Programy AV vs. Sality (zainfekowany system)

[SafeGroup.pl]

W związku z faktem,że na próbce Live Security już wszystkie najpopularniejsze programy zostały przetestowane, przyszedł czas na większy kaliber zagrożeń.
Wirus, z którym teraz zmierzą się aplikacje zabezpieczające powstał lata temu. Liczba szkód jakie wyrządził jest niepomierna, tym bardziej,że jeszcze w 2010 roku był najpopularniejszym szkodnikiem. Jego działanie polega na infekowaniu praktycznie każdego programu na komputerze (.exe), szybkim kopiowaniu się oraz pobieraniu z sieci dodatkowych zagrożeń , krótko pisząc: malware ten tworzy wirusom park rozrywki z testowanego systemu.
Otóż przedstawiam Wam , Sality

Według tachiona:

" Sality należy do rodziny polimorficznych infektorów,potrafi replikować się na wszystkie partycje w celu infekcji plików wykonywalnych
Dodatkowo dodaje autorun.inf do austostartu,jak i modyfikację rejestru,oczywiście ładunek w pliku jak i autorun inf.jest ukryty,nawiązuje też połączenie ze zdalnym serwerem w celu ściągnięcia dodatkowych infektorów
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "116.96.142.6" on port 80 (TCP - HTTP).

Wirus też uruchamia usługę systemową amsint32 w celu załadowania sterownika amsint32 po to żeby przywrócić SSDT.
Dodatkowo powoduje usunięcie klucza w rejestrze

• machine\system\currentcontrolset\control\safeboot\alternateshell = deleted value key

w celu uniemożliwienia odpalenia systemu w trybie awaryjnym z obsługą sieci,modyfikacje kluczy odpowiedzialnych za firewalla jak i antywirusa

• Security Center settings change: machine\software\microsoft\security center\antivirusdisablenotify = 00000001
  
• Security Center settings change: machine\software\microsoft\security center\firewalldisablenotify = 00000001

czyli ogólnie rzecz biorąc usuwa pliki związane z bezpieczeństwem

Log z wykonywania

Detailed report of suspicious malware actions:

Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasapi32\consoletracingmask = ffff0000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasapi32\filedirectory = 2500770069006e0064006900720025005c00740072006100630069006e0067000000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasapi32\filetracingmask = ffff0000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasapi32\maxfilesize = 00100000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasmancs\consoletracingmask = ffff0000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasmancs\filedirectory = 2500770069006e0064006900720025005c00740072006100630069006e0067000000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasmancs\filetracingmask = ffff0000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasmancs\maxfilesize = 00100000
Changed a service
Checked for debuggers
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_1024.db!dfMaintainer
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_256.db!dfMaintainer
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_32.db!dfMaintainer
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_96.db!dfMaintainer
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!rwReaderRefs
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!rwWriterMutex
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!ThumbnailCacheInit
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_sr.db!dfMaintainer
Created a mutex named: Local\!IETld!Mutex
Created a mutex named: Local\Shell.CMruPidlList
Created a service named: amsint32
Created a service named: IPFILTERDRIVER
Created an event named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!rwWriterEvent
Created process: (null),"C:\Windows\explorer.exe" "C:",(null)
Defined Autostart file created: C:\autorun.inf
Defined Autostart file created: D:\autorun.inf
Defined Autostart file created: E:\autorun.inf
Defined Autostart file created: F:\autorun.inf
Defined code injection in process: c:\windows\explorer.exe
Defined file type created: C:\loyg.exe
Defined file type created: D:\mjgri.exe
Defined file type created: E:\bxgq.exe
Defined file type created: F:\hjmru.exe
Defined file type modified in Windows folder: C:\Windows\SYSTEM.INI
Defined Log_API entry: Change to Windows Firewall Service
Defined Log_API entry: Change to Windows Security Center Service
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\DisplayName = amsint32
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\ErrorControl = 00000001
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\ImagePath = C:\Windows\system32\drivers\jtqmdn.sys
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\Start = 00000003
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\Type = 00000001
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Users\tachion\Desktop\Sality\Sality.bh.exe = C:\Users\tachion\Desktop\Sality\Sality.bh.exe:*:Enabled:ipsec
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications = 00000001
Detected backdoor listening on port: 8751
Detected keylogger functionality
Detected process privilege elevation
Enumerated running processes
Firewall settings change: machine\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\enablefirewall = empty value key
Got computer name
Got system default language ID
Got user name information
Got volume information
Hide file from user: C:\autorun.inf
Hide file from user: C:\loyg.exe
Hide file from user: D:\autorun.inf
Hide file from user: D:\mjgri.exe
Hide file from user: E:\autorun.inf
Hide file from user: E:\bxgq.exe
Hide file from user: F:\autorun.inf
Hide file from user: F:\hjmru.exe
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "116.96.142.6" on port 80 (TCP - HTTP).
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "174.136.52.205" on port 80 (TCP - HTTP).
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "202.52.134.70" on port 80 (TCP - HTTP).
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "208.73.210.29" on port 80 (TCP - HTTP).
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "31.207.80.214" on port 80 (TCP - HTTP).
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "87.248.217.253" on port 80 (TCP - HTTP).
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "93.89.226.24" on port 80 (TCP - HTTP).
Listed all entry names in a remote access phone book
Loaded a system driver named: owana prуba B
adowania systemowego sterownika ''amsint32
Opened a service named: acssrv
Opened a service named: Agnitum Client Security Service
Opened a service named: ALG
Opened a service named: Amon monitor
Opened a service named: amsint32
Opened a service named: aswFsBlk
Opened a service named: aswMon2
Opened a service named: aswRdr
Opened a service named: aswSP
Opened a service named: aswTdi
Opened a service named: aswUpdSv
Opened a service named: AV Engine
Opened a service named: avast! Antivirus
Opened a service named: avast! Asynchronous Virus Monitor
Opened a service named: avast! iAVS4 Control Service
Opened a service named: avast! Mail Scanner
Opened a service named: avast! Self Protection
Opened a service named: avast! Web Scanner
Opened a service named: AVG E-mail Scanner
Opened a service named: Avira AntiVir Premium Guard
Opened a service named: Avira AntiVir Premium MailGuard
Opened a service named: Avira AntiVir Premium WebGuard
Opened a service named: AVP
Opened a service named: BGLiveSvc
Opened a service named: BlackICE
Opened a service named: BROWSER
Opened a service named: CAISafe
Opened a service named: ccEvtMgr
Opened a service named: ccProxy
Opened a service named: ccSetMgr
Opened a service named: cmdAgent
Opened a service named: cmdGuard
Opened a service named: COMODO Firewall Pro Sandbox Driver
Opened a service named: Csc
Opened a service named: CscService
Opened a service named: Eset HTTP Server
Opened a service named: Eset Personal Firewall
Opened a service named: Eset Service
Opened a service named: F-Prot Antivirus Update Monitor
Opened a service named: fsbwsys
Opened a service named: FSDFWD
Opened a service named: F-Secure Gatekeeper Handler Starter
Opened a service named: FSMA
Opened a service named: Google Online Services
Opened a service named: InoRPC
Opened a service named: InoRT
Opened a service named: InoTask
Opened a service named: IPFILTERDRIVER
Opened a service named: ISSVC
Opened a service named: KLIF
Opened a service named: KPF4
Opened a service named: LanmanWorkstation
Opened a service named: LavasoftFirewall
Opened a service named: LIVESRV
Opened a service named: McAfeeFramework
Opened a service named: McShield
Opened a service named: McTaskManager
Opened a service named: mpssvc
Opened a service named: navapsvc
Opened a service named: NOD32krn
Opened a service named: NPFMntor
Opened a service named: NSCService
Opened a service named: Outpost Firewall main module
Opened a service named: OutpostFirewall
Opened a service named: PAVFIRES
Opened a service named: PAVFNSVR
Opened a service named: PavProt
Opened a service named: PavPrSrv
Opened a service named: PAVSRV
Opened a service named: PcCtlCom
Opened a service named: PersonalFirewal
Opened a service named: PREVSRV
Opened a service named: ProtoPort Firewall service
Opened a service named: PSIMSVC
Opened a service named: RapApp
Opened a service named: RASMAN
Opened a service named: SavRoam
Opened a service named: Sens
Opened a service named: SharedAccess
Opened a service named: SmcService
Opened a service named: SNDSrvc
Opened a service named: SPBBCSvc
Opened a service named: SpIDer FS Monitor for Windows NT
Opened a service named: SpIDer Guard File System Monitor
Opened a service named: SPIDERNT
Opened a service named: Symantec AntiVirus
Opened a service named: Symantec AntiVirus Definition Watcher
Opened a service named: Symantec Core LC
Opened a service named: Symantec Password Validation
Opened a service named: Tmntsrv
Opened a service named: TmPfw
Opened a service named: UmxAgent
Opened a service named: UmxCfg
Opened a service named: UmxLU
Opened a service named: UmxPol
Opened a service named: vsmon
Opened a service named: VSSERV
Opened a service named: wcncsvc
Opened a service named: WebrootDesktopFirewallDataService
Opened a service named: WebrootFirewall
Opened a service named: wscsvc
Opened a service named: XCOMM
Query DNS: ahmediye.net
Query DNS: ajax.googleapis.com
Query DNS: althawry.org
Query DNS: ampyazilim.com.tr
Query DNS: amsamex.com
Query DNS: api.twitter.com
Query DNS: apple-pie.in
Query DNS: arthur.niria.biz
Query DNS: cdn.dsultra.com
Query DNS: forum.safegroup.pl
Query DNS: g2.arrowhitech.com
Query DNS: plus.google.com
Query DNS: twitter.com
Query DNS:

