Перейти к содержанию
Сергей Ильин

Реакция антивирусных вендоров на уязвимость в обработке WMF

Recommended Posts

Сергей Ильин

Как вы знаете, не так давно была обнаружена уязвимость в обработке WMF-файлов в Microsoft Windows. Данная уязвимость позволяет запускать произвольный код на машине жертвы, чем сразу же стали пользоваться вирусописатели.

Всеми уважаемый ресурс Av-Test.org Андреаса Маркса провел очень интересное на мой взгляд исследование, результаты которого опубликованы вот тут

http://news.com.com/Antivirus+makers+catch..._3-6018696.html

В нем на непропатченных машинах под Windows с установленными антивирусами пробовали запустить 206 вредоносных программ, использующих уязвимость WMF.

Вот результаты (какие антивирусы сколько детектировали):

These products detected all the malicious files:

BitDefender

Computer Associates eTrust-VET

F-Secure

Kaspersky Lab

McAfee

Eset Nod32

Microsoft OneCare

Sophos

Symantec

These missed just one file:

Alwil Avast

Clam AntiVirus

Aladdin eSafe

These tools missed a number of samples (total in parentheses):

Fortinet (18 )

AntiVir (24)

eTrust-INO (25)

Panda (25)

Ikarus (26)

Norman (26)

Ewido (47)

AVG (59)

VirusBuster (61)

QuickHeal (63)

Trend Micro (63)

Dr Web (93)

VBA32 (110)

Authentium Command (119)

F-Prot (119)

Source: AV-Test

С моей точки зрения, это тест не столько на скорость реакции, а тест на решение нестандартных ситуаций. Ведь для защиты от этой угрозы нужно не только добавить сигнатуры в базу, но и добавить сканирвование wmf в настройки по умолчанию (как сделали в ЛК, выпустив патчи) и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

вот тут как раз хорошо бы посмотреть на комплексные решения..

начальные условия:

1. Дыра в ос, патча нет, легко эксплуатировать, НО червь реализовать невозможно, необходимо забросить файл определённого формата.

2. Антивирус не приспособлен для проверки файлов определённого формата.

пути:

e-mail, url, съёмный носитель.

3. усложняем задачу - дыра в антивирусах (установленных в комплексе)

:))))

Мне видится такое решение:

1. Элементы комплекса пропускают все подозрительные файлы через карантин, все линки блокируются...

Вопрос кто способен проверить ВЕСЬ трафик на наличие файлов определённого формата?

С другой стороны Мы понимаем, что есть много условий для реализации уязвимости в ОС, одно из основных - админские права на тачке.

Опять же реализация трояна для универсального использования весьма трудна, но возможна, особенно в случае реверсивных троянов -значит нужна защита от реверсивных троянов.

Если использовать уязвимость для закачки другого вредоносного обеспечения - зомбирования, то этот метод весьма дорог, но возможен..

Для этого необходимо заражённый файл / линк разослать по спам рассылке - нужна защита от спама..

Если даже файл попал на компьютер, то пользователь должен знать, что файлы подобного расширения могут быть содержать вирусы, поэтому он должен связаться с админом -политика иб и обучение.

Вообще, если уж на то пошло, то при некотором приближении вирусы содержаться в файлах с расширением exe и их передача окончательно не запрещена..

Мне кажется, случай c wmf это паника. На веб ресурсах никто не станет намерно размещать информацию в wmf..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Мне видится такое решение:

1. Элементы комплекса пропускают все подозрительные файлы через карантин, все линки блокируются...

Вопрос кто способен проверить ВЕСЬ трафик на наличие файлов определённого формата?

Основная опасность в нашем случае исходит от HTTP трафика, так как пользователь может зайти на какой-то сайт ххх.com и загрузить картинку wmf. Блокировать загрузку таких файлов можно в антивирусе для ISA сервера или линуксового прокси (смотря что стоит). Может такое можно сделать штатными средствами прокси, я тут не уверен.

Тоже самое можно сделать на почтовом сервере. Таким образом загрузку потенциально опасных объектов мы запретили (или помещаем их в карантин).

С другой стороны Мы понимаем, что есть много условий для реализации уязвимости в ОС, одно из основных - админские права на тачке.

Опять же реализация трояна для универсального использования весьма трудна, но возможна, особенно в случае реверсивных троянов -значит нужна защита от реверсивных троянов.

