Programy AV vs. Sality (zainfekowany system) - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Publikacje (https://safegroup.pl/forum-27.html) +--- Dział: Testy (https://safegroup.pl/forum-22.html) +--- Wątek: Programy AV vs. Sality (zainfekowany system) (/thread-5238.html) Strony:
1
2
|
Programy AV vs. Sality (zainfekowany system) - SafeGroup.pl - 27.07.2012 W związku z faktem,że na próbce Live Security już wszystkie najpopularniejsze programy zostały przetestowane, przyszedł czas na większy kaliber zagrożeń. Wirus, z którym teraz zmierzą się aplikacje zabezpieczające powstał lata temu. Liczba szkód jakie wyrządził jest niepomierna, tym bardziej,że jeszcze w 2010 roku był najpopularniejszym szkodnikiem. Jego działanie polega na infekowaniu praktycznie każdego programu na komputerze (.exe), szybkim kopiowaniu się oraz pobieraniu z sieci dodatkowych zagrożeń , krótko pisząc: malware ten tworzy wirusom park rozrywki z testowanego systemu. Otóż przedstawiam Wam , Sality Według tachiona: " Sality należy do rodziny polimorficznych infektorów,potrafi replikować się na wszystkie partycje w celu infekcji plików wykonywalnych Dodatkowo dodaje autorun.inf do austostartu,jak i modyfikację rejestru,oczywiście ładunek w pliku jak i autorun inf.jest ukryty,nawiązuje też połączenie ze zdalnym serwerem w celu ściągnięcia dodatkowych infektorów Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "116.96.142.6" on port 80 (TCP - HTTP). Wirus też uruchamia usługę systemową amsint32 w celu załadowania sterownika amsint32 po to żeby przywrócić SSDT. Dodatkowo powoduje usunięcie klucza w rejestrze
w celu uniemożliwienia odpalenia systemu w trybie awaryjnym z obsługą sieci,modyfikacje kluczy odpowiedzialnych za firewalla jak i antywirusa
czyli ogólnie rzecz biorąc usuwa pliki związane z bezpieczeństwem Log z wykonywania Detailed report of suspicious malware actions: Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasapi32\consoletracingmask = ffff0000 Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasapi32\filedirectory = 2500770069006e0064006900720025005c00740072006100630069006e0067000000 Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasapi32\filetracingmask = ffff0000 Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasapi32\maxfilesize = 00100000 Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasmancs\consoletracingmask = ffff0000 Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasmancs\filedirectory = 2500770069006e0064006900720025005c00740072006100630069006e0067000000 Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasmancs\filetracingmask = ffff0000 Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasmancs\maxfilesize = 00100000 Changed a service Checked for debuggers Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_1024.db!dfMaintainer Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_256.db!dfMaintainer Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_32.db!dfMaintainer Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_96.db!dfMaintainer Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!rwReaderRefs Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!rwWriterMutex Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!ThumbnailCacheInit Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_sr.db!dfMaintainer Created a mutex named: Local\!IETld!Mutex Created a mutex named: Local\Shell.CMruPidlList Created a service named: amsint32 Created a service named: IPFILTERDRIVER Created an event named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!rwWriterEvent Created process: (null),"C:\Windows\explorer.exe" "C:",(null) Defined Autostart file created: C:\autorun.inf Defined Autostart file created: D:\autorun.inf Defined Autostart file created: E:\autorun.inf Defined Autostart file created: F:\autorun.inf Defined code injection in process: c:\windows\explorer.exe Defined file type created: C:\loyg.exe Defined file type created: D:\mjgri.exe Defined file type created: E:\bxgq.exe Defined file type