La INseguridad de Avast

Iniciado por mytnick, 29 Noviembre 2010, 14:31 PM

0 Miembros y 1 Visitante están viendo este tema.

mytnick

La seguridad de Avast deja bastante que desear, mostraré algunos motivos que a mi parecer son demasiado "infantiles" en un antivirus, aunque quizás infantiles no sea la palabra adecuada, más bién "limitado" por que cada antivirus hace lo que puede.
No entraré en detalles de ninguna clase en los procesos y/o operaciones necesarias,ya que este hilo no es un manual/tutorial de ataque ni nada por el estilo, me limitaré solo a mostrar la inseguridad del antivirus, aunque cualquiera que sepa algo sobre este tema lo podrá observar con claridad y comprensión.

NOTA: Todas las operaciones se hacen bajo Windows XP y en una cuenta de Administrador.
(Aunque puede hacerse por igual en una cuenta sin privilegios haciendo algunas variaciones)


Una de mis sorpresas al analizar algunos programas con Avast fue que tanto netcat como serv-u (servidor ftp) no levantaba ningún tipo de alarma, para dicho antivirus no son peligrosos estos "programitas" que tanto daño pueden hacer a un sistema. Radmin si lo detecta, pero con algunas sencillas modificaciones se vuelve indetectable, teniendo estos tres programas en una misma carpeta y pasando desapercibido al antivirus, la imaginación empieza "a volar" :xD

Como no pondré codigo alguno, explicaré por encima lo que hice para ocultar y correr los procesos mencionados anteriormente, complementándolo con el video de más abajo.
Para ocultar los archivos lo que hice fue comprimirlo junto a un programa portable (7-Zip en este caso) en un archivo autoextraible, programando la ejecución de 7-Zip portable y un archivo batch que se encargará de agregar las entradas en el registro para ejecutar los procesos en el arranque, copiar todos los archivos en system32 y finalmente ejecutar los tres procesos.

Como una imagen vale más que mil palabras y este post no es un manual de ataque, no me extenderé más, tan solo vea el video y observe todas las operaciones descritas anteriormente. Al finalizar el video, póngase por unos instantes en la piel del cual estaría la persona "hackeada", donde alguién observa todo lo que haces con el ordenador, tiene todo tu disco duro a merced con un servidor ftp instalado donde subir y descargar archivos a su antojo y una shell del sistema pudiendo ejecutar cualquier comando, de paso subirte un keylogger y pillarte todas las contraseñas posibles, a mi me dan escalofríos tan solo de imaginarlo, para desgracia de algunos, actualmente miles de personas se encuentran en una situación similar, ¿qué antivirus usarán? ¿Kaspersky? ¿Avast? ¿Nod32? ¿ninguno?.


El video puede visualizarse en HD
Ver a pantalla completa y en HD ----> http://www.youtube.com/watch?v=J3fjt9uY5To&hd=1


by Mytnick

T0rete

Si un antivirus detectase el Serv-u como malware dirías que es imperdonable ese tipo de falsos positivos :xD

¿Quieres un premio por hacer funcionar un ftp como administrador?

Arcano.

Buenas mytnick ,

Me parece muy interesante. No encuentro nada lógico que, a día de hoy, aunque fuera por heurística, Avast no detecte "nc" como 'peligroso'. ¿Lo has probado con otros antivirus?

Qué menos que una simple advertencia: "¡¡OJO!! No sé qué es, pero... En tus manos lo dejo".

Otra cuestión a tener en cuenta es que, en los tiempos que corren, un buen firewall evita 'muchas cosas'.

Saludos!!
La curiosidad es la antesala al conocimiento...

T0rete

Solo tenéis que ir a los foros del avast y veréis unos cuantos post quejandose del falso positivo del netcat que daba antes.

Pasen y vean: http://forum.avast.com/index.php?action=search

Busquen netcat.

Arcano.

Buenas T0rete

Sigue sin valerme. La gente es libre de quejarse, pero todos sabemos qué podemos hacer con netcat. Todo extremo se vuelve absurdo: Ni borrarlo sin más ni pasar de él como si fuera totalmente inofensivo.