Если использовать уязвимость для закачки другого вредоносного обеспечения - зомбирования, то этот метод весьма дорог, но возможен..

Для этого необходимо заражённый файл / линк разослать по спам рассылке - нужна защита от спама..

Согласен, защита от спама в данном случае уменьшит риск заражения, так как приглашения загрузить вредоносных файл перестанут приходить.

Если даже файл попал на компьютер, то пользователь должен знать, что файлы подобного расширения могут быть содержать вирусы, поэтому он должен связаться с админом -политика иб и обучение.

Вот тут я бы ничего не гарантировал уже, если компания большая все равно найдется кто-то, кто обязательно откроет, как ни обучай.

Мне кажется, случай c wmf это паника. На веб ресурсах никто не станет намерно размещать информацию в wmf..

Почему? Будут размещать и всеми средствами заманивать туда побольше народу для пополнения зомби сети :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

в последнем случае я имел ввиду, что вероятность полезной инфы в wmf файле крайне низка, поэтому можно смело резать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

я не учёл один факт, mass mailer ..

В случае маленькой конторы, где используется smtp (неавторизированный) возможно атака с механизмом распространения mass mailer..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин

Только что NOD32 прислал радостный релиз "Eset NOD32 защищает от WMF-уязвимости" но ссылается не на первый тест а на тест EWEEK http://www.eweek.com/article2/0,1895,1907131,00.asp, www.av-test.org, может я что-то не понимаю, но результаты совершенно другие.

AV-Test, which tests anti-malware products, has been tracking the situation closely and has, so far, analyzed 73 variants of malicious WMF files. Products from the following companies have identified all 73:

Alwil Software (Avast)

Softwin (BitDefender)

ClamAV

F-Secure Inc.

Fortinet Inc.

McAfee Inc.

ESET (Nod32)

Panda Software

Sophos Plc

Symantec Corp.

Trend Micro Inc.

VirusBuster

These products detected fewer variants:

62 — eTrust-VET

62 — QuickHeal

61 — AntiVir

61 — Dr Web

61 — Kaspersky

60 — AVG

19 — Command

19 — F-Prot

11 — Ewido

7 — eSafe

7 — eTrust-INO

6 — Ikarus

6 — VBA32

0 — Norman

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Только что NOD32 прислал радостный релиз "Eset NOD32 защищает от WMF-уязвимости" но ссылается не на первый тест а на тест EWEEK http://www.eweek.com/article2/0,1895,1907131,00.asp, www.av-test.org, может я что-то не понимаю, но результаты совершенно другие.

Тут все ясно, никакой ошибки нет, просто это более ранняя публикация av-test.org, там всего 73 вредонсоных файла и тест проходил 31 декабря. Здесь как раз тот случай, когда каждый вендор будет трактовать результаты по-свойму.

Т.е. можносмотреть в динамике как было через 2-3 дня после обнаружения уязвимости и как стало через неделю. Итак давайте бегло проанализируем данные.

Вендоры, которые брали все и 31 декабря и 4 января (группа А):

BitDefender

F-Secure

McAfee

Eset Nod32

Sophos

Symantec

Вендоры, которые стали брать все 4 января, но 31 пропускали заразу (группа В):

Computer Associates eTrust-VET

Kaspersky Lab

Microsoft OneCare

Вендоры, которые стали брать все 31 декабря, но к 4 января сдали свои позиции (группа С):

Alwil Software (Avast)

ClamAV

Fortinet

Panda Software

Trend Micro

VirusBuster

Остальные, кто не вошел в эти три группы пропускали что-то и 31 декабря и 4 января, а может и до сих пор пропускают :?

P.S. Интересно, что фины на движке ЛК среагировали на угрозу быстрее, чем сама ЛК. Хотя патч у Лаборатории Касперского вышел вечером 30 декабря, вероятно он не попал еще в тест от 31 декабря Маркса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Только что NOD32 прислал радостный релиз "Eset NOD32 защищает от WMF-уязвимости" но ссылается не на первый тест а на тест EWEEK http://www.eweek.com/article2/0,1895,1907131,00.asp, www.av-test.org, может я что-то не понимаю, но результаты совершенно другие.

Тут все ясно, никакой ошибки нет, просто это более ранняя публикация av-test.org, там всего 73 вредонсоных файла и тест проходил 31 декабря. Здесь как раз тот случай, когда каждый вендор будет трактовать результаты по-свойму.