created: F:\hjmru.exe Defined file type modified in Windows folder: C:\Windows\SYSTEM.INI Defined Log_API entry: Change to Windows Firewall Service Defined Log_API entry: Change to Windows Security Center Service Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\DisplayName = amsint32 Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\ErrorControl = 00000001 Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\ImagePath = C:\Windows\system32\drivers\jtqmdn.sys Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\Start = 00000003 Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\Type = 00000001 Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Users\tachion\Desktop\Sality\Sality.bh.exe = C:\Users\tachion\Desktop\Sality\Sality.bh.exe:*:Enabled:ipsec Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications = 00000001 Detected backdoor listening on port: 8751 Detected keylogger functionality Detected process privilege elevation Enumerated running processes Firewall settings change: machine\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\enablefirewall = empty value key Got computer name Got system default language ID Got user name information Got volume information Hide file from user: C:\autorun.inf Hide file from user: C:\loyg.exe Hide file from user: D:\autorun.inf Hide file from user: D:\mjgri.exe Hide file from user: E:\autorun.inf Hide file from user: E:\bxgq.exe Hide file from user: F:\autorun.inf Hide file from user: F:\hjmru.exe Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "116.96.142.6" on port 80 (TCP - HTTP). Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "174.136.52.205" on port 80 (TCP - HTTP). Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "202.52.134.70" on port 80 (TCP - HTTP). Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "208.73.210.29" on port 80 (TCP - HTTP). Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "31.207.80.214" on port 80 (TCP - HTTP). Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "87.248.217.253" on port 80 (TCP - HTTP). Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "93.89.226.24" on port 80 (TCP - HTTP). Listed all entry names in a remote access phone book Loaded a system driver named: owana prуba Badowania systemowego sterownika ''amsint32 Opened a service named: acssrv Opened a service named: Agnitum Client Security Service Opened a service named: ALG Opened a service named: Amon monitor Opened a service named: amsint32 Opened a service named: aswFsBlk Opened a service named: aswMon2 Opened a service named: aswRdr Opened a service named: aswSP Opened a service named: aswTdi Opened a service named: aswUpdSv Opened a service named: AV Engine Opened a service named: avast! Antivirus Opened a service named: avast! Asynchronous Virus Monitor Opened a service named: avast! iAVS4 Control Service Opened a service named: avast! Mail Scanner Opened a service named: avast! Self Protection Opened a service named: avast! Web Scanner Opened a service named: AVG E-mail Scanner Opened a service named: Avira AntiVir Premium Guard Opened a service named: Avira AntiVir Premium MailGuard Opened a service named: Avira AntiVir Premium WebGuard Opened a service named: AVP Opened a service named: BGLiveSvc Opened a service named: BlackICE Opened a service named: BROWSER Opened a service named: CAISafe Opened a service named: ccEvtMgr Opened a service named: ccProxy Opened a service named: ccSetMgr Opened a service named: cmdAgent Opened a service named: cmdGuard Opened a service named: COMODO Firewall Pro Sandbox Driver Opened a service named: Csc Opened a service named: CscService Opened a service named: Eset HTTP Server Opened a service named: Eset Personal Firewall Opened a service named: Eset Service Opened a service named: F-Prot Antivirus Update Monitor Opened a service named: fsbwsys Opened a service named: FSDFWD Opened a service named: F-Secure Gatekeeper Handler Starter Opened a service named: FSMA Opened a service named: Google Online Services Opened a