Adobe Systems Incorporated © na shet viruse ;)

Pershendetje….
Tema eshte pak e hidhur, dhe goxha serioze. Si introduksion po e nis me diçka goxha misterioze qe me pati ndodhur vite me pare… Ka qene dhe nje nga faktoret qe ndikuan qe te kaloja ne linux.
Mbasi mbarova formatimin e kompiuterit tim , instalova windows dhe drejtpersedrejti driverat e sistemit.
Mbas kesaj, ende pa e lidhur me internetin dhe pa i futur ndonje flash apo hardisk te jashtem i bera nje skanim me Norton ( kete perdorja atehere :S ), dhe ç’te shoh, njeri nga driverat qe kisha instaluar permbante viruse.
Akoma me interesante ishte se ne C:\windows\ ishte krijuar nje direktori qe nuk e kisha pare ndonjehere ne sistemet e tjera, hyra ne te dhe nder te tjerash gjeta:
Aplikacione gjysem te koduara, winrar me krak te gatshem dhe serial, nje aplikacion ku dilte fotoja e nje kinezi me syze e te gjitha keto ne nje kompiuter te “virgjer” te sapoformatuar..
Mbas kesaj eksperience te çuditshme, dhe nje lajmi tjeter ne Indonezi ku Maxtor shiste hardisqe (500G) me trojane brenda mu be e qarte qe keto firma kerkojn te na kene nen kontroll dhe se informacioni realisht eshte Fuqi.

Le te kalojm tek tema e dites, vendosa te shkarkoja versionin trial te Adobe Creative Suite Master Collection 4 per ta provuar ne kompiuterin personal, dhe shkarkimi funksionon zakonisht ne kete lloj frome. Ti shkarkon nje aplikacion nga akamai.com (me redirect nga adobe) dhe quhet AdobeDownloadManagerInstaller.exe dhe me ane te ketij pastaj shkarkon programin qe te nevoitet ne kete rast Creative Suite Master Collection.
Ja se ç’fare ndodhi:

Si fillim , per egzekutim aplikacioni kerkoi privilegjet e administratorit gje qe nuk me pelqeu per nje download manager, e dyta duke pasur comodo internet security te instaluar ne kompiuter kontrolloja levizjet dhe gjerat e para qe bere ishte te modifikonte \\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ dhe ti jepte vetes privilegje te “papame” sepse startonte automatikisht me sistemin, etj etj etj keshtu qe me terhoqi vemendjen, dhe ja :) :
Faza 1 e backdoorit
Pjesa 2 – eshte duke u lidhur dhe duke shkarkuar backdoor-in dhe “programin e shkarkimit” nderkohe qe modifikon regjistrat e sistemit.

Adobe shet backdoors

Pjesa 3 – Rastesisht kapet nga Comodo Internet Security, kjo sepse adobe nuk ka shkruajtes viruesesh te mire.

Comodo Internet Security kap Backdoorin

Pse?
Sepse kane marre nje Win32.PcClient dhe e kane modifikuar paksa nderkohe qe mund te benin diçka si miqte e tyre (dmth te kodonin diçka vet, ku hashi te mos jete neper db antivirusesh).

E instalova ne kompiuter sepse isha kurioz te shikoja funksionet dhe e dergova per analiz dhe tek virus total, i vetmi qe e kapte ishte comodo, pra mos ti shajm shume se dhe aq keq nuk kane punuar.

Me shume info:
Gjate instalimit programi perdor service.exe per te pasur kontroll te plote mbi sistemin, rast ky shume i zakonshem tek trojanet.
Per ata qe e kane instaluar mund ta gjejn tek C:\Program Files\Common Files\Akamai\rswin_3629.dll
Shkarkoni Comodo Internet Security, dhe instaloni AkamaiDownloadManager dhe shikoni levizjet qe ben ne regjistrin e sistemit.
Provoni ta fshini 😀 (eshte e pamundur) duhet te çinstaloni programin ose te hyni me live cd linux dhe ta fshini nderkohe qe windows eshte fikur. Kjo eshte mbrojtja tipike e nje backdoori.
Modifikimet qe behen ne regjister jane:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\type
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\start
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\ErrorControl
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\ImagePath
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\DisplayName
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\ObjectName
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\Description
Si dhe ne nendirektorin parameters.
Ja dhe 2 foto:
Regjistri i infektuar

Backdoori (tek regjistri)

Zgjidhja

Shkoni tek : www.kernel.org
Shkarkoni kernelin e fundit, lexoni kodin (i gjith sistemi ne doren tuaj)
Kompiloni duke selektuar vetem hardwarin e kompiuterit.
Enjoy YOUR systM

Nese vazhdoni te perdorni winXozz, atehere shkoni tek direktoira \Akamai, çinstaloni panvarsisht se kjo nuk kam frike se nuk e ndryshone shume gjendjen.
Pastaj >Start>Run>regedit
Dhe do hapet registry editor, shkoni tek HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\ dhe fshini direktorin Akamai, kjo do u lejoj me vone qe te fshini edhe ato qe nuk jane fshire tek C:\Program Files\Common Files\Akamai\*

Viruse dhe antiviruse | Metoda infektimi dhe skanimi.

