22.01.2009, 11:32
Zabralem sie za tę stronke z moim zestawem
Pierwsza rzecza jaka zrobilem bylo uruchomienie ShadowDefendera (na wszelki wypadek), poza tym dzialaly u mnie takie programy: Avira Personal, Online Armor Premium Firewall, DefenseWall.
Po wejsciu na strone, moim oczom ukazal sie komunikat - czy chce uruchomic/pobrac/anulowac plik install.exe - kliknalem - Uruchom.
Przegladarka z ktorej korzystalem - Opera - zdefiniowana jest w OA jako Run Safer - czyli dziala bez praw administratora mimo iz pracuje na koncie Admina.
Od razu HIPS OA zaczal pokazywac informacje co plik chce zrobic w danym momencie w moim systemie, klikalem wszedzie Allow - i tak plik pobrany przed momentem zaczal zmieniac DNSy w systemie na wlasne wczesniej zdefiniowane, zaczal tworzyc w systemie nowe zainfekowane pliki, pobierac nowe i nadpisywac dzialajace procesy takie jak np. ctfmon.exe, ktory nalezy pierwotnie do Microsoft Office Suite i jest odpowiedzialny za aktywowanie Alternative User Input Text Input Processor (TIP) oraz paska jezykowego w Office.
Na pulpicie wyswietlal sie falszywy AV i jego pasek postepu sciagania "aktualizacji" - po 20 min pasek stal dalej w tym samym miejscu co przedtem, zadna ikonka w try-u sie nie pojawila, zadne inne okienka nie wyskoczyly, ktore sugerowac mogly ze wirus rozprzestrzenia sie w systemie - to wlasnie byla zasluga Przegladarki uruchomionej w trybie Run Safer.
Podejscie drugie - postanowilem zmienic ustawienei w OA i uruchomic przegladarke w normalnym trybie, trybie konta z uprawnieniami administratora.
Poza tym wylaczylem mechanizm HIPS, od tej chwili w systemie dzialaly tylko te programy:
DefenseWall oraz Avira Personal.
Znow wszedlem na zainfekowana strone, kliknalem Uruchom, plik zaczal sie wykonywac - HIPS DefenseWall informowal mnie o wszystkim, jednak przyjalem zasade ze przy komputerze w tym momencie moze znajdowac sie osoba ktora nie bedzie miala wystarczajacej wiedzy by zareagowac - zostawilem HIPS DW, nie klikalem ani na Allow ani na Terminate, zostawilem go samemu sobie, okienka samoistnie wraz z postepem ladowania zainfekowanych plikow same sie pojawialy i po kilku chwilach bez reakcji uzytkownika - znikaly.
Znow pojawilo sie okienko z falszywym AV, znow okno pobierania - tym razem wszystko sie pobralo, nowy process zostal uruchomiony na liscie procesow, pojawila sie ikonka wirusa w tray''u... i to tyle, nic wiecej sie nie dzialo - strony wyszukiwane w google i klikanie na ich odnosniki przenosilo dokladnie do tych ston, nie bylo zadnych przekierowac, ktore mogl generowac wirus. Nic dodatkowego nie dzialo sie w systemie, dysk nie "mielil". Wszedlem w DW i na liscie Untrusted process w oknie procesow kliknalem na proces ktory sie uruchomil i wybralem Terminate - proces natychmiast zniknal. System dzialal stabilnie, logi HiJackThis niczego nie pokazaly.
Dodatkowo dzis skontaktowalem sie z tworca programu, podajac linka do zainfekowanej strony i opisujac krok po kroku co sie dzialo u mnie w systemie. Ilya potwierdzil moje przypuszczenia - ze w tym przypadku, nic nie zagrazalo mojemu systemowi, po restarcie, nic nowego nie zostalo by uruchomione, poniewaz DW czesciowo poddal wirtualizacji niektore wpisy w rejestrze oraz nalozyl blokade na pliki Untrusted.
Zasada jest taka ze pliki Untrusted nie moga modyfikowac plikow ktore sa oznaczone jako Trusted, co stawia te pliki po dwoch oddzielnych stronach muru nie do sforsowania. Proste ale skuteczne.
Acha - Avira zapadla chyba w zimowy sen u mnie tzn zero reakcji!