service named: InoRPC Opened a service named: InoRT Opened a service named: InoTask Opened a service named: IPFILTERDRIVER Opened a service named: ISSVC Opened a service named: KLIF Opened a service named: KPF4 Opened a service named: LanmanWorkstation Opened a service named: LavasoftFirewall Opened a service named: LIVESRV Opened a service named: McAfeeFramework Opened a service named: McShield Opened a service named: McTaskManager Opened a service named: mpssvc Opened a service named: navapsvc Opened a service named: NOD32krn Opened a service named: NPFMntor Opened a service named: NSCService Opened a service named: Outpost Firewall main module Opened a service named: OutpostFirewall Opened a service named: PAVFIRES Opened a service named: PAVFNSVR Opened a service named: PavProt Opened a service named: PavPrSrv Opened a service named: PAVSRV Opened a service named: PcCtlCom Opened a service named: PersonalFirewal Opened a service named: PREVSRV Opened a service named: ProtoPort Firewall service Opened a service named: PSIMSVC Opened a service named: RapApp Opened a service named: RASMAN Opened a service named: SavRoam Opened a service named: Sens Opened a service named: SharedAccess Opened a service named: SmcService Opened a service named: SNDSrvc Opened a service named: SPBBCSvc Opened a service named: SpIDer FS Monitor for Windows NT Opened a service named: SpIDer Guard File System Monitor Opened a service named: SPIDERNT Opened a service named: Symantec AntiVirus Opened a service named: Symantec AntiVirus Definition Watcher Opened a service named: Symantec Core LC Opened a service named: Symantec Password Validation Opened a service named: Tmntsrv Opened a service named: TmPfw Opened a service named: UmxAgent Opened a service named: UmxCfg Opened a service named: UmxLU Opened a service named: UmxPol Opened a service named: vsmon Opened a service named: VSSERV Opened a service named: wcncsvc Opened a service named: WebrootDesktopFirewallDataService Opened a service named: WebrootFirewall Opened a service named: wscsvc Opened a service named: XCOMM Query DNS: ahmediye.net Query DNS: ajax.googleapis.com Query DNS: althawry.org Query DNS: ampyazilim.com.tr Query DNS: amsamex.com Query DNS: api.twitter.com Query DNS: apple-pie.in Query DNS: arthur.niria.biz Query DNS: cdn.dsultra.com Query DNS: forum.safegroup.pl Query DNS: g2.arrowhitech.com Query DNS: plus.google.com Query DNS: twitter.com Query DNS: [Aby zobaczyć linki, zarejestruj się tutaj] Query DNS:[Aby zobaczyć linki, zarejestruj się tutaj] Query DNS:[Aby zobaczyć linki, zarejestruj się tutaj] Query DNS:[Aby zobaczyć linki, zarejestruj się tutaj] Query DNS:[Aby zobaczyć linki, zarejestruj się tutaj] Safe Mode settings change: machine\system\currentcontrolset\control\safeboot\alternateshell = deleted value keySafe Mode settings change: machine\system\currentcontrolset\control\safeboot\minimal = deleted registry key Safe Mode settings change: machine\system\currentcontrolset\control\safeboot\network = deleted registry key Security Center settings change: machine\software\microsoft\security center\antivirusdisablenotify = 00000001 Security Center settings change: machine\software\microsoft\security center\antivirusoverride = 00000001 Security Center settings change: machine\software\microsoft\security center\firewalldisablenotify = 00000001 Security Center settings change: machine\software\microsoft\security center\firewalloverride = 00000001 Security Center settings change: machine\software\microsoft\security center\svc\antivirusdisablenotify = 00000001 Security Center settings change: machine\software\microsoft\security center\svc\antivirusoverride = 00000001 Security Center settings change: machine\software\microsoft\security center\svc\firewalldisablenotify = 00000001 Security Center settings change: machine\software\microsoft\security center\svc\firewalloverride = 00000001 Security Center settings change: machine\software\microsoft\security center\svc\uacdisablenotify = 