La INseguridad de Avast

Iniciado por mytnick, 29 Noviembre 2010, 14:31 PM

0 Miembros y 1 Visitante están viendo este tema.

APOKLIPTICO

Digo que debe ser específico porque cada anti virus tiene su manera propia de defenderse, acordate que hace unos años uno podía matar un anti virus con un simple taskkill.
Eso hacia la tarea de infectar una pc mucho mas facil.
Ahora no podés hacer eso ni a palos, ni siquiera podés usar la api openprocess(),yo me acuerdo que había hecho un programa que se salteaba la protección que tenía otro programa contra matar el proceso, inyectando datos aleatorios y haciendo crashear el proceso.

El tema es que en cuanto una herramienta se hace muy popular, ya se buscan medios para contrarrestar dicha herramienta.
Por supuesto, un usuario muy avanzado, conociendo su objetivo, podría experimentar con diversos métodos para hacer indetectable un programa que mate el proceso del anti virus objetivo y el firewall, para luego infectar la pc y dejarla completamente vulnerable.
Pero estamos hablando de cosas muy hard core...
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.

Novlucker

#21
Cita de: mytnick en 30 Noviembre 2010, 01:55 AM
hola Arcano, los he probado con Kaspersky, Nod32, Bitdefender, Mcafee, AVG y Antivir.

Voy a tener que probar entonces, porque Mcafee y Bitdefender no deberían de decir nada, lo se porque tengo Bitdefender y si no es por el firewall no canta :silbar:

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Littlehorse

Generalmente lo que se hace con una suite de seguridad es intentar saltarse las protecciones de maneras no tan bruscas ya que la idea principal es pasar desapercibido. Agregar excepciones a mano (siempre que se pueda bypassear la protección de las configuraciones), engañar al motor de análisis de la forma que sea posible (signatures, codepaths, etc) suelen ser las formas mas comunes.
Si uno entra en modo kernel no necesariamente tiene que ser para desactivar la suite, mas bien todo lo contrario. Si en ese ámbito se encuentra un posible fallo (hooks mal implementados, por ejemplo) entonces se lo explota y se lo aprovecha, pero desactivar la suite de seguridad es la ultima instancia cuando no quedan otras alternativas, por lo menos para cualquier malware serio.
Igualmente cada caso es un mundo. No es lo mismo comparar Avg Free o Avast con otras suites como Kaspersky o Comodo.

En la mayoria de las suites de seguridad existen errores de diseño que pueden ser explotados. Por esa razón los usuarios siempre tienen que tener en mente que un antivirus/firewall solo es una simple protección mas que si no va acompañada de brain.exe es lo mismo que la nada.

En cuanto a la idea principal del post, es preferible que detecte de mas y no de menos. Si es un falso positivo y es una utilidad que conocemos, se agrega una excepción -dos clicks- y asunto arreglado.



An expert is a man who has made all the mistakes which can be made, in a very narrow field.

mytnick

#23
Cita de: Novlucker en 30 Noviembre 2010, 12:34 PM
Voy a tener que probar entonces, porque Mcafee y Bitdefender no deberían de decir nada, lo se porque tengo Bitdefender y si no es por el firewall no canta :silbar:

Saludos

tienes razón, a mi me lo detectó por que la versión de netcat que tengo está comprimida con UPX, acabo de descargar otro netcat y Bitdefender no lo detecta, pido disculpas por mi error.
Lo curioso es que Avast no muestra alarma alguna, esté comprimido o no.
PD: es lo que tiene trabajar con programas con tantos años aparcados en el pc  :xD

un saludo



T0rete

#24
Dime tu si el Avast debe o no debe avisar del serv-u
ServU.exe
Submission date:
2010-11-30 05:14:49 (UTC)
Current status:
finished
Result:
1 /42 (2.4%)

Antivirus    Version    Last Update    Result
AhnLab-V3    2010.11.30.00    2010.11.29    -
AntiVir    7.10.14.136    2010.11.29    -
Antiy-AVL    2.0.3.7    2010.11.30    -
Avast    4.8.1351.0    2010.11.29    -
Avast5    5.0.677.0    2010.11.29    -
AVG    9.0.0.851    2010.11.30    -
BitDefender    7.2    2010.11.30    -
CAT-QuickHeal    11.00    2010.11.30    -
ClamAV    0.96.4.0    2010.11.30    -
Command    5.2.11.5    2010.11.30    -
Comodo    6898    2010.11.30    -
Emsisoft    5.0.0.50    2010.11.30    -
eSafe    7.0.17.0    2010.11.29    -
eTrust-Vet    36.1.8007    2010.11.29    -
F-Prot    4.6.2.117    2010.11.29    -
F-Secure    9.0.16160.0    2010.11.30    -
Fortinet    4.2.254.0    2010.11.29    -
GData    21    2010.11.30    -
Ikarus    T3.1.1.90.0    2010.11.30    -
Jiangmin    13.0.900    2010.11.29    -
K7AntiVirus    9.69.3115    2010.11.29    -
Kaspersky    7.0.0.125    2010.11.30    -
McAfee    5.400.0.1158    2010.11.30    -
McAfee-GW-Edition    2010.1C    2010.11.29    -
Microsoft    1.6402    2010.11.29    -
NOD32    5659    2010.11.29    probably a variant of Win32/ServU-Daemon
Norman    6.06.10    2010.11.29    -
nProtect    2010-11-29.01    2010.11.29    -
Panda    10.0.2.7    2010.11.29    -
PCTools    7.0.3.5    2010.11.30    -
Prevx    3.0    2010.11.30    -
Rising    22.76.00.01    2010.11.30    -
Sophos    4.60.0    2010.11.30    -
SUPERAntiSpyware    4.40.0.1006    2010.11.30    -
Symantec    20101.2.0.161    2010.11.29    -
TheHacker    6.7.0.1.093    2010.11.30    -
TrendMicro    9.120.0.1004    2010.11.30    -
TrendMicro-HouseCall    9.120.0.1004    2010.11.30    -
VBA32    3.12.14.2    2010.11.29    -
VIPRE    7451    2010.11.30    -
ViRobot    2010.11.30.4176    2010.11.30    -
VirusBuster    13.6.66.0    2010.11.29    -
Additional information
Show all
MD5   : b8281e121cd893d4bab9c8422d0c021b
SHA1  : 4d036162d211d85b6aa44eae782e01399f1e4488
SHA256: 1825a36cddba11a18be02cea17b97071be68ce00aae21c65c78ea59091895f82


