Перейти к содержанию
Сергей Ильин

Тест на лечение активного заражения VI (подготовка)

Recommended Posts

rkhunter
А в чём их прелесть с т.зр. лечения-то?

Прелесть исключительно в популяции, т. е. распространенности (читай количестве ботов).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Предлагали также добавить следующие зловреды:

1) Trojan.Mayachok.1

2) Trojan.Necurs

Добавьте "старую", "добрую" sality :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Добавьте "старую", "добрую" sality :rolleyes:

Не подходит под условия теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

TDL мертв, брать его стоит только для личного удовлетворения. VBR руткиты тоже нет смысла брать. Во первых VBR руткита всего два - OImasco и маячок. Первый(OImasco) не обновлялся очень долго и потерял к себе любой интерес.

Маячок как блокеры, то есть распространен только в СНГ, если взять последний тест на лечение с av-comparatives, то можно увидеть что представленного там блокера обнаружили только три авера из 18, вывод напрашивается сам собой. Да и не такой он уж и крутой, куча палева в системе(патченный загрузчик винды, регистрация личного нотификатора загрузки процессов PsCreateProcessNotifyRoutine, левый драйвер с dll).

Брать надо распространенное и актуальное, а не баяны. Кто будет сидеть и парится над лечением Sinowal'a, если он уже не актуален? Никто. Брать надо Zbot, Spy Eye, Carbep.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Razboynik
Под 7х32 работает все. Хватит терзать "пенсионера" ХР :rolleyes:

И пенсионер х32 не нужен. Пора тесты проводить под 7х64.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
TПервый(OImasco) не обновлялся очень долго и потерял к себе любой интерес.

У него есть клон - Pihar.C, который распространяется сейчас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
TDL мертв, брать его стоит только для личного удовлетворения.

Брать надо распространенное и актуальное, а не баяны. Кто будет сидеть и парится над лечением Sinowal'a, если он уже не актуален?

Никто. Брать надо Zbot, Spy Eye, Carbep.

SpyEye мертв также как TDL. В то же время, ботнет, построенный на TDL4 я думаю охватывает точно больше 1 млн машин. Так что в состоянии зомби он еще поживет и долго. Так же как и SpyEye, который все еще продается но за гораздо меньшие деньги.

Sinowal это не баян. А один из самых распространенных пейлоадов BH (с Реветоном). Sinowal актуален как никогда (как и его ботнет с fast flux > 1 млн. ботов).

Я тоже считаю что стоит взять и ZBot и SpyEye, потому что они очень распространены. С точки зрения AV проблемы могут возникнуть: ZBot из explorer.exe постоянно создает свою ветку реестра, а SpyEye инжектирует себя в юзермодные процессы для скрытия файлов и веток реестра. И тот и другой полностью юзермодные. Зачем брать Carberp, если он очень похож на ZBot, если не повторяет его?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
И пенсионер х32 не нужен. Пора тесты проводить под 7х64.

Под x64 будут точно проблемы с запуском многих вреносов, которые обсуждались выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Зачем брать Carberp, если он очень похож на ZBot, если не повторяет его?

Carberp уже давно заражает бут-сектор, чего зевс не делает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

За последний год в общем много чего появилось, пошло развитие буткитов, малвар под x64.

Единственное, мне бы не хотелось, чтобы менялась эта методика.

Проведение теста с лечением малвар исходя из распространенности семейства на текущий момент - тоже идея. Но я бы предложил тем, кто ее выдвинул в отдельной теме обсудить/описать методику подобного теста - как отбирать семейства, по чьей статистике, какая статистика сейчас в свободном доступе от антивирусных вендоров, могут ли они (партнеры и не только) поделиться ею, как быть с типами малвар - стандартная процедура лечения зараженного ПК, скажем локерам, инфектящим MBR явно не проканает :), как интерпретировать результаты и что можно собственно получить из результатов подобного теста, какой вывод можно сделать и т.д.

Касаемо этого теста, я бы предложил идти от методики - при выборе малвар она не должна килять кого-то из тестируемых, должны была быть/есть достаточно распространенной (тут некоторая доля субъективизма) и прежде всего набирать малварь исходя из принципов ее борьбы с обнаружением/удалением из системы.

Сейчас вопрос с выбором системы для тестирования проявился. Думаю, что на win7 x86 можно перейти, если заменить все старые малвари на актуальные с теми же принципами защиты. Ну и протестировать работу старых семплов - не будет ли проблем с win7.

Того же xorpix чем заменить из свежего? (dll-ка в жизненно важном процессе системы, открытие с монопольным доступом и пересоздание ключа автозапуска, снятие прав)

Тот же LSP...хотя вроде распространяются сейчас подобные, но там уже не так просто - библиотека загружается из сети, серваки меняются, длл-ка перепаковывается. Так просто в тест не в сунешь. А сути замена не меняет. Тот же Scano....

Это все типовые способы и они имхо должны проверяться.

Руткиты...тут можно и обновить их малек. Тот же TDL4 заменить на его актуальный аналог pihar (тот что был до последнего времени, который инфектил загрузчик в MBR, по нашему Pihar.B), SST/PRAGMA заменить на актуального и распространяемого (создание раздела).

Тот же распространенный mebroot, хотя и тот ведет себя по разному на системах с различными av.

Старых TDL нужно оставлять, т.к. заменить их не чем.

Добавил бы сюда распространенную малвар - Rloader, там и маскировка и открытый файл.

Из новых буткитов добавил бы разве что cidox, который блокирует запись в vbr. Может быть еще и Wistler. Остальная куча буткитов не шибко распространена да и таже самая маскировка (хотя есть и довольно интересные варианты со сплайсингом IRP_MJ_SCSI, хитрыми инжектами с эксплоитами, в том числе полугодичными и работающими под x64 эскалации привилегий, но они скорее всего будут активно распространяться уже после теста...:))

Касаемо win7 x64...если пяток семейств найдется, то было бы не плохо, если бы провели тест с ними. Я "ЗА".

Да, добавлю, что большую часть необходимых семплов можно наковырять на kernelmode.info. А остальные с прошлого теста останутся)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vegas

Касательно x64 можно сделать экспресс-проверку на работоспособность семпла, как делалось в прошлом году. Если отработает - проверить и на х32 и на х64 (Windows 7 ес-но, на ХР тестить думаю смысла уже нет)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
Методологию принципиально менять не будем, вот она http://www.anti-malware.ru/node/4404

методологию и не надо, вы бы систему оценок расширили с двичной (да/нет) на что-нибудь более разнообразное.

я, к примеру, все ваши тесты пересчитываю по такой шкале:

5 - вылечил без остатка

4 - вылечил, но остался мусор в системе, не сказывающийся на работоспособности

3 - вылечил, но систему нужно приводить в порядок (не запускается explorer.exe или не работает сеть)

2 - чего-то нашёл, но заражение не ликвидировал

1 - не запустился или завис, что указывает на заражение системы руткитом

0 - ничего не нашёл и, соответственно, не вылечил. типа всё в порядке

в последнем тесте это не повлияло бы на награды, а раньше меняло ранжир существенно.

Microsoft 60%

AVG 54%

Norton 50%

Avast! 50%

F-Secure 47%

BitDefender 44%

Outpost 43%

Eset 39%

Panda 37%

Avira 37%

PCTools 33%

McAfee 31%

G Data 27%

Trend Micro 26%

ZoneAlarm 24%

Emsisoft 24%

Comodo 19%

Под 7х32 работает все. Хватит терзать "пенсионера" ХР :rolleyes:

присоединяюсь: XP стремительно отмирает, берите W7 x32

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
присоединяюсь: XP стремительно отмирает, берите W7 x32

Мы сейчас думаем взять W7 x32 + W7 x64 для нескольких самплов буквально. Т.е. получится микс из двух ОС.

5 - вылечил без остатка

4 - вылечил, но остался мусор в системе, не сказывающийся на работоспособности

3 - вылечил, но систему нужно приводить в порядок (не запускается explorer.exe или не работает сеть)

2 - чего-то нашёл, но заражение не ликвидировал

1 - не запустился или завис, что указывает на заражение системы руткитом

0 - ничего не нашёл и, соответственно, не вылечил. типа всё в порядке

Конечно вариант, но позволю себе покритиковать.

Например, почему за "чего-то нашёл, но заражение не ликвидировал" дается 2 балла, а за "ничего не нашел" - ноль. Хотя результат один и тот же - система осталась зараженной.

Второй момент. Полностью успешное лечение оценивается в 4 балла, а обнаружение без лечение - в 2 балла. Получается, что два обнаружение без лечения равняются по ценности одному полному лечению. Это несколько обесценивает ценность лечения как такового. Проще что-то там детектить, собирать 50% баллов и не заморачиваться над сложными материями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
5 - вылечил без остатка

4 - вылечил, но остался мусор в системе, не сказывающийся на работоспособности

3 - вылечил, но систему нужно приводить в порядок (не запускается explorer.exe или не работает сеть)

2 - чего-то нашёл, но заражение не ликвидировал

1 - не запустился или завис, что указывает на заражение системы руткитом

0 - ничего не нашёл и, соответственно, не вылечил. типа всё в порядке

Вне всяких сомнений, что 4 балла - это очевидная хрень, которая все-равно не заставит лидеров подчищать куки и прочую абсолютно не важную мутотень в системе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
Вне всяких сомнений, что 4 балла - это очевидная хрень, которая все-равно не заставит лидеров подчищать куки и прочую абсолютно не важную мутотень в системе.