Т.е. можносмотреть в динамике как было через 2-3 дня после обнаружения уязвимости и как стало через неделю. Итак давайте бегло проанализируем данные.

Вендоры, которые брали все и 31 декабря и 4 января (группа А):

BitDefender

F-Secure

McAfee

Eset Nod32

Sophos

Symantec

Вендоры, которые стали брать все 4 января, но 31 пропускали заразу (группа В):

Computer Associates eTrust-VET

Kaspersky Lab

Microsoft OneCare

Вендоры, которые стали брать все 31 декабря, но к 4 января сдали свои позиции (группа С):

Alwil Software (Avast)

ClamAV

Fortinet

Panda Software

Trend Micro

VirusBuster

Остальные, кто не вошел в эти три группы пропускали что-то и 31 декабря и 4 января, а может и до сих пор пропускают :?

P.S. Интересно, что фины на движке ЛК среагировали на угрозу быстрее, чем сама ЛК. Хотя патч у Лаборатории Касперского вышел вечером 30 декабря, вероятно он не попал еще в тест от 31 декабря Маркса.

К 5 января (а может быть и ранее) антивирус Dr. Web стал детектировать вредоносные объекты в указанных файлах. Подробнее см. http://info.drweb.com/show/2734

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
К 5 января (а может быть и ранее) антивирус Dr. Web стал детектировать вредоносные объекты в указанных файлах. Подробнее см. http://info.drweb.com/show/2734

Нужно ли при этом менять какие либо настройки в антивирусе Dr. Web ?

Ведь этот формат ранее не проверялся и не попадал в списко форматов, проверяемых по умолчанию, Касперскому вон пришлось патчить свои продукты из-за этого ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

К 5 января (а может быть и ранее) антивирус Dr. Web стал детектировать вредоносные объекты в указанных файлах. Подробнее см. http://info.drweb.com/show/2734

Нужно ли при этом менять какие либо настройки в антивирусе Dr. Web ?

Ведь этот формат ранее не проверялся и не попадал в списко форматов, проверяемых по умолчанию, Касперскому вон пришлось патчить свои продукты из-за этого ...

Я думаю, что не нужно (но не уверен). По информации с официального сайта ООО "Доктор Веб" (см. приведенную мною ссылку) достаточно лишь обновить антивирусные базы. Если было бы нужно что-то менять в настройках, полагаю, они бы об этом упомянули отдельно.

