Even ter verduidelijking, passwordprotected archives kúnnen wel geflagged worden..
De meeste vendors flaggen de archivefile..
Dat is imo niet zo heel erg interessant, want je moet elke keer die signature daarvoor weer updaten.
(Ja, dat moet ook voor de unpacked version, maar nodeloos extra werk is een beetje pointless).
Een paar vendors hebben betere methodes ontwikkeld.
O.a. Dr. Web, BitDefender en Kaspersky, die eerste twee weet ik niet helemaal zeker, de laatste wel.
Als KAV erachter komt dat een archive passwordprotected is, gaat hij de mail scannen naar het password en zal dat gebruiken om de archivefile te unpacken/scannen/disinfecten.
Mocht het password er niet in text staan, maar als plaatje, dan komen de ocr-technieken in actie en zal het wachtwoord uit bijv. de bmp gelezen worden.
Needless to say, dit werkt voor alle attachments en niet alleen voor baglecrap.
Is een sterk verhaal, de technologie bestaat allemaal om het te doen, dat is een feit. Maar ik wist niet dat in AV-software een hele harvester zat (zoeken naar wachtwoord in stuk tekst, OCR, ...). Maar ja, hoe lang zal het duren voordat het virus gewoon zo'n prentje gebruikt zoals op vele sites waar de tekst amper uit te halen is door OCR?
Wel mooi dat ze technologie die vooral voor slechte doeleinde (harvester) nu weer voor het goede gaan inzetten.
Mij lijkt het dan ook dat over een paar jaar AV-software vreselijk uitgebreid zal zijn:
-OCR
-spraakherkenning (voor als ze het wachtwoord als MP3'tje zouden meezenden)
-Anti-Virus
-Anti-Spyware
-Anti-Dialer
...
Anti-OCR plaatjes: de virussen moeten het hebben van de mensen die niet nadenken over wat ze openen. Als je het te moeilijk maakt voor ze zouden ze wel eens dochter/zoonlief/buurjochie kunnen gaan roepen en komt het virus niet aan
(Hoop ik dan maar
)
Maar natuurlijk blijven inderdaad ook de virusmakers proberen nieuwe methoden te verzinnen. Voorlopig ben je er in ieder geval mee gered
Wat is sterk aan mijn verhaal?
Mij lijkt het dan ook dat over een paar jaar AV-software vreselijk uitgebreid zal zijn:
-lijstje
Op de spraakherkenning na, zit alles al in bepaalde AVproducten, hoewel de een beter zijn zaakjes voor elkaar heeft dan de ander.
Ik betwijfel trouwens echter of passwords mbv mp3s verzonden zullen gaan worden..
Het moet het slachtoffer ook weer niet téveel moeite gaan kosten.
Reactie op de twee hierboven:
Een wachtwoordbeveiligde zip hebben ze gekozen omdat ze zo een virusscanner ontlopen (of ontliepen) maar toch zijn er genoeg gebruikers die erin trappen. Zet als virusmaker in de mail dat je zo (door zo'n plaatje met het wachtwoord + OCR-beveiliging) tegengaat dat de FBI/CIA/NSA/... aan deze super geheime informatie komt, en de meesten zullen het geloven. En MP3's waren maar een voorbeeld: als je 10 jaar geleden tegen iemand zou gezegd hebben 'over 10 jaar komen de virussen per e-mail binnen en dan moet je oppassen met geëncrypteerde en gecomprimeerde bestanden. Je zal het wachtwoord in een plaatje meegestuurd krijgen', dan zouden ze je voor zot beschouwen ( 95% wist niet wat e-mail was, laat staan encryptie
). Zolang de virusmaker het aantrekkelijk maakt voor de gebruiker om het bestand open te krijgen, zullen er steeds mensen zijn die het doen. Hier is toch hetzelfde: ze beperken misschien hun aantal 'gebruikers' maar blijkbaar lukt het toch nog om domme mensen te overtuigen dat ze het open moeten krijgen.
Zoonlief roepen, zal niet altijd werken hoor (tenzij de zoonlief altijd braaf naar T.net komt
). Veel jongeren kunnen wel beter overweg met een computer dan hun ouders en grootouders (voor mensen die zich nu op de tenen getrapt voelen: er zijn natuurlijk uitzonderingen, hoor) maar als het op virussen, spyware, ... aankomt zijn ze vaak nog erger dan hun ouders ("een pc is niet te vernielen" en er zal vast wel iemand komen voor een reparatie. Dat is de wegwerpmaatschappij (weg ermee!))
Daarnaast moeten virussen het vooral hebben van mensen voor wie het niet uitmaakt welke software ze gebruiken en mensen die denken dat beveiliging automatisch op een pc geïnstalleerd is: gebruik een alternatieve e-mail client en je aantal virussen zal al drastisch dalen (omdat Outlook Express en andere populaire progjes automatisch een mail openen met alle scripten en gevolgen van dien).
Vroeger was er een programma, dat 'dammen' hete dat er voor kon zorgen dat een programma (lees virus) zijn programma code in random blokken kon hercompileren, zodat geen enkele file er het zelfde uit zag.
Het is dus wachten tot deze methodes en bijvoorbeeld eigen encryptie engines in virussen worden uitgevoerd.
Ik ben bang dat we nog veel meer enge virussen gaan krijgen.
Ik denk dat de beste oplossing is om attachements een paar dagen in quarantine te zetten ,zodat de AV software in iedergeval niet achter de feiten aan hoeft te hollen.
Ik denk dat je DAME bedoelt, de Dark Avenger Mutation Engine, nog uit de tijd van de DOS-virussen. En daar was binnen 2 maanden iets op gevonden (de heuristische virtual machine van Thunderbyte).
Als die heuristische engines zo goed werken waarom zien ze dan niet een nieuw virus???
![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.png){kind=icon}
Zodra de bijlage geopend wordt, nestelt Bagle.AF zich op de getroffen computer en schakelt antivirussoftware en firewalls uit. Vervolgens wordt er code gedownload van het internet, waarna een aantal poorten worden opengezet en de pc als het ware verandert in een spamserver die een groot aantal mails verstuurt om de worm te verspreiden. Symantecs verwijdertool voor Bagle-varianten is geüpdatet en kan op deze pagina worden opgehaald.
08:45
08:22
Door 
![[show]](http://tweakimg.net/g/if/comments/button_down.gif "Reactie uitklappen")
