonde hebt opgelopen. Anyway, met 40.000 nieuwe malware samples per dag zal elke AV spul missen.
Draag er in elk geval zorg voor dat je niet de rest van de wereld kan infecteren en dat er geen personal identifiable information van je gestolen kan worden. Daarnaast moet de hoeveelheid geld die de bad guys ermee kunnen verdienen geminimaliseerd worden. (10x wat installeren is 10x geld voor de bad guys)

chromeeh schreef op dinsdag 27 januari 2009 @ 12:24:
[...]


Er is maar weinig 'slimme' malware die dit verschil zien.

Incorrect. Het komt zelfs zoveel voor dat er een AVendor is die in zijn nieuwe product programma's laat denken in een VM te draaien juist omdat er zoveel malware is die niets doet op een virtueel platform.

Behalve misschien door de bridge connector.

Nah, er zijn betere manieren om het te controleren. Paar jaar geleden werd er gekeken naar aanwezigheid van een VMware Tools registry key. Tegenwoordig wordt er (o.a.) naar de manier gekeken waarop bepaalde instructies uitgevoerd worden.

Miki.