Des précisions sur Atak ?

Philippe Boulet wrote:

Je n'ai pas tout compris dans:

http://www.zdnet.fr/actualites/technologie/0,39020809,39161107,00.htm

En particulier:

"....dès que l'on tente de décortiquer son code pour tenter de savoir
s'il s'agit ou non d'un virus."

Des précisions ?

Atak emploie des techniques qui rendent son analyse plus difficile. Je
ne connais pas les détails mais je suppose qu'il vérifie si un débogueur
est actif.

A l'époque, sous DOS, lorsqu'on utilisait l'interruption 1 pour tracer
du code, le code pouvait déterminer si tel était le cas et réagir. Une
recherche rapide donne ceci:
http://acksyn.infosecwriters.com/art_tunnel.htm

Sous Windows ça doit être un peu plus compliqué. Si vous vous intéressez
au côté technique de la chose: http://win32assembly.online.fr/tut28.html
Je ne sais pas trop comment fonctionne le débogage sous Windows, mais ça
ne se résume pas à l'utilisation d'un malheureux bit dans les flags.

"Frederic Bonroy" <bidonavirus@yahoo.fr> écriva des trucs bidons sur les
virus...

Philippe Boulet wrote:

"....dès que l'on tente de décortiquer son code pour tenter de savoir
s'il s'agit ou non d'un virus."

Des précisions ?

Atak emploie des techniques qui rendent son analyse plus difficile. Je
ne connais pas les détails

ça se voit.

Atak est un ver comme les autres.
Il se propage par mail, en pièce jointe à double-extension.
Il est donc arrêté par la grande majorité des anti-virus et autres pare-feu.

mais je suppose qu'il vérifie si un débogueur est actif.

N'importe quoi.
Son originalité vient uniquement du fait qu'il se désactive dès qu'il repère
un listeur de process actifs.
Mais si on ouvre à la main la liste des process actifs, on le trouve.
Il suffit de killer hint.exe pour le désactiver.

On peut le déboguer très facilement, puisqu'il est écrit en visual C++ et
packé avec FSG (compression aPLib) comme SDBot par exemple.

Je vois que les chercheurs interplanétaires de securite.virus sont prêts à
gober tout ce qu'ils lisent tant qu'on ne leur a pas prouvé le contraire :
ils sont incapables de tester et réfléchir tout seuls.

------------------------
JFV - testeur de virus
------------------------

"Jeuf" écriva...

Atak est un ver comme les autres.

Les journalistes sont encore pire que les "analystes" de securite.virus,
puisque lorsqu'ils voient dans le code la "Dead string constant"
{ 4tt4(k 4g4!n$t N3tSky, B34gl3, MyD00m, L0vG4t3, N4ch!, Bl4st3r }
ils se croient malins, car ils ont réussi à changer
les 4 en A,
les ( en C,
les ! en I,
les $ en S,
les 3 en E,
les 0 en O etc...,
et ils croient que c'est une commande secrète qui va s'exécuter :
"Attack against NetSky, Beagle, MyDoom, Lovgate, Nachi, Blaster",
alors que ce n'est qu'un clin d'oeil...

Mais comme d'habitude, on va me sortir des articles qui montrent
que je ne sais pas de quoi je parle.

--------------------------
JFV - Je rigole d'avance
--------------------------

"Jeuf" écriva...

Atak est un ver comme les autres.

P.S. pour les anti-IE / OE :
Avec Outlook Express 6 en configuration standard,
il est impossible d'activer ce ver sur son PC.


------------------------------
JFV - Vive Outlook Express
------------------------------

scripsit Jeuf :

Mais comme d'habitude, on va me sortir des articles qui montrent
que je ne sais pas de quoi je parle.

Et ça fait longtemps que vous vous sentez persécuté ?

http://www.manifestation.com/neurotoys/eliza.php3


JFB

--
BOFH excuse #361:
Communist revolutionaries taking over the server room and demanding all the
computers in the building or they shoot the sysadmin. Poor misguided fools.

Salut,

Jeuf:

Atak est un ver comme les autres.

Non.

Il se propage par mail, en pièce jointe à double-extension.

Justement, il ne se propage pas, il est buggé.

Il est donc arrêté par la grande majorité des anti-virus et
autres pare-feu.

Ce n'est pas la fonction d'un firewall d'arrêter les pièces
jointes vérolées dans les mails, mais passons...

mais je suppose qu'il vérifie si un débogueur est actif.

