"
Atak, le virus qui fond dans la main des chercheurs
Par Munir Kotadia, ZDNet UK
Une nouveau ver, apparu en début de semaine, mène la vie dure aux
éditeurs de logiciels antivirus. Impossible de l'étudier comme les
autres parasites de son espèce car dès que son code est ouvert pour
consultation, il se désactive.
"
http://www.zdnet.fr/actualites/technologie/0,39020809,39161107,00.htm
Je trouve cela plus intéressant que le prétendu virus des réseaux téléphoniques.
-- Olivier Aichelbaum
Pierre Vandevenne
Olivier Aichelbaum wrote in news:40f4413b$0 $31908$:
Roland Garcia wrote:
Bien sûr, les choses s(er)ont plus faciles une fois la bête isolée !
Rien de plus facile, il suffit de récupérer un seul PC infecté.
Bref, vous, vous nous dites "yaka".
Et il a parfaitement raison.
Et Mikko dit "ce virus va au-delà de ce que nous avons vu jusqu'alors" (rien d'impossible mais ils ont du "s'amuser" un peu plus que d'hab).
C'est un virus qui utilise des trucs d'anti-debugging. Rien de plus. C'est assez rare de nos jours, mais était très fréquent du temps des virus écrit en assembleur sous DOS.
http://www.google.be/search?hl=fr&ie=UTF-8&q=anti- debugging+tricks+virus&meta Voici par exemple un lien d'époque
De façon générale, les trucs d'anti-debugging pur sont gérés pas désassemblage statique. Les techniques anti-désassemblage telles que chiffrement, obfuscation, etc... sont elles gérées par ... deboguage. C'est ainsi que l'on peut parfois passer sans cesse de l'une à l'autre. A noter que si le déboguage peut faire gagner du temps, aucun virus ne sera jamais totalement résistant au désassemblage simplement parce que le virus n'aura aucun contrôle sur ce qui se passe.
Un fichier inerte pourra toujours être analysé sans être exécuté même si cette analyse peut être complexe et longue.
-- Pierre Vandevenne, www.datarescue.com Home of the IDA Pro Disassembler: world leader in hostile code analysis...
Olivier Aichelbaum <acbm@ARETIRER.acbm.com> wrote in news:40f4413b$0
$31908$636a15ce@news.free.fr:
Roland Garcia wrote:
Bien sûr, les choses s(er)ont plus faciles une fois la bête isolée !
Rien de plus facile, il suffit de récupérer un seul PC infecté.
Bref, vous, vous nous dites "yaka".
Et il a parfaitement raison.
Et Mikko dit "ce virus va au-delà de ce que nous avons vu jusqu'alors"
(rien d'impossible mais ils ont du "s'amuser" un peu plus que d'hab).
C'est un virus qui utilise des trucs d'anti-debugging. Rien de plus.
C'est assez rare de nos jours, mais était très fréquent du temps des
virus écrit en assembleur sous DOS.
http://www.google.be/search?hl=fr&ie=UTF-8&q=anti-
debugging+tricks+virus&meta
Voici par exemple un lien d'époque
De façon générale, les trucs d'anti-debugging pur sont gérés pas
désassemblage statique. Les techniques anti-désassemblage telles que
chiffrement, obfuscation, etc... sont elles gérées par ... deboguage.
C'est ainsi que l'on peut parfois passer sans cesse de l'une à l'autre.
A noter que si le déboguage peut faire gagner du temps, aucun virus ne
sera jamais totalement résistant au désassemblage simplement parce que
le virus n'aura aucun contrôle sur ce qui se passe.
Un fichier inerte pourra toujours être analysé sans être exécuté même si
cette analyse peut être complexe et longue.
--
Pierre Vandevenne, www.datarescue.com
Home of the IDA Pro Disassembler: world leader in hostile code
analysis...
Olivier Aichelbaum wrote in news:40f4413b$0 $31908$:
Roland Garcia wrote:
Bien sûr, les choses s(er)ont plus faciles une fois la bête isolée !
Rien de plus facile, il suffit de récupérer un seul PC infecté.
