Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Még egy ok az AV-k mellett

2008.12.07. 21:58 | buherator | 6 komment

Ritkán posztolok új kártevőkről, mivel valószínűleg egy egész főállású szerkesztőség is kevés lenne a "piac" eseményeinek nyomonkövetésére. Ma azonban a Symantec egy olyan trójai variánsról adott hírt, amely azon kívül, hogy működését tekintve is kifejezetten érdekes, okot ad arra, hogy ismét felszólaljak a Minek-Nekem-Antivírus júzerekkel szemben. 

A Trojan.Flush.M névre keresztelt gazfickó egy DHCP szervert csinál a fertőzött gépekből, és vezeték nélküli hálózatokban folyamatosan monitorozza rajtuk keresztül a hálózati forgalmat, melyben DHCP kéréseket keres, ezekre pedig nyomban válaszol is, két kétes hírű DNS szerver címét adva meg névkiszolgálónak. 

Mit is jelent ez? Minek-Nekem-Antivírus Józsi benyalja a trójait. Észrevenni az ég világon semmit nem fog (Józsinak nyilván tűzfala sincs, mert az még az antivírusoknál is idegesítőbb jószág), a cuki kis program viszont szépen átírja a DNS konfigurációt, és amikor óvatlan barátunk ellátogat mondjuk az eBay-re, valójában nem az eredeti oldal, hanem annak tökéletes másolata fog megjelenni böngészője képernyőjén, ami annak rendje módja szerint el is küldi Józsika összes személyes- és számlaadatát a rosszfiúknak.

Ez eddig persze nem nagy ok a szívfájdalomra. Ha azonban Józsi mondjuk betér a kedvenc netkávézójába és felcsapja a laptopját, a környéken bejelentkező számítógépek - legyenek azok akár tökig patchelt Macek, Linuxok vagy OpenBSD-k - könnyen megkaphatják ugyanezeket a gázos DNS beállításokat Józsikától, és onnantól ők sem mindig oda fognak bejelentkezni, ahova szeretnének. 

Persze egyrészt a fertőzött gép mindig versenyt fut a legitim routerrel, ezért a továbbterjedés nem garantált, másrészt az SSL-hitelesített kapcsolatok morogni fognak - persze ez utóbbi nem sokat ér ha nincs olyan egységsugarú felhasználó, aki odafigyelne a kapcsolatai titkosságára.

A vírusfertőzés tehát nem magánügy, tessék védekezni! IRL is ;)

Címkék: dns trojan dhcp virii

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

fraki 2008.12.08. 16:54:37

Egyetértek azzal, hogy nem magánügy. És noob usereknek kötelező.

Én viszont épp a napokban mondtam le róla, leszedtem. A következő háttértudással: nem vagyok noob, érzékeny vagyok a legkisebb teljesítménykilengésekre, felfigyelek, ha fölöslegesen megy fel a proci, és szeretem tudni, miért kerreg a vinyó. Természetesen tűzfalat nem kapcsoljuk ki, miért is tennénk (egyébként innen látszik, hogy a cikk noob szemszögből közelíti a problémát).

Úgyhogy tessék differenciálni, ki is mondja azt, hogy kell nekem vagy nem kell nekem AV. Igen, úgy tanítjuk a népeknek, hogy kell, de egyesek megengedhetik maguknak, hogy lemondjanak róla.

fraki 2008.12.08. 16:55:45

Kicsit elitista álláspont, de szerintem ez mindennel így van.

pzs 2008.12.08. 18:26:55

...és ilyenek miatt kapjuk meg mi a gázos DNS címét :D

Már bocs, de akármilyen figyelmes is vagy, felkerülhet a gépedre virus/tronjai. Akár pendrive, akár egy fertözött program, stb, ha nincs egy naprakész AV a gépeden. Gondolom használsz torrentet, pendriveot, stb. Még ha kicsi az esélye, de akkor is előfordulhat. Ha meg utólag észreveszed, h sokat kerreg a vinyód, lehet már lőttek a rajta lévő adatoknak... Nekem nincs egy erőgépem, de elfér a háttérben egy AV, ami naponta frissíti magát...

synapse 2008.12.08. 21:54:38

fraki:

Okos vagy, vettuk a lapot. Csak azt felejted el, hogy ha pl a firefoxban van bug, akkor azt ugy hasznalhatjak ki, hogy eszre sem veszed... Mondjuk ezellen antivir sem ved, mert ugye a heurisztika az nem eleg, a szignatura-alapu szuresrol nem is beszelve...

synapse

fraki 2008.12.09. 19:48:50

pzs, nem használok pendrive-ot, torrenten meg csak videót töltök le. És ha cracket töltenék le, akkor meg nem indítanám el őket ellenőrzés nélkül.

Viszont a rendszerem teljesítménye nekem kritikus. Két virtuális gép futtatása mellett szeretném, ha gyorsan megnyílna 3-4 böngésző, ha tesztelnem kell egy weblapot stb. stb.

"Már bocs, de akármilyen figyelmes is vagy, felkerülhet a gépedre virus/tronjai."
Akármilyen figyelmes is vagyok, bármikor ráeshet a fejemre egy tégla. Mégsem járok bukósisakban.

fraki 2008.12.09. 19:49:48

"...és ilyenek miatt kapjuk meg mi a gázos DNS címét"

Nem, te nem az ilyenek miatt kapod meg.