Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatása a Vanquish rootkit program segítségével. Sicontact Kft, 2007.

Hasonló dokumentumok
Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatása az AFX rootkit program segítségével. Sicontact Kft, 2007.

Az ESET NOD32 program 2.7 verzió bemutatása a FU rootkit felismerése közben. Sicontact Kft

Bemutató vázlat. Kikapcsoljuk a valósidejű védelmet, majd feltelepítünk egy rootkitet, melynek segítségével különféle állományokat rejtünk el.

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05 Geodéziai Feldolgozó Program

CIB Internet Bank asztali alkalmazás Hasznos tippek a telepítéshez és a használathoz Windows operációs rendszer esetén

Az Evolut Főkönyv program telepítési és beállítási útmutatója v2.0

A Novitax ügyviteli programrendszer első telepítése

Teljes vírusirtás a NOD32 Antivirus System segítségével. vírusirtási útmutató

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05+ Geodéziai Feldolgozó Program

TERKA Törvényességi Ellenőrzési Rendszer Kiegészítő Alkalmazás

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt


2. lépés A Visszaállítási pont leírása: mezőbe gépeld be: Új alkalmazás telepítése!

1. Origin telepítése. A telepítő első képernyőjén kattintson a Next gombra:

WIN-TAX programrendszer frissítése

Védené értékes adatait, de még nem tudja hogyan?

SZERVIZ 7. a kreatív rendszerprogram. Telepítési dokumentáció Szerviz7 DEMO alkalmazásokhoz. Verzió: 08/ 2010

ETR Kliens installálás

INFORMATIKAI RENDSZERGAZDA SZAKKÉPESÍTÉS TANULÓI SEGÉDLET. Windows áttelepítő használatához

Image Processor BarCode Service. Felhasználói és üzemeltetői kézikönyv

Dropbox - online fájltárolás és megosztás

Mobil vírusirtók. leírása. i-store.hu Szoftver webáruház

Infocentrum Számlázó hálózatos verzió + Firebird Adatbázismotor

A Cobra Sprint telepítése CobraContoLight felhasználók számára

2. Végezzük el a tömörített fájlok kicsomagolását a számítógépünkre.

Windows 8.1 frissítés, részletes útmutató

Telepítési útmutató. 1.1 lépés : Telepítés típusa - ablak :

CareLink Personal telepítési útmutató. Első lépések a CareLink Personal adatfeltöltéshez

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

Virtual Call Center kliens program MSI csomag telepítése

Az operációs rendszer fogalma

Java-s Nyomtatványkitöltő Program Súgó

Geotechnika II. (NGB-SE005-2) Geo5 használat

Selling Platform Telepítési útmutató Gyakori hibák és megoldások

Tanúsítvány feltöltése Gemalto.NET kártyára és Gemalto SIM termékre

Iroda DEMO telepítési útmutató

Az MA-660 eszközillesztő program telepítése

Szia Ferikém! Készítek neked egy leírást mert bánt, hogy nem sikerült személyesen megoldani a youtube problémát. Bízom benne, hogy segít majd.

A legfontosabb DOS parancsok

1. A Windows programok telepítése

Távolléti díj kezelése a Novitax programban

I. A program áttelepítése másik számítógépre

BaBér bérügyviteli rendszer telepítési segédlete év

5.6.3 Laborgyakorlat: Windows rendszerleíró adatbázis biztonsági mentése és visszaállítása

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Rövid útmutató


EDUROAM wifi beállítás

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

Útmutató az OKM 2007 FIT-jelentés telepítéséhez

Hardverkarbantartó programok

Diva 852 ISDN T/A. Gyorstelepítési útmutató.

Selling Platform Telepítési útmutató Gyakori hibák és megoldások

Gyakori Kérdések. VMC 870 adatkártyához

ÁNYK53. Az Általános nyomtatványkitöltő (ÁNYK), a személyi jövedelemadó (SZJA) bevallás és kitöltési útmutató együttes telepítése

1. tétel: A kommunikációs folyamat

A VPN telepítése és használata

A Windows az összetartozó adatokat (fájlokat) mappákban (könyvtárakban) tárolja. A mappák egymásba ágyazottak.