No cuesta nada poner: "Aplicación potencialmente peligrosa". El que sepa de qué va, lo dejará. El que no, lo borrará tal cual.

Por otro lado, el trabajo de mytnick me sigue gustando. Es fácil decir:
Citar"¿Quieres un premio por hacer funcionar un ftp como administrador?"

Mucho más complicado resulta investigar y valorar el trabajo de quien, además, comparte lo encontrado.

Saludos.
La curiosidad es la antesala al conocimiento...

T0rete

Lo que es fácil es criticar un excelente producto por una cosa como esa. Encima con la versión free.

Novlucker

Yo veo algunas cosas para tener en cuenta:

Los permisos de Administrador en el equipo: hace algún tiempo había publicado un post similar a este pero sobre el Security Essentials de Microsoft, comentando justamente los problemas que puede acarrear el tener la cuenta de admin por defecto en el pc aún cuando se tenga un antivirus.

El no tener un firewall: a mi criterio no alcanza con tener un antivirus en el pc, ya que siempre esta entre otras cosas la posibilidad de que aparezca algún bug gordo en la red, vease el virus conficker y el fallo que aprovecha.

El tipo de tool que representa el netcat:
Tal vez como dice Arcano debería de alertar sobre la peligrosidad del netcat y que cada uno vea lo que hace , pero el netcat primero que nada es una herramienta y va en el uso que se le de, y por lo mismo viene en toda distro de linux, y si es por "troyanizar" cosas, en lugar de netcat podría ser cryptcat, VNC, Radmin o cualquier otro (incluso los reproductores de musica y video realizan conexiones), y eso sin tener en cuenta que las conexiones no son problema del AV, son problema del firewall, con un firewall nada de eso funcionaría.

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Arcano.

Buenas...

Veeenga, que no haya malos rolletes. Que de poco sirven.

A mí también me gusta Avast. La verdad es que lo suelo recomendar. Como dice Novlucker, netcat es una herramienta. Con lo cual, visto así; sería lógico que Avast no la detectara como peligrosa. Toda la razón también con el firewall. PERO no costaría nada avisar de 'posible peligrosidad'. Que las "herramientas" se pueden usar de muchas maneras, para bien o para mal. Preguntadles a algunas novias sobre las herramientas de sus novios...  :¬¬ -Broma fácil pa quitarle hierro al asunto...-

Comodo security, en versión free, detecta VNC como troyano. Sí, toca los pies, pero una vez avisado, sí sabes de qué va; aplicas 'como segura' y listo.

Novlucker say:
Citar...las conexiones no son problema del AV, son problema del firewall, con un firewall nada de eso funcionaría.

Amén. Todo dicho.

Enga, saludos!!
La curiosidad es la antesala al conocimiento...

T0rete

Si un programa lo detecta como troyano ya tienes un problema grave con la empresa que lo distribuye y otro problema con el 90% de los usuarios que al leer eso pensaran que es realmente un troyano. Los falsos positivos son bastante polémicos ya que los falsos negativos los tenemos asumidos :xD

winroot

Buenas!
El problema es que, que desde mi punto de vista, para una solución de seguridad, no debe ser tan simple distinguir entre lo bueno y lo malo.
Netcat, Lo puede usar desde un lamer hasta un analista forense para enviar un dump de ram a su computador.
Como siempre, es mucho mejor estar de user que estar de admin.
Lo que hago yo es:  crear una cuenta de administrador y otra de usuario.
Cuando quiero hacer algo en la cuenta de usuario, voy a la de admin y uso el comando net localgroup y agrego al usuario al grupo administrador.
Recordar también, que el firewall de windows, no se le pueden exceptuar puertos modificando la key de su servicio si el usuario está como usuario, ya que no se puede modificar las keys de hklm.

Claro que, como dice novlucker, hay que tener un buen firewall, además de, todo a la fecha (so,navegador,etc).
Saludos
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com