http://www.guillermito.net/viguard/VGNaked.zip
Utilisations possibles: s'apercevoir que Viguard ne garde aucune
information sur les executables NE, les drivers, et autres, qu'il est
donc incapable de reconstruire. Verifier que Viguard re-certifie des
programmes modifiés ou infectés sans prévenir l'utilisateur. Vérifier
que les algorithmes utilisés sont lamentables (ce sont les rois du
XOR), etc...
Le zip contient aussi une demonstration de fausse alarme.
Le tout avec sources.
--
Guillermito
Là je dois dire je suis épaté!
Roland Garcia
C'est donc lui (le Concombre Masqué) que doit interviewer Olivier
Aichelbaum?
Roland Garcia
> Un petit utilitaire pour decrypter et analyser les fichiers de
> certification de ViGuard:
>
> http://www.guillermito.net/viguard/VGNaked.zip
>
> Utilisations possibles: s'apercevoir que Viguard ne garde aucune
> information sur les executables NE, les drivers, et autres, qu'il est
> donc incapable de reconstruire.
Je l'ai expliqué cinquante fois à Godet-Aichelbaum, log d'infection à
l'appui!!!!!
> Verifier que Viguard re-certifie des
> programmes modifiés ou infectés sans prévenir l'utilisateur.
Je reprends donc une fois de plus des extraits du log de l'infection par
MTX que j'avais expérimentée pour Secusys il y a presque un an:
Juste avant que le contrôleur d'intégrité de Viguard ne désinfecte je
constate que:
Changed files: 69
New files: 3
New value -
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run -
SystemBackup
Changed files:
C:\WINDOWS\SYSTEM\WSOCK32.DLL - size 44878 (19-07-2000 00:31:32)
Change Size - 3918 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
** Size has changed
C:\WINDOWS\HWINFO.EXE - size 124028 (05-05-1999 22:22:00)
Change Size - 9340 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
** Size has changed
C:\WINDOWS\MPLAYER.EXE - size 169074 (05-05-1999 22:22:00)
Change Size - 9330 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
C:\WINDOWS\CLSPACK.EXE - size 66660 (05-05-1999 22:22:00)
Change Size - 9316 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
New files:
C:\WINDOWS\IE_PACK.EXE - size 18483 (28-10-2000 19:30:18)
C:\WINDOWS\WIN32.DLL - size 18483 (28-10-2000 19:30:18)
C:\WINDOWS\MTX_.EXE - size 6144 (28-10-2000 19:30:18)
J'ai volontairement raccourci le log.
Il y a donc 68 fichiers augmentés de 9.3 Ko représentant le code du
virus.
Wsock32.dll est bien infecté (c'est la routine utilisée par le ver)
On trouve trois nouveaux fichiers: IE_PACK.EXE (le ver), WIN32.DLL
et MTX_.EXE (La backdoor).
Je passe ensuite à la phase désinfection par Viguard et je vois:
Changed files: 69
New files: 3
Changed files:
C:\WINDOWS\SYSTEM\WSOCK32.DLL - size 44878 (19-07-2000 00:31:32)
Change Size - 3918 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
** Size has changed
C:\WINDOWS\HWINFO.EXE - size 114688 (28-10-2000 19:45:40)
Change Size - 0 bytes
** CRC has changed
** Time and Date were changed
C:\WINDOWS\MPLAYER.EXE - size 159744 (28-10-2000 19:45:48)
Change Size - 0 bytes
** CRC has changed
** Time and Date were changed
C:\WINDOWS\CLSPACK.EXE - size 66660 (28-10-2000 19:45:48)
Change Size - 9316 bytes
** CRC has changed
** Size has changed
** Time and Date were changed
New files:
C:\WINDOWS\IE_PACK.EXE - size 18483 (28-10-2000 19:30:18)
C:\WINDOWS\WIN32.DLL - size 18483 (28-10-2000 19:30:18)
C:\WINDOWS\MTX_.EXE - size 6144 (28-10-2000 19:30:18)
Je constate donc que la "désinfection" n'a rien changé pour ce qui
concerne le ver et la backdoor.
Pour ce qui est des virus, un certain nombre n'ont même pas été
DESINFECTES ET RE-CERTIFIES!!
Les utilisateurs que j'ai retrouvés infectés sur le terrain croyaient ne
pas l'être et se demandaient pourquoi leur messagerie envoyait des
messages.
Enfin les fichiers "désinfectés" l'ont été incorrectement faute de
signature.
Roland Garcia
> Vérifier
> que les algorithmes utilisés sont lamentables (ce sont les rois du
> XOR), etc...