Pierwsza rzecza jaka zrobilem bylo uruchomienie ShadowDefendera (na wszelki wypadek), poza tym dzialaly u mnie takie programy: Avira Personal, Online Armor Premium Firewall, DefenseWall.
Po wejsciu na strone, moim oczom ukazal sie komunikat - czy chce uruchomic/pobrac/anulowac plik install.exe - kliknalem - Uruchom.
Przegladarka z ktorej korzystalem - Opera - zdefiniowana jest w OA jako Run Safer - czyli dziala bez praw administratora mimo iz pracuje na koncie Admina.
Od razu HIPS OA zaczal pokazywac informacje co plik chce zrobic w danym momencie w moim systemie, klikalem wszedzie Allow - i tak plik pobrany przed momentem zaczal zmieniac DNSy w systemie na wlasne wczesniej zdefiniowane, zaczal tworzyc w systemie nowe zainfekowane pliki, pobierac nowe i nadpisywac dzialajace procesy takie jak np. ctfmon.exe, ktory nalezy pierwotnie do Microsoft Office Suite i jest odpowiedzialny za aktywowanie Alternative User Input Text Input Processor (TIP) oraz paska jezykowego w Office.
Na pulpicie wyswietlal sie falszywy AV i jego pasek postepu sciagania "aktualizacji" - po 20 min pasek stal dalej w tym samym miejscu co przedtem, zadna ikonka w try-u sie nie pojawila, zadne inne okienka nie wyskoczyly, ktore sugerowac mogly ze wirus rozprzestrzenia sie w systemie - to wlasnie byla zasluga Przegladarki uruchomionej w trybie Run Safer.
Podejscie drugie - postanowilem zmienic ustawienei w OA i uruchomic przegladarke w normalnym trybie, trybie konta z uprawnieniami administratora.
Poza tym wylaczylem mechanizm HIPS, od tej chwili w systemie dzialaly tylko te programy:
DefenseWall oraz Avira Personal.
Znow wszedlem na zainfekowana strone, kliknalem Uruchom, plik zaczal sie wykonywac - HIPS DefenseWall informowal mnie o wszystkim, jednak przyjalem zasade ze przy komputerze w tym momencie moze znajdowac sie osoba ktora nie bedzie miala wystarczajacej wiedzy by zareagowac - zostawilem HIPS DW, nie klikalem ani na Allow ani na Terminate, zostawilem go samemu sobie, okienka samoistnie wraz z postepem ladowania zainfekowanych plikow same sie pojawialy i po kilku chwilach bez reakcji uzytkownika - znikaly.
Znow pojawilo sie okienko z falszywym AV, znow okno pobierania - tym razem wszystko sie pobralo, nowy process zostal uruchomiony na liscie procesow, pojawila sie ikonka wirusa w tray''u... i to tyle, nic wiecej sie nie dzialo - strony wyszukiwane w google i klikanie na ich odnosniki przenosilo dokladnie do tych ston, nie bylo zadnych przekierowac, ktore mogl generowac wirus. Nic dodatkowego nie dzialo sie w systemie, dysk nie "mielil". Wszedlem w DW i na liscie Untrusted process w oknie procesow kliknalem na proces ktory sie uruchomil i wybralem Terminate - proces natychmiast zniknal. System dzialal stabilnie, logi HiJackThis niczego nie pokazaly.
Dodatkowo dzis skontaktowalem sie z tworca programu, podajac linka do zainfekowanej strony i opisujac krok po kroku co sie dzialo u mnie w systemie. Ilya potwierdzil moje przypuszczenia - ze w tym przypadku, nic nie zagrazalo mojemu systemowi, po restarcie, nic nowego nie zostalo by uruchomione, poniewaz DW czesciowo poddal wirtualizacji niektore wpisy w rejestrze oraz nalozyl blokade na pliki Untrusted.
Zasada jest taka ze pliki Untrusted nie moga modyfikowac plikow ktore sa oznaczone jako Trusted, co stawia te pliki po dwoch oddzielnych stronach muru nie do sforsowania. Proste ale skuteczne.
Acha - Avira zapadla chyba w zimowy sen u mnie tzn zero reakcji!
Creer,
Member of the Alliance of Security Analysis Professionals
Member of the Alliance of Security Analysis Professionals