19.09.2012, 22:37
Nie muszę chyba przedstawiać nikomu tego trojanika, ktory zwie się Zeus.
Działanie trojana:Program zapisuje się najczęściej w Documents and settings /dane aplikacji i często pod inną nazwą. Nawet jeśli uruchomimy ten sam plik. Choć, nie jest to regułą i pewnie zależy od sampla. Następnie ładuje się do pamięci i tam zmienia ustawienia naszej przeglądarki internetowej.
Wziąłem pod szybką lupę następujące programy, jak sobie radzą z Zeusem.
1. Hitman Pro Alert Beta
2. G-data Bank Guard.
3. SpyShelter Premium
4. Zemana Antilogger
5. Trusteer Rapport.
6. Secure Banking
Testowany sampel:
Test odbył się wczoraj, za wyjątkiem SpySheltera i Zemany Antilogger.Więc miał detekcję 7/43
Kto dał ciała, a kto rozgromił konkurencję? Wszystkie programy na maxymalnych ustawieniach.
Platforma testowa : VirtualBox
Na pierwszy ogień poszedł niemiecki program:
Secure Banking.
Uruchomiłem Zeusa, a programik wykrył go bardzo szybko (w kilka sekund i unieszkodliwł. Po restarcie, nie było śladu Zeusa). Program równiez zainstalowany, gdy posiadamy Zeusa unieszkodliwi go. Warto dodać, że bazy ma z 10 września. Tak, więc działa heurystycznie. Ma pewne podpisy w bazie i na tej podstawie wykrywa intruza. Po prostu dopasowuje podpis.
G-data BankGuard
Po uruchomieniu Zeusa, wirus został szybko unieszkodliowiony. Bazy z marca
Trusteer Rapport
To samo, po uruchomieniu Zeusa, został szybko unieszkodliowiony i usunięty z systemu.
Hitman Pro Alert 3b beta
Program bardzo dobrze wykrywa Zeusa, ale nie potrafi go usunąć, jezeli nie ma go w bazie Hitman Pro. W chwili przeprowadzenia testu nie posiadał go w bazie. Jednym słowem: trochę kiepsko.
Spyshelter Premium 6,1
Program informuje o tym, że nowy plik próbuje otworzyć nowy proces. Mam możliwość przeskanowania go na VirusTotal.
Skanuje, ale coś długo trwa i klikam anuluj. Efekt? Trojan uruchomił się w pamięci i sobie działał,
ale najważniejsze że zablokował haki. Więc działanie trojana Zeusa zablokował. Dodam, że haki zablokował automatycznie.
Zresetowałem system i usunąłem reguły. Następnie powtórnie uruchomiłem Zeusa i zezwoliłem plikowi zmodyfikać proces explorer.exe.
Zablokowałem jednak dostępu do pamięci.
Efekt: doszło do zarażenia. Hitman pro, tym razem wykrywał podejrzany plik. Haki znów blokowane. Good job.
Zemana Antilogger
Uruchomiłem Zeusa, powiadomił, że plik chcę wstrzyknąc kod. Zezwoliłem
Pierwszy raz moim oczom ukazał się komunikat znany z reklam Zemany: SSL zablokowany.
Uruchomiłem Hitmana Pro Alert i wskazywał, że jednak Zeus nadal sobie baraszkuje.
Zrobiłem reset, to samo. Usunąłem reguły Zemany i ponownie uruchomiłem Zeusa. Jednak Hitman Pro nadal mnie alarmował. Usunąłem Zemane i zainstalowałem SpySheltera, nie resetowałem nawet kompa, a SpyShelter zablokował haki i HitmanPro Alert nic nie wykrywał.
Wnioski: Wyciągnijcie sami
Działanie trojana:Program zapisuje się najczęściej w Documents and settings /dane aplikacji i często pod inną nazwą. Nawet jeśli uruchomimy ten sam plik. Choć, nie jest to regułą i pewnie zależy od sampla. Następnie ładuje się do pamięci i tam zmienia ustawienia naszej przeglądarki internetowej.