Comparons avec un vrai contrôleur d'intégrité:
C:\WINDOWS\HWINFO.EXE - size 114688 (28-10-2000 19:45:40)
Change Size - 0 bytes
** CRC has changed
Là ou Viguard RE-CERTIFIE le fichier, un vrai contrôleur d'intégrité
s'aperçoit que même si la taille est revenue à la même qu'au départ, le
CRC a réellement changé.
Il n'y a plus de code viral mais bon nombre de ces fichiers ne
fonctionnent plus.
> Le zip contient aussi une demonstration de fausse alarme.
Sur la messagerie on peut en faire avec ce que l'on veut, il suffit que
le fichier soit un script ou un exécutable quelconque.
Roland Garcia
je n'ai jamais vu vos logs justement, alors que je les demandais !!!!
> Je reprends donc une fois de plus des extraits du log de l'infection par
> MTX que j'avais expérimentée pour Secusys il y a presque un an:
je suis d'accord mais quand on teste un produit on precise la version :
donc ici Viguard 8+ si j'ai bien compris et test mene en octobre 2000.
> Les utilisateurs que j'ai retrouvés infectés sur le terrain croyaient ne
> pas l'être et se demandaient pourquoi leur messagerie envoyait des
> messages.
ces utilisateurs etaient-ils enregistres aupres de Tegam ?
(s'ils ne l'etaient pas, contractuellement ils n'avaient
pas le droit d'utiliser le soft). c'est important car, a ce
moment, s'ils etaient enregistres, ils auraient alors recu
Viguard 9.
a+
--
[ACBM] Olivier Aichelbaum Pirates Mag' / Pocket
14/30, rue de Mantes Le Virus Informatique
F-92 700 Colombes Les Puces Informatiques
Tel (Fax) : -1 47 81 04 45 (03 72) http://www.acbm.com
> > Les utilisateurs que j'ai retrouvés infectés sur le terrain croyaient ne
> > pas l'être et se demandaient pourquoi leur messagerie envoyait des
> > messages.
>
> ces utilisateurs etaient-ils enregistres aupres de Tegam ?
> (s'ils ne l'etaient pas, contractuellement ils n'avaient
> pas le droit d'utiliser le soft). c'est important car, a ce
> moment, s'ils etaient enregistres, ils auraient alors recu
> Viguard 9.
Très certainement puisque suite à leur infection et leur incompréhension face
aux mails émis, Tegam avait fait procéder à la mise à jour avant mon
intervention.
Evidemment cela n'a rien changé bien entendu faute de signature de virus.
Extrait d'un de leur courrier:
<< Nous avions effectivement la Version 8 quand le virus s'est installé et
juste après la Version 9 a été installée, et notre informaticien m'a dit ce
matin que la version 9 détectait ce virus.>>
Roland Garcia
> ces utilisateurs etaient-ils enregistres aupres de Tegam ?
> (s'ils ne l'etaient pas, contractuellement ils n'avaient
> pas le droit d'utiliser le soft). c'est important car, a ce
> moment, s'ils etaient enregistres, ils auraient alors recu
> Viguard 9.
>
Vous essayez de dire que moi par exemple qui ai acheté Viguard mais ne me suis
pas enregistré n'ai pas le droit d'utiliser le soft??????
Roland Garcia
disons plutot que si vous ne retournez pas la licence, vous n'avez
aucune garantie d'aucune sorte, et il vous serait donc difficile de
vous retourner contre l'editeur si un virus passe quand meme.
en effet, si vous ne retournez pas le carton, l'editeur ne peut
vous envoyer la derniere version ou patch preventivement.
cette clause, courante, n'a rien d'abusif a mon avis (contrairement
a la revente si elle etait interdite).
il faudrait verifier exactement sur votre exemplaire puisque
vous ne semblez pas avoir le meme que nous.
> > Utilisations possibles: s'apercevoir que Viguard ne garde aucune
> > information sur les executables NE, les drivers, et autres, qu'il est
> > donc incapable de reconstruire.
>
> Je l'ai expliqué cinquante fois à Godet-Aichelbaum, log d'infection à
> l'appui!!!!!
Je pense qu'ils peuvent aussi tester n'importe quel prepender,
specialité de Raid par exemple (je crois que IroK est sa derniere
production, c'est facile a trouver), et a vue de nez Viguard sera
absolument incapable de restaurer les exécutables, puisque ces virus
transforment n'importe quel exécutable (PE, NE, com...) en exécutable
DOS en écrivant leur code entier au début du fichier, donc en écrasant
le header (qui est conservé ailleurs). Ce qui explique pourquoi un
fichier windows infecté par un prepender ouvre une fenetre DOS (ce qui
alerte souvent l'utilisateur d'ailleurs).
