le lapin energizer ressemble plus à un RAT

Jahne vous aide à vous nettoyer l'ordinateur. Protégez-vous du virus, trojans et de spyware. Spyware blockers, Protection Virulente Anti-

À la maison »les renseignements et l'Enlèvement

Le 8 mars 2010

Aucun Commentaire

c'est le RAT comme dans l'accès lointain troyen, pour le non initié.

à ce moment-là je suis sûr que la plupart des gens de sécurité en ont entendu, mais si vous n'avez pas encore, voici les Etats-Unis-CERT consultatifs, l'entrée de blog de symantec par liam murchu, un poste de blog sophos par graham cluley, un poste de blog au cybercrime & l'exécution d'une peine par gary warner, un poste de blog sunbelt par tom kelchner, un poste de blog de sécurité de jour zéro par ryan naraine et c'est juste le bout de l'iceberg.

maintenant la raison que j'écris de cette histoire que tant d'autres personnes ont écrit de quand j'évite normalement a surdit que les événements de nouvelles sont parce que j'y ai un enjeu personnel - j'ai en fait l'appareil d'offense. plus mauvais encore, j'avais le logiciel en question installé sur un de mes ordinateurs comme marchent tard de l'année dernière. aïe! grâce à un pépiement par mikko hypponen j'ai appris de ce premier samedi matin (remercie mikko, c'est juste la façon que j'ai voulue partir mon week-end) et a continué à injurier en haut une tempête parce que c'est la première fois dans mes 20 les années d'informatique de cela j'ai été légitimement été le coup avec malware - mon record parfait est fini.

oh bien, assez de cela. il y a 2 choses de cela que je pense méritent l'examen plus proche. le premier est que la question de si le malware a expédié avec l'appareil de matériel que lui-même si beaucoup ont exposé, ou si le blog symantec est juste et le logiciel était disponible seulement comme un téléchargement du site Internet energizer. je ne peux pas dire de façon concluante d'une manière ou de l'autre mais je peux offrir une évidence que le logiciel était disponible seulement jamais du site Internet energizer.

l'appareil n'a aucune capacité de mémoire. aucun tour n'apparaît dans l'explorateur de fenêtres quand vous branchez l'appareil.

quand vous le branchez à un ordinateur il demande d'installer des conducteurs, mais peut constater qu'aucun conducteur n'installe.

le paquet que j'ai reçu n'a pas contenu de médias séparés et quand j'ai cherché l'appareil sur ebay, aucun des paquets n'a semblé là à non plus.

le drap d'instruction (oui, je l'ai encore aussi) vous informe du fait que vous pouvez voir le statut chargeant sur votre ordinateur avec le logiciel gratuit du site Internet energizer

le logiciel est entièrement optionnel. l'appareil travaille sans cela (bien que le logiciel offre vraiment l'utilité améliorée sur l'indicateur LED). l'appareil expédie même avec un courant alternatif-> le convertisseur d'USB (qui est ce qui a attiré en fait mon attention en premier lieu) pour que vous puissiez brancher l'appareil au mur et éviter l'ordinateur (et ainsi n'importe quel logiciel de surveillance) entièrement.

pas seulement le drap d'instruction vous donne l'ordre de recevoir le logiciel du site Internet energizer, mais quand vous branchez l'appareil, l'identificateur d'appareil affiché tant par la nouvelle bulle de notification de matériel que par le sorcier d'installation de conducteur inclut non seulement le nom du produit, mais aussi l'URL pour télécharger le logiciel d'energizer.

peut-être il y avait l'emballage alternant qui a inclus le logiciel compromis, mais quand même le matériel vous dit de télécharger le logiciel du web alors que cela à peine semble nécessaire pour là pour jamais avoir été le logiciel emballé avec cela.

la deuxième chose que je crois mérite l'examen est la question de ce qui a tourné mal. comme j'ai dit, j'ai été frappé avec cela, mais pourrait-on l'avoir évité raisonnablement ? c'est une question que je suis retourné dans la tête depuis samedi. passons par les échecs différents et voyons si j'ai agi peu raisonnablement wrecklessly :

les produits antivirulents ne l'ont pas découvert en arrière alors. je lis tout rapidement et le logiciel s'est levé 'propre'. av a manqué de me sauver ici.

l'application whitelisting m'a raté aussi. il a demandé si j'ai voulu permettre au logiciel de courir mais c'est le logiciel que j'ai installé intentionnellement - pourquoi je n'y permettrais pas de courir ?

