Yeterince gelişmiş bir Uninstaller, Malware’den ayırt edilemez

 (devblogs.microsoft.com)
17 puan yazan GN⁺ 2023-09-14 | 5 yorum | WhatsApp'ta paylaş
  • Explorer çöküşleri hızla artınca nedenini ararken stack içinde kötü amaçlı yazılıma benzer bir fonksiyon işaretçisi bulundu
  • Araştırınca bunun kötü amaçlı yazılım değil, bir uninstaller olduğu ortaya çıktı
  • Uninstaller sonlandıktan sonra kendi ikili dosyasını silmek için bekliyor (Self Deleting)
    • Bu kod, CodeProject’te 10 yıl önce tanıtılan yöntemi kullanıyordu
  • Muhtemelen bir DLL fonksiyonunun çağrılması gerekiyordu, ancak bu işlem detour edildiği için böyle oldu
  • Kendini silmek istiyorsanız, bunun için başka bir prosese (Explorer) kod enjekte etmek veya detour yapmak yerine aşağıdaki gibi cleanup.js gibi geçici bir dosya kullanın
    • Bu kod kendisini siliyor ve ayrıca uninstaller’ı da 20 saniye boyunca silmeyi deniyor
var fso = new ActiveXObject("Scripting.FileSystemObject");  
fso.DeleteFile("C:\\Users\\Name\\AppData\\Local\\Temp\\cleanup.js");  
  
var path = "C:\\Program Files\\Contoso\\contoso_update.exe";  
for (var count = 0; fso.FileExists(path) && count < 40; count++) {  
    try { fso.DeleteFile(path); break; } catch (e) { }  
    WSH.Sleep(500);  
}

İlgili okumalar

5 yorum

 
2023-09-14
[Bu yorum gizlendi.]
 
kuroneko 2023-09-14

O zamanlar artık kalıntı temizleme programları kullandığımızı hatırlıyorum...
Yine de bugünlerde Windows’un paket yönetim programları da yavaş yavaş gelişiyor, o yüzden umutluyum. +_+
 
botplaysdice 2023-09-14

Sanırım 'ileri düzeyde' ifadesini çok kullanmışım. Yeterince gelişmiş bilim, büyüden ayırt edilemez.
 
xguru 2023-09-14

Yazının başlığı, ünlü bilimkurgu yazarı Sir Arthur C. Clarke'ın sözünden geliyor.

"Any sufficiently advanced technology is indistinguishable from magic."
"Yeterince gelişmiş herhangi bir teknoloji, sihirden ayırt edilemez."
 
GN⁺ 2023-09-14
Hacker News yorumları
  • Gelişmiş uninstaller'lar ile malware arasındaki benzerlikler tartışılıyor; odak noktası kendi kendini silen çalıştırılabilir dosyalar
  • Kendi kendini silen çalıştırılabilir dosyaların kodunu içeren bir Code Project bağlantısı veriliyor
  • Yazar, ikilinin kendini silmesi, uykuya geçmesi ve uninstaller ile etkileşime girmesi nedeniyle malware gibi göründüğünü öne sürüyor
  • Önerilen çözümler üzerine tartışma var; bunların özgün olandan daha iyi olup olmadığı ve kötücüllüğü değerlendirmek için zayıf heuristics kullanıp kullanmadığı sorgulanıyor
  • Bazı yorumlar, Windows programlarının neden özel installer/uninstaller gerektirdiğini ve bunun neden Windows'un kendisi tarafından ele alınmadığını sorguluyor
  • wscript kullanımından bahsediliyor; kod imzalama veya çalıştırmadan önce doğrulama yapılamaması nedeniyle malware olarak profillenebileceği belirtiliyor
  • 'detours' kavramı gündeme geliyor ve Linux'taki LD_PRELOAD komutuyla karşılaştırılıyor
  • Antivirüs yazılımlarının fark etmediği, tüm dizinleri uninstaller listesine ekleyen Windows 95/98 için basit bir uygulamaya dair bir anı paylaşılıyor
  • Bazı yorumcular, uygulamaların kolayca kurulup kaldırılabildiği bağımsız klasörler yaklaşımı nedeniyle AmigaOS yaklaşımını tercih ettiklerini ifade ediyor
  • Yazı, Windows'un JavaScript'i shell script olarak çalıştırmayı desteklediği şeklindeki şaşırtıcı bir noktaya değinerek sona eriyor