Ce qui nous fait a priori déja au moins trois sous-classes de virus
que Viguard ne peut pas réparer, et sans doute pas détecter non plus,
c'est facile a tester:
- ceux qui ne changent pas l'Entry Point
- les cavity infectors
- les prependers
Pour finir sur une note positive, je dirais que Viguard pourrait etre
un outil intéressant de gestion centralisée des macros de documents
dans un environnement de développeurs (ie: si la macro n'est pas
autorisée par le responsable réseau, elle ne s'exécute pas). C'est la
seule routine qui utilise un vrai algorithme sérieux, un hash MD5
(c'est ce qu'ils disent, et je les crois, mais je vérifierai quand
meme). Mais bien sur, ils vendraient moins de logiciels. L'honneteté
ne paye pas, de nos jours, mon bon monsieur.
--
Guillermito
quand on questionne les developpeurs de la societe, c'est justement
cet aspect qui est mis en avant ("white list") - notamment a la
reunion ou nous etions presents toi et moi - mais le marketing
semble oublier ce message la au profit d'un autre qui passe moins
bien.
> Guillermito wrote:
> > Pour finir sur une note positive, je dirais que Viguard pourrait etre
> > un outil intéressant de gestion centralisée des macros de documents
> > dans un environnement de développeurs (ie: si la macro n'est pas
> > autorisée par le responsable réseau, elle ne s'exécute pas). C'est la
> > seule routine qui utilise un vrai algorithme sérieux, un hash MD5
> > (c'est ce qu'ils disent, et je les crois, mais je vérifierai quand
> > meme). Mais bien sur, ils vendraient moins de logiciels. L'honneteté
> > ne paye pas, de nos jours, mon bon monsieur.
>
> quand on questionne les developpeurs de la societe, c'est justement
> cet aspect qui est mis en avant ("white list") - notamment a la
> reunion ou nous etions presents toi et moi - mais le marketing
> semble oublier ce message la au profit d'un autre qui passe moins
> bien.
Et pas seulement par les marketroides de Tegam, c'est également valable
pour les autres.
Dans mon comparatif d'il y a presque un an j'avais écrit au sujet de AVP
Office Guard:
"D’après Kaspersky Lab, il bloque 100% des virus macros inconnus, d’après
nos tests également. Cet AVP Office 2000 envoie à la retraite anticipée les
auteurs de virus macros."
Bien évidemment depuis ce genre de solution n'a jamais été mis en avant et
les éditeurs ne se bousculent pas pour l'adopter, alors que les virus
macros représentent la plus grande partie de la Wild List.
Concernant le module de Viguard sur les virus macros c'est encore mieux car
non seulement il permet de bloquer toutes les macros dangereuses mais on
peut en plus certifier ses propres macros!!!!!
Roland Garcia
> Concernant le module de Viguard sur les virus macros c'est encore mieux car
> non seulement il permet de bloquer toutes les macros dangereuses mais on
> peut en plus certifier ses propres macros!!!!!
Voilà que je fais de la pub pour Tegam maintenant!
Au fait le ver Sircam il passe ou il passe pas?
Roland Garcia
je dois partir ce soir et je n'aurais sans doute pas le temps de
faire l'experience avant (je n'ai pas eu le temps de reinstaller
ma machine depuis blah.3379). je vous communique le resultat sur
Sircam des que possible.
> je dois partir ce soir et je n'aurais sans doute pas le temps de
> faire l'experience avant (je n'ai pas eu le temps de reinstaller
> ma machine depuis blah.3379).
GHOST de Symantec, par exemple!
Roland Garcia
on connait. mais comprenez que tout notre magazine n'est pas
consacre au seul Viguard et que je dois aussi me consacrer aux
articles en cours concernant les failles d'autres logiciels
(pas forcement antivirus d'ailleurs).
vous aurez le resultat sur Sircam et Viguard prochainement.
l'examen des poids du problème XOR
Intelligence Artificielle I Cours et notes de cours
Systèmes neuromimétiques III La logique interne
par l'excellent Eric Keller.
Le "guilleret mytho" va nous en parler (cours ex cathedra).
> quand on questionne les developpeurs de la societe, c'est justement
> cet aspect qui est mis en avant ("white list")
Certes, mais alors ce n'est pas un anti-virus. Heureux de savoir que
les développeurs de Viguard s'en rendent compte. Un programme qui
bloque tout sauf ce qui est permis est conceptuellement nettement plus
simple qu'un anti-virus a mettre au point. Je pourrais meme en
progammer un.
