Тест Тест SySWath VS TrojanWinlock

Тема в разделе "Тестирование ПО", создана пользователем Phoenix, 9 ноя 2013.

Статус темы:
Закрыта.
  1. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.841
    К сожалению мало времени на тесты, но всё же решил в кратце выложить.
    Винлок беспрепятственно заблокировал систему, но после выхода-входа из системы сработал Пользователь: V.I.P.O ® и запуска в ограниченном режиме блокер был снят !

    DSCN0681.JPG
    PHP:

    C:\Users\DoctorWeb\VIRUSTEST\system_091113_213059841.txt (17 hits)
        Line 425: 09.11.2013 23:09:01    Запуск известного приложения.            Процесс: C:\USERS\DOCTORWEB\DOWNLOADS\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE PID: 4504 Процесс родитель: EXPLORER.EXE PPID: 544            Командная строка: "C:\Users\DoctorWeb\Downloads\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe"             Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 425: 09.11.2013 23:09:01    Запуск известного приложения.            Процесс: C:\USERS\DOCTORWEB\DOWNLOADS\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE PID: 4504 Процесс родитель: EXPLORER.EXE PPID: 544            Командная строка: "C:\Users\DoctorWeb\Downloads\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe"             Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 426: 09.11.2013 23:09:03    Запуск известного приложения.            Процесс: C:\USERS\DOCTORWEB\DOWNLOADS\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE PID: 1008 Процесс родитель: TROJAN.WINLOCK.6578.EXE PPID: 4504            Командная строка: C:\Users\DoctorWeb\Downloads\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe            Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 426: 09.11.2013 23:09:03    Запуск известного приложения.            Процесс: C:\USERS\DOCTORWEB\DOWNLOADS\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE PID: 1008 Процесс родитель: TROJAN.WINLOCK.6578.EXE PPID: 4504            Командная строка: C:\Users\DoctorWeb\Downloads\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe            Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 426: 09.11.2013 23:09:03    Запуск известного приложения.            Процесс: C:\USERS\DOCTORWEB\DOWNLOADS\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE PID: 1008 Процесс родитель: TROJAN.WINLOCK.6578.EXE PPID: 4504            Командная строка: C:\Users\DoctorWeb\Downloads\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe            Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 441: 09.11.2013 23:13:31    Запуск известного приложения.            Процесс: C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE PID: 5876 Процесс родитель: EXPLORER.EXE PPID: 544            Командная строка: "C:\Users\DoctorWeb\VIRUSTEST\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe"             Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 441: 09.11.2013 23:13:31    Запуск известного приложения.            Процесс: C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE PID: 5876 Процесс родитель: EXPLORER.EXE PPID: 544            Командная строка: "C:\Users\DoctorWeb\VIRUSTEST\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe"             Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 442: 09.11.2013 23:13:33    Запуск известного приложения.            Процесс: C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE PID: 5584 Процесс родитель: TROJAN.WINLOCK.6578.EXE PPID: 5876            Командная строка: C:\Users\DoctorWeb\VIRUSTEST\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe            Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 442: 09.11.2013 23:13:33    Запуск известного приложения.            Процесс: C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE PID: 5584 Процесс родитель: TROJAN.WINLOCK.6578.EXE PPID: 5876            Командная строка: C:\Users\DoctorWeb\VIRUSTEST\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe            Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 442: 09.11.2013 23:13:33    Запуск известного приложения.            Процесс: C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE PID: 5584 Процесс родитель: TROJAN.WINLOCK.6578.EXE PPID: 5876            Командная строка: C:\Users\DoctorWeb\VIRUSTEST\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe            Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 443: 09.11.2013 23:13:33    Запуск известного приложения.            Процесс: C:\WINDOWS\SYSTEM32\TASKKILL.EXE PID: 2308 Процесс родитель: TROJAN.WINLOCK.6578.EXE PPID: 5584            Командная строка: taskkill /F /IM explorer.exe            Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 482: 09.11.2013 23:19:34    Запуск известного приложения.            Процесс: C:\PROGRAM FILES\SNS SOFT\SAFE'N'SEC CLIENT\WINCONT.EXE PID: 2232 Процесс родитель: SAFENSEC.EXE PPID: 1668            Командная строка:  -mode:alert "-name:C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE" -acet:12 -acnt:0 "-adst:C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE" -adcn:0 -time:300            Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 482: 09.11.2013 23:19:34    Запуск известного приложения.            Процесс: C:\PROGRAM FILES\SNS SOFT\SAFE'N'SEC CLIENT\WINCONT.EXE PID: 2232 Процесс родитель: SAFENSEC.EXE PPID: 1668            Командная строка:  -mode:alert "-name:C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE" -acet:12 -acnt:0 "-adst:C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE" -adcn:0 -time:300            Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 484: 09.11.2013 23:22:33    Запуск известного приложения.            Процесс: C:\PROGRAM FILES\SNS SOFT\SAFE'N'SEC CLIENT\RUNASEX.EXE PID: 6048 Процесс родитель: SAFENSEC.EXE PPID: 1668            Командная строка: "C:\Program Files\SnS Soft\Safe'n'Sec Client\RunAsEx.exe" "V.I.P.O ®" "5985-F634CB12" 12 "C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE" C:\Users\DoctorWeb\VIRUSTEST\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe            Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 484: 09.11.2013 23:22:33    Запуск известного приложения.            Процесс: C:\PROGRAM FILES\SNS SOFT\SAFE'N'SEC CLIENT\RUNASEX.EXE PID: 6048 Процесс родитель: SAFENSEC.EXE PPID: 1668            Командная строка: "C:\Program Files\SnS Soft\Safe'n'Sec Client\RunAsEx.exe" "V.I.P.O ®" "5985-F634CB12" 12 "C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE" C:\Users\DoctorWeb\VIRUSTEST\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe            Пользователь: DoctorWeb-PC\DoctorWeb            Зона: Доверенные.            Статус: Разрешен.
        Line 488: 09.11.2013 23:22:36    Запуск известного приложения.            Процесс: C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE PID: 4384 Процесс родитель: USERINIT.EXE PPID: 3236            Командная строка: C:\Users\DoctorWeb\VIRUSTEST\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe            Пользователь: V.I.P.O ®            Зона: Доверенные.            Статус: Запрещен.
        Line 488: 09.11.2013 23:22:36    Запуск известного приложения.            Процесс: C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.6578.EXE PID: 4384 Процесс родитель: USERINIT.EXE PPID: 3236            Командная строка: C:\Users\DoctorWeb\VIRUSTEST\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.6578.exe            Пользователь: V.I.P.O ®            Зона: Доверенные.            Статус: Запрещен.
     