а какие вирусы создают куки? я о ветках реестра, библиотеках, остановленных службах

и заставить кого-то вряд ли вообще возможно, а вот точнее распределить места среди десятков участников вполне реально

Полностью успешное лечение оценивается в 4 балла, а обнаружение без лечение - в 2 балла.

ну оно так и есть, когда речь о руткитах: обнаружить - полдела, выкорчевать - вторая половина.

Получается, что два обнаружение без лечения равняются по ценности одному полному лечению. Это несколько обесценивает ценность лечения как такового. Проще что-то там детектить, собирать 50% баллов и не заморачиваться над сложными материями.

проще вообще не обращать внимания на чьи-то там тесты, а чтобы набрать хотя бы 50% по такой методике, нужно всё же чего-то вылечить.

и вряд ли кто-то будет рекламироваться фразой "наш продукт набрал аж 50% в тесте на лечение активного заражения" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
и заставить кого-то вряд ли возможно, зато точнее распределить места среди десятков участников вполне реально

Здесь другой вопрос, насколько наличие мусора вообще волнует клиента. Подозреваю, что его это волновать не должно, если заражение вылечено. Поэтому снимать за хвосты 20% как-то несправедливо с точки зрения ценности для клиента. С точки зрения оценки качества работы вендоров - возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Поэтому снимать за хвосты 20% как-то несправедливо с точки зрения ценности для клиента. С точки зрения оценки качества работы вендоров - возможно.

Нет. Объясню почему. Кстати, "куки" - это (мое?) образное выражение, обозначающее всякую неважную хрень с точки зрения лечения и обнаружения.

Вредоносный код может создавать миллион всякого бесполезного г-на в системе: свои настройки в реестре, в файлах, в стримах и так далее. Картинки, иконки и т.п. Для того, чтобы весь этот хлам подчистить необходимо детально разбирать каждый сэмпл. Дальше - очевидно, да?! ;)

А проверять как связан PDM (который теоретически может отслеживать каждый дропнутый файл) с анти-руткитом - это уже совсем другое тестирование.

P.S. Остановленные службы и прочие изменения - это вообще не дело анти-руткита, по-большому счету.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
в системе: свои настройки в реестре, в файлах, в стримах и так далее. Картинки, иконки и т.п.

иконки не интересуют, а вот реестр и всякое барахло в system32 надо чистить

Для того, чтобы весь этот хлам подчистить необходимо детально разбирать каждый сэмпл. Дальше - очевидно, да?! ;)

большинство антивирусов так и делает: нашли чего-то по сигнатуре, удалили и дальше хоть трава не расти.

P.S. Остановленные службы и прочие изменения - это вообще не дело анти-руткита, по-большому счету.

мы ж вроде антивирусы целиком тестируем, а не только антируткиты

вот объясните мне, почему продукт, который и супостата уничтожил, и кровищу после себя убрал, должен получать одинаковую оценку с продуктом, который врага выкосил, а отрубленные конечности оставил валяться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
мы ж вроде антивирусы целиком тестируем, а не только антируткиты

вот объясните мне, почему продукт, который и супостата уничтожил, и кровищу после себя убрал, должен получать одинаковую оценку с продуктом, который врага выкосил, а отрубленные конечности оставил валяться?

Не доходит, ок. Я объясню сразу после того, как вы расскажите каким образом эти отрубленные конечности запускаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
а вот реестр и всякое барахло в system32 надо чистить

По-моему чистить нужно то, что так или иначе активно на момент сканирования: dll проинжектированные в процессы, автозапуск, в общем то, что в активном состоянии. Откуда вы знаете что мусор о котором вы говорите относится к активной малвари, может он там и так был до того как, тут уже полную проверку проводить нужно и вычищать по ходу, к активному заражению это не относится.

Кстати предлагаю в качестве кандидата на тест - новый ZeroAccess, без руткита уже как известно. Дропает/даунлоадит на машину около 8-ми различных файлов как пейлоад, вот и можно будет посмотреть кто сколько сможет выкосить, хотя опять же все ли они будут активны на момент сканирования. В нем кстати пара фич любопытных: стартует через {CLSID} в HKCR и запрещает доступ к одной из dll путем полного выкашивания DACL, интересный кейс получится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
мы ж вроде антивирусы целиком тестируем, а не только антируткиты.

