Тесты лечения активного заражения на бесфайловые вредоносы.

[Илья Рабинович 521]

Всем привет!

По следам обсуждения с Василем Бердниковым возникла одна идея. В последнее время появилась новая тема в сфере противодействия антивирусным сканирующим модулям со стороны вредоносного программного обеспечения- это разные формы бесфайловых модулей. Они либо существуют только в реестре, либо создают файлы только во время перезагрузки, всё остальное время существую лишь в качестве кусков исполняемой памяти и потоков их исполнения.

Предлагаю сделать отдельный тест лечения активного заражения на такие вот новые вредоносные техники, поскольку из-за явного застоя инноваций в руткитостроении и буткитостроении, данные типы малвари не смогут дать интересных результатов в тесте на лечение активного заражения. А вот бесфайловые- те да, могут.

[vaber 350]

>> Предлагаю сделать отдельный тест лечения активного заражения на такие вот новые вредоносные техники, поскольку из-за явного застоя инноваций в руткитостроении и буткитостроении, данные типы малвари не смогут >>дать интересных результатов в тесте на лечение активного заражения. А вот бесфайловые- те да, могут.

Я в целом за тест, в том числе и с частью прежних семплов, если их не на что заменить. Лично мне интересно, как у вендоров сейчас: до сих пор все печально со сложными угрозами или развиваются по-тиху. + было APT Turla / Uroburos, тоже с руткитом, много где и кто о нем трубил - лечат ли все и видят ли активного (даже имея сигнатурный детект на отдельно взятые файлы)?

Так что есть что новое и интересное. Я могу еще покопаться в архивах -может чего еще интересного за последние пару лет вспомню. Да и древнего sinowal на XP - и то интересно глянуть, ибо последний варант неплохо маскировался, а в тестах его не было.

[Killer 55]

Кстати реально интересный тест будет)

Так тесту быть?

[amid525 67]

Думаю как обычно. )

[Alex_Goodwin 81]

Да и древнего sinowal на XP - и то интересно глянуть, ибо последний варант неплохо маскировался, а в тестах его не было.

На XP не все антивирусы работают, нет в этом никакого смысла. Уже закончилась основная поддержка 7, а мы все про XP

[Виктор Коляденко 6]

Идея хоть какого-то теста ещё актуальна? Win 7 x64, взять из таких образцов что-то:
1) Sinowal, SST, Zeroaccess, Cidox;
2) Virus.Protector, Rloader.

[priv8v 960]

Как писал Сергей Ильин - тест уже делают. Туда включены часть вредоносов из старого теста на лечение активного заражения + что-то бесфайлового + что-то еще.

[alamor 69]

Идея хоть какого-то теста ещё актуальна? Win 7 x64, взять из таких образцов что-то: 1) Sinowal, SST, Zeroaccess, Cidox; 2) Virus.Protector, Rloader.

http://www.anti-malware.ru/forum/index.php?showtopic=29160

[Сергей Ильин 1538]

Методология опубликована http://www.anti-malware.ru/node/15871

 

Отчет с результатами тестирования уже верстается

[Виктор Коляденко 6]

Да, самая идея вредоноса, который не имеет лежащего на диске файла хороша. То есть сигнатурно его обнаружить не выйдет. Как тогда вводить критерий обычный, что компоненты должны детектироваться в неактивном состоянии? Даже детект в памяти обычно есть на очень мало вредоносов.

[Threat#47 8]

Неделя прошла. Тест уже был выложен? Не видел его на сайте. 

[vegas 7]

Тест опубликован

[Виктор Коляденко 6]

Любой вредонос вида "Регистрирует в реестре в ключе Run ярлык на свое тело. При старте системы загружается в память и удаляет параметр в автозапуске" не сможет вылечить/обнаружить простая утилита для сканирования реестра?

[priv8v 960]

По логике вещей - нет, если это не утилита по работе с реестром на "мертвой" системе (загрузка ОСи с диска/флешки).

[Виктор Коляденко 6]

утилита по работе с реестром на "мертвой" системе (загрузка ОСи с диска/флешки).

 

К сожалению, я такую функцию виден только у RescueCD Касперского (для Др.Веб. вроде графический режим у меня ни разу не запустился). Ну и наверное диск AnitSMS должен работать с реестром.

[priv8v 960]

Вместо использование костылей вроде AntiSMS можно использовать мощный и гибкий инструмент, который такой функционал имеет

[Виктор Коляденко 6]

@priv8v, да я знаю эту утилиту. Правда не изучал вопрос о том, кто умеет запускаться из среды вроде WinLiveCD. Вот TDSSKiller мне точно помог.

[vaber 350]

Думал Eset первым будет, но нет))

http://www.symantec.com/connect/blogs/kovter-malware-learns-poweliks-persistent-fileless-registry-update

С большим запозданием...вероятно, благодаря тому, что тут всплыла инфа:

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2643&start=20#p26753

 

Интересно, сколько антивирусов смогут вылечить зараженную систему этой малварой, скажем недели через 2-3? Глядя на результаты тестов активного заражения с poweliks, есть уверенность, что Симантек будет находить и  лечить зараженные системы этим семейством. Чего не скажешь о остальных...хотя и сложного в обнаружении и лечении, в отличии от буткитов,  тут ничего и нет.

[Сергей Ильин 1538]

Я думаю большинство даже на станут заморачиваться. Это сложно и на продажи мало влияет им.