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Rövid útmutató

Tisztelt Ügyfelünk! Tájékoztató az átállásról

USB-Nyomtató Menedzser

MÉRY Android Alkalmazás

eszemélyi Kliens Szoftvercsomag Telepítési Útmutató

A nyomtatókkal kapcsolatos beállításokat a Vezérlőpulton, a Nyomtatók mappában végezhetjük el. Nyomtató telepítését a Nyomtató hozzáadása ikonra

ESET NOD32 Antivirus. telepítési útmutató. we protect your digital worlds

1.1. A programok futtatásához szükséges környezeti feltételek és fontos tudnivalók:

Digitális fényképezőgép Szoftver útmutató

ÜGYVÉDI IRODA Telepítési útmutató

DSL kapcsolat létrehozása Windows 2000 alatt RasPPPoE tárcsázó segítségével

SDX Professional 1.0 Telepítési leírás

Az operációs rendszer. Az operációs rendszer feladatai, részei, fajtái Az operációs rendszer beállítása

BioAdmin 4.1 könnyű telepítés csak Kliens használatra

Bérprogram vásárlásakor az Ügyfélnek ben és levélben is megküldjük a termék letöltéséhez és aktiválásához szükséges termékszámot.

2. modul - Operációs rendszerek

eszemélyi Kliens Szoftvercsomag

1. DVNAV letöltése és telepítése

Általános soros sín (USB) Felhasználói útmutató Rendszerigény Nyomtatója beépített USB portja az alábbi minimális rendszerkonfiguráció mellett használ

TELEPÍTÉS UEFI MÓDBAN » ELSŐ RÉSZ: ELŐKÉSZÜLETEK

Telenor Webiroda. Kezdő lépések

A telepítési útmutató tartalma

Telepítési útmutató a Solid Edge ST7-es verziójához Solid Edge

Backup Premium Rövid útmutató

SSL VPN KAPCSOLAT TELEPÍTÉSI ÚTMUTATÓ

Oralce kliens installálása Windows Server 2003-ra

Telepítési útmutató a SMART Notebook 10 SP1 szoftverhez

eszemélyi Kliens Szoftvercsomag

lizengo használati utasítás A Windows egy USB stick-re való másolása

ElitBÉR bérrendszer telepítése hálózatos környezetben

KIRA. KIRA rendszer. Telepítési útmutató v1

Szoftver alapfogalmak

Rövid útmutató. Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / Home Server Ide kattintva letöltheti a dokumentum legújabb verzióját

CIG Pannónia Életbiztosító PROFe eltávolítása gépről

Google Drive szinkronizálása asztali géppel Linux rendszeren

PDF. Tartalomjegyzék 1/21

DIGITÁLIS ALÁÍRÁS HASZNÁLATA A MICROSOFT OFFICE2000-BEN A MAKRÓK VÉDELMÉRE

Rövid útmutató. Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / Home Server Ide kattintva letöltheti a dokumentum legújabb verzióját

WIN-TAX programrendszer hálózatban

Infocentrum Számlázó hálózatos verzió + Firebird Adatbázismotor

A mappák használata. Mappa létrehozása

A CA-42 adatkommunikációs kábel gyors telepítési útmutatója

ESET NOD32 ANTIVIRUS 9

Átírás:

Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatása a Vanquish rootkit program segítségével Sicontact Kft, 2007.

Előadás vázlat Telepítjük a NOD32 2.7-es változatát Normál körülmények között a valósidejű védelem már a 2.5-ös verzió óta képes észlelni a rootkiteket, még mielőtt azok települhetnének. Kikapcsoljuk a valósidejű védelmet, majd feltelepítünk egy rootkitet, melynek segítségével különféle állományokat rejtünk el. Lefuttatjuk a NOD32 kézzel indítható víruskeresőjét az Anti-Stealth funkció nélkül, és megnézzük látja-e a rootkitet. A NOD32 nem veszi észre a már feltelepült rootkitet, és az általa elrejtett fájlokat sem látja. Visszakapcsoljuk az Anti-Stealth funkciót az aktív rootkites környezetben. Újból elindítunk egy kézi víruskeresést a rendszeren. A NOD32 most már megtalálja a rootkitet, valamint minden általa elrejtett állományt, és sikeresen képes tőlük megtisztítani a rendszert.

