NOD32 p0wnz m3!!!11

אוקיי מתוקים שילי, הגיע זמן לעוד עדכונון "קצר". :-*

ראשית, החלק המעניין. יום שישי קיבלתי שוב אימייל של אותה התקפת פישינג. התאריכים שונו במקצת, הקובץ שונה כמה בייטים בודדים, אך בגדול אותה הגברת בשינוי חזייה. כמובן שמייד דיווחתי על ההתקפה ל-Brightmail ול-SpamCop כהרגלי.

כמו שהבטחתי בהודעה הקודמת, שלחתי את הטרויאן המקורי (לא החדש) לבדיקה אצל VirusTotal כי עברו יומיים ושני עדכונים של הגדרות וירוסים של הפלוץ (מ-2436 אל 2438). יומיים שלמים עברו מאז ששלחתי אישית ל-ESET את הטרויאן מתוך NOD32 (כזכור לכם). וכמובן, אינכם טועים, ESET לא איכזבו לאכזב אותנו שוב. או במילים יותר פשוטות: הם עדיין לא מצליחים לזהות את הטרויאן הזה. משהו מאוד מאוד לא כשורה עם שיטת העבודה שלהם חבר'ה...

שימו לב שעוד שתי חברות AV מזהות את הטרויאן הזה, לפחות בגרסתו הזו (אולי בזכותי - בשל הדיווח ל-VirusTotal). וכמו שהבטחתי, הפעם שלחתי ל-ESET אימייל עם הטרויאן המקורי, שוב עם תיאור "חלבי" למדי כדי לבחון את תגובתם לדיווח רגוע יחסית... נבדוק עוד יומיים אם הם ממשיכים לנגב את ישבנם עם הדיווח שלי, אולי בהשראת חתימתי המפורסמת ביותר... (??) ;D

סתם בשביל הקטע שלחתי את הטרויאן בגרסתו "המשופרת" אל VirusTotal כדי לראות את רמת הזיהוי. כמו שאתם רואים רק 16 (לא 21) מזהים אותו אחרי שהוריד 13 בייט מהמשקל... מה שזה אומר שהזיהוי המקורי של אותן 5 לוקה בחסר. KAV לא איכזב והיה בין ה-16 שזיהו את הטרויאן "הרזה".

ונפנה עתה לפינת פניות הפונים...

במחשבים עם יותר ממעבד אחד, וירוסים זה לא דבר כזה איום ונורא, האמת.

אההההההה...... : רגע ומה אם יש לי שני מסכים ושלושה עכברים? זה גם מפחית מהסיכון לחטוף וירוסים?

איך אני יכול לבדוק את התקינות של תהליכי svchost.exe אצלי ? גם בהם יכול להיות וירוסים ?

הדרך היחידה שאני מכיר זה לסרוק את כל הקבצים במחשב בכמה אנטי-וירוסים/rootkit מדי פעם.

אני חושב שאת NOD32 צריך להגדיר בצורה נכונה כדי שהוא יעבוד בצורה הכי יעילה. כמובן שאלו רק משתמשים מתקדמים יכולים להגדיר.

או אנשים שקיבלו את קובצון הקינפוג שלי ל-NOD32. עכשיו יקירים שלי אתם מבינים למה אני מאוד לא שש לעזוב את הנוד?

אבל אין מה לעשות. העובדות מראות ש-ESET לא לוקחים את הביזנס של עצמם ברצינות ההכרחית... אין לי מושג מה הקטע שלהם עדיין אבל אני עוד אשלח מכתב פיזי לנשיא החברה כדי שיסביר לי מה קרה פה בדיוק ושינסו לשכנע אותי שדבר כזה לא יקרה שוב. לא יתייחסו - גם אני, ואני בטוח שגם רבים מכם שימשיכו לעקוב אחר הסיפור המרתק, לא נתייחס אל NOD32 בכבוד שרכשנו לו בעבר גם...

אההההההה...... : רגע ומה אם יש לי שני מסכים ושלושה עכברים? זה גם מפחית מהסיכון לחטוף וירוסים?

לא הבנת, מה שהתכוונתי זה שליבה אחת עובדת על מה שאתה רוצה לעשות, והשניה (או השלישית והרביעית) מטפלת בוירוסים, בחדי ליבה וירוס אחד היה יכול להרוס לחלוטין את המחשב, אבל בכפולי ליבה זה כבר קצת פחות מעצבן

אין קשר לכמות המעבדים/ליבות. הקשר היחיד הוא התוכנה המותקנת במחשב (ובשימוש הכי נבון שלה כמובן)... אם יש לך ארבע ליבות אך עדיין רק NOD32 מותקן במחשב, הטרויאן שאני מדבר עליו היה פוגע בך בדיוק באותה רמה שאם היה לך מעבד חד ליבה... מה שנכון זה שכשיש לך יותר ליבות אתה יכול להרשות לעצמך להריץ גם חומת אש מאוד מתקדמת (ZoneAlarm, Outpost) ואולי גם מוצרי אבטחה נוספים, בלי להרגיש עומס מעיק. אולי לזה התכוונת. :-*

כמו כן, אני מאמין שיש סיכוי טוב שהטרויאן הזה (ועוינים אחרים) לא יעבוד על ווינדוס ויסטה לדוגמא (הקוד פשוט לא ירוץ), או על ווינדוס 64 ביט (XP או ויסטה).