[Aby zobaczyć linki, zarejestruj się tutaj]

Query DNS:

[Aby zobaczyć linki, zarejestruj się tutaj]

Query DNS:

[Aby zobaczyć linki, zarejestruj się tutaj]

Query DNS:

[Aby zobaczyć linki, zarejestruj się tutaj]

Query DNS:

[Aby zobaczyć linki, zarejestruj się tutaj]

Safe Mode settings change: machine\system\currentcontrolset\control\safeboot\alternateshell = deleted value key
Safe Mode settings change: machine\system\currentcontrolset\control\safeboot\minimal = deleted registry key
Safe Mode settings change: machine\system\currentcontrolset\control\safeboot\network = deleted registry key
Security Center settings change: machine\software\microsoft\security center\antivirusdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\antivirusoverride = 00000001
Security Center settings change: machine\software\microsoft\security center\firewalldisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\firewalloverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\antivirusdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\antivirusoverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\firewalldisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\firewalloverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\uacdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\updatesdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\uacdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\updatesdisablenotify = 00000001
Show hidden files and folders: user\current\software\microsoft\windows\currentversion\explorer\advanced\hidden = 00000002
Slept over 2 minutes
Started a service
Stopped a service

Jak widać Sality nie należy do byle jakich wirusów, w czasie testu może okazać się, że usunięcie go będzie niemożliwe.

Wirusy polimorficzne...

... czyli zagrożenia potrafiące zmienić swój kod/postać. Cytując za Wikipedią*

Wirusy poliformiczne – typ wirusa posiadający zdolność zmiany kodu swojego dekryptora.
Wirusy polimorficzne składają się z dwóch części:
polimorficznego loadera zwanego również deszyfratorem lub dekryptorem
oraz części zaszyfrowanej, stanowiącą główny kod wirusa.
Najpierw uruchamiany jest dekryptor, który odpowiada za odszyfrowanie w pamięci głównej części wirusa. Kontrola przekazywana jest do głównej części, gdy zostanie ona odszyfrowana.
Wirus infekując plik tworzy nowy polimorficzny deszyfrator, zwykle inny w każdym infekowanym pliku. Istnieją również powolne wirusy polimorficzne. Np. napisany przez GriYo HPS, tworzy dekryptor tylko raz, tuż po uruchomieniu, tak więc nowy dekryptor tworzony jest dopiero przy następnym uruchomieniu komputera.
Autorzy programów antywirusowych zazwyczaj nie mogą stworzyć sygnatury danego wirusa na podstawie dekryptora, ze względu na jego polimorfizm.
Istnieje wiele metod wykrywania tego typu wirusów, z których najbardziej skuteczną jest emulacja. Emulator wykonuje kod polimorficzny do czasu, aż zdeszyfruje on część zaszyfrowaną. W tym momencie możliwe jest wykrycie wirusa za pomocą wzorca. Rozwinięciem idei wirusów polimorficznych są wirusy metamorficzne.

...oraz za cenionym w Polsce producentem- Arcabitem**

Zasada działania

Wirusy z rodziny W32.Sality to grupa wirusów polimorficznych. Potrafią one samodzielnie modyfikować swój kod deszyfrujący w trakcie każdej pojedynczej infekcji kolejnego pliku, co znacznie utrudnia ich wykrywanie przez programy antywirusowe.

Do infekcji dochodzi poprzez uruchomienie zainfekowanego pliku. Plik instaluje w pamięci komputera szkodliwy kod, który utrudnia użytkownikowi normalną pracę blokując dostęp do wybranych programów. Ogranicza to w znacznym stopniu możliwość wykrycia i usunięcia go przez użytkownika podczas pracy na zainfekowanym systemie Windows.

Cechy charakterystyczne

Wirus infekuje pliki .EXE oraz .SCR o rozmiarze do 40MB. Może rozprzestrzeniać się zarażając zasoby dysków sieciowych, a także popularnych dysków pendrive poprzez dopisanie uruchomienia wirusa do pliku startowego autorun.inf. Najczęściej daje znać o sobie blokując dostęp do Edytora rejestru Windows Regedit oraz Menadżera zadań taskmgr

Zapewne wszyscy jesteśmy ciekawi jak z tym leciwym już szkodnikiem poradzą sobie pakiety zabezpieczeń.

Sposób wykonania testu

1. Instalacja oprogramowania antywirusowego + aktualizacja sygnatur wirusów.
2. Wyłączenie funkcji ochronnych.
3. Instalacja próbki Sality, dostarczonej dla mnie przez Wavesa . Uwaga ! Wszystkie programy będą testowane na tym samym samplu, którego rozpoznawalność skaneróww serwisie Virustotal wynosi 40/41. Osoby testujące proszone są o kontakt ze mną .
4. Po około 5 minutach ponowne uruchomienie programu AV oraz dokonanie restartu.
5. Po ponownym uruchomieniu systemu brak działań ze strony testującego przez okres 30-stu minut. Program zabezpieczający będzie w tym czasie walczyć ze szkodliwym wirusem. Sality zaś najprawdopodobniej pobierze inne zagrożenia.
6. Po półgodzinie , nastąpi zablokowanie przez testującego dostępu do sieci na maszynie wirtualnej np. za pomocą Firewalla, a następnie wykonanie pełnego skanu antywirusem.
7. Przeskanowanie systemu programem Malwarebytes i (po włączeniu internetu) Hitmanem Pro.

Warunek zaliczenia

Na moją prośbęF4zwykonał wstępny test na jednym z pakietów zabezpieczających. Okazało się ,że był on w stanie usunąć pliki szkodnika (wyleczyć je) bez uszkodzenia plików systemowych. Skanery nie znalazły śladów Sality po wykonaniu doświadczenia.
Załóżmy jednak ,że z ocenami zaliczył/ niezaliczył wstrzymamy się do końca zawodów . Wyniki podawać będziemy opisowo, to jest:
[*] ile wykryć zanotował program Av po pełnym skanie
[*] ile wykryć wskazały dodatkowe skanery
[*] sam fakt tego , czy program AV przetrwał test ( Sality również infekuje pliki antywirusów).

Już wkrótce pierwsze sprawdziany . Kontrolowane będą tylko najpopularniejsze aplikacje.
Chętnych do wykonania testów zapraszam na PW.

Na dniach zaczynamy



Żródła:
*

[Aby zobaczyć linki, zarejestruj się tutaj]

**https://www.arcabit.pl/zagrozenia-top-10/w32.sality

[Adi Cherryson]

Alex -mam obecnie wątpliwości odnośnie praktycznego efektu wyników testów. Ten problem chciałem już podnieść przy poprzednim teście Live Security Platinum, ale zabrakło mi czasu na napisanie. Rzecz wygląda tak:

Wyłączenie swojej ochrony i świadome zakażenie systemu raczej nie zdarzy się zwykłemu użytkownikowi.

Częściej zdarzy się taka sytuacja: nie miałem żadnej ochrony, wirus się uruchomił i szukam teraz programu, który go usunie. Kupuję więc lub instaluję darmowy produkt.

Pomijając fakt, że są różne skuteczne metody i narzędzia do leczenia już zainfekowanego systemu, warto sprawdzić, jak zachowają się testowane programy podczas próby instalacji na zainfekowanym systemie.

Czyli tak:

1. Wpuszczenie wirusa do systemu.
2. Próba instalacji programu antywirusowego na zainfekowanym systemie.

To jest bardziej praktyczne, bo jako zwykły użytkownik mogę nie mieć świadomości, co się właściwie stało. A nie wyobrażam sobie sytuacji, aby producenci najlepszych zabezpieczeń nie uwzględnili faktu, że ich produkt nie zostanie prawidłowo zainstalowany na już zainfekowanym komputerze. Może trzeba wtedy będzie skontaktować się z serwisem.

Cel jest taki: dany program ma się poprawnie zainstalować i usunąć infekcję, nawet z użyciem pomocy technicznej producenta.

[McAlex]

Adi, przy Live Security nie dało się wgrac żadnego programu,gdyż blokował on wszystkie pliki wykonywalne.Można było kombinować przez wyłączenie go w trybie awaryjnym, ale wtedy już by się nie uruchomił i po teście... A w ogóle to był test autoOchrony, a live to dobre ku temu narzędzie. Teraz trochę inaczej, bo testujemy prawdziwą i realną infekcje. Wgrywanie av na komputer zarażony Sality to raczej nie jest dobry pomysł. Najprawdopodobniej skończy się to masakrą systemu:-) w ten sposób przetestujemy narzędzia do usuwania tego wirusa.
Wirus ten występuje w crackach, stąd duża popularność. Teraz wejdźmy na stronę z takimi plikami i przeczytajmy instrukcję instalacji. Pierwsza rzecz to wyłączenie av. Dzieci naprawdę to robią:-) Sam już miałem z tym wirusem w taki sposób do czynienia. Co innego, że jego infekcja jest początkowo niezauważalna, więc wiele osób nie zauważa. Ten test będzie sprawdzał umiejętność warstw ochronnych w walce z jednym z najgroźniejszych i najbardziej popularnych wirusów. Podobnie jak sprawdzian z live , nie będzie normalnym egzaminem jaki programom av wykonują testerzy nagrywający filmy. Próbka wirusa jest rozpoznawana przez wszystkich producentów.

[Ratatui]

Częściej zdarzy się taka sytuacja: nie miałem żadnej ochrony, wirus się uruchomił i szukam teraz programu, który go usunie. Kupuję więc lub instaluję darmowy produkt.

Uważam, że przy zainfekowanym systemie nie ma sensu instalowanie programu antywirusowego. Najpierw najlepiej usnąć wirusy przez Rescue Disk a dopiero potem zainstalować program antywirusowy.

[Fix00ser]

także uważam że najlepszą opcją usuwania Sality jest użycie środowiska wydzielonego najlepiej pozasystemowo z Live CD
przypominam o istnieniu Ubuntu MRT-Malware Removal Toolkit także LiveCD

[Aby zobaczyć linki, zarejestruj się tutaj]

SUGEROWAŁBYM NAWET PRZED ROZPOCZĘCIEM PROCEDUR CZYSZCZENIA WYKONAĆ KOPIĘ POSEKTOROWĄ NOŚNIKA KTÓRY ULEGŁ INFEKCJI, oczywiście jeśli dysponujemy wolną przestrzenią na innym nośniku

[Flash999]

@alex1155
Tak to właśnie działa. Miałem przyjemność u kolegi zobaczyć komputer zainfekowany Sality z AVG na pokładzie. Dodatkowo dostałem od niego pendrive z niespodzianką w postaci zarażonego cracka. Niestety, ludzie bezgranicznie wierzą, że crack powinien być wykrywanie przez antywirusa i wyłączają na własną rękę widząc np. Sality lub Viruta.

Co do LiveCD... Jak powiedzieć niezaawansowanemu użytkownikowi "Pobierz Dr Web LiveCD, wypal na niezainfekowanym komputerze, uruchom z niej system i lecz zainfekowane pliki (w katalogu tymczasowym usuwaj)"? Założę się, że laik w takim wypadku odda komputer do serwisu. Osobiście miałem przyjemność pomagać przez internet usuwać Sality z działającego systemu (i udało się poprzez szczepionkę AVG, Kaspersky i antywirusowi avast!).

[McAlex]

Nie ma problemu, w teście przyjrzymy się i reakcjom pakietów IS i pojedynczym szczepionkom. Sality jest faktycznie najlepiej leczyć poza antywirusowymi sposobami. Jednak trzeba być wyjątkowo ostrożnym.
Natomiast chciałbym przypomnieć,że ten test dotyczy starcia pakietów AV vs. Sality , dlatego będziemy tu takowe własnie testować.
Żeby była jasność nie widzę problemu, ba czuję nawet konieczność ,założenia tematu na naszym forum z "poradnikiem" usunięcia tego zagrożenia.
Zachęcam do pisania i doradzania.
Tutaj zajmujmy się tylko aplikacjami zabezpieczającymi.

Dodano: 28 lip 2012, 11:41

@alex1155
Tak to właśnie działa. Miałem przyjemność u kolegi zobaczyć komputer zainfekowany Sality z AVG na pokładzie.

Mi taki numer zrobił kiedyś mój brat przy Pandzie .
Ściągnął cracka, na stronce było napisane, że antywirus może wykrywać zagrożenie, więc należy go wyłączyć. No to dziecko tak zrobiło i Panda sama w sobie zagrożenia wykrywała. To był horror.

[Flash999]

AVG Internet Security 2012

1. AVG jest aktualny i działa

[Aby zobaczyć linki, zarejestruj się tutaj]

2. Wyłączam tymczasowo program

[Aby zobaczyć linki, zarejestruj się tutaj]

3. Uruchomienie Sality

[Aby zobaczyć linki, zarejestruj się tutaj]

b) alert zapory - zezwolono

[Aby zobaczyć linki, zarejestruj się tutaj]

4. Włączenie programu

[Aby zobaczyć linki, zarejestruj się tutaj]

b) restart. . .

[Aby zobaczyć linki, zarejestruj się tutaj]

5. Mija 30 minut, a program jak na razie nie podniósł żadnego alarmu!

[Aby zobaczyć linki, zarejestruj się tutaj]

6. Zablokowanie Internetu i wykonanie pełnego skanu systemu

[Aby zobaczyć linki, zarejestruj się tutaj]

7. Wynik skanu narzędzi antymalware:
a) Malwarebytes Anti-Malware

[Aby zobaczyć linki, zarejestruj się tutaj]

b)HitmanPro

[Aby zobaczyć linki, zarejestruj się tutaj]

Wytłumaczy mi to ktoś?
Może próbka nie działa na wirtualnych maszynach?

[McAlex]

FortiClient Lite vs. Sality
testujący : F4z

[Aby zobaczyć linki, zarejestruj się tutaj]

Do walki z wyniszczającym szkodnikiem stanął program Fortinet.

Na początku nastąpiło wyłączenie oprogramowania antywirusowego..

[Aby zobaczyć linki, zarejestruj się tutaj]

...oraz uruchomienie wirusa Sality.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Szkoda tylko,że po wykonaniu tej czynności zniknęła ikona antywirusa.

[Aby zobaczyć linki, zarejestruj się tutaj]

Choć program wyrażnie próbował się uruchomić.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Nadszedł czas restartu.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Szkoda tylko,że po ponownym uruchomieniu systemu, Fortinet nie działał.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Skanery nie pozostawiły złudzeń :

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Wynik

Antywirus został uszkodzony, system zainfekowany.

[McAlex]

Panda Cloud Pro 2.0

Oczywiście jak nakazuje instrukcja, po zainstalowaniu programu , ochrona real time została wyłączona , a Sality wpuszczony do systemu. Następnie nastąpiła reaktywacja Pandy oraz restart Windowsa. W przeciwieństwie do poprzedniego pakietu, Panda Cloud uruchomiła się oraz od razu rozpoczęła usuwanie zagrożeń.
Po 30 minutach, czyli czasie wystarczającym dla wirusa mutującego się w systemie, wykonany został pełen skan. I tu Panda nie zawiodła. Usunęła 5* plików Sality,a na dalszy rozwój szkodnika po prostu nie pozwoliła.
Świetnie!

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

*W przypadku uruchomienia Sality na domowym komputerze, na którym więcej jest zainstalowanych programów wyniki skanów byłyby odpowiednio wyższe.
Testujący: F4z

[KaMiL]

Hej
Prosiłbym o dodanie do listy testujacych AV - F Secure 2013 BETA. Sam chetnie wykonalbym test, ale jestem poza domem No i dzieki za rozpoczecie nowej serii testow.

[McAlex]

Program w wersji beta odpada . Test na avg będzie powtórzony. Próbka z wewnętrznych przyczyn nie zadziałała

Dodano: 30 lip 2012, 21:00

Program w wersji beta odpada . Test na avg będzie powtórzony. Próbka z wewnętrznych przyczyn nie zadziałała

[KaMiL]

Zadowole sie v2012

[Adrian120]

będzie test aviry?

[McAlex]

będzie test aviry?

W przyszłości.

Dodano: 31 lip 2012, 10:04

Kaspersky Internet Security 2012

O ile Fortinet poległ w starciu z Sality na całej linii, Panda bez przeszkód zneutralizowała go zgodnie z zasadami testu , o tyle Kaspersky, jak to on, musiał czymś zaskoczyć . W momencie wyłączenia ochrony AV i uruchomienia szkodnika, KIS od razu rozpoczął informować o próbie uszkodzenia jego procesów (Sality podobnie jak Live Security atakuje autoochronę programu ), natomiast po aktywacji modułów zabezpieczających, rosyjski gigant w mgnieniu oka stanął do walki z wirusem, tak ,że po restarcie systemu od razu skupił się na leczeniu komputera oraz po kolejnym ponownym uruchomieniu Windowsa, w trakcie pełnego skanu, bezlitośnie zabił jednego z najpopularniejszych na świecie przedstawicieli malware.

Jak do tej pory reakcja KISa jest najszybszą i najostrzejszą.
Zobaczymy co potrafią pozostałe aplikacje.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Testujący : Adam- F4z

[Galactico]

Nie lepiej jest nakręcić jakiś pożądany materiał wideo? A jak nie, to może jakaś galeria, bo to wrzucanie obrazków jeden pod drugim jest mało przejrzyste.

[McAlex]

Nie lepiej jest nakręcić jakiś pożądany materiał wideo? A jak nie, to może jakaś galeria, bo to wrzucanie obrazków jeden pod drugim jest mało przejrzyste.

Na koniec testu będzie recenzja. Materiały video też będą. Ranking również.

Dodano: 31 lip 2012, 13:56

Warto wiedzieć, że test tenma za zadanie sprawdzić:

• umiejętność leczenia zawirusowanego systemu
  
• autoochronę przed wirusem polimorficznym
  
• umiejętność blokady rozprzestrzeniania się zagrożenia.

[Adi Cherryson]

W momencie wyłączenia ochrony AV i uruchomienia szkodnika, KIS od razu rozpoczął informować o próbie uszkodzenia jego procesów (Sality podobnie jak Live Security atakuje autoochronę programu ),

Wzorcowo.

Ja bym prosił znowu test Ashampoo AM, nie żebym się znęcał , ale dla poznania prawdy.

[McAlex]

Programy będą sprawdzane według tej samej listy co przy live security, przy czym najpierw te w wersji 2013, gdyż przy okazji niektórym bliżej się przyjrzę i napiszę recenzję:-)
Tak Kaspersky naprawdę świetnie sobie poradził, rozpoczął atak na wirusa od samego początku. Jednak cicha i lekka Panda uzyskała identyczną skuteczność.

[aope]

Emsisoft Anti-Malware 6.6 vs Sality

Specyfika systemu:
Windows 7 x64, w pełni zaktualizowany, usługa Windows Defender wyłączona

Maszyna wirtualna:
Oracle VirtualBox

[Aby zobaczyć linki, zarejestruj się tutaj]

Wyłączam zabezpieczenia, uruchamiam próbkę z prawami administratora. Nazwa pliku brzmi znajomo? Owszem, to piracka wersja gry Minecraft z "niespodzianką" w postaci Sality w środku. Zaczynamy.

[Aby zobaczyć linki, zarejestruj się tutaj]

W procesach dziwnie czysto. Ale chwila chwila. Co to za ciekawa usługa systemowa? Szybki rzut okiem na procedury autostartu i...trafiony. Sality podpina się pod moduł autoaktualizacji Javy i startuje wraz z systemem. Menedżer zadań unieruchomiony. Sprytnie. Nie pozostaje więc nic innego jak...