00000001 Security Center settings change: machine\software\microsoft\security center\svc\updatesdisablenotify = 00000001 Security Center settings change: machine\software\microsoft\security center\uacdisablenotify = 00000001 Security Center settings change: machine\software\microsoft\security center\updatesdisablenotify = 00000001 Show hidden files and folders: user\current\software\microsoft\windows\currentversion\explorer\advanced\hidden = 00000002 Slept over 2 minutes Started a service Stopped a service Jak widać Sality nie należy do byle jakich wirusów, w czasie testu może okazać się, że usunięcie go będzie niemożliwe. Wirusy polimorficzne... ... czyli zagrożenia potrafiące zmienić swój kod/postać. Cytując za Wikipedią* Wirusy poliformiczne – typ wirusa posiadający zdolność zmiany kodu swojego dekryptora. Wirusy polimorficzne składają się z dwóch części: polimorficznego loadera zwanego również deszyfratorem lub dekryptorem oraz części zaszyfrowanej, stanowiącą główny kod wirusa. Najpierw uruchamiany jest dekryptor, który odpowiada za odszyfrowanie w pamięci głównej części wirusa. Kontrola przekazywana jest do głównej części, gdy zostanie ona odszyfrowana. Wirus infekując plik tworzy nowy polimorficzny deszyfrator, zwykle inny w każdym infekowanym pliku. Istnieją również powolne wirusy polimorficzne. Np. napisany przez GriYo HPS, tworzy dekryptor tylko raz, tuż po uruchomieniu, tak więc nowy dekryptor tworzony jest dopiero przy następnym uruchomieniu komputera. Autorzy programów antywirusowych zazwyczaj nie mogą stworzyć sygnatury danego wirusa na podstawie dekryptora, ze względu na jego polimorfizm. Istnieje wiele metod wykrywania tego typu wirusów, z których najbardziej skuteczną jest emulacja. Emulator wykonuje kod polimorficzny do czasu, aż zdeszyfruje on część zaszyfrowaną. W tym momencie możliwe jest wykrycie wirusa za pomocą wzorca. Rozwinięciem idei wirusów polimorficznych są wirusy metamorficzne. ...oraz za cenionym w Polsce producentem- Arcabitem** Zasada działania Wirusy z rodziny W32.Sality to grupa wirusów polimorficznych. Potrafią one samodzielnie modyfikować swój kod deszyfrujący w trakcie każdej pojedynczej infekcji kolejnego pliku, co znacznie utrudnia ich wykrywanie przez programy antywirusowe. Do infekcji dochodzi poprzez uruchomienie zainfekowanego pliku. Plik instaluje w pamięci komputera szkodliwy kod, który utrudnia użytkownikowi normalną pracę blokując dostęp do wybranych programów. Ogranicza to w znacznym stopniu możliwość wykrycia i usunięcia go przez użytkownika podczas pracy na zainfekowanym systemie Windows. Cechy charakterystyczne Wirus infekuje pliki .EXE oraz .SCR o rozmiarze do 40MB. Może rozprzestrzeniać się zarażając zasoby dysków sieciowych, a także popularnych dysków pendrive poprzez dopisanie uruchomienia wirusa do pliku startowego autorun.inf. Najczęściej daje znać o sobie blokując dostęp do Edytora rejestru Windows Regedit oraz Menadżera zadań taskmgr Zapewne wszyscy jesteśmy ciekawi jak z tym leciwym już szkodnikiem poradzą sobie pakiety zabezpieczeń. Sposób wykonania testu 1. Instalacja oprogramowania antywirusowego + aktualizacja sygnatur wirusów. 2. Wyłączenie funkcji ochronnych. 3. Instalacja próbki Sality, dostarczonej dla mnie przez Wavesa . Uwaga ! Wszystkie programy będą testowane na tym samym samplu, którego rozpoznawalność skaneróww serwisie Virustotal wynosi 40/41. Osoby testujące proszone są o kontakt ze mną . 4. Po około 5 minutach ponowne uruchomienie programu AV oraz dokonanie restartu. 5. Po ponownym uruchomieniu systemu brak działań ze strony testującego przez okres 30-stu minut. Program zabezpieczający będzie w tym czasie walczyć ze szkodliwym wirusem. Sality zaś najprawdopodobniej pobierze inne zagrożenia. 6. Po półgodzinie , nastąpi zablokowanie przez testującego dostępu do sieci na maszynie wirtualnej np. za pomocą Firewalla, a następnie wykonanie pełnego skanu antywirusem. 