     
    Kиpилл и SNS-amigo нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Phoenix, ну а какой эффект от Запуска в режиме установки и "Запретить"? ;)

    Т.е. :
    - "установка" пройдет?
    - запрет не пробьёт?
     
  3. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.841
    По идее так и есть.. но. Вот в режиме установки заблокировал, после перевыхода его SnS заблокировал...:unsure:
    Код (Text):
    10.11.2013 1:24:18    Запуск известного приложения.
                Процесс: C:\PROGRAM FILES\SNS SOFT\SAFE'N'SEC CLIENT\SNSNOTIFY.EXE PID: 5088 Процесс родитель: SAFENSEC.EXE PPID: 1668
                Командная строка: "C:\Program Files\SnS Soft\Safe'n'Sec Client\snsnotify.exe" 3E46A0F9-99CF-4EB7-93E3-19F800EA3A2A
                Пользователь: DoctorWeb-PC\DoctorWeb
                Зона: Доверенные.
                Статус: Разрешен.
    10.11.2013 1:24:18    Запуск известного приложения.
                Процесс: C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.55.EXE PID: 5956 Процесс родитель: SAFENSEC.EXE PPID: 1668
                Командная строка: "C:\Users\DoctorWeb\VIRUSTEST\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.55.exe"
                Пользователь: Safe'n'Sec ®
                Зона: Доверенные.
                Статус: Разрешен.
    10.11.2013 1:24:18    Запуск известного приложения.
                Процесс: C:\PROGRAM FILES\SNS SOFT\SAFE'N'SEC CLIENT\SNSNOTIFY.EXE PID: 4552 Процесс родитель: SAFENSEC.EXE PPID: 1668
                Командная строка: "C:\Program Files\SnS Soft\Safe'n'Sec Client\snsnotify.exe" 111697A0-8E61-42F5-B998-16AEE2680D2E
                Пользователь: DoctorWeb-PC\DoctorWeb
                Зона: Доверенные.
                Статус: Разрешен.
    10.11.2013 1:24:18    Запуск известного приложения.
                Процесс: C:\USERS\DOCTORWEB\VIRUSTEST\WINLOCK+MBRLOCK(PASS-VIRMBR)\TROJAN.WINLOCK.55.EXE PID: 4320 Процесс родитель: EXPLORER.EXE PPID: 5568
                Командная строка: "C:\Users\DoctorWeb\VIRUSTEST\winlock+mbrlock(pass-virmbr)\Trojan.Winlock.55.exe"
                Пользователь: Safe'n'Sec ®
                Зона: Доверенные.
                Статус: Запрещен.
    Вот в ограниченном не выходит у приложения.
    vipo.png

    ...to be continued (y)
     
    Kиpилл и SNS-amigo нравится это.
  4. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.841
    trojan.mbrlock.6 НЕ совместим с SnS :confused:
    Код (Text):

    19.03.2014 22:45:43   Запуск известного приложения.