Bref, vous, vous nous dites "yaka".
Et il a parfaitement raison.
Et Mikko dit "ce virus va au-delà de ce que nous avons vu jusqu'alors" (rien d'impossible mais ils ont du "s'amuser" un peu plus que d'hab).
C'est un virus qui utilise des trucs d'anti-debugging. Rien de plus. C'est assez rare de nos jours, mais était très fréquent du temps des virus écrit en assembleur sous DOS.
http://www.google.be/search?hl=fr&ie=UTF-8&q=anti- debugging+tricks+virus&meta Voici par exemple un lien d'époque
De façon générale, les trucs d'anti-debugging pur sont gérés pas désassemblage statique. Les techniques anti-désassemblage telles que chiffrement, obfuscation, etc... sont elles gérées par ... deboguage. C'est ainsi que l'on peut parfois passer sans cesse de l'une à l'autre. A noter que si le déboguage peut faire gagner du temps, aucun virus ne sera jamais totalement résistant au désassemblage simplement parce que le virus n'aura aucun contrôle sur ce qui se passe.
Un fichier inerte pourra toujours être analysé sans être exécuté même si cette analyse peut être complexe et longue.
-- Pierre Vandevenne, www.datarescue.com Home of the IDA Pro Disassembler: world leader in hostile code analysis...
Olivier Aichelbaum
Pierre Vandevenne wrote:
Bref, vous, vous nous dites "yaka".
Et il a parfaitement raison.
Venant de vous, une personne qui vend IDA, une telle remarque est normale. Mais ce n'est pas à la portée de n'importe qui.
(pause détente, http://www.koreus.com/modules/news/article2302.html je conseille la 5)
Et Mikko dit "ce virus va au-delà de ce que nous avons vu jusqu'alors" (rien d'impossible mais ils ont du "s'amuser" un peu plus que d'hab).
C'est un virus qui utilise des trucs d'anti-debugging. Rien de plus.
M. Hyppönen dit "au-delà de ce que nous avons vu jusqu'alors". Mais bon, je ne sais pas qui de lui ou vous a le plus d'expérience en analyse de virus ;)
-- Olivier Aichelbaum
Pierre Vandevenne wrote:
Bref, vous, vous nous dites "yaka".
Et il a parfaitement raison.
Venant de vous, une personne qui vend IDA, une telle remarque est
normale. Mais ce n'est pas à la portée de n'importe qui.
(pause détente,
http://www.koreus.com/modules/news/article2302.html
je conseille la 5)
Et Mikko dit "ce virus va au-delà de ce que nous avons vu jusqu'alors"
(rien d'impossible mais ils ont du "s'amuser" un peu plus que d'hab).
C'est un virus qui utilise des trucs d'anti-debugging. Rien de plus.
M. Hyppönen dit "au-delà de ce que nous avons vu jusqu'alors".
Mais bon, je ne sais pas qui de lui ou vous a le plus d'expérience
en analyse de virus ;)
Venant de vous, une personne qui vend IDA, une telle remarque est normale. Mais ce n'est pas à la portée de n'importe qui.
(pause détente, http://www.koreus.com/modules/news/article2302.html je conseille la 5)
Et Mikko dit "ce virus va au-delà de ce que nous avons vu jusqu'alors" (rien d'impossible mais ils ont du "s'amuser" un peu plus que d'hab).
C'est un virus qui utilise des trucs d'anti-debugging. Rien de plus.
M. Hyppönen dit "au-delà de ce que nous avons vu jusqu'alors". Mais bon, je ne sais pas qui de lui ou vous a le plus d'expérience en analyse de virus ;)
-- Olivier Aichelbaum
Roland Garcia
Ewa (siostra Ani) N. wrote:
Vous avez un nom à me proposer ?
"Voici Paris" ?
"Tierce Mag'" ?
Pas de raison de traiter du pique nique du prix de Diane sans traiter de la course.
Roland Garcia
Ewa (siostra Ani) N. wrote:
Vous avez un nom à me proposer ?
"Voici Paris" ?