7. Przeskanowanie systemu programem Malwarebytes i (po włączeniu internetu) Hitmanem Pro. Warunek zaliczenia Na moją prośbęF4zwykonał wstępny test na jednym z pakietów zabezpieczających. Okazało się ,że był on w stanie usunąć pliki szkodnika (wyleczyć je) bez uszkodzenia plików systemowych. Skanery nie znalazły śladów Sality po wykonaniu doświadczenia. Załóżmy jednak ,że z ocenami zaliczył/ niezaliczył wstrzymamy się do końca zawodów . Wyniki podawać będziemy opisowo, to jest: [*] ile wykryć zanotował program Av po pełnym skanie [*] ile wykryć wskazały dodatkowe skanery [*] sam fakt tego , czy program AV przetrwał test ( Sality również infekuje pliki antywirusów). Już wkrótce pierwsze sprawdziany . Kontrolowane będą tylko najpopularniejsze aplikacje. Chętnych do wykonania testów zapraszam na PW. Na dniach zaczynamy Żródła: * [Aby zobaczyć linki, zarejestruj się tutaj] **https://www.arcabit.pl/zagrozenia-top-10/w32.salityRe: Programy AV vs. Sality (zainfekowany system) - Adi Cherryson - 28.07.2012 Alex -mam obecnie wątpliwości odnośnie praktycznego efektu wyników testów. Ten problem chciałem już podnieść przy poprzednim teście Live Security Platinum, ale zabrakło mi czasu na napisanie. Rzecz wygląda tak: Wyłączenie swojej ochrony i świadome zakażenie systemu raczej nie zdarzy się zwykłemu użytkownikowi. Częściej zdarzy się taka sytuacja: nie miałem żadnej ochrony, wirus się uruchomił i szukam teraz programu, który go usunie. Kupuję więc lub instaluję darmowy produkt. Pomijając fakt, że są różne skuteczne metody i narzędzia do leczenia już zainfekowanego systemu, warto sprawdzić, jak zachowają się testowane programy podczas próby instalacji na zainfekowanym systemie. Czyli tak: 1. Wpuszczenie wirusa do systemu. 2. Próba instalacji programu antywirusowego na zainfekowanym systemie. To jest bardziej praktyczne, bo jako zwykły użytkownik mogę nie mieć świadomości, co się właściwie stało. A nie wyobrażam sobie sytuacji, aby producenci najlepszych zabezpieczeń nie uwzględnili faktu, że ich produkt nie zostanie prawidłowo zainstalowany na już zainfekowanym komputerze. Może trzeba wtedy będzie skontaktować się z serwisem. Cel jest taki: dany program ma się poprawnie zainstalować i usunąć infekcję, nawet z użyciem pomocy technicznej producenta. Re: Programy AV vs. Sality (zainfekowany system) - McAlex - 28.07.2012 Adi, przy Live Security nie dało się wgrac żadnego programu,gdyż blokował on wszystkie pliki wykonywalne.Można było kombinować przez wyłączenie go w trybie awaryjnym, ale wtedy już by się nie uruchomił i po teście... A w ogóle to był test autoOchrony, a live to dobre ku temu narzędzie. Teraz trochę inaczej, bo testujemy prawdziwą i realną infekcje. Wgrywanie av na komputer zarażony Sality to raczej nie jest dobry pomysł. Najprawdopodobniej skończy się to masakrą systemu:-) w ten sposób przetestujemy narzędzia do usuwania tego wirusa. Wirus ten występuje w crackach, stąd duża popularność. Teraz wejdźmy na stronę z takimi plikami i przeczytajmy instrukcję instalacji. Pierwsza rzecz to wyłączenie av. Dzieci naprawdę to robią:-) Sam już miałem z tym wirusem w taki sposób do czynienia. Co innego, że jego infekcja jest początkowo niezauważalna, więc wiele osób nie zauważa. Ten test będzie sprawdzał umiejętność warstw ochronnych w walce z jednym z najgroźniejszych i najbardziej popularnych wirusów. Podobnie jak sprawdzian z live , nie będzie normalnym egzaminem jaki programom av wykonują testerzy nagrywający filmy. Próbka wirusa jest rozpoznawana przez wszystkich producentów. Re: Programy AV vs. Sality (zainfekowany system) - Ratatui - 28.07.2012 Adi Cherryson napisał(a):Częściej zdarzy się taka sytuacja: nie miałem żadnej ochrony, wirus się uruchomił i szukam teraz programu, który go usunie. Kupuję więc lub instaluję darmowy produkt. Uważam, że przy zainfekowanym systemie nie ma sensu instalowanie programu antywirusowego. Najpierw najlepiej usnąć wirusy przez Rescue Disk a dopiero potem zainstalować program antywirusowy. Re: Programy AV vs. Sality (zainfekowany system) - Fix00ser - 28.07.2012 także uważam że najlepszą opcją usuwania