Илья Рабинович

Тесты лечения активного заражения на бесфайловые вредоносы.

В этой теме 19 сообщений

Всем привет!

По следам обсуждения с Василем Бердниковым возникла одна идея. В последнее время появилась новая тема в сфере противодействия антивирусным сканирующим модулям со стороны вредоносного программного обеспечения- это разные формы бесфайловых модулей. Они либо существуют только в реестре, либо создают файлы только во время перезагрузки, всё остальное время существую лишь в качестве кусков исполняемой памяти и потоков их исполнения.

Предлагаю сделать отдельный тест лечения активного заражения на такие вот новые вредоносные техники, поскольку из-за явного застоя инноваций в руткитостроении и буткитостроении, данные типы малвари не смогут дать интересных результатов в тесте на лечение активного заражения. А вот бесфайловые- те да, могут.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

>> Предлагаю сделать отдельный тест лечения активного заражения на такие вот новые вредоносные техники, поскольку из-за явного застоя инноваций в руткитостроении и буткитостроении, данные типы малвари не смогут >>дать интересных результатов в тесте на лечение активного заражения. А вот бесфайловые- те да, могут.

Я в целом за тест, в том числе и с частью прежних семплов, если их не на что заменить. Лично мне интересно, как у вендоров сейчас: до сих пор все печально со сложными угрозами или развиваются по-тиху. + было APT Turla / Uroburos, тоже с руткитом, много где и кто о нем трубил - лечат ли все и видят ли активного (даже имея сигнатурный детект на отдельно взятые файлы)?

Так что есть что новое и интересное. Я могу еще покопаться в архивах -может чего еще интересного за последние пару лет вспомню. Да и древнего sinowal на XP - и то интересно глянуть, ибо последний варант неплохо маскировался, а в тестах его не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати реально интересный тест будет)

Так тесту быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да и древнего sinowal на XP - и то интересно глянуть, ибо последний варант неплохо маскировался, а в тестах его не было.

На XP не все антивирусы работают, нет в этом никакого смысла. Уже закончилась основная поддержка 7, а мы все про XP :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Идея хоть какого-то теста ещё актуальна? Win 7 x64, взять из таких образцов что-то:
1) Sinowal, SST, Zeroaccess, Cidox;
2) Virus.Protector, Rloader.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как писал Сергей Ильин - тест уже делают. Туда включены часть вредоносов из старого теста на лечение активного заражения + что-то бесфайлового + что-то еще.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Идея хоть какого-то теста ещё актуальна? Win 7 x64, взять из таких образцов что-то: 1) Sinowal, SST, Zeroaccess, Cidox; 2) Virus.Protector, Rloader.

http://www.anti-malware.ru/forum/index.php?showtopic=29160

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, самая идея вредоноса, который не имеет лежащего на диске файла хороша. То есть сигнатурно его обнаружить не выйдет. Как тогда вводить критерий обычный, что компоненты должны детектироваться в неактивном состоянии? Даже детект в памяти обычно есть на очень мало вредоносов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Неделя прошла. Тест уже был выложен? Не видел его на сайте. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Любой вредонос вида "Регистрирует в реестре в ключе Run ярлык на свое тело. При старте системы загружается в память и удаляет параметр в автозапуске" не сможет вылечить/обнаружить простая утилита для сканирования реестра?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По логике вещей - нет, если это не утилита по работе с реестром на "мертвой" системе (загрузка ОСи с диска/флешки).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

утилита по работе с реестром на "мертвой" системе (загрузка ОСи с диска/флешки).

 

К сожалению, я такую функцию виден только у RescueCD Касперского (для Др.Веб. вроде графический режим у меня ни разу не запустился). Ну и наверное диск AnitSMS должен работать с реестром.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вместо использование костылей вроде AntiSMS можно использовать мощный и гибкий инструмент, который такой функционал имеет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@priv8v, да я знаю эту утилиту. Правда не изучал вопрос о том, кто умеет запускаться из среды вроде WinLiveCD. Вот TDSSKiller мне точно помог.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Думал Eset первым будет, но нет))

http://www.symantec.com/connect/blogs/kovter-malware-learns-poweliks-persistent-fileless-registry-update

С большим запозданием...вероятно, благодаря тому, что тут всплыла инфа:

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2643&start=20#p26753

 

Интересно, сколько антивирусов смогут вылечить зараженную систему этой малварой, скажем недели через 2-3? :) Глядя на результаты тестов активного заражения с poweliks, есть уверенность, что Симантек будет находить и  лечить зараженные системы этим семейством. Чего не скажешь о остальных...хотя и сложного в обнаружении и лечении, в отличии от буткитов,  тут ничего и нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я думаю большинство даже на станут заморачиваться. Это сложно и на продажи мало влияет им.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Openair
    • Ego Dekker
      Декабрь 2019 — дата окончания жизненного цикла ESET NOD32/ESET Smart Security 9.0.
    • demkd
      драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.
    • Ольга_diplombest
      Высшее образование — сегодня это головная боль. Хотя каждый молодой человек стремиться его получить, как залог хорошей работы и высокой зарплаты в будущем. Но ВУЗы уже перестали быть бесплатными, поэтому получить образование можно только за деньги. Поэтому все чаще портрет современного студента — это работающий человек, который совмещает работу с учебой и еще имеющий семью. К тому же ссесия, написание рефератов. Курсовых работ или защита диплома — это настоящее испытание требующее много времени и сил.Необходимо время на поиск материала диплома,  написание работы, а еще семья и работа —и вот времени не хватает. При этом все успеть, порой физически бывает не возможно. И вот студент думает выхода нет и заваливает ссесию, бросает ВУЗ. Но выход есть, воспользоваться профессиональными преподавателями, аспирантами, докторами наук ... ка сделали уже многие студенты — https://diplombest.ru/сайт для тех, кто ценит время и бережет нервы. Компания работает без предоплаты, что гарантирует получение качественной работы в срок и без рисков для студента, политика скидок позволяет экономить до 50% от стоймости работы, что заслуживает доверия со стороны студентаТогда получение высшего образования будет в радость и через 5 лет ты уже заслуженный специалист.
    • Ольга_diplombest
      Я да не плохие деньги. Я то пользовалась https://diplombest.ru/. роде не плохо