T0rete

Cryptcat en un super zip :xD

File name:
cryptcat-nt-1.2.1.zip
Submission date:
2010-05-16 19:11:30 (UTC)
Current status:
finished
Result:
0 /40 (0.0%)
   
VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus    Version    Last Update    Result
a-squared    4.5.0.50    2010.05.10    -
AhnLab-V3    2010.05.16.00    2010.05.15    -
AntiVir    8.2.1.242    2010.05.14    -
Antiy-AVL    2.0.3.7    2010.05.14    -
Authentium    5.2.0.5    2010.05.15    -
Avast    4.8.1351.0    2010.05.16    -
Avast5    5.0.332.0    2010.05.16    -
AVG    9.0.0.787    2010.05.16    -
BitDefender    7.2    2010.05.16    -
CAT-QuickHeal    10.00    2010.05.15    -
ClamAV    0.96.0.3-git    2010.05.16    -
Comodo    4859    2010.05.16    -
DrWeb    5.0.2.03300    2010.05.16    -
eSafe    7.0.17.0    2010.05.16    -
eTrust-Vet    35.2.7490    2010.05.15    -
F-Prot    4.5.1.85    2010.05.15    -
F-Secure    9.0.15370.0    2010.05.16    -
Fortinet    4.1.133.0    2010.05.16    -
GData    21    2010.05.16    -
Ikarus    T3.1.1.84.0    2010.05.16    -
Jiangmin    13.0.900    2010.05.16    -
Kaspersky    7.0.0.125    2010.05.16    -
McAfee    5.400.0.1158    2010.05.16    -
McAfee-GW-Edition    2010.1    2010.05.16    -
Microsoft    1.5703    2010.05.16    -
NOD32    5118    2010.05.16    -
Norman    6.04.12    2010.05.16    -
nProtect    2010-05-16.01    2010.05.16    -
Panda    10.0.2.7    2010.05.16    -
PCTools    7.0.3.5    2010.05.16    -
Rising    22.47.06.04    2010.05.16    -
Sophos    4.53.0    2010.05.16    -
Sunbelt    6310    2010.05.16    -
Symantec    20101.1.0.89    2010.05.16    -
TheHacker    6.5.2.0.280    2010.05.14    -
TrendMicro    9.120.0.1004    2010.05.16    -
TrendMicro-HouseCall    9.120.0.1004    2010.05.16    -
VBA32    3.12.12.5    2010.05.14    -
ViRobot    2010.5.15.2318    2010.05.15    -
VirusBuster    5.0.27.0    2010.05.16    -
Additional information
Show all
MD5   : c66018cad676a186406621e5f4fb989b
SHA1  : 2921c0ba6aedd3045b12ec558ee112e34eeba33c
SHA256: 1730a28d227db28993c397920d07ac7cc12713dab41d631b46d34cd74237fe4d

jdc

Creo que es una irresponsabilidad decir que un antivirus es malo por una prueba tan trucha.

Todos sabemos lo dificil que es desarrollar y mantener un antivirus, en especial apareciendo nuevas amenazas tan seguido y que esto se haga gratis y con el minimo de publicidad  se agradece

Littlehorse

CitarCryptcat en un super zip
Supongo que es un chiste  :P, estas analizando el proyecto pero no el ejecutable . ;-)

File name:

cryptcat.exe
Submission date:

2010-10-04 11:27:53 (UTC)
Current status:

finished
Result:

25 /43 (58.1%)

link
An expert is a man who has made all the mistakes which can be made, in a very narrow field.

T0rete

#28
Se :xD

Pero el exe nod no lo detecta como malware :xD

mytnick

Cita de: jdc en 30 Noviembre 2010, 16:10 PM
Creo que es una irresponsabilidad decir que un antivirus es malo por una prueba tan trucha.

Todos sabemos lo dificil que es desarrollar y mantener un antivirus, en especial apareciendo nuevas amenazas tan seguido y que esto se haga gratis y con el minimo de publicidad  se agradece

yo no digo que sea malo, solo que es bastante inseguro
Tú mismo lo confirmas, con una prueba tan trucha el antivirus no pudo frenarla