"Tierce Mag'" ?
Pas de raison de traiter du pique nique du prix de Diane sans traiter de
la course.
Pas de raison de traiter du pique nique du prix de Diane sans traiter de la course.
Roland Garcia
Pierre Vandevenne
Olivier Aichelbaum wrote in news:40f474cd$0$31920 $:
M. Hyppönen dit "au-delà de ce que nous avons vu jusqu'alors". Mais bon, je ne sais pas qui de lui ou vous a le plus d'expérience en analyse de virus ;)
Je pense que ni Mikko ni mois n'analysons fréquemment des virus de nos jours: il y a une équipe jeune et dynamique chez F-Secure. Ero Carrera par exemple: http://www.f-secure.com/2003/sobig_f_2.pdf, Gergely Erdelyi ou Alexei Podrezov... que nous avons eu le plaisir d'avoir chez nous(*)
A remarquer que sur le weblog de F-Secure, la description de ce virus est devenue assez banale - "beaucoup de trucs d'anti-debugging".
(*) et avant qu'on n'y voie la preuve de mon "appartenance" à un certain milieu, que l'on sache que mon rôle s'est limité à offrir les bières et les repas et à sourire bêtement lors de ces visites.
Olivier Aichelbaum <acbm@ARETIRER.acbm.com> wrote in news:40f474cd$0$31920
$636a15ce@news.free.fr:
M. Hyppönen dit "au-delà de ce que nous avons vu jusqu'alors".
Mais bon, je ne sais pas qui de lui ou vous a le plus d'expérience
en analyse de virus ;)
Je pense que ni Mikko ni mois n'analysons fréquemment des virus de nos
jours: il y a une équipe jeune et dynamique chez F-Secure. Ero Carrera par
exemple: http://www.f-secure.com/2003/sobig_f_2.pdf, Gergely Erdelyi ou
Alexei Podrezov... que nous avons eu le plaisir d'avoir chez nous(*)
A remarquer que sur le weblog de F-Secure, la description de ce virus est
devenue assez banale - "beaucoup de trucs d'anti-debugging".
(*) et avant qu'on n'y voie la preuve de mon "appartenance" à un certain
milieu, que l'on sache que mon rôle s'est limité à offrir les bières et les
repas et à sourire bêtement lors de ces visites.
Olivier Aichelbaum wrote in news:40f474cd$0$31920 $:
M. Hyppönen dit "au-delà de ce que nous avons vu jusqu'alors". Mais bon, je ne sais pas qui de lui ou vous a le plus d'expérience en analyse de virus ;)
Je pense que ni Mikko ni mois n'analysons fréquemment des virus de nos jours: il y a une équipe jeune et dynamique chez F-Secure. Ero Carrera par exemple: http://www.f-secure.com/2003/sobig_f_2.pdf, Gergely Erdelyi ou Alexei Podrezov... que nous avons eu le plaisir d'avoir chez nous(*)
A remarquer que sur le weblog de F-Secure, la description de ce virus est devenue assez banale - "beaucoup de trucs d'anti-debugging".
(*) et avant qu'on n'y voie la preuve de mon "appartenance" à un certain milieu, que l'on sache que mon rôle s'est limité à offrir les bières et les repas et à sourire bêtement lors de ces visites.
djehuti
"Olivier Aichelbaum" a écrit dans le message news: 40f474cd$0$31920$
Venant de vous, une personne qui vend IDA, une telle remarque est normale.
ah... et pourquoi ça ?
Mais ce n'est pas à la portée de n'importe qui.
peut être pour ça qu'il ne le vend pas à n'importe qui :-D
C'est un virus qui utilise des trucs d'anti-debugging. Rien de plus.
M. Hyppönen dit "au-delà de ce que nous avons vu jusqu'alors". Mais bon, je ne sais pas qui de lui ou vous a le plus d'expérience en analyse de virus ;)
tu peux redonner le lien vers le texte original, S.T.P. ?
ps: moi je dirais, M. Vandevenne (parce qu'en plus de l'expérience, il a peut être une meilleur connaissance de IDA... mais il est vrai que je n'y connais rien, n'étant pas de "la partie")
@tchao
"Olivier Aichelbaum" <acbm@ARETIRER.acbm.com> a écrit dans le message
news: 40f474cd$0$31920$636a15ce@news.free.fr
Venant de vous, une personne qui vend IDA, une telle remarque est
normale.
ah... et pourquoi ça ?
