Szybki test programów do bankowości elektronicznej vs Zeus - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Publikacje (https://safegroup.pl/forum-27.html) +--- Dział: Artykuły (https://safegroup.pl/forum-24.html) +--- Wątek: Szybki test programów do bankowości elektronicznej vs Zeus (/thread-5544.html) |
Szybki test programów do bankowości elektronicznej vs Zeus - ELWIS1 - 19.09.2012 Nie muszę chyba przedstawiać nikomu tego trojanika, ktory zwie się Zeus. Działanie trojana:Program zapisuje się najczęściej w Documents and settings /dane aplikacji i często pod inną nazwą. Nawet jeśli uruchomimy ten sam plik. Choć, nie jest to regułą i pewnie zależy od sampla. Następnie ładuje się do pamięci i tam zmienia ustawienia naszej przeglądarki internetowej. Wziąłem pod szybką lupę następujące programy, jak sobie radzą z Zeusem. 1. Hitman Pro Alert Beta 2. G-data Bank Guard. 3. SpyShelter Premium 4. Zemana Antilogger 5. Trusteer Rapport. 6. Secure Banking Testowany sampel: [Aby zobaczyć linki, zarejestruj się tutaj] Test odbył się wczoraj, za wyjątkiem SpySheltera i Zemany Antilogger.Więc miał detekcję 7/43 Kto dał ciała, a kto rozgromił konkurencję? Wszystkie programy na maxymalnych ustawieniach. Platforma testowa : VirtualBox Na pierwszy ogień poszedł niemiecki program: Secure Banking. Uruchomiłem Zeusa, a programik wykrył go bardzo szybko (w kilka sekund i unieszkodliwł. Po restarcie, nie było śladu Zeusa). Program równiez zainstalowany, gdy posiadamy Zeusa unieszkodliwi go. Warto dodać, że bazy ma z 10 września. Tak, więc działa heurystycznie. Ma pewne podpisy w bazie i na tej podstawie wykrywa intruza. Po prostu dopasowuje podpis. [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] G-data BankGuard Po uruchomieniu Zeusa, wirus został szybko unieszkodliowiony. Bazy z marca [Aby zobaczyć linki, zarejestruj się tutaj] Trusteer Rapport To samo, po uruchomieniu Zeusa, został szybko unieszkodliowiony i usunięty z systemu. [Aby zobaczyć linki, zarejestruj się tutaj] Hitman Pro Alert 3b beta Program bardzo dobrze wykrywa Zeusa, ale nie potrafi go usunąć, jezeli nie ma go w bazie Hitman Pro. W chwili przeprowadzenia testu nie posiadał go w bazie. Jednym słowem: trochę kiepsko. [Aby zobaczyć linki, zarejestruj się tutaj] Spyshelter Premium 6,1 Program informuje o tym, że nowy plik próbuje otworzyć nowy proces. Mam możliwość przeskanowania go na VirusTotal. [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Skanuje, ale coś długo trwa i klikam anuluj. Efekt? Trojan uruchomił się w pamięci i sobie działał, [Aby zobaczyć linki, zarejestruj się tutaj] ale najważniejsze że zablokował haki. Więc działanie trojana Zeusa zablokował. Dodam, że haki zablokował automatycznie. Zresetowałem system i usunąłem reguły. Następnie powtórnie uruchomiłem Zeusa i zezwoliłem plikowi zmodyfikać proces explorer.exe. [Aby zobaczyć linki, zarejestruj się tutaj] Zablokowałem jednak dostępu do pamięci. [Aby zobaczyć linki, zarejestruj się tutaj] Efekt: doszło do zarażenia. Hitman pro, tym razem wykrywał podejrzany plik. Haki znów blokowane. Good job. [Aby zobaczyć linki, zarejestruj się tutaj] Zemana Antilogger Uruchomiłem Zeusa, powiadomił, że plik chcę wstrzyknąc kod. Zezwoliłem [Aby zobaczyć linki, zarejestruj się tutaj] Pierwszy raz moim oczom ukazał się komunikat znany z reklam Zemany: SSL zablokowany. [Aby zobaczyć linki, zarejestruj się tutaj] Uruchomiłem Hitmana Pro Alert i wskazywał, że jednak Zeus nadal sobie baraszkuje. [Aby zobaczyć linki, zarejestruj się tutaj] Zrobiłem reset, to samo. Usunąłem reguły Zemany i ponownie uruchomiłem Zeusa. Jednak Hitman Pro nadal mnie alarmował. Usunąłem Zemane i zainstalowałem SpySheltera, nie resetowałem nawet kompa, a SpyShelter zablokował haki i HitmanPro Alert nic nie wykrywał. Wnioski: Wyciągnijcie sami Re: Szybki test programów do bankowości elektronicznej vs Zeus - McAlex - 19.09.2012 A dlaczego zezwoliłeś na wstrzyknięcie kodu? Re: Szybki test programów do bankowości elektronicznej vs Zeus - ELWIS1 - 19.09.2012 Chciałem sprawdzić czy to SSL to bajka. I jak widać w przypadku Zemany to atrapa. Chyba, że ona na jakiejś innej zasadzie działa, ale wątpie. Jakbym zablokował, to w SpyShelterze też bym musiał i nie przekonalibyśmy się o sile ochrony SSL. Przynajmniej ja bym się nie dowiedział. Najważniejsze by dobrze blokował haki, manipulacje w przeglądarkach Wiele programów próbuje wstrzyknąć kod. Re: Szybki test programów do bankowości elektronicznej vs Zeus - McAlex - 19.09.2012 Aha, ok Re: Szybki test programów do bankowości elektronicznej vs Zeus - ELWIS1 - 19.09.2012 Ja mam takie rozumowanie, akurat w takich testach. Mogę blokować wszystko, ale co jak będzie 0-day? Re: Szybki test programów do bankowości elektronicznej vs Zeus - Adi Cherryson - 20.09.2012 A dlaczego zezwoliłeś (Zemana) na wstrzyknięcie kodu? ELWIS1 napisał(a):Wiele programów próbuje wstrzyknąć kod. Też mnie to dziwi. Zemana milczy u mnie prawie zawsze, ale gdy już widzę taki komunikat, to jest to sygnał że mam coś naprawdę szkodliwego. Przecież właśnie Zemana chroni przed uruchomieniem 0-day? Re: Szybki test programów do bankowości elektronicznej vs Zeus - ELWIS1 - 20.09.2012 Adi Cherryson napisał(a):A dlaczego zezwoliłeś (Zemana) na wstrzyknięcie kodu? W SpyShelter też zezwoliłem i sobie poradził. Przy próbie aktualizacji Avasta również wyskakuje komunikat, że chce wstrzyknąć kod. Jakbym nie zezwolił to by nie doszło do zainfekowania. To tak w ramach wątpliwości. Reasumując: Gdy chcemy zainstalować Zeusa: Zemana nas uratuje, ale gdy zainstalujemy Zemane na system, gdzie jest Zeus wtedy jest musztarda po obiedzie. |