Sality jest użycie środowiska wydzielonego najlepiej pozasystemowo z Live CD przypominam o istnieniu Ubuntu MRT-Malware Removal Toolkit także LiveCD [Aby zobaczyć linki, zarejestruj się tutaj] SUGEROWAŁBYM NAWET PRZED ROZPOCZĘCIEM PROCEDUR CZYSZCZENIA WYKONAĆ KOPIĘ POSEKTOROWĄ NOŚNIKA KTÓRY ULEGŁ INFEKCJI, oczywiście jeśli dysponujemy wolną przestrzenią na innym nośnikuRe: Programy AV vs. Sality (zainfekowany system) - Flash999 - 28.07.2012 @alex1155 Tak to właśnie działa. Miałem przyjemność u kolegi zobaczyć komputer zainfekowany Sality z AVG na pokładzie. Dodatkowo dostałem od niego pendrive z niespodzianką w postaci zarażonego cracka. Niestety, ludzie bezgranicznie wierzą, że crack powinien być wykrywanie przez antywirusa i wyłączają na własną rękę widząc np. Sality lub Viruta. Co do LiveCD... Jak powiedzieć niezaawansowanemu użytkownikowi "Pobierz Dr Web LiveCD, wypal na niezainfekowanym komputerze, uruchom z niej system i lecz zainfekowane pliki (w katalogu tymczasowym usuwaj)"? Założę się, że laik w takim wypadku odda komputer do serwisu. Osobiście miałem przyjemność pomagać przez internet usuwać Sality z działającego systemu (i udało się poprzez szczepionkę AVG, Kaspersky i antywirusowi avast!). Re: Programy AV vs. Sality (zainfekowany system) - McAlex - 28.07.2012 Nie ma problemu, w teście przyjrzymy się i reakcjom pakietów IS i pojedynczym szczepionkom. Sality jest faktycznie najlepiej leczyć poza antywirusowymi sposobami. Jednak trzeba być wyjątkowo ostrożnym. Natomiast chciałbym przypomnieć,że ten test dotyczy starcia pakietów AV vs. Sality , dlatego będziemy tu takowe własnie testować. Żeby była jasność nie widzę problemu, ba czuję nawet konieczność ,założenia tematu na naszym forum z "poradnikiem" usunięcia tego zagrożenia. Zachęcam do pisania i doradzania. Tutaj zajmujmy się tylko aplikacjami zabezpieczającymi. Dodano: 28 lip 2012, 11:41 Flash999 napisał(a):@alex1155 Mi taki numer zrobił kiedyś mój brat przy Pandzie . Ściągnął cracka, na stronce było napisane, że antywirus może wykrywać zagrożenie, więc należy go wyłączyć. No to dziecko tak zrobiło i Panda sama w sobie zagrożenia wykrywała. To był horror. Re: Programy AV vs. Sality (zainfekowany system) - Flash999 - 28.07.2012 AVG Internet Security 2012 1. AVG jest aktualny i działa [Aby zobaczyć linki, zarejestruj się tutaj] 2. Wyłączam tymczasowo program [Aby zobaczyć linki, zarejestruj się tutaj] 3. Uruchomienie Sality [Aby zobaczyć linki, zarejestruj się tutaj] b) alert zapory - zezwolono [Aby zobaczyć linki, zarejestruj się tutaj] 4. Włączenie programu [Aby zobaczyć linki, zarejestruj się tutaj] b) restart. . . [Aby zobaczyć linki, zarejestruj się tutaj] 5. Mija 30 minut, a program jak na razie nie podniósł żadnego alarmu! [Aby zobaczyć linki, zarejestruj się tutaj] 6. Zablokowanie Internetu i wykonanie pełnego skanu systemu [Aby zobaczyć linki, zarejestruj się tutaj] 7. Wynik skanu narzędzi antymalware: a) Malwarebytes Anti-Malware [Aby zobaczyć linki, zarejestruj się tutaj] b)HitmanPro [Aby zobaczyć linki, zarejestruj się tutaj] Wytłumaczy mi to ktoś? Może próbka nie działa na wirtualnych maszynach? Re: Programy AV vs. Sality (zainfekowany system) - McAlex - 28.07.2012 FortiClient Lite vs. Sality testujący : F4z [Aby zobaczyć linki, zarejestruj się tutaj] Do walki z wyniszczającym szkodnikiem stanął program Fortinet. Na początku nastąpiło wyłączenie oprogramowania antywirusowego.. [Aby zobaczyć linki, zarejestruj się tutaj] ...oraz uruchomienie wirusa Sality. [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Szkoda tylko,że po wykonaniu tej czynności zniknęła ikona antywirusa. [Aby zobaczyć linki, zarejestruj się tutaj] Choć program wyrażnie próbował się uruchomić. [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Nadszedł czas restartu. [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Szkoda tylko,że po ponownym uruchomieniu systemu, Fortinet nie działał. [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Skanery nie pozostawiły złudzeń : [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Wynik Antywirus został uszkodzony, system zainfekowany. Re: Programy AV vs. Sality (zainfekowany system) - McAlex - 30.07.2012 Panda Cloud Pro 2.0 Oczywiście jak nakazuje instrukcja, po zainstalowaniu programu , ochrona real time została wyłączona , a Sality wpuszczony do systemu. Następnie nastąpiła reaktywacja Pandy oraz restart Windowsa. W przeciwieństwie do poprzedniego pakietu, Panda Cloud uruchomiła się oraz od razu rozpoczęła usuwanie zagrożeń. Po 30 minutach, czyli czasie wystarczającym dla wirusa mutującego się w systemie, wykonany został pełen skan. I tu Panda nie zawiodła. Usunęła 5* plików Sality,a na dalszy rozwój szkodnika po prostu nie pozwoliła. Świetnie! [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] *W przypadku uruchomienia Sality na domowym komputerze, na którym więcej jest zainstalowanych programów wyniki skanów byłyby odpowiednio wyższe. Testujący: F4z Re: Programy AV vs. Sality (zainfekowany system) - KaMiL - 30.07.2012 Hej Prosiłbym o dodanie do listy testujacych AV - F Secure 2013 BETA. Sam chetnie wykonalbym test, ale jestem poza domem No i dzieki za rozpoczecie nowej serii testow. Re: Programy AV vs. Sality (zainfekowany system) - McAlex - 30.07.2012 Program w wersji beta odpada . Test na avg będzie powtórzony. Próbka z wewnętrznych przyczyn nie zadziałała Dodano: 30 lip 2012, 21:00 Program w wersji beta odpada . Test na avg będzie powtórzony. Próbka z wewnętrznych przyczyn nie zadziałała Re: Programy AV vs. Sality (zainfekowany system) - KaMiL - 30.07.2012 Zadowole sie v2012 Re: Programy AV vs. Sality (zainfekowany system) - Adrian120 - 31.07.2012 będzie test aviry? Re: Programy AV vs. Sality (zainfekowany system) - McAlex - 31.07.2012 Adrian120 napisał(a):będzie test aviry? W przyszłości. Dodano: 31 lip 2012, 10:04 Kaspersky Internet Security 2012 O ile Fortinet poległ w starciu z Sality na całej linii, Panda bez przeszkód zneutralizowała go zgodnie z zasadami testu , o tyle Kaspersky, jak to on, musiał czymś zaskoczyć . W momencie wyłączenia ochrony AV i uruchomienia szkodnika, KIS od razu rozpoczął informować o próbie uszkodzenia jego procesów (Sality podobnie jak Live Security atakuje autoochronę programu ), natomiast po aktywacji modułów zabezpieczających, rosyjski gigant w mgnieniu oka stanął do walki z wirusem, tak ,że po restarcie systemu od razu skupił się na leczeniu komputera oraz po kolejnym ponownym uruchomieniu Windowsa, w trakcie pełnego skanu, bezlitośnie zabił jednego z najpopularniejszych na świecie przedstawicieli malware. Jak do tej pory reakcja KISa jest najszybszą i najostrzejszą. Zobaczymy co potrafią pozostałe aplikacje. [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Testujący : Adam- F4z Re: Programy AV vs. Sality (zainfekowany system) - Galactico - 31.07.2012 Nie lepiej jest nakręcić jakiś pożądany materiał wideo? A jak nie, to może jakaś galeria, bo to wrzucanie obrazków jeden pod drugim jest mało przejrzyste. Re: Programy AV vs. Sality (zainfekowany system) - McAlex - 31.07.2012 Galactico napisał(a):Nie lepiej jest nakręcić jakiś pożądany materiał wideo? A jak nie, to może jakaś galeria, bo to wrzucanie obrazków jeden pod drugim jest mało przejrzyste. Na koniec testu będzie recenzja. Materiały video też będą. Ranking również. Dodano: 31 lip 2012, 13:56 Warto wiedzieć, że test tenma za zadanie sprawdzić:
Re: Programy AV vs. Sality (zainfekowany system) - Adi Cherryson - 31.07.2012 alex1155 napisał(a):W momencie wyłączenia ochrony AV i uruchomienia szkodnika, KIS od razu rozpoczął informować o próbie uszkodzenia jego procesów (Sality podobnie jak Live Security atakuje autoochronę programu ), Wzorcowo. Ja bym prosił znowu test Ashampoo AM, nie żebym się znęcał , ale dla poznania prawdy. Re: Programy AV vs. Sality (zainfekowany system) - McAlex - 31.07.2012 Programy będą sprawdzane według tej samej listy co przy live security, przy czym najpierw te w wersji 2013, gdyż przy okazji niektórym bliżej się przyjrzę i