Это тест на лечение активного заражения. Так как в тесте в основном руткиты, то тестируется анти-руткит. В задачи анти-руткита входит обнаружение аномалий, нейтрализация перехватчиков и прочая низкоуровневая хрень, а не очищение реестра, удаление служб и.т.д.

Заразись любым руткитом, например TDL4, и попробуй снять дамп с MBR или atapi.sys. Что ты в этих дампах увидишь? Абсолютно чистые, без признаков руткита дампы. Все дело в перехватчиках, перехватчик обнаружил обращение к "местам жительства" руткита и подменил их на чистые, сохранные перед заражением файлы. И так перехватчик будет фильтровать любые запросы. Сканер без нейтрализации перехватчиков не найдет там ничего вредоносного.

вот объясните мне, почему продукт, который и супостата уничтожил, и кровищу после себя убрал, должен получать одинаковую оценку с продуктом, который врага выкосил, а отрубленные конечности оставил валяться?

Главная цель выполнена - руткит удален из системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Главная цель выполнена - руткит удален из системы.

Утрируете. Руткит удален, а троян который под ним прятали - остался и работает. Цель выполнена ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Предлагаю начать-таки делать и тест на win7 x64 (в дополнениек тесту на XP x86), как вариант подходящих семплов:

1. SST/PRAGMA, что создает новый активный раздел.

2. Pihar - аналог TDL4, продолжает свое развитие в отличие от последнего. Можно взять как вариант с инфетом загрузчика в mbr, можно тот, что раздел новый создает.

3. zeroaccess - тот вариант, что создавал consrv.dll и регистрировал ее в параметре windows (схоже с SubSys/Trojan.Okuks) и восстанавливал ключ, в случае его исправления.

4. rovnix - тот, что с защитой от перезаписи vbr. Он как раз x64 инфектил. Сейчас и carberp активно ставил плагин с этим буктитом с такой же защитой.

Все они были/есть активно распространяемы.

З.Ы. У меня есть еще вариант с одним руткитом, он только-только сейчас стал распространяться в "боевом" режиме. Он вполне подходит для теста - мощная маскировка + инфект vbr (совсем не так как rovnix ;)) (хотя в "тестовой" его версии он еще mbr инфектил). Но у меня нет полной уверенности, что он станет актвино рапространяться...

Может чего еще из интересного и подходящего забыл?? Есть еще вариант взять в тест семпл, который себя пересоздает/монопольно открывает + пересоздает ключик в реестре - чтобы хоть больше чем пару AV получили хоть какой-то бал за лечение на x64. Но у меня на памяти что-то таких нет, может кто напомнит...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Финализируем спискок вредоносов для теста на лечение активно заражения, который уже находится на старте:

Windows 7 x64

1. SST/PRAGMA

2. Pihar

3. zeroaccess

4. rovnix/cidox

Windows XP x86

1. TDL (TDSS, Alureon, Tidserv) - из прошлого теста

2. Koutodoor - из прошло теста

3. Win32/Glaze - из прошлого теста

4. Sinowal (Mebroot) - новая версия

5. Rootkit.Protector (Cutwail, Pandex) - из прошлого теста

6. Worm.Rorpian - из прошлого теста

7. Rootkit.Podnuha (Boaxxe) - из прошлого теста

8. Virus.Protector (Kobcka, Neprodoor) - из прошлого теста

9. Rustock (Bubnix) - из прошлого теста

10. Email-Worm.Scano (Areses) - из прошлого теста

11. rloader - новый

12. SubSys (Trojan.Okuks) - из прошлого теста

13. Rootkit.Pakes (synsenddrv, BlackEnergy) - из прошлого теста

14. TDL2 (TDSS, Alureon, Tidserv) - из прошлого теста

15. TDL3 (TDSS, Alureon, Tidserv) - из прошлого теста

16. pihar - новый

17. Xorpix (Eterok) - из прошлого теста

+ семплы для x64 пригодны и для x86.

18. SST/PRAGMA

19. zeroaccess

20. rovnix/cidox

Итого у нас получается 20 самлов для x86 и еще 4 для x64, в сумме 24 штуки.

Что скажете, есть какие-то отводы или замечания по самплам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Email-Worm.Scano (Areses) - безбожно устаревшее семейство.

Trojan.Okuks -- тоже, и, в общем-то, там лечение было специфическим (нужно было патчить вирусную dll, иначе система просто переставала загружаться).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×