évidemment il y a des raisons de rejeter le logiciel que vous avez installé juste - j'ai fait ma diligence due et googled le dossier et tout m'a dit qu'il a été associé au chargeur et rien n'a dit qu'il y avait n'importe quoi de fâcheux de cela. en tant que tel l'intelligence de communauté, le système de réputation naissant d'Internet m'a laissé tomber aussi.

le mur pare-feu de logiciel est un cas intéressant - dans la théorie je pourrais avoir fait la connexion et avoir demandé pourquoi le logiciel de chargeur de batteries a besoin d'ouvrir un port et guetter des connexions. d'autre part, j'ai vraiment exploré le dossier et ai constaté que rien n'a indiqué qu'il n'a fait partie pas légitimement du logiciel et donc aucune raison de ne pas espérer que quoi qu'il essaie de faire était quelque chose qu'il était censé faire. peut-être je pourrais avoir été plus méfiant, peut-être j'étais même - le système compromis était clunker de 10 ans qui n'est pas particulier affectueux pour saisir au meilleur de temps qui, quand combiné avec la surcharge popup occasionnelle du petit groupe firewall/whitelist, a eu pour résultat au moins un cas de mon cliquetis le bouton accepter sans voir ce que j'acceptais.

pourrais-je m'être sauvé un peu de mal de tête (et avoir sauvé un peu de visage) en utilisant sandboxing ? étant donné les détails du système il n'y a aucune façon que j'y utiliserais une pleine machine virtuelle et en plus de cela aurait été la capacité de surextermination pour cette application. il aurait interféré aussi du comportement assez désirable d'automatiquement lancer le moniteur UI (l'application virtualization n'aurait pas été beaucoup mieux dans cet égard). cela a l'air d'une chose étrange pour moi à dire, mais l'ordinateur est vieux si que le lancement de n'importe quoi sur lui est douloureusement lent donc le comportement automatisé était bienvenu à cette époque je suppose le fait que je n'avais jamais aucune intention de l'accrocher jusqu'à mon ordinateur principal (qui a en fait le pouvoir le parcourant bien plus souvent) signifie qu'à un niveau j'utilisais en fait un tas de sable de sortes - une machine de tas de sable physique si vous allez - mais vraiment, je me suis fié au logiciel et n'avais aucune raison de croire que j'avais besoin de le diriger dans un tas de sable.

la confiance semble être le thème se reproduisant ici. je me suis fié au logiciel. peut-être je ne devrais pas m'y être fié, mais vous ne pouvez pas devenir très loin dans l'informatique sans vous fier à au moins un logiciel et il n'y avait pas de raison fascinante de ne pas se fier à ce logiciel.

une chose à le diminuer (ou au moins quelque chose que je le diminue) consiste en ce qu'un certain nombre de mes comportements de sécurité aident seulement à me protéger contre l'inconnu. si je me fie à quelque chose, même si je me trompe, il n'y a pas beaucoup mes défenses peut faire pour m'aider. je penserai certainement aux façons de surmonter cette faiblesse dans l'avenir.

évidemment, comme j'étais derrière une détoureuse NAT-permise et n'envoyais pas de port 7777 à la machine compromise, certaines de mes défenses ont vraiment travaillé - mais j'avais de la chance. si cela avait été un autre, le type plus agressif de choses malware ne pourrait pas s'être terminé si bien pour moi. ou, d'autre part, n'importe quoi plus que le fait de guetter passif des commandes pourraient m'avoir averti en fait à la présence de quelque chose de méchant.

nous pouvons jouer "et si" jusqu'à ce que nous soyons bleus dans le visage - j'ai identifié tant le fait que mes défenses ont la pièce pour l'amélioration que la nature que l'amélioration doit prendre. j'ai été aussi rappelé que ce qu'ils disent vraiment est vrai - cela arrive à chacun finalement. il a fallu plus de 20 ans pour moi qui suis plus long que le plus et j'ai été un peu suffisant de cela, mais à la fin il y a toujours une faiblesse, une voie dans et si cela n'avait pas été pour ma surveillance d'événements liés de la sécurité je serais probablement encore compromis immédiatement. à la fin la chose qui m'a aidé le plus était mon intérêt pour la sécurité lui-même.