           Процесс: C:\USERS\DOCTORWEB\DESKTOP\MBRLOCK_BUILDER\MBRLOCK_BUILDER\MBR-LOCKER.EXE PID: 3228 Процесс родитель: EXPLORER.EXE PPID: 2196

           Командная строка: "C:\Users\DoctorWeb\Desktop\MBRLock_Builder\MBRLock_Builder\mbr-locker.exe"

           Пользователь: DoctorWeb-PC\DoctorWeb

           Зона: Доверенные.

           Статус: Разрешен.
    19.03.2014 22:45:43   Запуск известного приложения.

           Процесс: C:\WINDOWS\SYSTEM32\DLLHOST.EXE PID: 3756 Процесс родитель: SVCHOST.EXE PPID: 820

           Командная строка: C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}

           Пользователь: DoctorWeb-PC\DoctorWeb

           Зона: Доверенные.

           Статус: Разрешен.
    19.03.2014 22:45:44   Запуск известного приложения.

           Процесс: C:\PROGRAM FILES\SNS SOFT\SAFE'N'SEC CLIENT\WINCONT.EXE PID: 2844 Процесс родитель: SAFENSEC.EXE PPID: 1216

           Командная строка:  -mode:alert "-name:C:\USERS\DOCTORWEB\APPDATA\LOCAL\TEMP\SYS3.EXE" -acet:12 -acnt:0 "-adst:C:\USERS\DOCTORWEB\APPDATA\LOCAL\TEMP\SYS3.EXE" -adcn:0 -time:300

           Пользователь: DoctorWeb-PC\DoctorWeb

           Зона: Доверенные.

           Статус: Разрешен.
    19.03.2014 22:45:45   Запуск известного приложения.

           Процесс: C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVTRAY.EXE PID: 2224 Процесс родитель: NVXDSYNC.EXE PPID: 1840

           Командная строка: "C:/Program Files/NVIDIA Corporation/Display/nvtray.exe" -user_has_logged_in 1

           Пользователь: DoctorWeb-PC\DoctorWeb

           Зона: Доверенные.

           Статус: Разрешен.
    19.03.2014 22:45:47   Запуск неизвестного приложения.

           Процесс: C:\USERS\DOCTORWEB\APPDATA\LOCAL\TEMP\SYS3.EXE PID: 2996 Процесс родитель: MBR-LOCKER.EXE PPID: 3228

           Командная строка: C:\Users\DoctorWeb\AppData\Local\Temp\\sys3.exe

           Пользователь: V.I.P.O ®

           Зона: Доверенные.

           Статус: Разрешен.
    19.03.2014 22:45:49   Запуск известного приложения.

           Процесс: C:\WINDOWS\SYSTEM32\LOGONUI.EXE PID: 1452 Процесс родитель: WINLOGON.EXE PPID: 672

           Командная строка: "LogonUI.exe" /flags:0x0

           Пользователь: NT AUTHORITY\система

           Зона: Доверенные.

           Статус: Разрешен.
    19.03.2014 22:45:49   Запуск известного приложения.

           Процесс: C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVTRAY.EXE PID: 3912 Процесс родитель: NVXDSYNC.EXE PPID: 1840
    Результаты проверки
    ===================
    19.03.2014 23:03:16 Начало проверки
    19.03.2014 23:03:16 Проверка запущена с правами системной учетной записи
    19.03.2014 23:03:16 Подключение ядра BitDefender выполнено успешно (7.53722/2014-03-19 05:14)
    19.03.2014 23:03:22 C:\Users\DoctorWeb\AppData\Local\Temp\sys3.exe Зараженный Gen:Variant.Kazy.327194 Вылечен
    19.03.2014 23:03:22 Окончание проверки

    rem. Это в режиме ограничений, разумеется. То есть выполнить с ограничениями.
     
    Последнее редактирование: 19 мар 2014
    Kиpилл и SNS-amigo нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Опиши порядок своих действий от начала и до конца. Текстом.
    Можно и завтра.
     
  6. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.841
    1. Запустил локер в режиме ограничений. Перезагрузки не последовало. (вирус сразу перезагружает ПК)
    2. Он сохраняет текстовый файл с указанием пути к вирусу для повторного заражения. Что бы этого не произошло (по кругу) - сканером удалил из временной папки.
    3. Перезагрузил вручную - мбр залочена. Деактивировал паролем.
    При повторном эксперименте - SysWath однозначно блокирует запуск. Также с mbr.locker.85
     
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Phoenix,
    1. MBR можно отдельно защитить, по маскам, но это потом, на крайний случай.
    2. Надо попробовать тот же самый блокировщик, но с включением доп. защиты.

    [​IMG]

    Можно сразу все — dll-контроль, мод-контроль и антискрипт.
     
Статус темы:
Закрыта.

Поделиться этой страницей