VMware Tools i Windows 95, 98, ME, NT 4

Windows 95 boxJeśli ktoś od czasu do czasu chce odpalić stare Windowsy na VMware (w wersji >= 10) to może mieć problemy z funkcjonowaniem narzędzi pomocniczych udostępniających takie funkcje jak np. drag&drop pomiędzy naszą maszyną a wirtualką, oprócz tego zapewnia nowe wersje sterowników.

VMware wyszedł na pomoc wszystkim użytkownikom starych wersji Windows i udostępnił swoje VMware Tools do zainstalowania jedynie w trybie online, tylko chyba nikt tego nigdy nie przetestował choć jeden raz, bo zamiast udostępnić to w formacie obrazu ISO, zrobili tak:

  • obraz ISO z VMware Tools zapakowali w pakiet MSI
  • następnie pakiet MSI zapakowali we własny instalator

Tylko jest jeden problem, ich instalator jest niekompatybilny z Windows 95, 98, ME oraz NT 4 (przetestowałem wszystkie), dla których został zaprojektowany! Brakuje mu dodatkowych bibliotek, których po prostu na tych systemach nie ma, a jak już są to brakuje mu nowych funkcji.

Janusze kompatybilności chciałoby się powiedzieć. Użerałem się z tym chwilę i widziałem, że nie tylko ja mam z tym problemy, więc udostępniam link do obrazu ISO jakby ktoś kiedyś chciał sobie przypomnieć jak to kiedyś było pod Win 9x 😉

http://speedy.sh/Amzv7/winPre2k.iso (wyciągnięty z tools-winPre2k-9.6.5.exe)

Sality – koszmar z przeszłości

VirusDziś odpaliłem swojego starego toolsa z 2003 roku i okazało się, że był zainfekowany. Co gorsza, był to infektor plików PE z polimorficznym szyfrowaniem i w dodatku z rootkitem, gdyby nie szybka reakcja miałbym „mielone” ze wszystkich EXE w systemie.

Najbardziej zaskakujące jest to, że infektor mający 13 lat nadal jest kompatybilny z najnowszymi wersjami Windows i bez problemu poradził sobie z infekcją nawet skompresowanych UPX-em plików, mimo wykorzystania mechanizmu OEP obscuring, czyli nadpisania kodu entrypoint, polimorficznym dekryptorem reszty wirusa, doklejonym do ostatniej, rozszerzonej sekcji pliku PE.

Przedstawiam ten koszmar z przeszłości, który jak widać był całkiem solidnie zaprogramowany i przetestowany:

https://en.wikipedia.org/wiki/Sality

PS. Z dezinfekcją poradził sobie systemowy MRT Microsoftu, dedykowany tools do usuwania tego od AVG zawiesił się w trakcie działania, kompatybilność wirusa okazała się większa od dedykowanego antywirusa 😉

Praca w CERT Polska

CERT Polska to jednostka w szeregach NASK-u. Zajmują się monitorowaniem Internetu, jest to zespół reagowania na incydenty związane z bezpieczeństwem sieciowym. Szukają kogoś do analizy malware i być może to ogłoszenie jest już nieaktualne, ale i tak wrzucam je tutaj, może ktoś się załapie (mnie nie chcieli).

cert-polska

Szukają na stanowiska „Specjalista ds. analizy wstecznej złośliwego oprogramowania” oraz „Młodszy Specjalista ds. bezpieczeństwa IT”

Więcej info na ich stronie – http://www.cert.pl/pracuj-u-nas

Żenada o nazwie Comodo Antivirus

Comodo-AntivirusJeśli nadal sądzisz, że antywirus ochroni Cię przed wirusami to mam dla Ciebie dobrą wiadomość! Jest lepiej! Comodo Antivirus poprzez swój emulator x86 wykonuje kod hookowanych funkcji WinApi z uprawnieniami NT AUTHORITY\SYSTEM. Czyli jeszcze wspomoże każdy rodzaj malware dając im pełne uprawnienia administracyjne 😉

https://bugs.chromium.org/p/project-zero/issues/detail?id=769

Jeśli sądzisz, że to jednostkowe przypadki to całkiem niedawno „zwariował” antywirus ESET i dzięki nieudolnie przygotowanym aktualizacjom – zaczął wykrywać wszędzie zagrożenia 🙂

[Aktualizacja] ESET znajduje konie trojańskie na Onecie, WP, Allegro i innych stronach

Warto się zastanowić czy lepiej wydać pieniądze na antywirus, który zamuli komputer i jeszcze będzie sypał fałszywymi detekcjami albo będzie uruchamiał kod wszystkiego w trybie administracyjnym, czy nie lepiej kupić sobie piwko w sklepie, wyjdzie bezpieczeniej 😉

Statystyki SecNews za 2015 i 2016 rok

Obecnie siedzę nad całkiem innym projektem, stąd zastój na SecNews, w planach przenosiny na HTTPS i HTTP2 i być może odświeżenie interfejsu. Dla ciekawskich garść statystyk odwiedzalności SecNews za cały 2015 rok i 2016 rok.

Statystyki za cały 2015 rok (AWStats)

statystyki-secnews-2015

Statystyki za początek 2016 roku (AWStats)

statystyki-secnews-2016

Statystyki za 2016 rok z NewStatPress

statystyki-secnews-2016-03

Szału nie ma, widać wyraźne spadki spowodowane brakiem jakichś aktualizacji, chociaż i tak dziwi mnie liczba całkowitych odsłon. Macie jakieś pomysły jak rozkręcić ten interes? Co byście powiedzieli na wskrzeszenie starego crackmes.prv.pl (której mirror udostępnił swego czasu poprzedni właściciel Tomkol)?