N'importe quoi.

Tu as le code du bestiau sous les yeux? Si oui, je serais ravi
d'en avoir une copie.

Je ne comprends pas pourquoi tu contredis ce point. Il me paraît
évident que le ver dispose d' "anti-debugging tricks". C'est
l'enfance de l'art.

Mais si on ouvre à la main la liste des process actifs, on le
trouve. Il suffit de killer hint.exe pour le désactiver.

Personne n'a dit qu'il était difficile à désactiver, mais à
étudier.

On peut le déboguer très facilement, puisqu'il est écrit en
visual C++ et packé avec FSG (compression aPLib) comme SDBot
par exemple.

SdBot est une famille de ver très nombreuse. Ça n'a donc pas de
sens de dire "comme sdbot par exemple". D'ailleurs les sources
de SdBot n'ont pas été distribuées avec le packer FSG, mais avec
le packer UPX + un scrambler.

Je vois que les chercheurs interplanétaires de securite.virus
sont prêts à gober tout ce qu'ils lisent

Venant de toi?

--
joke0

"Jean-Francois BILLAUD" écriva...

Et ça fait longtemps que vous vous sentez persécuté ?
http://www.manifestation.com/neurotoys/eliza.php3

1 - J'aime ton honnêteté quand tu reprends un morceau de texte.
Ta remarque était nettement moins à propos si tu avais repris :
<copie>
Mais comme d'habitude, on va me sortir des articles qui montrent
que je ne sais pas de quoi je parle.
--------------------------
JFV - Je rigole d'avance
--------------------------
</copie>
2 - J'aime l'objectivité de ta phrase, alors que tu es intervenu
dans un autre fil pour me contredire
(sans succès, c'est le moins qu'on puisse dire)
3 - J'aime ton intervention, qui eût été nettement moins drôle
si tu avais parlé technique (mais apparemment tu n'es pas de taille)
4 - Mais enfin, tu prouves que tu as lu mes 3 précédents posts :
je ne suis pas mécontent de t'avoir appris quelque chose malgré toi.

Et comme je ne suis pas chien,
je t'apprends deux autres choses, dans ma signature :
une maxime que tu devrais appliquer,
et l'auteur de cette maxime.

-------------------------------------------------------
JFV - La connaissance s'accroît quand on la partage
(Sacha Boudjema, L'Ordre du Grand Vol)
------------------------------------------------------

"joke0" est le premier à me contredire...

Jeuf:

Il est donc arrêté par la grande majorité des anti-virus et
autres pare-feu.

Ce n'est pas la fonction d'un firewall d'arrêter les pièces
jointes vérolées dans les mails, mais passons...

C'est ce que j'appelle de la désinformation.
La plupart des firewalls sont actifs sur l'Application Layer
(HTTP, SMTP, FTP).
Et lorsqu'ils ne protègent pas les e-mails, ce n'est que pour une
raison commerciale (car alors l'anti-virus de la même marque le fait).

Je ne comprends pas pourquoi tu contredis ce point. Il me paraît
évident que le ver dispose d' "anti-debugging tricks". C'est
l'enfance de l'art.

Un anti-debugging n'a jamais inquiété un anti-virus.
C'est pourtant cet argument qui est repris pour expliquer
la "nouvelle race" de virus qu'est Attak.
Et c'est la réponse que donne Bonroy, en mettant un "je suppose",
comme d'habitude.
Il n'a rien compris à l'article dont on parle,
ou alors il ne connaît rien aux virus et anti-virus.
(ou les deux ?)

Mais si on ouvre à la main la liste des process actifs, on le
trouve. Il suffit de killer hint.exe pour le désactiver.

Personne n'a dit qu'il était difficile à désactiver, mais à
étudier.

Non. Il est dit qu'il est difficile à analyser par les anti-virus.
Il aurait fallu que tu lises les articles évoquant Attak, auparavant.
Ce qui est complètement faux :
Il suffit que le moteur anti-virus ait fait une recherche dans
les processus actifs pour qu'il se désactive tout seul.
Ensuite, rien de plus simple de rechercher hint.exe puis de l'effacer.
Aucun intérêt pour l'anti-virus de l'analyser.

On peut le déboguer très facilement, puisqu'il est écrit en
visual C++ et packé avec FSG (compression aPLib) comme SDBot
par exemple.

