31.10.2011, 16:48
morphiusz napisał(a):Uwaga!
Zrobiłem test tego nowego zagrożenia z facebooka.
Mała analiza i wnioski są rozpaczliwe:
1. Poprzednia wersja tego zagrożenia realizowała złośliwe zadania, na które głownie składały się:
- usunięcie programu zabezpieczającego z systemu,
- zmiana pliku hosts i blokowanie dostępu do facebook.com
- obecność kilku złośliwych procesów,
- unieszkodliwianie instalacji softu zabezpieczającego,
Wygląda, że nowa wersja jest na 100% powiązana z rootkitem ZeroAccess.
Albo: oprócz swoich poprzednich zadań pobiera ZeroAccessa.
Jest to rodzaj jakiejś symbiozy - ZA ochronia facebookowego wirka przed usunięciem, a facebookowy wirus zapewnia mu popularność (łatwe rozprzestrzenianie via facebook).
Jak przystąpiłem do testu:
1. Na realnej maszynie uruchomiłem plik (byłem spokojny na pokładzie z CTM, nie miałem zainstalwoanego CISa),
2. KillSwitch pokazywał 2 złośliwe procesy,
3. Uruchomiłem ponownie system - KillSwitch i aż około 8 złośliwych procesów,
4. Nagłe zamknięcie i zniszczenie KilSwitcha,
5. Uruchomiłem CCE pod Aggressive Mode - uruchomił się (mówie sobię: victoria).. aktualizacja poszła gładko, wykrył 12 zagrożeń gdy nagle się wyłączył.
6. To już zadziałało na mnie alarmująco: jaki proces przetrwał Aggressive Mode i zabija programy zabezpieczające: ZeroAccess!
7. Restart systemu i charakterystyczny proces dla ZA (załączony).
Podsumowując: Nowe zagrożenie rozprzestrzeniane via Facebook stanie się masakrycznie trudne do usunięcie poprzez unieszkodliwianiekażdorazowo softu zabezpieczającego przez osłoniającego rootkita.
Dzięki morph za sprawdzenie tego świństwa. I to jeszcze na realnej maszynie...
Jestem tylko ciekawy, do czego dojdzie za kilka miesięcy... Co wrzucą na Fejsa? GPCode???