Mais ce n'est pas à la portée de n'importe qui.
peut être pour ça qu'il ne le vend pas à n'importe qui :-D
C'est un virus qui utilise des trucs d'anti-debugging. Rien de plus.
M. Hyppönen dit "au-delà de ce que nous avons vu jusqu'alors".
Mais bon, je ne sais pas qui de lui ou vous a le plus d'expérience
en analyse de virus ;)
tu peux redonner le lien vers le texte original, S.T.P. ?
ps: moi je dirais, M. Vandevenne (parce qu'en plus de l'expérience, il a
peut être une meilleur connaissance de IDA... mais il est vrai que je n'y
connais rien, n'étant pas de "la partie")
"Olivier Aichelbaum" a écrit dans le message news: 40f474cd$0$31920$
Venant de vous, une personne qui vend IDA, une telle remarque est normale.
ah... et pourquoi ça ?
Mais ce n'est pas à la portée de n'importe qui.
peut être pour ça qu'il ne le vend pas à n'importe qui :-D
C'est un virus qui utilise des trucs d'anti-debugging. Rien de plus.
M. Hyppönen dit "au-delà de ce que nous avons vu jusqu'alors". Mais bon, je ne sais pas qui de lui ou vous a le plus d'expérience en analyse de virus ;)
tu peux redonner le lien vers le texte original, S.T.P. ?
ps: moi je dirais, M. Vandevenne (parce qu'en plus de l'expérience, il a peut être une meilleur connaissance de IDA... mais il est vrai que je n'y connais rien, n'étant pas de "la partie")
@tchao
Pierre Vandevenne
"djehuti" wrote in news:40f47b21$0$16444 $:
ps: moi je dirais, M. Vandevenne (parce qu'en plus de l'expérience, il a
peut être une meilleur connaissance de IDA... mais il est vrai que je n'y
connais rien, n'étant pas de "la partie")
Ni l'un ni l'autre je pense. Nous avons analysé beaucoup de virus dans les années 90, mais aujourd'hui nous travaillons "à un autre niveau" comme on dit pudiquement pour cacher une certaine incompétence.
De nos jours, Mikko est forcémment hyper bien informé au niveau virus et lis/valide tout ce que le labo qu'il a développé produit, dans une optique de communication d'entreprise de qualité. De mon côté, je me tiens forcémment au courant de l'évolution générale du code hostile et des techniques qui pourraient y être utilisées, dans une optique d'évolution éventuelle d'IDA.
Olivier à la manie de vouloir créer des oppositions, ou de comparer les gens dans des domaines qu'à l'évidence il ne maitrise pas complètement d'un point de vue technique.
Moi, si cela ne me gène pas de dire que tous les analystes A_V juniors de n'importe quelle société sont plus compétent que moi dans l'analyse de virus, il n'en reste pas moins que nous touchons ici un point fondamental (anti-debugging, obfuscation, etc...) de l'analyse de code hostile, point qui est aussi vieux que l'analyse de code hostile elle- même et qui est connu depuis des lustres pour susciter l'intérêt des médias, surtout en période estivale.
Chaque société anti-virus cherche à être citée quand elle publie des informations. Elle en lache un max dans la nature et, si c'est ramassé par la presse, c'est tant mieux. Entre le troyen invisible/indétectable et horriblement dangereux (à la base la notion de stealth, existant depuis 1981), le virus qui infecte les téléphones portables (le POC qui n'ira nulle part dans sa forme actuelle mais attire par son actualité - voir Whale circa 1993, le Palm Trojan circa 2000) et le virus qui se dérobe aux yeux des analystes, ce n'est qu'une question de degré...
