Trojan sprawdzający obecność SandboxIE
#1
Pojawilo sie nowe cudo w sieci. ''Inteligentny'' trojan, zasada jego dzialania jest prosta - trojan pod postacia programu, najpierw sprawdza czy w systemie zainstalowane jest oprogramowanie SandboxIE.
Jesli chcesz go uruchomic w srodowisku SbIE, nie chce sie uruchomic, uruchomienie mozliwe jest poza SandboxIE, lub po zmienieniu nazwy SbIE na jakas inna.
Program ''trojan'' dziala rowniez przy wlaczonym LUA, nie tworzy zadnych katalogow, czy wpisow w rejestrze. Wykonuje natomiast zrzuty, ktore przesyla na jeden z dostepnych wczesniej zdefiniowanych w kodzie trojana serwerow FTP:

people-ftp.freenet.de:21 (ftp)
login = bernd30519
passwd = ******

Zrzuty maja postac plikow z nazwa: %machinename%_%username%.plog ktore sa zapisywane w katalogu root''a na serwerze.
Co zawieraja te zrzuty tego jeszcze nie wiadomo.


Tego typu przypadek jest przypomnieniem dotyczacym funkcjonalnosci SandboxIE, o ktorym czesto sie zapomina - otoz SbIE nie informuje o niczym/o zadnej czynnosci podejmowanej przez dowolny program uruchamiany w srodowisku piaskownicy. SbIE jedynie izoluje go w oddzielnym kontenerze na dysku. To sprawia ze programy ktore popularnie zwane sa keyloggerami, screenloggerami, camloggerami, etc - moga dzialac wewnatrz srodowiska SbIE tak dlugo az nie ''spluczemy'' piaskownicy, usuwajac cala jej zawartosc.
Creer,
Member of the Alliance of Security Analysis Professionals
Odpowiedz
#2
No to ciekawe nie wiedziałem , że takie trojany mogą być i działać co tu hakerzy nie wymyslą hmm
Odpowiedz
#3
LikwidatoR napisał(a):No to ciekawe nie wiedziałem , że takie trojany mogą być i działać co tu hakerzy nie wymyslą hmm


Wszystko sie rozchodzi o duze pieniadze, jak to pisal The New York Times, biznes ten jest lepiej oplacalny niz handel narkotykami.
Na tym polu rowniez liczy sie innowacyjnosc, aby nowe zagrozenia byly skuteczniejsze, bardziej odporne na sygnatury programow AV, etc, etc

Rowniez prywatne dane setek/milionow uzytkownikow na czarnym rynku maja ogromna wartosc, biznes ten jest kura znoszaca zlote jajka, tak dlugo jak bedzie on przynosil ogromne zyski, tak dlugo beda powstawaly coraz to nowsze/doskonalsze zagrozenia, na ktorych wynalezienie - nie oszukujmy sie - rowniez przeznaczane sa nie male pieniadze. Wydatek ten jednak jest traktowany jako inwestycja, ktora w krotkim okresie czasu zwroci sie jej tworcom z duza nawiazka.
Creer,
Member of the Alliance of Security Analysis Professionals
Odpowiedz
#4
Ciekawa informacja Creer!

Jeżeli ktoś posiada niezwykle cenne dane lub narażony jest na intensywne ataki, wtedy stosowanie programów typu Online Armor Pro, DefenseWall czy GeSWall jest bardzo dobrym rozwiązaniem.
Ale dla przeciętnego użytkownika dobry antywirus, zapora systemowa i Sandboxie to jest skuteczna i wygodna ochrona. W hipsach z piaskownicą nie można tak dokładnie przetestować softu a poza tym są one jednak programami bardziej skomplikowanymi.
Ten wirus z tego co piszesz jest szkodliwy tylko poza Sandboxie. Trojany wyizolowane w GW i DW też są szkodliwe.
Odpowiedz
#5
mnie przeraza kwestia tzw rootkitow... przeciez bardzo mozliwe jest ze jakis wkradnie sie w kod ktoregos z programow zabezpieczajacych, a jesli antywirus go nie wykryje to :/
Odpowiedz
#6
adam1226 napisał(a):mnie przeraza kwestia tzw rootkitow... przeciez bardzo mozliwe jest ze jakis wkradnie sie w kod ktoregos z programow zabezpieczajacych, a jesli antywirus go nie wykryje to :/


Masz bardzo dobry antywirus, HIPS i firewall.
Mnie bardziej przeraża, Twoja skłonność do nadmiernego przerażania się Smile
Odpowiedz
#7
spoko info creer
dobrze że mam DW
WIN11
Ventura
Odpowiedz
#8
Na DW tez sie predzej czy pozniej znajdzietylko wlasnie kiedySmile
Odpowiedz
#9
zresztą nie trzeba daleko szukać Z DW większość zagrożeń działa do restartu komputera i np taki robak będzie sobie działał i zarażał inne komputery
Odpowiedz
#10
LikwidatoR napisał(a):Na DW tez sie predzej czy pozniej znajdzietylko wlasnie kiedySmile


może kiedyś sięznajdzie
jednak pamiętaj że DW działa na innych zasadach niż Sandboxie
i to że DW robi człowiek który między innymi poprawiał samych speców Kasperskiego
oczywiście żewiem że nie ma 100% zabezpieczeń
WIN11
Ventura
Odpowiedz
#11
Dawniej pare lat temu by spokojnie wystarczylo. Za duzy jest wzrost w ostatnim czasiezłosliwego oprogramowania i roznych sztuczek hakerskich inowe rozdajezagrozen wiecteraz niestety nie ma 100% chyba ze sie posiada 4 warstwy ochronnenajlepszej polki to mozna mowic ze nic sie nie dostanie i jesli uzytkowik ma glowe na karku i nie klikagdzie popadnie.
Odpowiedz
#12
Jurek napisał(a):
adam1226 napisał(a):mnie przeraza kwestia tzw rootkitow... przeciez bardzo mozliwe jest ze jakis wkradnie sie w kod ktoregos z programow zabezpieczajacych, a jesli antywirus go nie wykryje to :/