По всей видимости, файлы этого формата, проверялись резидентным модулем по умолчанию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • BooiCasino
    • BooiCasino
    • BooiCasino
      20 линейные игровые автоматы
      3д игровые автоматы
      777 игровые автоматы
      777 игровые автоматы онлайн
      aztec игровой автомат
      book of ra бесплатно
      book of ra играть
      borderlands 2 игровые автоматы
      casino игровые автоматы
      casino отзывы
      casino платья
      casino скачать
      crazy monkey бесплатно
      crazy monkey игровые автоматы бесплатно
      crazy monkey онлайн
      crazy monkey скачать
      slot игровые автоматы
      автомат crazy monkey
      БОНУСЫ КАЗИНО ВУЛКАН от 100 до 400% за депозит 
      Выбирай казино и выигрывай  https://sochi.go-2.link/go/vrZZ?p57552p241174peed9 ВУЛКАН ДЕЛЮКС  https://sochi.go-2.link/go/PgGl?p57552p241175pb7d7 Казино ВаБанк  https://sochi.go-2.link/go/qgdk?p57552p241176pe255 Вулкан клуб
      https://tech.game-bonuses.club/eldorado/main?p57552p241177p7ff1 Эльдорадо  https://sochi.go-2.link/go/BDLB?p57552p241178p459eЛОТОРУ  https://sochi.go-2.link/go/bvrW?p57552p241179pca77 Vulkan Casino https://sochi.go-2.link/go/53ar?p57552p241180p1a18 ВУЛКАН 24 Лучшая подборка казино вулкан  https://richplayland.com/2117r/?refCode=wp_w28424p43_ Вулкан казино https://richplayland.com/2095_24/?refCode=wp_w28424p162_ Вулкан 24 https://richplayland.com/2095_24/?refCode=wp_w28424p162_ Вулкан делюкс https://richplayland.com/2114/?refCode=wp_w28424p46_ Вулкан Слотс https://richplayland.com/1963/?refCode=wp_w28424p129_ Фараон казино https://richplayland.com/1964/?ref=wp_w28424p123_ Вулкан ставка https://richplayland.com/2077/?ref=wp_w28424p3_ Максбет Слотс  https://richplayland.com/1956/?partner=wp_w28424p130_ Вулкан старз https://richplayland.com/8104/?refCode=wp_w28424p122_ Адмирал 777 https://richplayland.com/2085/?ref=wp_w28424p8_ Слотозал казино https://richplayland.com/1959/?refCode=wp_w28424p157_ Эльдорадо казино https://richplayland.com/2084/?refCode=wp_w28424p176_ Джойказино
      бесплатные игровые аппараты
      https://visandgo.co/7jZssN?c=0117S4_OqkD713dcc783d20a39085b&saff_id=583  CasinoShans https://visandgo.co/7jZssN?c=0120S4_OqkD7133a0407cd0dbeba7a&saff_id=583 Furor Casino     https://visandgo.co/7jZssN?c=0114S4_OqkD7132d06a456a0c71770&saff_id=583  Вулкан Олимп     https://visandgo.co/7jZssN?c=0106S4_OqkD713627ec49215571e67&saff_id=583  Вулкан Maximum     http://visandgo.co/7jZssN?c=0091S4_OqkD713cc88948e9566fdf8&saff_id=583 Вулкан Миллион     http://visandgo.co/7jZssN?c=0094S4_OqkD7131efdd7d88cfbcd64&saff_id=583 Вулкан Олимп     http://visandgo.co/ctXWmT?c=0086S4_OqkD7136c8ca804a847a4eb&saff_id=583 Вулкан Prestige     http://visandgo.co/7jZssN?c=0104S4_OqkD71370629306dc83ff47&saff_id=583 Вулкан Победа     http://visandgo.co/7jZssN?c=0102S4_OqkD71329eab51b3dbd73c0&saff_id=583 Вулкан Neon     http://visandgo.co/7jZssN?c=0105S4_OqkD7133a7a4633ec2eeb05&saff_id=583 Admiral888 http://visandgo.co/7jZssN?c=0109S4_OqkD713ab04c78f5d33f76a&saff_id=583 Чудо Слот     http://visandgo.co/7jZssN?c=0108S4_OqkD7135e5931a83728fa89&saff_id=583 Вулкан Гранд    
      бесплатные игровые аппараты 777
      бесплатные игровые аппараты без регистрации
      бесплатные игровые аппараты вулкан
      бесплатные игровые аппараты играть бесплатно
      бесплатные игровые аппараты онлайн
      бесплатные игровые аппараты онлайн играть
      бесплатные игровые гаминатор
      бесплатные игровые клубы
      бесплатные игровые слоты
      бесплатные игровые слоты без регистрации бесплатные симуляторы игровых автоматов играть
      бесплатные старые игровые автоматы
      бесплатные эмуляторы игровых автоматов
      бесплатный book of ra
      бесплатный игровой автомат алькатрас
      бесплатный игровой автомат гладиатор
      бесплатный игровой автомат клубнички
      бесплатный игровой клуб вулкан
      бесплатный игровой клуб вулкан
      бесплатный слот играть онлайн
      бизнес игровые автоматы
      бонус за регистрацию в казино
      бонусы в казино
      бонусы интернет казино
      бонусы онлайн казино
      братва игровой автомат
      вегас игровые автоматы
      веселая ферма русская рулетка онлайн
      видео рулетка онлайн
      видеопокер
      видеопокер играть бесплатно
      видеопокер онлайн
      вип клуб вулкан
      вулкан игровой зал
      вулкан игровые автоматы
      вулкан игровые автоматы 777
      вулкан игровые автоматы бесплатно
      вулкан игровые автоматы на деньги
      вулкан игрософт
