Nejprve zdravím všechny čtenáře ddworld i těchto IT Security news, kterým se chci omluvit za výpadek ve vydávání pravidelných novinek. Vše bylo způsobeno studijními a pracovními povinnostmi, nicméně obojí mám úspěšně za sebou a tak by již měly vycházet články pravidelněji... Díky za pochopení a vzhůru do čtení... V diskuzi samozřejmě rád uvítám jak pochvaly, tak konstruktivní kritiku;-)

Blue Pill - opravdu nedetekovatelný rootkit?

Již před rokem se o "modré pilulce" zmínila Joanna Rutkowska z bezpečnostní firmy COSEINC, která si dovolila tvrdit, že jejich společnost navrhla koncept škodlivého kódu, které nebude možné detekovat jakýmkoliv antivirovým software, i kdyby měly antivirové společnosti k dispozici zdrojový kód pilulky... Zdá se vám to nemožné? Připomeňme si tedy, jak by měl tento koncept fungovat...

Blue pill zneužívá známou virtualizační technologie SVM/Pacifica od firmy AMD, kdy po instalaci okamžitě (bez potřeby restartu) přebírá kontrolu nad systémem tak, že se stává hypervizorem (vrstva ve virtualizačním prostředí pracující nad samotným operačním systémem s neomezenými právy a možnostmi). To znamená jediné - systém nemá šanci se žádným způsobem bránit a je okamžitě v moci modré pilulky... Ještě upřesněme, že tento koncept opravdu funguje, neboť byl demonstrován na bezpečnostní konferenci Black Hat, kde došlo k úspěšnému napadení systému Windows Vista (sice betaverze, ale to by nemělo hrát roli, neboť šlo o zneužití virtualizační technologie a ne samotného systému).

Proč se tedy zmiňujeme o rok staré události? Protože se objevilo tvrzení, že Blue Pill jde odhalit. S tímto tvrzením přišel Thomas Ptacek, což je člověk, který se zabývá IT bezpečností a je členem mezinárodně uznávané sítě expertů a poradců přes IT security s názvem Matasano. Své tvrzení staví na konceptu s názvem Vitriol, což je obdoba Blue Pill, jež ale nevyužívá virtualizačních technik od AMD, nýbrž od konkurence - Intelu. Ptacek si je jistý, že pokud se jim podařilo úspěšně detekovat Vitriol, nebudou mít problém ani s detekcí modré pilulky. Hodil tedy "rukavici" Rutkowské, která výzvu přijímá, ale klade si několik podmínek:

1. Počítačů bude alespoň 5, z nichž jeden nakažený 100% bude a jeden nikoliv. Nicméně pilulka bude spuštěna na všech 5 PC, ale napadeny budou jen některé.
2. Až poté bude moci Ptacek a jeho společnost Matasano spustit na těchto PC svůj detekční program a úspěšně odhalit infiltraci.
3. Software musí jasně a přesně uvést které PC je anebo není infikované. A také program nesmí způsobit pád nebo zatuhnutí systému (BSOD, atd).
4. Předposlední podmínkou je, že detekční software nesmí využít možnosti PC více jak z 90% po dobu jedné sekundy.
5. Blue Pill i detekční software na všechny PC musí zanést nezávislý arbitr, aby byla zaručena férovost.

Sice nic není zdaleka jisté, ale pokud se toto klání opravdu uskuteční, budeme svědky buď velké blamáže nebo naopak skvělé práce IT odborníků z Matasano security. Těšíme se na výsledek.

Mluvící vir je zpět

Že vám to přijde jako blbost? Ale vůbec ne, to se nám jen začal po internetu šířit nový vir (konkrétně trojský kůň) s názvem BotVoice.A, který zneužívá Microsoft Speech engine pro zahlášení oznámení : ou have been infected I repeat You have been infected and your system files has been deleted. Sorry. Have a Nice Day and bye bye.V překladu - " Byl jste napaden. Opakuji, byl jste napaden.  Vaše systémové soubory byly smazány. Omlouvám se. Přeji krásný den a nashledanou ." Jako milovník černého humoru toto musím ocenitJ BotVoice.A napadá soubory BAT, COM, EXE a MP3, vypíná Taskmanager (Správce úloh) a standartní systémový editor registru. Musí se ale dodat, že mluvící vir není tak ojedinělý a šťastlivci se s podobným virem už mohli setkat v roce 2004, kdy se šířil malware s názvem Amus, který tentokrát hlásal : „How are you. I am back. My name is mister hamsi. I am seeing you. Haaaaaaaa. You must come to turkiye. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule. Gule".

Kdybyste měli chuť si poslechnout hlášku BotVoice.A, můžete tak učinit třeba zde.