www.MegaLab.it

[sampei.nihira]

Questo presunto bypass stà sollevando interesse......e questo pescatore data l'età ha bisogno di andare a riposare.
Per analizzare l'eventuale bypass si richiede:

1) Log defensewall.
2) Se è stata abilitata la modalità expert mode.
3) Sintomi dell'apparente non contenimento.

Grazie.

[kronos]

Nel mio test (eseguito oggi) DefenseWall ha fallito totalmente, se qualcuno vuole effettuare il test vi lascio i campioni, peraltro non recenti.

scusa se mi intrometto, ma sarei anche io interessato alle informazioni gentilmente richieste da sampei.nihira, cui aggiungerei anche le modalità di test (ovvero le ipotesi disattese da DW, che ti portano a sostenere un bypass)

anche perché dai miei test, fatti con il malware segnalato pochi post fa, non vi è alcun bypass

Grazie

[hashcat]

Prima di tutto io non ho mai parlato di bypass sicuro, quindi devo fare ancora altre prove, per il mio test ho utilizzato windows 7 su Vmware con aggiornamenti di un mese fa. La metodologia di Testing è stata:

1. Macchina pulita
2. Scarico dalla macchina pulita DefenseWall (in italiano)
3. Installo DefenseWall
4. Riavvio il computer
5. Trasferisco tramite drag & drop la cartella in questione contenente 26 minacce. (non recentissime)
6. Eseguo le minacce una dopo l'altra per vedere la reazione di DefenseWall
8. Tra queste minacce sono presenti (se ricordo bene tre rootkit)
9. Una delle minacce riavvia il computer dopo 5 secondi dalla sua esecuzione
10. Al riavvio il computer mostra solo una schermata di un rogue (non parte nemmeno explorer)
11. L'utilizzo di qualsiasi cosa è inibito
12. Quando provo a riavviare in modalità provvisoria si blocca 15 minuti il caricamento dei driver. (lo termino forzatamente)
13. Riprovo e stavolta dopo mille sforzi riesco ad avviare la modalità provvisoria (anche qui explorer non parte)
14. Il rogue purtroppo ha impestato anche questa
15. Vari altri test
16. Prova fallita

Se qualcuno desidera i campioni per provare anche lui, li posterò appena posso, oggi eugenio19911 dovrebbe mettere il pacchetto sul Megaviruslab.

[kronos]

ok, aspetto quel sample allora, giramelo anche in PM se vuoi fare prima.

anche perché quello linkato precedentemente

Questo malware fornitomi da hashcat è uno dei suoi campioni ad con cui avrebbe fatto il test ve vuoi provare:
malware il link ti porta nella sezione dove è contenuto il malware specifico.

non porta a termine nessun bypass

[hashcat]

ok, aspetto quel sample allora, giramelo anche in PM se vuoi fare prima.

anche perché quello linkato precedentemente

Questo malware fornitomi da hashcat è uno dei suoi campioni ad con cui avrebbe fatto il test ve vuoi provare:
malware il link ti porta nella sezione dove è contenuto il malware specifico.

non porta a termine nessun bypass

Prima di tutto io non ho mai parlato di bypass sicuro
5. Trasferisco tramite drag & drop la cartella in questione contenente 26 minacce. (non recentissime)
6. Eseguo le minacce una dopo l'altra per vedere la reazione di DefenseWall
Se qualcuno desidera i campioni per provare anche lui, li posterò appena posso, oggi eugenio19911 dovrebbe mettere il pacchetto sul Megaviruslab.

Preciso nuovamente che io non ho mai parlato di un singolo campione. Se desideri l'archivio intero (26 campioni) contattami tramite pm.

Per analizzare l'eventuale bypass si richiede:

1) Log defensewall.
2) Se è stata abilitata la modalità expert mode.
3) Sintomi dell'apparente non contenimento.
Grazie.

Il log come spiegato successivamente nella metodologia non ho potuto estrarlo, il programma è stato eseguito con i settaggi di base.

Se siete interessati filmo l'intera procedura e ve la mostro

[sampei.nihira]

Buon giorno Hashcat.
Mi fà piacere che in mia assenza,anche se purtroppo la mia presenza quì oggi sarà momentanea visto che la mia pausa durerà veramente poco oggi...... ci siano novità in merito......si vede che ieri sera ho smosso le "acque giuste".

Su HW le congetture di nV25, che vi avevo avvertito, era un guru in questo sw anche se attualmente si serve di Sandboxie perché è passato ad una macchina a 64 bit.
Anche Kronos che saluto anche in questi lidi è un tester efficiente veramente esperto e degno della massima affidabilità.
Quindi non vi è motivo alcuno di dubitare di quanto afferma.

Dw deve quindi essere riportato giustamente su quel piedistallo ove solitamente si colloca di diritto.

[nv2]

@ hashcat:
http://www.hwupgrade.it/forum/showthrea ... st34945312

dal post 2898 in poi, grazie...



Mi dispiace essere stato crudo ma, se si vuol fare i tester "credibili", è necessario quanto meno informarsi prima

[hashcat]

@ hashcat:
http://www.hwupgrade.it/forum/showthrea ... st34945312

dal post 2898 in poi, grazie...



Mi dispiace essere stato crudo ma, se si vuol fare i tester "credibili", è necessario quanto meno informarsi prima

Come vedi la scheda del malware non l'ho scritta io, io ho detto che avviando uno dopo l'altro i 26 campioni l'infezione c'è eccome, se vuoi posto un video

[hashcat]

[kronos]

Figurati non c'è alcun problema, il concetto era il bypass ed è stato fornito un link, poi magari io erroneamente ho derivato che il sample fosse quello.

tornando a noi..
personalmente ritengo che eseguire i test così non so a cosa serva (tant'è che non si riesce neanche a risalire al responsabile tra 26 malware), ma ognuno fa quel che vuole
comunque ok, disponibile a revisionare il tuo lotto di sample uno ad uno -con delle specifiche più oggettive (senza il drag&drop, con la certezza che tutti i malware siano avviati come Untrusted ecc..)-

aspetto i malware


ps: ciao Sampei!

[nv2]

Come vedi la scheda del malware non l'ho scritta io, io ho detto che avviando uno dopo l'altro i 26 campioni l'infezione c'è eccome, se vuoi posto un video

(permettimi la presunzione, ma) le cose che ho scritto su HW le hai lette??

In particolare,
"Il semplice "drag and drop" di una cartella infetta da una locazione (diversa da un supporto USB, CD, cartella condivisa ) ad un altra *NON* dice al motore di DefenseWall che quella cartella deve essere trattata AUTOMATICAMENTE come Untrusted"...

O, anche, "per quale magica alchimia il motore di DefenseWall dovrebbe arrivare da solo a capire che la nuova cartella (copiata da un supporto diverso da un CD, USB e non presente nella locazione condivisa) deve essere trattata come Untrusted"?

"E poi, con Sandboxie sarebbe diverso?? (a meno di non forzare ovviamente l'esecuzione del contenuto a partire sandboxato, cosa peraltro che è possibile fare anche con DefenseWall)..."


Insomma:
sai come funziona DefenseWall (e Sandboxie, e GesWall, ecc ecc..) o "esegui e via" senza sapere che CON LA TUA METODOLOGIA ( "Trasferisco tramite drag & drop la cartella in questione contenente 26 minacce"):

1) la cartella e il suo contenuto sono TRUSTED (non a caso, la scheda di RollBack + la untrusted list risulterà VUOTA)


2) non riproduce la realtà perché non usi nessuno dei canali untrusted di default, che poi sono I canali che nella vita quotidiana sarebbero imputati di veicolare l'infezione nel sistema?



Vuoi proprio fare un test (fallato) con il drag & drop?
Bolla la cartella (che di sicuro hai messo sul desktop) come Untrusted, o fai partire campione per campione i malaware come untrusted via context menù, e poi se ne riparla...



Umiltà, gente...

[hashcat]

(permettimi la presunzione, ma) le cose che ho scritto su HW le hai lette??

Si, ho effettuato nuovamente il test così:

1. Macchina virtuale Vmware con windows 7
2. DefenseWall con le impostazioni di base
3. Drag & Drop della cartella
4. Ho eseguito i virus presenti nella cartella uno dopo l'altro contrassegnandoli usando l'opzione "Esegui come Insicuro" (per ognuno di essi)
5. Dopo aver eseguito tutti i campioni ho cliccato su Termina Attacchi
6. Ho salvato un log
7. Ho eliminato la cartella contenente i campioni dal computer e successivamente dal cestino
8. Ho riavviato il computer
9. Ho eseguito una scansione completa con Malwarebytes

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Versione database: 6369

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

15.04.2011 17:25:58
mbam-log-2011-04-15 (17-25-53).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 158399
Tempo trascorso: 8 minuti, 53 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 1
Voci infette nei dati di registro: 0
Cartelle infette: 1
File infetti: 16

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\TWK70 (Malware.Trace) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\twk70\n (Malware.Trace) -> Value: n -> No action taken.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.