SdBot est une famille de ver très nombreuse. Ça n'a donc pas de
sens de dire "comme sdbot par exemple".

Ils sont certainement tous packés avec FSG.
Je n'en ai trouvé aucun qui ne le soit pas.
Et toi ? Lesquels as-tu trouvés, non packés avec FSG ?

D'ailleurs les sources
de SdBot n'ont pas été distribuées avec le packer FSG, mais avec
le packer UPX + un scrambler.

Si tu veux, je peux même t'envoyer les sources packées avec SFX :-)))
Je te parle du virus, pas des sources.

Au fait, tu parles des sources de quel SDBot ?
SdBot est une famille de ver très nombreuse. Ça n'a donc pas de
sens de dire "les sources de sdbot"

Je vois que les chercheurs interplanétaires de securite.virus
sont prêts à gober tout ce qu'ils lisent

Venant de toi?

Montre-moi que les journalistes français ont raison sur Attak.
Et au passage, montre-moi en quoi l'explication de Bonroy répond
à la question posée "de façon claire et précise".
(c'est lui que tu aurais dû contredire, dans ce thread. Pas moi).

---------------------------------------------------------------------
JFV - Joke est toujours aussi drôle lorsqu'il tente de me contredire
---------------------------------------------------------------------

Jeuf wrote:

"Jean-Francois BILLAUD" écriva...

Et ça fait longtemps que vous vous sentez persécuté ?
http://www.manifestation.com/neurotoys/eliza.php3

1 - J'aime ton honnêteté quand tu reprends un morceau de texte.
Ta remarque était nettement moins à propos si tu avais repris :
<copie>
Mais comme d'habitude, on va me sortir des articles qui montrent
que je ne sais pas de quoi je parle.
--------------------------
JFV - Je rigole d'avance
--------------------------
</copie>
2 - J'aime l'objectivité de ta phrase, alors que tu es intervenu
dans un autre fil pour me contredire
(sans succès, c'est le moins qu'on puisse dire)
3 - J'aime ton intervention, qui eût été nettement moins drôle
si tu avais parlé technique (mais apparemment tu n'es pas de taille)
4 - Mais enfin, tu prouves que tu as lu mes 3 précédents posts :
je ne suis pas mécontent de t'avoir appris quelque chose malgré toi.

Et comme je ne suis pas chien,
je t'apprends deux autres choses, dans ma signature :
une maxime que tu devrais appliquer,
et l'auteur de cette maxime.

-------------------------------------------------------
JFV - La connaissance s'accroît quand on la partage
(Sacha Boudjema, L'Ordre du Grand Vol)
------------------------------------------------------



ta maxime est très bien mais elle ne te correspond pas : à la manière

que tu as de répondre aux fils, il ne faut pas t'attendre à un accueil
chaleureux sur fcsv. Partage tes connaissances mais pas tes remarques
débiles du genre "Mais comme d'habitude, on va me sortir des articles
qui montrent que je ne sais pas de quoi je parle."!

Je ne te contredirais pas sur tes réponses techniques, n'ayant pas les
connaissances pour le faire : comme tu l'as écrit plus haut pour
quelqu'un d'autre /*je ne suis pas de taille*/. Quel respect pour ceux
qui ne font que consulter fcsv justement pour en apprendre un peut + sur
les virus !.
lol, c'est la géguèrre à celui qui aura le dernier mot !
Ta première réponse dans ce fil est intéressante mais le dernier
paragraphe est tout simplement minable: je pense que celui qui a posé la
question sur atak (et bcp d'autres) en a strictement rien à faire de tes
petits différents avec ceux que tu nommes /*les chercheurs
interplanétaires*/

Jeuf wrote:

Atak est un ver comme les autres.

Faudrait savoir.

Il se propage par mail, en pièce jointe à double-extension.

Euh, vous en avez reçu beaucoup ?

Il est donc arrêté par la grande majorité des anti-virus et autres pare-feu.

Au moins.

Son originalité vient uniquement du fait qu'il se désactive dès qu'il repère
un listeur de process actifs.
Mais si on ouvre à la main la liste des process actifs, on le trouve.
Il suffit de killer hint.exe pour le désactiver.

Lisez trop la presse.

Je vois que les chercheurs interplanétaires de securite.virus sont prêts à
gober tout ce qu'ils lisent

Visiblement.

JFV - testeur de virus

Et propagateur de légendes urbaines.

Roland Garcia