Ne kete teme do te mundohemi te paraqesim te pathenat e viruseve dhe antiviruseve, nuk do merremi me tema tipike si “kush eshte antivirusi me i mire” pasi ky antivirus qe po kerkoni nuk egziston.
E perseris, nuk egziston!!
Ju do thoni pse nuk egziston, dhe mbase dikush eshte i bindur qe eshte i mbrojtur ne kompiuterin e tij edhe pse ka instaluar kaspersky internet security v2999 apo nuk i di versionet qe mund te nxjerrin shtepite e antiviruseve.
Ajo qe thashe me siper eshte e vertet dhe ne kete teme do e shohim se pse.
PS. Tema do shikohet nga 2 kendveshtrime.
1)Si nje virus maker, pra si nje programator  virusesh.
2)Si nje kompani qe prodhon antiviruse dhe i interesojn metodat e mbrojtjes.
Mire, po vazhdojm menjehere me temen.
Ka shume percaktime per viruset, po munohem te jap disa karakteristika dhe nje perkufizim sa me permbledhes.
Viruset (ku bejn pjese trojanet, malwaret, rootkitet, RAT, etj) jane programe te shkruajtura ne shumllojshmeri gjuhesh me te vetmin qellim:
1)Eliminim
2)Korruptim
3)Vjedhje
4)Kontroll
Te dhenash. Qofshin keto brenda nje kompiuteri, server, apo celulari!!
Nder llojet e tyre po permend disa te cilet mund ti quajm si me interesantet.
Po e fillojm me me te rrezikshmin (opinioni im ky)
1.Bootkite
Jane nje klas e evoluar e viruseve boot te cilet infektojn MBR-n e nje makine duke mos patur kontakt ose me sakt varesi nga vet sistemi operativ i nje kompiuteri.
Dhe bootkitet jane shume te rrezikshem sepse edhe mbas formatimit te nje makine ato perseri gjenden ne pc, dhe e vetmja zgjidhje mund te jete fleshimi i biosit apo zevendesimi i saj me nje bios te ri.
2.Viruset e encryptuara te cilat fshehin payloadin e tyre duke e encryptuar.
3.Virusat parazit, keto jane viruse qe kapen tek nje fail i sistemit dhe e infektojn ate, me vone kjo lloj teknike u asimilua dhe nga rootkitet qe jane derivojn nga UNIX\Linux root term, dhe jane dizenjuar per te dhene root akses.
4.Viruset polimorfik apo mutant te cilet derivojn nga ato te encryptuara vetem se ne ndryshim nga ato lloj virusesh algoritmi i encryptimin ndryshon, pra encryptohet me algoritme te ndryshme per tu bere i pakapshem nga antiviruset.
Grupet e viruseve jane te shumt, une u perqendrova tek keto pasi jane me te rrezikshmit sidomos kur cilesi te tyre bashkohen ne nje virus. Po shtoj ketu nje kod kurioz  te shkruajtur ne asm per tu studiuar.
http://albanianwizard.org/Postokodin/13
Po kalojm pak tek metodat e skanimit qe perdorin antiviruset.
Sepse kjo gjithmon ka qene “pyetje pergjigje” , avancimi i njeres pale detyronte avancimin e pales tjeter.
Teknologji Skanimi
1.Ajo e signature , pra e firmes se virusit duke krahasuar si hash-in e virusit ashtu edhe kodin e tij (normalisht aspak efektive duke ditur qe shumica e viruseve modifikojn kodin e programeve qe infektojn me kodin e tyre, dhe mbasi ka bere punen e tij pak eshte e rendesishme nese kapet apo jo, pra e rendesishme eshte qe te gjendet kodi i modifikuar)
2.X-Raying ky lloj skanimi qe nje revolucion i vertet kunder viruseve qe ishin te encryptuar sepse zakonisht algoritmi qe perdorej ishte i thjesht keshtu qe ishte edhe i thjesht per tu krakuar, pra keto antiviruse bejn nje sulm te tipit brute force per te krakuar algoritmin dhe per te njohur virusin.
Si teknollogji derivon nga Cyber Crime, sepse perdorej per te decryptuar hardisqet e hakerave kur kapeshin me “presh ne dore”. Keto kane qene hapat e pare kunder kunder  Steanografis [nga greqishtja, mbulim gjurmesh, fshehje te dhenash]
3.Stimulimi
Kjo teknik eshte keshtu.
Antivirusi krijon nje emulator i cili krijohet drejtpersedrejti nga CPU dhe virusi hidhet ne nje ambjent ideal i cili normalisht pa e ditur qe eshte gjithçka nje “loje” ben ate per te cilen eshte programuar duke u identifikuar edhe veprimtaria e tij si veprimtari virusi.
4.Heuristik mos me thoni qe nuk e keni degjuar, eshte shume e famshme dhe shenoi nje revolucion.
Kjo si pasoje e revolucionit nga ana tjeter.
Siç e thame me siper viruset filluan ta fshihnin kodin e tyre ne krye te fileve qe infektonin por kur u mor vesh qe kjo spo bente me pune , atehere virus makerat filluan me nje teknike te re te quajtur “entry point obfuscations” pra ne fjale te tjera maskonin vendin se ku fusnin kodin dhe keshtu lindi nevoja e nje metodologjie te re skanimi e cila u quajt Heuristik dhe per ta shpjeguar nuk eshte aspak e thjesht, po po japim nje analiz te shkurter te algoritmit heuristik ne te cilin bazohet dhe kjo lloj metodologjie skanimi.
Nje definicion i shkurter i asaj qe ben ky algoritem eshte se gjen nje zgjidhje fleksibel , me afer zgjidhjes reale duke analizuar nje sere faktoresh qe ndryshojn nga menyra se si eshte i implementuar ky algoritem (ndryshon nga aplikacioni ne aplikacion)..
Per ta sqaruar akoma me mire, ne rastin kur kemi te bejm me viruse ne te cilet eshte implementua teknika e entry point obfuscation atehere eshte e pamundur per nje skaner qe te gjej se cili fail eshte infektuar. Psh kemi nje kartel me 40 faile ku 1 eshte i infektuar..
Algoritmi skanon kartelen dhe ne baze te disa karakteristikave (failet “stresohen” ne menyre qe te japin shenja “jete” dhe nese eshte virus i pergjigjet ndryshe thirrjeve nga sistemi) japin nje rezultat te perafert se kush fail mund te jete i infektuar. :)