Masz bardzo dobry antywirus, HIPS i firewall.
Mnie bardziej przeraża, Twoja skłonność do nadmiernego przerażania się Smile



ale obawiam sie, ze zle skonfigurowany :/, zreszta planuje zaraz, o ile nic mi si enie przypomni,, poswiecic dluzsza chwile na dokladna konfiguracje comodo (via

[Aby zobaczyć linki, zarejestruj się tutaj]

)
Odpowiedz
#13
Kolejne malwarektore przechodzi zabezpieczenia SandboxIE:

[Aby zobaczyć linki, zarejestruj się tutaj]

Creer,
Member of the Alliance of Security Analysis Professionals
Odpowiedz
#14
szkoda ,że nie jest po polskuTongue
Odpowiedz
#15
Poprzedni plik jest wykrywany przez heurystykę aviry jako TR/Crypt.XPACK.
Odpowiedz
#16
Creer napisał(a):Kolejne malwarektore przechodzi zabezpieczenia SandboxIE:

[Aby zobaczyć linki, zarejestruj się tutaj]



Słabo znam angielski. Gdy bedziesz miał troche czasu Creer, to napisz troche szczegółów na ten temat.
Czy doszło do zainfekowania systemu lub wyłączenia piaskownicy i czy wirus przedostał sie przez przegladarkę?
Odpowiedz
#17
Jurek napisał(a):
Creer napisał(a):Kolejne malwarektore przechodzi zabezpieczenia SandboxIE:

[Aby zobaczyć linki, zarejestruj się tutaj]



Słabo znam angielski. Gdy bedziesz miał troche czasu Creer, to napisz troche szczegółów na ten temat.
Czy doszło do zainfekowania systemu lub wyłączenia piaskownicy i czy wirus przedostał sie przez przegladarkę?


Autor napisal tylko ze znalazl malware ktore potrafi obejsc SandboxIE.
Link do post''a w ktorym jest link do tego zagrozenia:

[Aby zobaczyć linki, zarejestruj się tutaj]


Wg OP, to malware jesli zostanie uruchomione w SandboxIE - infekuje system, wydostajac sie poza piaskownice.
W systuacji gdy uruchomisz SbIE na maszynie wirtualnej, to malware, wykryje ze jest VM i sie nie uruchomi.
Creer,
Member of the Alliance of Security Analysis Professionals
Odpowiedz
#18
Creer napisał(a):Autor napisal tylko ze znalazl malware ktore potrafi obejsc SandboxIE.
Link do post''a w ktorym jest link do tego zagrozenia:

[Aby zobaczyć linki, zarejestruj się tutaj]


Wg OP, to malware jesli zostanie uruchomione w SandboxIE - infekuje system, wydostajac sie poza piaskownice.
W systuacji gdy uruchomisz SbIE na maszynie wirtualnej, to malware, wykryje ze jest VM i sie nie uruchomi.


Tak na dobrą sprawę, to DW czy GW są również pewnego rodzaju piaskownicami, tylko na wyższym poziomie ochrony i z bardziej praktyczna konfiguracją.
Gdybyś w Sandboxie zaizolował część plików systemowych i rejestru to także następowałoby blokowanie dostępu (ataków) a przy dodatkowym skonfigurowaniu aplikacji łączących się z netem, piaskownica pełniłaby role hipsa z firewallem.
To jest trochę niepokojące, że piasek przepuszcza trojany, ponieważ istnieje potencjalna możliwość, że będą wirusy, które oszukają DW i GW.
Odpowiedz
#19
Nigdy nie będzie taka sytuacja, że jakiś program będzie gwarantował 100% bezpieczeństwo. W końcu nie tylko producenci oprogramowania zabezpieczającego komputer idą na przód ze swoimi technikami, ale hakerzy, crackerzy są zawsze o krok do przodu przed nimi Smile
Odpowiedz
#20
Ratatui napisał(a):Nigdy nie będzie taka sytuacja, że jakiś program będzie gwarantował 100% bezpieczeństwo. W końcu nie tylko producenci oprogramowania zabezpieczającego komputer idą na przód ze swoimi technikami, ale hakerzy, crackerzy są zawsze o krok do przodu przed nimi Smile


Porównując DW do AV, to tak jakbyśmy porównywali Linuksa do Windowsa.
To nie prawda,że Widna jest dziurawa tylko dlatego, że jest bardziej popularna. Jest po prostu systemem bardziej narażonym na infekcję i znacznie mniej bezpiecznym.
AV również nigdy nie dorównają hipsom z piaskiem, ponieważ działają w zupełnie inny sposób, który jest bardzo zawodny.
Jak na razie Ratatui nie ma wira który by dał radę DW czy GW. Być może pojawią się kiedyś jednostkowe przypadki ale błędy na pewno zostaną szybko naprawione przez twórców programów. W przypadku antywirusów sytuacja jest o niebo gorsza Smile
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości