Как-то недавно при тестировании Нортона наткнулся на семпл, который не определялся им сигнатурно и каждый раз при запуске системы Нортон удалял какую-то dll'ку проактивной защитой SONAR. Как оказалось, это был Trojan.Mayachok, темы про которого сейчас гремят на форумах. Изменилась ли ситуация сейчас? Может ли Нортон удалить этого зловреда? Сегодня это проверим.
Сначала заразим систему. Для заражения я использовал одну из свежих модификаций (Kaspersky - Trojan-Ransom.Win32.Cidox.aex, MD5:95ec7e6f96c47a417819adaea1d59ffb). Результаты проверки на VT. Запускаем образец, система тут же уходит в ребут. Но перед этим зловред уже совершил действия, а именно:
1.Троян сначала проверил права на изменения в реестре по пути: HKLM\Software\Microsoft\Windows NT\CurrentVersion
2.Нашёл расположения системной папки Windows.
3.Cоздал вредоносную библиотеку (.dll) в system32.
4.Зарегистрировался в реестре для автоматического запуска при старте системы - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
Результаты проверки dll'ки на VT.
Система запустилась и зловред загрузил свою библиотеку в пространство каждого процесса.
К слову, на реальной системе у меня тоже установлен NIS 2012 и система предотвращения вторжений сразу заблокировала атаку:
Устанавливаем NIS, обновляем продукт и запускаем быструю проверку системы. Хе-хе, поспешил я. Продукт был установлен и сразу же вылез алерт о найденной угрозе, для удаления потребовалась перезагрузка и в итоге смотрим журнал антивиря:
Ну что ж? Отличный результат. Удалена библиотека и запись о запуске.
UPD: через несколько минут после написания статьи ко мне попал более свежий семпл.
MD5: c12b9bb31130e65f0280c06d1f9fbc7a. Проверка образца на VT. (4/43)
Название dll'ки то же, но файл совсем другой.
MD5: e549a345f7c3382ef701ac5eebc5679e. Проверка образца на VT. (5/43)
NIS уничтожил его проактивной защитой SONAR, удалив библиотеку и запись о запуске.
Сначала заразим систему. Для заражения я использовал одну из свежих модификаций (Kaspersky - Trojan-Ransom.Win32.Cidox.aex, MD5:95ec7e6f96c47a417819adaea1d59ffb). Результаты проверки на VT. Запускаем образец, система тут же уходит в ребут. Но перед этим зловред уже совершил действия, а именно:
1.Троян сначала проверил права на изменения в реестре по пути: HKLM\Software\Microsoft\Windows NT\CurrentVersion
2.Нашёл расположения системной папки Windows.
3.Cоздал вредоносную библиотеку (.dll) в system32.
4.Зарегистрировался в реестре для автоматического запуска при старте системы - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
Система запустилась и зловред загрузил свою библиотеку в пространство каждого процесса.
К слову, на реальной системе у меня тоже установлен NIS 2012 и система предотвращения вторжений сразу заблокировала атаку:
Ну что ж? Отличный результат. Удалена библиотека и запись о запуске.
UPD: через несколько минут после написания статьи ко мне попал более свежий семпл.
MD5: c12b9bb31130e65f0280c06d1f9fbc7a. Проверка образца на VT. (4/43)
Название dll'ки то же, но файл совсем другой.
MD5: e549a345f7c3382ef701ac5eebc5679e. Проверка образца на VT. (5/43)
NIS уничтожил его проактивной защитой SONAR, удалив библиотеку и запись о запуске.
Хоть, кто то правду пишет, а не эти сопли, про самый лучший антивирус и про цензуру в точку:))
ОтветитьУдалить