      вулкан казино игровые автоматы бесплатно
      вулкан клуб
      вулкан клуб игровые автоматы
      вулкан клуб игровые автоматы
      відео рулетка онлайн платные игровые автоматы
      платы игрософт
      поиграть в бесплатные игровые автоматы
      поиграть в игровые автоматы
      поиграть в игровые автоматы бесплатно
      поиграть в игровые аппараты
      поиграть в игровые аппараты бесплатно
      поиграть онлайн игровые автоматы
      порно игровые автоматы
      пробки игровые автоматы
      продажа игровых автоматов
      продажа игровых аппаратов
      работа в игровых автоматах
      реальное интернет казино
      реальные игровые автоматы
      реальные онлайн игровые автоматы
      рейтинг интернет казино
      рулетка игра онлайн
      рулетка играть онлайн бесплатно
      рулетка онлайн
      рулетка онлайн бесплатно
      рулетка онлайн бесплатно без регистрации
      рулетка онлайн бесплатно чат
      рулетка онлайн на деньги
      рулетка онлайн с девушками
      рулетка с живым дилером
      русская рулетка играть онлайн
      русская рулетка играть онлайн бесплатно
      русская рулетка онлайн
      русская рулетка онлайн бесплатно
      русская рулетка онлайн игра
      русская рулетка ферма играть онлайн
      русские игровые автоматы
      русские игровые автоматы бесплатно
      сайты игровых автоматов
      секреты игровых автоматов
      секс рулетка онлайн
      семерки игровые автоматы
      симулятор игровых автоматов играть
      симулятор игровых аппаратов скачать
      симуляторы игровых автоматов
      симуляторы игровых автоматов бесплатно
      симуляторы игровых автоматов играть бесплатно
      симуляторы игровых автоматов скачать бесплатно
      симуляторы игровых аппаратов
      скайп рулетка онлайн
      скачать crazy игровые автоматы
      скачать азартные игры бесплатные
      скачать бесплатно игровые автоматы компьютер
      скачать бесплатно игровые слоты
      скачать бесплатные игровые аппараты
      скачать бесплатные игры игровые автоматы
      скачать игровые автоматы
      скачать игровые автоматы resident
      скачать игровые автоматы на андроид
      скачать игровые автоматы на компьютер
      скачать игровые аппараты
      скачать игровые слоты
      скачать игру игровые автоматы
      скачать симулятор игровых автоматов
      скачать слоты игровые автоматы бесплатно
      скачать торрент игру игровые автоматы
      скачать эмулятор игровых автоматов бесплатно
      скачать эмуляторы игровых автоматов
      скачать эмуляторы игровых аппаратов
      слот автоматы играть онлайн бесплатно
      слот автоматы онлайн
      слот автоматы онлайн бесплатно
      слотозал 
      слотомания игровые автоматы
      слотомания игровые автоматы бесплатно
      слотомания игровые автоматы играть бесплатно
      слотосфера игровые автоматы
      слотосфера игровые автоматы играть бесплатно
      слоты играть онлайн
      слоты играть онлайн без регистрации
      слоты игровые бесплатно без регистрации
      слоты игровых автоматов вулкан
      слоты игровых автоматов играть бесплатно
      слоты игровых автоматов играть бесплатно
      слоты игровых автоматов скачать
      слоты игровых автоматов скачать
      слоты онлайн
      слоты онлайн без регистрации
      слоты онлайн бесплатно
      слоты онлайн бесплатно без регистрации
      смотреть игровые автоматы
      собачки игровые автоматы
      старые игровые автоматы играть бесплатно
      старые игровые аппараты
      старый игровой автомат
      супер игровые автоматы
      фараон игровые автоматы
      ферма русская рулетка онлайн
      флеш игровые автоматы
      флэш игровых автоматов
      черти игровые автоматы
      эмуляторы игровых автоматов
      эмуляторы игровых автоматов бесплатно
      эмуляторы игровых автоматов играть бесплатно
      эмуляторы игровых аппаратов
    • Ego Dekker
      Антивирусы были обновлены до версии 12.2.23.
    • KarinaDrozd
      Разыскиваются профессиональные дизайнеры для творческого onion проекта изготовления лэндов.
      Пример дизайна студии: http://ruonion.net/
      http://onionwiki.xyz/
      http://godnota.online/
      https://hydra2web.bio/
      https://hydraonion.la/
      http://hydra2web.wine/
      http://hydra2web.gy/
      http://hydra2web.gg/
      http://tor-browser.biz/ Тематические разделы:
      Бизнес Молодсть
      Трансфрматор
      Аяз Шабутдинов
      Косенко
      Оплата попроектаная, от 50к за профессиональный дизайн.
      Пиши свою почту под темой и ссылку на портфолио, мы обязательно свяжемся с тобой!
×