Wziąłem pod szybką lupę następujące programy, jak sobie radzą z Zeusem.
1. Hitman Pro Alert Beta
2. G-data Bank Guard.
3. SpyShelter Premium
4. Zemana Antilogger
5. Trusteer Rapport.
6. Secure Banking
Testowany sampel:
[Aby zobaczyć linki, zarejestruj się tutaj]
Test odbył się wczoraj, za wyjątkiem SpySheltera i Zemany Antilogger.Więc miał detekcję 7/43
Kto dał ciała, a kto rozgromił konkurencję? Wszystkie programy na maxymalnych ustawieniach.
Platforma testowa : VirtualBox
Na pierwszy ogień poszedł niemiecki program:
Secure Banking.
Uruchomiłem Zeusa, a programik wykrył go bardzo szybko (w kilka sekund i unieszkodliwł. Po restarcie, nie było śladu Zeusa). Program równiez zainstalowany, gdy posiadamy Zeusa unieszkodliwi go. Warto dodać, że bazy ma z 10 września. Tak, więc działa heurystycznie. Ma pewne podpisy w bazie i na tej podstawie wykrywa intruza. Po prostu dopasowuje podpis.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
G-data BankGuard
Po uruchomieniu Zeusa, wirus został szybko unieszkodliowiony. Bazy z marca
[Aby zobaczyć linki, zarejestruj się tutaj]
Trusteer Rapport
To samo, po uruchomieniu Zeusa, został szybko unieszkodliowiony i usunięty z systemu.
[Aby zobaczyć linki, zarejestruj się tutaj]
Hitman Pro Alert 3b beta
Program bardzo dobrze wykrywa Zeusa, ale nie potrafi go usunąć, jezeli nie ma go w bazie Hitman Pro. W chwili przeprowadzenia testu nie posiadał go w bazie. Jednym słowem: trochę kiepsko.
[Aby zobaczyć linki, zarejestruj się tutaj]
Spyshelter Premium 6,1
Program informuje o tym, że nowy plik próbuje otworzyć nowy proces. Mam możliwość przeskanowania go na VirusTotal.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Skanuje, ale coś długo trwa i klikam anuluj. Efekt? Trojan uruchomił się w pamięci i sobie działał,
[Aby zobaczyć linki, zarejestruj się tutaj]
ale najważniejsze że zablokował haki. Więc działanie trojana Zeusa zablokował. Dodam, że haki zablokował automatycznie.
Zresetowałem system i usunąłem reguły. Następnie powtórnie uruchomiłem Zeusa i zezwoliłem plikowi zmodyfikać proces explorer.exe.
[Aby zobaczyć linki, zarejestruj się tutaj]
Zablokowałem jednak dostępu do pamięci.
[Aby zobaczyć linki, zarejestruj się tutaj]
Efekt: doszło do zarażenia. Hitman pro, tym razem wykrywał podejrzany plik. Haki znów blokowane. Good job.
[Aby zobaczyć linki, zarejestruj się tutaj]
Zemana Antilogger
Uruchomiłem Zeusa, powiadomił, że plik chcę wstrzyknąc kod. Zezwoliłem
[Aby zobaczyć linki, zarejestruj się tutaj]
Pierwszy raz moim oczom ukazał się komunikat znany z reklam Zemany: SSL zablokowany.
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchomiłem Hitmana Pro Alert i wskazywał, że jednak Zeus nadal sobie baraszkuje.
[Aby zobaczyć linki, zarejestruj się tutaj]
Zrobiłem reset, to samo. Usunąłem reguły Zemany i ponownie uruchomiłem Zeusa. Jednak Hitman Pro nadal mnie alarmował. Usunąłem Zemane i zainstalowałem SpySheltera, nie resetowałem nawet kompa, a SpyShelter zablokował haki i HitmanPro Alert nic nie wykrywał.
Wnioski: Wyciągnijcie sami
