Wczoraj uruchomilem plik wykonywalny: server.exe
1. Dwu-klik na plik server.exe - OA, zapytal czy chce uruchomic plik, kliknalem Zezwól.
Ukazalo sie okienko programu (do tego momentu, zadne dodatkowe wpisy w rejestrze nie zostaly utworzone), w ktorym wpisalem pierwsze lepsze dane i kliknalem Generate:
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak widac plik zostal stworzony i zapisany pod sciezka ktora wskazalem wczesniej.
W tym czasie OA pytal czy zezwolic na dostep do przestrzeni dyskowej programowi server.exe w celu zapisania pliku.
2. Wygenerowany plik uruchomilem, OA przed uruchomieniem wielokrotnie pytal czy zezwolic temu plikowi na dostep do przestrzeni OLE, oraz na dostep do przegladarki - klikalem wszedzie Zezwol. Uruchomieniu procesu z wygenerowanego wczesniej pliku towarzyszylo pojawienie sie na liscie niezaufanych procesow w oknie DefenseWall, procesu:
[Aby zobaczyć linki, zarejestruj się tutaj]
Po chwili process ten chcial uzyskac dostep do sieci, o czym poinformowal mnie firewall i co bylo widoczne w statusie firewall''a. Chwilke to potrwalo i wyswietlil mi sie taki blad, ktory jest zasluga DW:
[Aby zobaczyć linki, zarejestruj się tutaj]
Przez co dostep do Internetu tego procesu zostal przerwany.
3. W nastepnym kroku, wszedlem w liste zaufanych i niezaufanych procesow w DefenseWall - zaznaczylem poprzez klikniecie, dany process i wybralem zakoncz. Momentalnie process zniknal z listy procesow niezaufanych.
4. Z ciekawosci - wszedlem na liste Przywroc w DW aby sprawdzic co stworzyl po sobie ten program:
[Aby zobaczyć linki, zarejestruj się tutaj]
Oczywiscie wpisy maja status Niezaufany i dzialac moga tylko w osobnej strefie, strefie Niezaufanej.
5. Restart komputera, po uruchomieniu, zaden nowy process nie zostaje uruchomiony, nic sie nie dzieje, zero sladow infekcji. Stworzone procesy nie maja uprawnien do samodzielnego uruchomienia.
***
Wg. autora programu server.exe:
Cytat:
Program zapisuje się do rejestru HKLMsoftwaremicrosoftwindows.
A następnie kopiuje się do windows/system jako plik ALG.exe(poprawna ścieżka tego pliku to windows/system32)
program posiada wbudowany binder dzięki czemu jego instalacja w systemie nie wzbudza podejrzeń, po uruchomieniu serwera trojan uruchamia bindowany plik i jednocześnie instaluje się w ukryciu ,niewidoczny na liście procesów,niewykrywalny przez starażników rejestru,omija WSZYSTKIE firewalle
Myśle ze kolejny mit zostal obalony (busted), jak widac powyzej zarowno fw jak i wbudowany w niego hips informowal o kazdej czynnosci jaka chcial wykonac ten program.