Bojkotujeme nástroje ComboFix, RSIT a viry.cz

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Diallix
Datum: 27.7.2017
Hodnocení/Hlasovalo: 2.78/27

Ukážeme si ako ľahko sa dajú bojkotovať uvedené nástroje a tým aj fóra zameraná na antivirusové poradenstvo.

Su skutočně spolahlivé viry.cz a členovia ASAP -- Alliance of Security Analysis Professionals? Je spolah na fóra ako www.viry.cz, www.bleepingcomputer.com,..., ktoré využívajú log utility?

Log utility sú nástroje, ktoré kontroľujú systém pomocou výpisov služieb, procesov, registrov, ktoré uložia do logu - textového súboru. Na jejich základe rádci radia ďalšie kroky pre odstránenie malwaru.

Je to však spolahlivá a neomylná metóda? Neťahujú vás za nos, čo sa týka bezpečnosti vás a vaších dát?

Poďme po kroku. Autor SUBS z bleepingcomputer.com je autorom nástroja combofix. Ďalej majú rádci k dispozícií RSIT, a podobne. Ide o spomínané nástroje, ktoré tvoria log a svojím rádcom poskytujú informácie ohľadne daného systému.

Zhrňme si to:

SUBSov ComboFix beží pod desktopom ako aplikácia tvorená v MS-DOSe, ako súčasť cmd/MS-DOS skriptov. Ďalej využíva nástroje ako:

Bez týchto častí by nefungoval.

RSIT ako nástroj beží taktiež pod desktopom a kontroluje systém. Pred kontrolou sťiahne súbor HijackThis.exe, ktorý beží pod názvom administrátorského konta. Výpis logu je na obrázku nižšie.

Výpis logu

Kdo mi z rádcov ľudí bude tvrdiť, že "Infium" je súčasť "qipu"? Alebo vrstva "Winsock LSP" nie je hooknutý a súbor "system32\vsocklib.dll" nie je malware?

Nič...

Preto si to skúsime prakticky. Tento videonávod popisuje tvorbu malware, ktorý tieto veci detekuje a bojkotuje utility, ktoré používajú viry.cz.