Fontos megjegyzések Amit ebben a bemutatóban láthatunk, az a NOD32 2.7 verziójában debütáló új Anti-Stealth technológia. Demonstrálni szeretnénk, hogy a NOD32 már aktív rootkitek ellen is hatékony védelmet nyújt. Rootkitnek az Interneten szabadon elérhető Vanquish Rootkit v:0.2.1. nevű csomagot töltöttük le, és azzel végeztük a kísérletet. A Vanquish igen elterjedt rootkit - még kereskedelmi verzió is létezik belőle. A Vanquish a "KERNEL32.DLL" függvénykönyvtár foltozásával (kernel32.dll patching) manipulálja a rendszert. Ezt a tesztet egy biztonsági szakértő hajtotta végre, szigorúan ellenőrzött körülmények között. Bár hiszünk benne, hogy a NOD32 2.7 a lehetséges legjobb védelmet kínálja a különféle digitális fenyegetések ellen, mégis határozattan azt tanácsoljuk, hogy a kísérletet semmiképpen ne próbálják ki otthoni körülmények között! A használt állományok: "vanquish.exe - A Vanquish főprogramja "vanquish.dll - A Vanquish dinamikus könyvtár állománya A rootkiteket leggyakrabban pontosan arra használják, hogy segítségükkel különféle eljárásokat, program állományokat álcázzanak.

Feltelepítettük a NOD32 2.7-es változatát egy Windows XP operációs rendszert futtató számítógépre.

A program telepítés után automatikusan frissíti a vírusdefinciókat.

Létrehozunk egy rejtett nevű mappát, amelyet majd szeretnénk láthatatlanná tenni. Ide fogjuk bemásolni a Vanquish rootkitet.

A rootkitek többségét ismerik a víruskeresők, emiatt már a rootkit másolásának vagy telepítésének puszta kísérletekor riasztást kapunk.

Bekapcsolt valósidejű vírusvédelem mellett - szerencsére - már a bemásolásig sem jutunk el.

Az AMON modul haladéktalanul közbelép, riaszt és töröl, illetve karanténba helyez, ha ezt kérjük tőle.

Ezért most ki fogjuk kapcsolni az állandó védelmet ahhoz, hogy bemásolhassuk és telepíteni tudjuk a rootkitet. Ezt a lépést nem ajánljuk senkinek!

Miután kikerül a pipa az "AMON engedélyezése" jelölőnégyzet mellől, az AMON modul addig kék ikonja pirosra változik át. Emellett a Windows Biztonsági Központ is azonnal figyelmeztet, hogy nincs állandó vírusvédelmünk.

Elindítunk a parancssorból egy DOS ablakot és bemásoljuk a rootkitet a "rejtett" nevű mappába.

A kísérlet kedvéért a Jegyzettömb (Notepad) programot is bemásoljuk az elrejtendő könyvtárunkba.

A telepítendő rootkit komponenseit megvizsgáltattuk a www.virustotal.com weboldalon is. A "vanquish.exe" esetében jól láthatóan szinte minden vírusvédelmi eszköz kimutatta a fertőzést.

A NOD32 mindkét rootkit komponenst egységesen "Win32/PSW.XShadow.B" néven ismeri fel. Az elnevésben található PSW rövidítés a Password Stealer, vagyis jelszó lopó képességre utal.

A teszthez további három új mappát is létrehoztunk: a "rejtett" mellett "vanquish_a", b és c néven. Fájlok és könyvtárak esetében ezt a kulcsszót (magic word) kell használnunk az elnevezésben, hogy a rootkit majd elrejtse azokat.

A Vanquish rootkit csomagjában a telepítő fájlokat, egy komplett leírást, valamint a futtatható állományokat (BIN alkönyvtár) találjuk.

Kikapcsolt vírusvédelem mellett most telepíteni fogjuk a rootkitet.

Telepítjük a rootkitet. A Vanquish egy úgynevezett DLL-injection technikát használ működése közben. Azt is láthatjuk, hogy a telepítéskor két futtatható állományának másolatát a Windows könyvtárba másolja.

A rootkit elindítása után "vanquish" szót tartalmazó mappák és állományok azonnal eltűnnek a szemünk és a DIR parancs elől is.

Nevezzük most át a "rejtett" mappát "vanquish"-ra!

Alig, hogy végrehajtjuk az átnevezést, máris egy hibaüzenetet kapunk, hiszen mostantól már maga a mappa is rejtett és elérhetetlen.

A frissített tartalomjegyzékben nem látjuk többé a "vanquish" mappánkat sem, hiszen a rootkit minden kulcsszót tartalmazó állományt és könyvtárat elrejt a szemünk elől.

