Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatása az AFX rootkit program segítségével. Sicontact Kft, 2007.

Hasonló dokumentumok
Az ESET NOD32 program 2.7 verzió bemutatása a FU rootkit felismerése közben. Sicontact Kft

Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatása a Vanquish rootkit program segítségével. Sicontact Kft, 2007.

Bemutató vázlat. Kikapcsoljuk a valósidejű védelmet, majd feltelepítünk egy rootkitet, melynek segítségével különféle állományokat rejtünk el.

Teljes vírusirtás a NOD32 Antivirus System segítségével. vírusirtási útmutató

A Novitax ügyviteli programrendszer első telepítése

Image Processor BarCode Service. Felhasználói és üzemeltetői kézikönyv

CIB Internet Bank asztali alkalmazás Hasznos tippek a telepítéshez és a használathoz Windows operációs rendszer esetén

WIN-TAX programrendszer frissítése

2. lépés A Visszaállítási pont leírása: mezőbe gépeld be: Új alkalmazás telepítése!

Az Evolut Főkönyv program telepítési és beállítási útmutatója v2.0

CIG Pannónia Életbiztosító PROFe eltávolítása gépről

Távolléti díj kezelése a Novitax programban

CIG Pannónia Életbiztosító PROFe eltávolítása gépről

SZERVIZ 7. a kreatív rendszerprogram. Telepítési dokumentáció Szerviz7 DEMO alkalmazásokhoz. Verzió: 08/ 2010

15.4.2b Laborgyakorlat: Mappa és nyomtató megosztása, a megosztási jogok beállítása

Dropbox - online fájltárolás és megosztás

Digitális fényképezőgép Szoftver útmutató

5.6.3 Laborgyakorlat: Windows rendszerleíró adatbázis biztonsági mentése és visszaállítása

TERKA Törvényességi Ellenőrzési Rendszer Kiegészítő Alkalmazás

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

lizengo használati utasítás A Windows egy USB stick-re való másolása

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05 Geodéziai Feldolgozó Program

CareLink Personal telepítési útmutató. Első lépések a CareLink Personal adatfeltöltéshez

A VPN telepítése és használata

Java-s Nyomtatványkitöltő Program Súgó

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

Windows 8.1 frissítés, részletes útmutató

Általános soros sín (USB) Felhasználói útmutató Rendszerigény Nyomtatója beépített USB portja az alábbi minimális rendszerkonfiguráció mellett használ

Útmutató az OKM 2007 FIT-jelentés telepítéséhez

1. DVNAV letöltése és telepítése

ETR Kliens installálás

Kormányzati Elektronikus Aláíró és Aláírás-ellenőrző Szoftver

Az operációs rendszer fogalma

Az MA-660 eszközillesztő program telepítése

Védené értékes adatait, de még nem tudja hogyan?

BioAdmin 4.1 könnyű telepítés csak Kliens használatra

Bérprogram vásárlásakor az Ügyfélnek ben és levélben is megküldjük a termék letöltéséhez és aktiválásához szükséges termékszámot.

telepítési útmutató K&H Bank Zrt.

eszemélyi Kliens Szoftvercsomag Telepítési Útmutató

Sharpdesk Információs útmutató

eszemélyi Kliens Szoftvercsomag

Geotechnika II. (NGB-SE005-2) Geo5 használat

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05+ Geodéziai Feldolgozó Program

Selling Platform Telepítési útmutató Gyakori hibák és megoldások

telepítési útmutató K&H e-bank Budapest, július 16. K&H Bank Nyrt.

eszemélyi Kliens Szoftvercsomag

A Windows az összetartozó adatokat (fájlokat) mappákban (könyvtárakban) tárolja. A mappák egymásba ágyazottak.

Telepítési útmutató. 1.1 lépés : Telepítés típusa - ablak :

BaBér bérügyviteli rendszer telepítési segédlete év

1. A Windows programok telepítése

A nyomtatókkal kapcsolatos beállításokat a Vezérlőpulton, a Nyomtatók mappában végezhetjük el. Nyomtató telepítését a Nyomtató hozzáadása ikonra

A szoftverek típusai, változatai

Tanúsítvány feltöltése Gemalto.NET kártyára és Gemalto SIM termékre

Telepítés, újratelepítés több számítógépre, hálózatos telepítés Kulcs-Bér program

A Telepítés hajlékonylemezről panelen kattintson az OK gombra.