[Aby zobaczyć linki, zarejestruj się tutaj]

...restart systemu aby wywabić szkodnika

[Aby zobaczyć linki, zarejestruj się tutaj]

Zgodnie z oczekiwaniami Sality pod przykrywką Javy wystartował...

[Aby zobaczyć linki, zarejestruj się tutaj]

...i zaczyna swoją imprezę na salonach

[Aby zobaczyć linki, zarejestruj się tutaj]

Szybkie włączenie zabezpieczeń w Emsisoft Anti-Malware i restart systemu. Momentalnie EAM reaguje swoim modułem kontroli zachowań, jednak nie zdążyłem tego uchwycić

[Aby zobaczyć linki, zarejestruj się tutaj]

Moduł kontroli zachowań wykrywa podejrzane poczynania naszego pupila. Musiałem podjąć szybka decyzję, ponieważ bloker behawioralny zatrzymuje proces do czasu decyzji użytkownika. Decyzja? Oczywiście zezwalam na dalsze działania Sality

[Aby zobaczyć linki, zarejestruj się tutaj]

EAM walczy ze szkodnikiem, kolejne okna o wykryciu i usunięciu zagrożenia pojawiają się jedno za drugim w iście ekspresowym tempie, aż trudno złapać zrzutkę

[Aby zobaczyć linki, zarejestruj się tutaj]

Kolejny alert od modułu kontroli zachowań. Wystarczy tego, blokujemy

[Aby zobaczyć linki, zarejestruj się tutaj]

W procesach czysto, aż tu nagle...

[Aby zobaczyć linki, zarejestruj się tutaj]

Pojawiają się kolejne dwa rodzynki. Oczywiście blokujemy i rozpoczynamy pełne skanowanie systemu po wcześniejszym wyłączeniu karty sieciowej.

[Aby zobaczyć linki, zarejestruj się tutaj]

Skanowanie zakończone. Wykryto 10 infekcji. Zainfekowane zostały m.in. pliki wykonywalne Malwarebytes'' Anti-malware i asystent pierwszego uruchomienia Emsisoft Anti-Malware. Na szczęście (dla mnie i programu) główne pliki wykonywalne EAM pozostały czyste. No to kwarantanną je!

[Aby zobaczyć linki, zarejestruj się tutaj]

Dla pewności wykonałem jeszcze jedno, pełne skanowanie. Plik yvfrod.exenie wygląda na pewniaka. Do kwarantanny więc.

[Aby zobaczyć linki, zarejestruj się tutaj]

Plikyvfrod.exeautomatycznie jednak pojawia się, pomimo umieszczenia w kwarantannie.

[Aby zobaczyć linki, zarejestruj się tutaj]

Włączam wyświetlanie ukrytych plików w eksploratorze Windows i oto jest, autorun . Sprytnie. Brzydko EAM, powinieneś znaleźć i zneutralizować. Do kosza więc.

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie ma tak łatwo. Skorzystamy więc z dostępnego w EAM programu...

[Aby zobaczyć linki, zarejestruj się tutaj]

... BlitzBlink i usuniemy pliki przy restarcie systemu. Do dzieła.

[Aby zobaczyć linki, zarejestruj się tutaj]

Usuwanie...

[Aby zobaczyć linki, zarejestruj się tutaj]

No i czysto.

[Aby zobaczyć linki, zarejestruj się tutaj]

Teraz uaktywniam połączenie sieciowe, wyłączam ochronę EAM aby nie spowalniała skanowania i dla pewności instaluje na świeżo Malwarebytes'' Anti-Malware. Aktualizuje i rozpoczynam skanowanie.

[Aby zobaczyć linki, zarejestruj się tutaj]

Wyniki skanowania MBAM. Pozostały zmienione klucze rejestru dotyczące m.in. menedżera zadań.

[Aby zobaczyć linki, zarejestruj się tutaj]

I wyniki Hitman Pro. Wyniki? Zero szkodliwych plików i zmienione wartości rejestru.


Żegnaj Sality, było miło, kawał z ciebie skurczybyka