"djehuti" <djehuti55@aol.com> wrote in news:40f47b21$0$16444
$626a14ce@news.free.fr:
ps: moi je dirais, M. Vandevenne (parce qu'en plus de l'expérience, il
a
peut être une meilleur connaissance de IDA... mais il est vrai que je
n'y
connais rien, n'étant pas de "la partie")
Ni l'un ni l'autre je pense. Nous avons analysé beaucoup de virus dans
les années 90, mais aujourd'hui nous travaillons "à un autre niveau"
comme on dit pudiquement pour cacher une certaine incompétence.
De nos jours, Mikko est forcémment hyper bien informé au niveau virus et
lis/valide tout ce que le labo qu'il a développé produit, dans une
optique de communication d'entreprise de qualité. De mon côté, je me
tiens forcémment au courant de l'évolution générale du code hostile et
des techniques qui pourraient y être utilisées, dans une optique
d'évolution éventuelle d'IDA.
Olivier à la manie de vouloir créer des oppositions, ou de comparer les
gens dans des domaines qu'à l'évidence il ne maitrise pas complètement
d'un point de vue technique.
Moi, si cela ne me gène pas de dire que tous les analystes A_V juniors
de n'importe quelle société sont plus compétent que moi dans l'analyse
de virus, il n'en reste pas moins que nous touchons ici un point
fondamental (anti-debugging, obfuscation, etc...) de l'analyse de code
hostile, point qui est aussi vieux que l'analyse de code hostile elle-
même et qui est connu depuis des lustres pour susciter l'intérêt des
médias, surtout en période estivale.
Chaque société anti-virus cherche à être citée quand elle publie des
informations. Elle en lache un max dans la nature et, si c'est ramassé
par la presse, c'est tant mieux. Entre le troyen invisible/indétectable
et horriblement dangereux (à la base la notion de stealth, existant
depuis 1981), le virus qui infecte les téléphones portables (le POC qui
n'ira nulle part dans sa forme actuelle mais attire par son actualité -
voir Whale circa 1993, le Palm Trojan circa 2000) et le virus qui se
dérobe aux yeux des analystes, ce n'est qu'une question de degré...
ps: moi je dirais, M. Vandevenne (parce qu'en plus de l'expérience, il a
peut être une meilleur connaissance de IDA... mais il est vrai que je n'y
connais rien, n'étant pas de "la partie")
Ni l'un ni l'autre je pense. Nous avons analysé beaucoup de virus dans les années 90, mais aujourd'hui nous travaillons "à un autre niveau" comme on dit pudiquement pour cacher une certaine incompétence.
De nos jours, Mikko est forcémment hyper bien informé au niveau virus et lis/valide tout ce que le labo qu'il a développé produit, dans une optique de communication d'entreprise de qualité. De mon côté, je me tiens forcémment au courant de l'évolution générale du code hostile et des techniques qui pourraient y être utilisées, dans une optique d'évolution éventuelle d'IDA.
Olivier à la manie de vouloir créer des oppositions, ou de comparer les gens dans des domaines qu'à l'évidence il ne maitrise pas complètement d'un point de vue technique.
Moi, si cela ne me gène pas de dire que tous les analystes A_V juniors de n'importe quelle société sont plus compétent que moi dans l'analyse de virus, il n'en reste pas moins que nous touchons ici un point fondamental (anti-debugging, obfuscation, etc...) de l'analyse de code hostile, point qui est aussi vieux que l'analyse de code hostile elle- même et qui est connu depuis des lustres pour susciter l'intérêt des médias, surtout en période estivale.
Chaque société anti-virus cherche à être citée quand elle publie des informations. Elle en lache un max dans la nature et, si c'est ramassé par la presse, c'est tant mieux. Entre le troyen invisible/indétectable et horriblement dangereux (à la base la notion de stealth, existant depuis 1981), le virus qui infecte les téléphones portables (le POC qui n'ira nulle part dans sa forme actuelle mais attire par son actualité - voir Whale circa 1993, le Palm Trojan circa 2000) et le virus qui se dérobe aux yeux des analystes, ce n'est qu'une question de degré...