Realiteti ne fakt eshte pak me i hidhur pasi krijohen viruse mutant me kualitete nga te gjitha keto kategori qe permenda dhe ajo qe eshte me e keqja eshte se ato nuk i adresohen me si dikur sistemit apo “targetit” tipik te tyre por i adresohen edhe antiviruseve, dhe firewalleve.
Pra per ti çaktivizuar ato, dhe per ti nxjerrre jasht perdorimit.
Jo vetem kaq, por mjafton nje kerkim i vogel tek packetstormsecurity dhe gjene viruse te programuar posaçerisht per tu mos kapur nga antiviruse te ndryshme te tipit, kaspersky, norton, panda etj.
Nje rrezik tjeter eshte ai i viruseve 0-day do ti quaj qe jane te koduar aq mire sa antiviruset nuk mund ti kapin na baze te karakteristikave te tyre. Kjo edhe per shkak se nuk gjenden ne databazen e viruseve.
Sulmet me normale ne kohet tona jane te tipit:
Virusi e merr nje makine dhe e kthen ate ne nje Zombie, duke e bere pjese te nje Bootneti ose te nje sulmi Distributed Denial Of Service i quajtur shkurt DDOS.
Nga ana tjeter edhe antiviruset po punojn per te rregulluar “difektet” e tyre, por e verteta eshte se viruset gjtihmon do te jene nje hap perpara. (per fat te keq eshte e vertet).
Atehere cila eshte zgjidhja?
Ne realitet nje zgjidhje nuk ka, por une preferoj nje tipologji mbrojtjeje te re e cila quhet HIPS (Host Intrusion Prevention System) dhe eshte e implementuar shume mire tek Comodo Internet Security.
Ne fjale te tjera eshte nje monitorim live i sistemit dhe proçeseve ne te, dhe bllokon ç’do proçes te panjohur perpara se ai te veproj, duke shmangur keshtu shume demtime ne rast virusesh.
Si funksionon?
Siç e tham kjo teknollogji monitoron komplet sistemin dhe per ç’do gje qe “merr fryme” ne kompiuter te sinjalizon duke e bllokuar ate qe po “merr fryme” perpara se te “marri fryme” xD dhe dhe te jep mundesine ta bllokosh ose ta lejosh duke te dhene normalisht dhe sugjerime shume te mira.
Une perdor linux dhe nuk para vuaj nga keto probleme, pasi ne linux me shume te zhvilluar jane sulmet me remote exploit, remote code execution, buffer overflow, dhe rootkite.
Por gjithsesi nuk eshte absolutisht ne nivelin e sulmeve qe i behen sistemeve si windows.
Normalisht kam harruar shume gjera pa permendur, mos hezitoni ti kujtoni dhe ti shtoni duke ju pergjigjur ketij postimi.