INFORMATIKAI RENDSZERGAZDA SZAKKÉPESÍTÉS TANULÓI SEGÉDLET. Windows áttelepítő használatához

KIRA. KIRA rendszer. Telepítési útmutató v1

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

WINDOWS TELEPÍTÉSI ÉS AKTIVÁLÁSI ÚTMUTATÓ A FOTOBETYAR.HU - PHOTOSHOP PLUGINJEIHEZ

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre. Windows 7, Windows 8, Windows 8.1 és Windows 10-es operációs rendszeren 1(9)

A CA-42 adatkommunikációs kábel gyors telepítési útmutatója

1.1. A programok futtatásához szükséges környezeti feltételek és fontos tudnivalók:

G Data MobileSecurity 2 telepíte si u tmutato

1. Origin telepítése. A telepítő első képernyőjén kattintson a Next gombra:

OTOsuite. Telepítési útmutató. Magyar

Digitális aláíró program telepítése az ERA rendszeren

Ubuntu Érettségi Remix Telepítési és beállítási leírás. Informatika érettségihez

EDUROAM wifi beállítás

Digitális aláíró program telepítése az ERA rendszeren

MEDITOR 5 KLÓN telepítési segédlete

DIGITÁLIS ALÁÍRÁS HASZNÁLATA A MICROSOFT OFFICE2000-BEN A MAKRÓK VÉDELMÉRE

Útmutató a LOGSYS fejlesztői kábel eszközmeghajtó programjainak telepítéséhez

15.4.2a Laborgyakorlat: Böngésző beállítása

Mobil vírusirtók. leírása. i-store.hu Szoftver webáruház

Selling Platform Telepítési útmutató Gyakori hibák és megoldások

Diva 852 ISDN T/A. Gyorstelepítési útmutató.

A mappák használata. Mappa létrehozása

1. tétel: A kommunikációs folyamat

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Rövid útmutató

USB-Nyomtató Menedzser

ÁNYK53. Az Általános nyomtatványkitöltő (ÁNYK), a személyi jövedelemadó (SZJA) bevallás és kitöltési útmutató együttes telepítése

PDF. Tartalomjegyzék 1/21

Telepítési útmutató a Solid Edge ST7-es verziójához Solid Edge

Fontos megjegyzés: Telepítse először az illesztőprogramot, majd csatlakoztassa a VideoCAM ExpressII eszközt az USB porthoz!

Di1611/Di2011. KEZELÉSI ÚTMUTATÓ: Twain

Telepítési útmutató a SMART Notebook 10 SP1 szoftverhez

Oktatás. WiFi hálózati kapcsolat beállítása Windows XP és Windows 7-es számítógépeken. SZTE Egyetemi Számítóközpont

A telepítési útmutató tartalma

PÉNZTÁR FELHASZNÁLÓI KÉZIKÖNYV

A CAPICOM ActiveX komponens telepítésének és használatának leírása Windows7 operációs rendszer és Internet Explorer 8-es verziójú böngésző esetén

4 Az eszközvezérlő telepítése

Köszönetnyilvánítás... xv Bevezetés az otthoni hálózatok használatába... xvii. A könyv jellegzetességei és jelölései... xxi Segítségkérés...


I. A program áttelepítése másik számítógépre

DSL kapcsolat létrehozása Windows 2000 alatt RasPPPoE tárcsázó segítségével

A Cobra Sprint telepítése CobraContoLight felhasználók számára

Telepítési Kézikönyv

SDX Professional 1.0 Telepítési leírás

Tartalomjegyzék. Windows XP alapokon

A MOKKA hitelesítő szoftver telepítése és használata

Átírás:

Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatása az AFX rootkit program segítségével Sicontact Kft, 2007.