napiszę recenzję:-) Tak Kaspersky naprawdę świetnie sobie poradził, rozpoczął atak na wirusa od samego początku. Jednak cicha i lekka Panda uzyskała identyczną skuteczność. Re: Programy AV vs. Sality (zainfekowany system) - aope - 31.07.2012 Emsisoft Anti-Malware 6.6 vs Sality Specyfika systemu: Windows 7 x64, w pełni zaktualizowany, usługa Windows Defender wyłączona Maszyna wirtualna: Oracle VirtualBox [Aby zobaczyć linki, zarejestruj się tutaj] Wyłączam zabezpieczenia, uruchamiam próbkę z prawami administratora. Nazwa pliku brzmi znajomo? Owszem, to piracka wersja gry Minecraft z "niespodzianką" w postaci Sality w środku. Zaczynamy.[Aby zobaczyć linki, zarejestruj się tutaj] W procesach dziwnie czysto. Ale chwila chwila. Co to za ciekawa usługa systemowa? Szybki rzut okiem na procedury autostartu i...trafiony. Sality podpina się pod moduł autoaktualizacji Javy i startuje wraz z systemem. Menedżer zadań unieruchomiony. Sprytnie. Nie pozostaje więc nic innego jak...[Aby zobaczyć linki, zarejestruj się tutaj] ...restart systemu aby wywabić szkodnika[Aby zobaczyć linki, zarejestruj się tutaj] Zgodnie z oczekiwaniami Sality pod przykrywką Javy wystartował...[Aby zobaczyć linki, zarejestruj się tutaj] ...i zaczyna swoją imprezę na salonach[Aby zobaczyć linki, zarejestruj się tutaj] Szybkie włączenie zabezpieczeń w Emsisoft Anti-Malware i restart systemu. Momentalnie EAM reaguje swoim modułem kontroli zachowań, jednak nie zdążyłem tego uchwycić[Aby zobaczyć linki, zarejestruj się tutaj] Moduł kontroli zachowań wykrywa podejrzane poczynania naszego pupila. Musiałem podjąć szybka decyzję, ponieważ bloker behawioralny zatrzymuje proces do czasu decyzji użytkownika. Decyzja? Oczywiście zezwalam na dalsze działania Sality[Aby zobaczyć linki, zarejestruj się tutaj] EAM walczy ze szkodnikiem, kolejne okna o wykryciu i usunięciu zagrożenia pojawiają się jedno za drugim w iście ekspresowym tempie, aż trudno złapać zrzutkę[Aby zobaczyć linki, zarejestruj się tutaj] Kolejny alert od modułu kontroli zachowań. Wystarczy tego, blokujemy[Aby zobaczyć linki, zarejestruj się tutaj] W procesach czysto, aż tu nagle...[Aby zobaczyć linki, zarejestruj się tutaj] Pojawiają się kolejne dwa rodzynki. Oczywiście blokujemy i rozpoczynamy pełne skanowanie systemu po wcześniejszym wyłączeniu karty sieciowej.[Aby zobaczyć linki, zarejestruj się tutaj] Skanowanie zakończone. Wykryto 10 infekcji. Zainfekowane zostały m.in. pliki wykonywalne Malwarebytes'' Anti-malware i asystent pierwszego uruchomienia Emsisoft Anti-Malware. Na szczęście (dla mnie i programu) główne pliki wykonywalne EAM pozostały czyste. No to kwarantanną je![Aby zobaczyć linki, zarejestruj się tutaj] Dla pewności wykonałem jeszcze jedno, pełne skanowanie. Plik yvfrod.exenie wygląda na pewniaka. Do kwarantanny więc.[Aby zobaczyć linki, zarejestruj się tutaj] Plikyvfrod.exeautomatycznie jednak pojawia się, pomimo umieszczenia w kwarantannie.[Aby zobaczyć linki, zarejestruj się tutaj] Włączam wyświetlanie ukrytych plików w eksploratorze Windows i oto jest, autorun . Sprytnie. Brzydko EAM, powinieneś znaleźć i zneutralizować. Do kosza więc.[Aby zobaczyć linki, zarejestruj się tutaj] Nie ma tak łatwo. Skorzystamy więc z dostępnego w EAM programu...[Aby zobaczyć linki, zarejestruj się tutaj] ... BlitzBlink i usuniemy pliki przy restarcie systemu. Do dzieła.[Aby zobaczyć linki, zarejestruj się tutaj] Usuwanie...[Aby zobaczyć linki, zarejestruj się tutaj] No i czysto.[Aby zobaczyć linki, zarejestruj się tutaj] Teraz uaktywniam połączenie sieciowe, wyłączam ochronę EAM aby nie spowalniała skanowania i dla pewności instaluje na świeżo Malwarebytes'' Anti-Malware. Aktualizuje i rozpoczynam skanowanie.[Aby zobaczyć linki, zarejestruj się tutaj] Wyniki skanowania MBAM. Pozostały zmienione klucze rejestru dotyczące m.in. menedżera zadań.[Aby zobaczyć linki, zarejestruj się tutaj] I wyniki Hitman Pro. Wyniki? Zero szkodliwych plików i zmienione wartości rejestru.Żegnaj Sality, było miło, kawał z ciebie skurczybyka |