Je disais:
> C'est la seule routine qui utilise un vrai algorithme sérieux, un
> hash MD5 (c'est ce qu'ils disent, et je les crois, mais je vérifierai
> quand meme)
Trois petites infos pour aujourd'hui:
1. Une attaque simple de plus
J'ai verifié, c'est bien un MD5. Le probleme, c'est qu'encore une
fois, les fichiers ou sont stockés ces hashs ne sont pas du tout
protegés et accessibles a tous: pcpass.def et pcpass.idx. Ce qui m'a
donné l'idée d'une nouvelle attaque triviale contre Viguard (ca doit
etre a quatrieme ou cinquieme maintenant), qui marche parfaitement, et
qui pourrait etre utilisée par un virus ou trojan pour etre executé
avec Viguard installé normalement sur la machine:
- calculer un MD5 du trojan ou d'un fichier infecté (des
implementations de MD5 en divers languages sont facilement trouvables
sur le net)
- ajouter ce MD5 (128 bits = 16 octets) a la fin du fichier pcpass.def
La modification de pcpass.def, ou sont stockés les hashs des
programmes certifiés par l'utilisateur, ne declenche aucune alerte du
moniteur résident. Meme erreur fatale que pour les fichiers
vistart.ini et viundo.ini que j'avais pointé il y a quelques jours.
Une fois que le hash a été rajouté dans le fichier, si on execute le
trojan, Viguard va croire qu'il a été certifié par l'utilisateur, et
laisser l'execution se faire tranquillement.
Le fichier pcpass.idx, contenant aussi ces hashs, plus le nom complet
des programmes certifiés (il est pourtant inutile de le modifier pour
l'attaque ci-dessus), n'est meme pas crypté.
2. Le fichier de configuration de Viguard
Le fichier de configuration général de Viguard, bvd.cfg, est crypté
encore une fois avec un algorithme lamentable, toujours un simple XOR
avec une clef fixe de 15 octets, donc modifiable facilement et a
volonté. Il est lu a chaque lancement de Viguard et contient
apparemment quelques données intéressantes, qui pourraient aussi etre
modifiées, mais je n'ai pas (encore) testé:
- liste des extensions scannées. Viguard ne se base que sur les
extensions pour determiner le type de fichier. Prennez un fichier
texte, collez-lui une extension ".exe", et Viguard va le scanner comme
si c'etait un executable DOS (facilement verifiable avec VGNaked). Un
trojan pourrait enlever sa propre extension pour eviter d'etre
verifié.
- les répertoires. Je parie qu'en changeant quelques noms, on empeche
Viguard d'accéder a ses propres fichiers.
- les fichiers "spécialement surveillés" par Viguard et stockés dans
\Virepair (qui peuvent etre effacés tranquillement, comme je l'ai déja
dit). On efface ces noms, et Viguard est incapable de restaurer ces
fichiers, a mon avis.
- Des données sur la version de Viguard. Je n'ai pas encore essayé,
mais je suis persuadé que les programmes distribués sont les memes
(version Perso et Pro), et qu'en bidouillant un peu le bvd.cfg on peut
passer de l'une a l'autre (il y a plus d'options dans la version Pro)
pour pas un rond.
3. Virblock.sys
Derniere chose: Viguard installe un fichier qui est copyrighté...
"Microsoft Corp.". Il s'agit de virblock.sys. J'ai été incapable de
trouver la moindre info sur le web a propos de ce fichier, mais
d'apres les noms de ses imports, je pense qu'il s'agit d'un fichier
systeme de windows NT. Je ne pense pas que le copyright soit un
probleme (tout le monde distribue les .dll de Microsoft avec ses
programmes, par exemples les librairies Visual Basic), du moins ce
n'est pas le mien, mais je serais curieux de savoir a quoi sert ce
fichier, surtout avec un tel nom (virblock me fait penser a virus
blocker, mais a mon avis ca n'a rien a voir). Olivier, si tu pouvais
demander a Mr Tegam. Ils ne me répondent pas, a moi. Ouh les méchants.
--
Guillermito
http://www.guillermito.net
>Derniere chose: Viguard installe un fichier qui est copyrighté...
>"Microsoft Corp.". Il s'agit de virblock.sys. J'ai été incapable de
>trouver la moindre info sur le web a propos de ce fichier, mais
>d'apres les noms de ses imports, je pense qu'il s'agit d'un fichier
>systeme de windows NT.
Tu peux me l'envoyer ? Par curiosité pure et simple.
Sinon, sincères félicitations pour ton analyse !