כך שמעכשיו כאשר תתקלו בדיון של "האם להתקין ויסטה 32 או 64 ביט?", תוכלו להגיד שעדיף לנסות 64-ביט לאיזה שבוע-שבועיים כדי לוודא שאין בעיית דרייברים/תוכנה עם הכוונה להישאר ב64-ביט גם בגלל שהוא יותר עמיד בפני וירוסים לכמה שנים הקרובות (עד ש-64-ביט יהיה שכיח). שימו לב טוב טוב:

Because 64 bit Windows is much less commonly deployed at this time than its 32 bit cousins, few malware authors have turned their attention to it. Of course, this advantage will fade as the 64 bit operating systems become more widely adopted. In fact, in 2004, Symantec reported the first virus written to infect 64 bit machines, called Shruggle. In May 2005 they reported a second 64 bit virus [...]

This doesnt mean your 64 bit system is safe from all malware written for 32 bit computers. Many 32 bit programs will run on the 64 bit OS. However, programs that run in kernel mode wont. This means that some of the most dangerous malicious programs wont run on 64 bit Windows. [...]

Theres more good news: the current rootkits that have been written for 32 bit systems, including the infamous Sony music CD rootkit, dont work in the 64 bit OS. Thats because when updating the kernel code for the 64 bit version, Microsoft programmers took the opportunity to include a patch guard code that is part of the kernel makes it impossible to install a patch in a running kernel (which kernel mode rootkits do on 32 bit systems).

Likewise, processor vendors had an opportunity, in making the new 64 bit processors, to include security mechanisms. Both AMD and Intel include code in their 64 bit products to prevent the exploitation of buffer overflow and buffer underrun conditions.

64 bit processing will also make some security mechanisms work better or at least, faster. For example, encryption is a very processor-intensive task. Encrypting and decrypting data can result in a performance hit on 32 bit systems, but 64 bit systems will be able to perform encryption tasks much more quickly. This will make it more convenient for more people to use encryption technologies such as EFS, IPsec and SSL, resulting in better security for confidential files and network transmissions.

מתוך "64Bit Windows More Secure"

(אני לא מצליח למצוא מידע ברשת לגבי אחוז וירוסים/rootkitים/טרויאנים/עוינים-אחרים אלימים שממשיכים לעבוד בוויסטה/64-ביט, או רשימה של אלה שלא מסוכנים שם.)

אגב, רק שתדעו, הצפנה הולכת להיות מרכיב חשוב מאוד בעולם המיחשוב בשנים הקרובות, מה שיעודד שימוש ב-64-ביט. מתחילים לצאת כל מיני שירותי גיבוי אונליין שאדם נבון ירצה מאוד לנצל (ברגע שהממשק שלהם יהיה מספיק נוח), כל עוד המידע האישי שלו מוצפן כמובן בחוזקה על מחשבו האישי, טרם המשלוח. כך יפתרו במקביל כמה בעיות כמו: נגישות החומר מכל נקודה באינטרנט, גיבוי דברים קריטיים (אימיילים/מסמכי-אופיס/תמונות שנוספו למחשב ביממה האחרונה), שיתוף (עם בני משפחה/חברים) של דברים פחות קריטיים, ניצול משאבים (עודף רוחב-פס וכוח מיחשוב כשאתה הרחק מהמקלדת, עודף מקום בהרד דיסק), וסינכרון מידע (מסמכים, מוסיקה, אימייל, פייבוריטס, וכו') בין הבית לעבודה/לאפטופ. לדוגמא קחו את חברת BeInSync הישראלית שלאחרונה החלה לתת ללקוחות 1 עד 5 גיגה של מקום במערכת האחסון המהוללת Amazon S3. מן הסתם אדם חכם ירצה להצפין מידע שהוא דוחף שם, אפילו פעמיים (עם שני אלגוריתמים שונים וסיסמאות שונות כמובן). הפואנטה: 64-ביט יעזור מאוד. ונחזור לדיון המקורי - גם אם תיפול על איזה וירוס, תוכל במהרה להשתקם (בזכות גיבויים חמים ונוחים).

אבל אין מה לעשות. העובדות מראות ש-ESET לא לוקחים את הביזנס של עצמם ברצינות ההכרחית... אין לי מושג מה הקטע שלהם עדיין אבל אני עוד אשלח מכתב פיזי לנשיא החברה כדי שיסביר לי מה קרה פה בדיוק ושינסו לשכנע אותי שדבר כזה לא יקרה שוב. לא יתייחסו - גם אני, ואני בטוח שגם רבים מכם שימשיכו לעקוב אחר הסיפור המרתק, לא נתייחס אל NOD32 בכבוד שרכשנו לו בעבר גם...

מה שנכון נכון..

אנחנו בקרוב בשנת 2008 בESET צריכים לחשוב קדימה אל עבר הנוחות,העיצוב,היעילות של התוכנה.

הם נתקעים בעבר, הסגנון של ESET נשאר אותו הדבר וחבל. אפשר לשנות וכדאי לשנות!

אם הם לא ישנו כיוון הם ירדו וירדו בגדול. למה יש חברות אבטחה יותר חכמות שכבר עקפו את ESET .

אם המצב לא ישתפר הם יאבדו את המקום שלהם. חד וחלק.

האמת שאני מאוד מרוצה מהפלוץ אבל אחרי האשכול הזה סתם בשביל לנסות הרצתי סריקה על כל המחשב עם הנוד, והוא דיווח שהמחשב נקי מוירוסים התקנתי את קספרסקי עוד לפני שהרצתי סריקה הוא מצא AdAware וmalware מה יהיה אחרי הסריקה?

ואני גולש הרבה לאתר warez ופורנו כנראה בגלל זה..

אני נשאר עם קספרסקי