Aligha lehet meglepetés, hogy a Feladatkezelőben (Task Manager) sem látjuk a rootkit futó folyamatát. A Vanquish rootkit nem csak programokat, hanem futó folyamatokat, sőt Registry bejegyzéseket is képes láthatatlanná tenni.

Bár a mappánk láthatatlan, mutatunk egy kis trükköt, amely mégis láthatóvá teszi. Indítsuk el ismét a parancssori értelmezőt! Jól látható, hogy a trükközés ellenére - ha pontosan tudjuk melyik az elrejtett könyvtár, a CD vagyis Change Directory paranccsal rejtettsége ellenére mégis bele tudunk lépni. A jelenség oka, hogy a rootkit a Windows API (Application Program Interface) függvénykönyvtár FindFirstFile és FindNextFile utasításait manipulálja, ezért nem láttuk a mappát a főkönyvtárból.

Ha pontosan tudjuk, mit akarunk elindítani, a teljes útvonal ismeretében az sikeresen lefut. Képünkön az a Jegyzettömb példány fut, melyet a "vanquish" alkönyvtárból hívtunk meg.

Futtassuk most le a NOD32 kézi indítású víruskeresőjét!

A teljes C meghajtó tartalmát meg fogjuk vizsgálni.

Mivel alapos ellenőrzést szeretnénk, kapcsoljunk be mindent - kivéve egyelőre az Anti-Stealth technológiát!

Láthatjuk, hogy kikapcsolt Anti-Stealth opcióval a teljes mappa, és a fertőzött rootkit állományok is rejtve maradtak a NOD32 előtt, az semmilyen fenyegetést nem észlelt.

Eljött az ideje, hogy bekapcsoljuk az Anti-Stealth technológiát. Most ezzel a beállítással ismételjük meg a kézi indítású víruskeresést!

Azonnal látszik a különbség - az eddig rejtve maradt futó rootkit komponensek máris észlelésre kerültek. Ez az a DLL állomány, ami becsapja az operációs rendszert. Töröljük ki!

Ez pedig maga a rootkit főprogram. Szintén törölhető.

Horogra akadnak a Windows alkönyvtárba került másolatok is, ezeket szintén törölhetjük! A NOD32 megjelöli, és majd a gép újraindítása után fogja fizikailag is törölni.

A rootkittől való teljes megszabaduláshoz újra kell indítanunk a számítógépet.

Újraindítás után ismét látszanak a mappáink, ez határozottan jó jel.

Láthatjuk, hogy a rejtett mappánkból az összes kártékony állomány ("vanquish.dll", "vanquish.exe") sikeresen eltávolításra került.

Újraindítás után azonban láthatunk egy új, korábban láthatatlan állományt is a főkönyvtárban: "vanquish.log"

Ez a napló állomány tartalmaz minden, a Vanquish rootkit futásával kapcsolatos eseményt, hibajelzést, valamint ide gyűjti az ellopott jelszó adatokat is.

Pillantsunk bele a rootkit használati utasításába is!

A rootkiteket számos esetben arra használják, hogy átvegyék vele a teljes ellenőrzést a megfertőzött számítógép felett, és a távolról irányítható botnet hálózat zombigépeinek számát gyarapítsák vele. Ezek a botnetek felelősek a kiküldött kéretlen levélszemét (spam) mennyiség mintegy 80 százalékáért. Persze a rootkit készítője saját elérhetőségét szemlátomást óvja a címgyűjtő robotoktól - ő valamiért nem szeretne ilyeneket kapni.

Mindenkinek azt tanácsoljuk, hogy fertőzés gyanús esetekben azonnal futtasson le egy alapos és az összes fizikai meghajtóra kiterjedő keresést, hiszen a hasonló kártevők gyakran telepítenek további rosszindulatú kódokat is a rendszerben. Tegyünk hát így, indítsunk egy komplett vizsgálatot!

Az alapos ellenőrzéshez kiválasztunk minden opciót. Emlékezzünk, az Anti-Stealth technológia már alaphelyzetben is bekapcsolt állapotban van.

A gép újraindítása után elvégzett teljes keresés is tisztának jelzi a gépet.

A rendszer ismét tiszta és tökéletesen működik, a NOD32 2.7 új Anti-Stealth technológiájának köszönhetően.

Az ESET NOD32 program 2.7 verzió új Anti-Stealth technológiájának bemutatóját látták.