Wracam do poprzedniej strony i posta
Test przeprowadziłem na przygotowanym systemie Win7, co w trakcie testu miało znaczenie
- zarówno system, jak i wszystkie dyski lokalne były zwirtualizowane przy pomocy Shadow Defender...to na wypadek nieprzewidzianych prób zmian ich zawartości podczas testu
- zainstalowany SpyShelter to wersja Firewall 12.1 build 4 (poziom ochrony "pytaj użytkownika") z dodatkowym istotnym ustawieniem - wszystkie dyski lokalne zostały dodane do listy chronionych lokalizacji.
Poniżej screeny z wykrytych akcji i dalej krótki komentarz
Zdjęcia może nie są zbyt dobrej jakości, ale były robione smartfonem "z zewnątrz"...na zwirtualizowanych dyskach nie przetrwałyby restartu i wyjścia z trybu SM...a wszystkie akcje w przedstawionych alertach zostały zezwolone, żeby zobaczyć, co będzie się działo dalej. Jak zapowiadałem - test nie przedstawia całości działania szkodnika i został zatrzymany na etapie, który uznałem za ostatni nie stwarzający dalszego, nieprzewidzianego ryzyka.
Już we wcześniejszej dyskusji były sugestie, że szkodnik zostanie prawdopodobnie wykryty w akcjach takich jak próby uruchomienia procesu, nawiązania połączenia czy modyfikacji jakiś lokalizacji...i faktycznie zdjęcia to potwierdzają. Mamy je wszystkie, a na te poniżej chciałem zwrócić uwagę:
- uruchomienie przez szkodnika procesu AddInProcess.exe i AddInUtil.exe...to wrażliwe procesy, które znalazły się na liście procesów wykorzystywanych do obchodzenia wewnętrznych mechanizmów systemu oraz Windows Defendera
Wspomniałem wcześniej o podobnym teście na potrzeby forum Wildersów - jak się okazuje tam akcje były nieco inne, choć w efektach podobne...z czego to wynika?...nie wiem, bo maszyna ta sama i warunki też, a przynajmniej nie jestem świadomy tego, co mogło ulec zmianie. w tamtym teście np. pojawiła się wykryta próba uruchomienia przez proces taskeng.exe innego procesu - sipnotify.exe. To mogłoby mieć np. skutki w wyświetlaniu fałszywego ostrzeżenia o zakończeniu wsparcia dla Win7 (?). Poniżej tamte wyniki i omówienie
[Aby zobaczyć linki, zarejestruj się tutaj]
czyli próby detekcji szkodliwych akcji na szkodniku "Racoon infostealer". Test jest sprzed kilku dni, ale dopiero teraz spróbuję jakoś tu go podsumować (ponieważ pomysł jego przeprowadzenia wyszedł na WSF, to najpierw tam zamieściłem te informacje).Test przeprowadziłem na przygotowanym systemie Win7, co w trakcie testu miało znaczenie
- zarówno system, jak i wszystkie dyski lokalne były zwirtualizowane przy pomocy Shadow Defender...to na wypadek nieprzewidzianych prób zmian ich zawartości podczas testu
- zainstalowany SpyShelter to wersja Firewall 12.1 build 4 (poziom ochrony "pytaj użytkownika") z dodatkowym istotnym ustawieniem - wszystkie dyski lokalne zostały dodane do listy chronionych lokalizacji.
Poniżej screeny z wykrytych akcji i dalej krótki komentarz
Zdjęcia może nie są zbyt dobrej jakości, ale były robione smartfonem "z zewnątrz"...na zwirtualizowanych dyskach nie przetrwałyby restartu i wyjścia z trybu SM...a wszystkie akcje w przedstawionych alertach zostały zezwolone, żeby zobaczyć, co będzie się działo dalej. Jak zapowiadałem - test nie przedstawia całości działania szkodnika i został zatrzymany na etapie, który uznałem za ostatni nie stwarzający dalszego, nieprzewidzianego ryzyka.
Już we wcześniejszej dyskusji były sugestie, że szkodnik zostanie prawdopodobnie wykryty w akcjach takich jak próby uruchomienia procesu, nawiązania połączenia czy modyfikacji jakiś lokalizacji...i faktycznie zdjęcia to potwierdzają. Mamy je wszystkie, a na te poniżej chciałem zwrócić uwagę:
- uruchomienie przez szkodnika procesu AddInProcess.exe i AddInUtil.exe...to wrażliwe procesy, które znalazły się na liście procesów wykorzystywanych do obchodzenia wewnętrznych mechanizmów systemu oraz Windows Defendera
[Aby zobaczyć linki, zarejestruj się tutaj]
- uruchomienie procesu AppLaunch.exe, który może przekierowywać na podejrzane strony czy przemycać podejrzane akcje[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
- czy wreszcie szereg akcji prowadzących do uruchomienia i zainstalowania zupełnie nowej aplikacji podpisanej cyfrowo przez LLC Mail.ru - to certyfikat często wykorzystywany przez szkodniki i jak widać posiada sporo wskazań pozytywnych[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Wspomniałem wcześniej o podobnym teście na potrzeby forum Wildersów - jak się okazuje tam akcje były nieco inne, choć w efektach podobne...z czego to wynika?...nie wiem, bo maszyna ta sama i warunki też, a przynajmniej nie jestem świadomy tego, co mogło ulec zmianie. w tamtym teście np. pojawiła się wykryta próba uruchomienia przez proces taskeng.exe innego procesu - sipnotify.exe. To mogłoby mieć np. skutki w wyświetlaniu fałszywego ostrzeżenia o zakończeniu wsparcia dla Win7 (?). Poniżej tamte wyniki i omówienie
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"