Előadás vázlat Előadás vázlat Telepítjük a NOD32 2.7-es változatát Normál körülmények között a valósidejű védelem már a 2.5-ös verzió óta képes észlelni a rootkiteket, még mielőtt azok települhetnének. Kikapcsoljuk a valósidejű védelmet, majd feltelepítünk egy rootkitet, melynek segítségével különféle állományokat rejtünk el. Lefuttatjuk a NOD32 kézzel indítható víruskeresőjét az Anti-Stealth funkció nélkül, és megnézzük látja-e a rootkitet. A NOD32 nem veszi észre a már feltelepült rootkitet, és az általa elrejtett fájlokat sem látja. Visszakapcsoljuk az Anti-Stealth funkciót az aktív rootkites környezetben. Újból elindítunk egy kézi víruskeresést a rendszeren. A NOD32 most már megtalálja a rootkitet, valamint minden általa elrejtett állományt, és sikeresen képes tőlük megtisztítani a rendszert.

Fontos megjegyzések Amit ebben a bemutatóban láthatunk, az a NOD32 2.7 verziójában debütáló új Anti-Stealth technológia. Demonstrálni szeretnénk, hogy a NOD32 már aktív rootkitek ellen is hatékony védelmet nyújt. Rootkitnek az Interneten szabadon elérhető AFX Rootkit 2005 nevű csomagot töltöttük le, és azzel végeztük a kísérletet. Az AFX igen elterjedt rootkit - köszönhetően a szabadon hozzáférhető nyílt forráskódjának. Az AFX a "KERNEL32.DLL" függvénykönyvtár átirányításával és foltozásával (kernel32.dll hooking and patching) manipulálja a rendszert. Ezt a tesztet egy biztonsági szakértő hajtotta végre, szigorúan ellenőrzött körülmények között. Bár hiszünk benne, hogy a NOD32 2.7 a lehetséges legjobb védelmet kínálja a különféle digitális fenyegetések ellen, mégis határozattan azt tanácsoljuk, hogy a kísérletet semmiképpen ne próbálják ki otthoni körülmények között! A használt állományok: "root.exe - Az AFX főprogramja "hook.dll - Az AFX telepítése után hozza létre ezt a dinamikus könyvtár fájlt A rootkiteket leggyakrabban pontosan arra használják, hogy segítségükkel különféle eljárásokat, program állományokat álcázzanak.

Feltelepítettük a NOD32 2.7-es változatát egy Windows XP operációs rendszert futtató számítógépre.

A program telepítés után automatikusan frissíti a vírusdefinciókat.

A rootkitek többségét ismerik a víruskeresők, emiatt már a rootkit telepítés puszta kísérletekor riasztást kapunk.

Ezért most ki fogjuk kapcsolni az állandó védelmet ahhoz, hogy bemásolhassuk és telepíteni tudjuk a rootkitet. Ezt a lépést nem ajánljuk senkinek!

Miután kikerült a pipa az "AMON engedélyezése" jelölőnégyzet mellől, az AMON modul addig kék ikonja pirosra változott át. Emellett a Windows Biztonsági Központ is azonnal figyelmeztet, hogy nincs állandó vírusvédelmünk.

Indítsunk el a parancssorból egy DOS ablakot!

Létrehozunk egy rejtett nevű mappát, amelyet majd szeretnénk láthatatlanná tenni. Ide fogjuk bemásolni az AFX rootkitet.

A letölthető csomagban a gondos fejlesztők mellékelték a rootkit forráskódját is...

Csak bemásoltuk a rootkitet, de még nem futtattuk le azt. A rootkit elindítása előtt még jól látszik a "rejtett" mappa.

A rootkit elindítása után azonban eltűnik a szemünk és a DIR parancs elől is. Figyeljük meg, hogy szemben a HackerDefenderrel, itt minden olyan állomány, amely a rootkitet tartalmazó mappában volt, azonnal rejtetté vált.

Futtassuk most le a NOD32 kézi indítású víruskeresőjét!

A teljes C meghajtó tartalmát meg fogjuk vizsgálni.

Mivel alapos ellenőrzést szeretnénk, kapcsoljunk be mindent - kivéve egyelőre az Anti-Stealth technológiát!

Láthatjuk, hogy kikapcsolt Anti-Stealth opcióval a teljes mappa, és a fertőzött rootkit állományok is rejtve maradtak a NOD32 előtt, az semmilyen fenyegetést nem észlelt.

Bár a mappánk láthatatlan, mutatunk egy kis trükköt, amely mégis láthatóvá teszi.

