Már az idei Revision intróinak megtekintése közben észrevettem, hogy a szokottnál is agresszívebb a Windows Defender. A 64k intrókat kérdés nélkül törölte, de még a korábban vígan futtatott Mecha is áldozatul esett annak, hogy megvédjenek a kiberborzalmaktól. Régen még kérdeztek a vírusírtók, hogy mi legyen a kérdéses állománnyal, de a valós idejű védelemnél szó nélkül törölt.
Gondoltam, a demók megnézése idejére kikapcsolom az aktív vírusvédelmet, de a Defendert nem olyan fából faragták, hogy csak úgy hagyja magát kikapcsolni. Rögtön megjegyezte, hogy vissza fogja kapcsolni magát. Lassan már úgy érzem, nem is a gép van énértem, hanem én a gépért.
A dolgok akkor vettem furcsa fordulatot, amikor az egyik 2016-os kódomra is trójait riasztott a Defender. Hmm, nem emlékszem, hogy bármi rendkívülit kódoltam volna. Gyakorlatilag képek sorozatát jelenítette meg egy OpenGL ablakban. Az egyetlen diszk művelet a képek és a shaderek betöltése volt, írni nem írt sehova. Mégis miért hiszi a Defender, hogy trójai?
Az egyik lehetőség, hogy valami tényleg megfertőzte a rendszert és átírja a binárisokat. A másik lehetőség, hogy a Defender egy hülye. Egy Defendor.
Szerencsére a kérdés eldöntése nem volt olyan nehéz, mert a kérdéses demóm egy Linuxos partíción is megtalálható, ahol biztos nem módosította senki rajtam kívül. Az egyetlen probléma, hogy a Linuxon található verzió kicsit korábbi, tehát az MD5 értékek eltértek. Algoritmikusan viszont ugyan az.
Mindkét verziót feltöltöttem a VirusTotal-ra. Három, nevenincs vírusirtónak csúfolt valami rögtön kiabálni is kezdett, hogy a kódom trójai. Viszont a statikus elemzés adott néhány igen érdekes eredményt. A kis semmike demóm neten keresztül kapcsolódik a Microsoft NTP szerveréhez, registry bejegyzéseket ellenőriz és Windows komponenseket szkennel. Ezen tulajdonságokat hallva tényleg egy kártékony kód jut az eszünkbe.
Hogyan kerültek ezek a funkciók bele? Hát úgy, hogy a Visual Studio 2015-ös verzióját használtam a fordításhoz. Ott találta ki a Microsoft, hogy milyen remek ötlet ilyen kódokat elhelyezni a lefordított programba, amire nyolc évvel később a saját vírusirtójuk is ugrik.
Végül a demókat tartalmazó könyvtárat kivételnek állítottam be a Defendornak. Bár nem tudnak róla, de a demoscenerek malware-eket fejlesztenek.