Indítsuk el ismét a parancssori értelmezőt!

Jól látható, hogy a trükközés ellenére - ha pontosan tudjuk melyik az elrejtett könyvtár, a CD vagyis Change Directory paranccsal rejtettsége ellenére mégis bele tudunk lépni. A jelenség oka, hogy a rootkit a Windows API (Application Program Interface) függvénykönyvtár FindFirstFile és FindNextFile utasításait manipulálja, ezért nem láttuk a mappát a főkönyvtárból.

Másoljuk most be a Jegyzettömb programot a "rejtett" mappába.

Indítsuk el először a programot az eredeti helyéről, ez a Windows\System32 alkönytárban található.

A Windows Feladatkezőben (Task Manager) a Notepad.exe jól látszik a futó folyamatok között.

Most indítsuk a programot az AFX rootkit által manipulált "rejtett" mappából.

Ekkor a Windows Feladatkezőben (Task Manager) a Notepad.exe egyáltalán nem látszik a futó folyamatok között. Az AFX rootkit nem csak programokat, hanem futó folyamatokat, sőt Registry bejegyzéseket is képes láthatatlanná tenni.

Futtassuk most le ismét a NOD32 kézi indítású víruskeresőjét!

Ezúttal is a teljes C meghajtó tartalmát át fogjuk vizsgálni és a "Vírusirtás" opciót fogjunk kiválasztani.

Eljött az ideje, hogy bekapcsoljuk az Anti-Stealth technológiát. Most ezzel a beállítással meg ismételjük a kézi indítású víruskeresést!

Azonnal látszik a különbség - az eddig rejtve maradt futó rootkit komponensek máris észlelésre kerültek. Ez az állomány, amit a rootkit hozott létre - ez csapja be magát az operációs rendszert. Töröljük ki!

Ez pedig maga a rootkit főprogram. Törölhető.

Mindkét AFX összetevő észlelésre és törlésre került.

Vajon most már látható a "rejtett" mappa?

Továbbra sem látszik a rejtett könyvtár, mert a rootkittől való teljes megszabaduláshoz újra kell indítanunk a számítógépet.

Tegyünk hát így, és indítsuk újra gépünket!

Újraindítás után ismét látszik a "rejtett" nevű mappánk, ez határozottan jó jel.

Láthatjuk, hogy a "rejtett" mappából az összes kártékony állomány ("hook.dll", "root.exe") sikeresen eltávolításra került, csak a veszélytelen információs fájl maradt. Benne azonban a rootkit használati utasításán felül további érdekességre bukkanhatunk.

A fejlesztő teljesen nyíltan hirdet a Read.me állományban, száz amerikai dollár fejében "észlelhetetlen" rootkiteket kínál eladásra, amit Pay-pal, E-Gold, Western Union átutalással, csekken, vagy akár készpénzben is fizethetünk.

A telepített rootkit komponenseit megvizsgáltattuk a www.virustotal.com weboldalon is. A futtatáskor keletkezett "hook.dll" esetében jól láthatóan a legtöbb vírusvédelmi eszköz kimutatta a fertőzést.

Ez maga az AFX főprogramja.

A NOD32 mindkét rootkit komponenst egységesen "Win32/Hider.C" néven ismeri fel.

A Sunbelt leírása arról tájékoztat minket, hogy ezzel a kártevővel a távolból irányíthatják, manipulálhatják a megfertőzött gépünket.

Mindenkinek azt tanácsoljuk, hogy fertőzés gyanús esetekben azonnal futtasson le egy alapos és az összes fizikai meghajtóra kiterjedő keresést, hiszen a hasonló kártevők gyakran telepítenek további rosszindulatú kódokat is a rendszerben.

Tegyünk hát így, indítsunk egy komplett vizsgálatot!

Az alapos ellenőrzéshez kiválasztunk minden opciót. Emlékezzünk, az Anti-Stealth technológia már alaphelyzetben is bekapcsolt állapotban van.

A gép újraindítása után elvégzett teljes keresés is tisztának jelzi a gépet.

A rendszer ismét tiszta és tökéletesen működik, a NOD32 2.7 új Anti-Stealth technológiájának köszönhetően.

Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatóját látták.