File infetti:
c:\programdata\maldonado\Security.exe (Trojan.Regrun) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\John\1023215364\1023215364.exe (Trojan.SpyEyes) -> No action taken.
c:\Users\John\AppData\Local\ebmsif.exe (Backdoor.Bot) -> No action taken.
c:\Users\John\AppData\Local\Temp\service.exe (Trojan.Agent) -> No action taken.
c:\Users\John\AppData\Roaming\jiphdw.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\John\AppData\Roaming\lnqnna.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\John\AppData\Roaming\msnlivers.exe (Trojan.Agent) -> No action taken.
c:\Users\John\AppData\Roaming\Idacop\ofbu.exe (Spyware.Passwords.XGen) -> No action taken.
c:\Users\John\AppData\Roaming\microsoft\conhost.exe (Trojan.Agent) -> No action taken.
c:\Users\John\AppData\Roaming\Orywve\equt.exe (Spyware.Passwords.XGen) -> No action taken.
c:\Users\John\AppData\Roaming\Peufz\itby.exe (Spyware.Passwords.XGen) -> No action taken.
c:\Windows\System32\noviewrun2.dll (Trojan.Downloader) -> No action taken.
c:\Windows\System32\oneclickrun.dll (Trojan.Downloader) -> No action taken.
c:\Windows\System32\umdmgr.exe (Worm.Palevo) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.

Ecco il link per scaricare il pacchetto di minacce utilizzato (autoestraente) con password

Codice: Seleziona tutto

MegaLab.it

Per verificare l'integrità:

Codice: Seleziona tutto

MD5:
31766EC9234DF9430D9920579E98F00E

Sha512:
C304CAEEE2BFEED992FE25D2E91BB819A4996192F09D51A837DE79301609FFBEDBCAE56222E287B3D317C7D96CB38E2FFB324212670A24FFDC609A74498C917D


[nv2]

embè?

Che dovrebbe dimostrare il log di MB se non che non sai come funziona DefenseWall?

Vuoi scommettere che se cancelli tutte le voci nella rollback list dopo che hai effettuato la tua tornata di test la 2° scansione con malwarebyte non troverà nulla?

E lo sai perché?
perché tutte quelle voci saranno intrappolate (appunto) nella RL...

Strano, no?

[nv2]

PS: ma non esiste su questo forum una persona capace di intervenire e di far notare l'ovvio a chi si ostina a proseguire sull'errata via?

[nv2]

@ favore di hashcat:

guarda come si fanno i test:
http://www.hwupgrade.it/forum/showpost. ... count=2717
http://www.hwupgrade.it/forum/showpost. ... count=2725
http://www.hwupgrade.it/forum/showpost. ... count=2821
http://www.hwupgrade.it/forum/showpost. ... count=2826

In 1° luogo, si deve capire come funziona il software, poi si può anche procedere ai test (anche se sarebbe raccomandato sapere anzitutto cosa fanno...)


Qui, una guidina veloce sull'uso della RL che, evidentemente, non si sa neppure che esista o come funzioni:
http://www.hwupgrade.it/forum/showpost. ... count=2245

[nv2]

dimenticavo un concettino banale, anche questo presente su HW al post n°1:

(E' utile, probabilmente, sottolineare di nuovo un concetto:
quello che vede cioè un MALWARE I N A T T I V O! come essenzialmente INOFFENSIVO!
Allo scopo, dunque, ricorro ad un passaggio tratto dall'home page di GesWall:

"File presence doesn't flag a problem yet. There are security products that prevents creating files, but GeSWall designed to work in other way.
Instead of blocking file creation (no matter what destination: system32, temp, etc. ) GeSWall tracks out files created by isolated applications.
Assume you have somehow received that trojan through the isolated browser. GeSWall will not prevent the file to be written in system32.
However, on the trojan start GeSWall will isolate it and prevent a damage posed by this trojan: no trusted file can be modified or deleted, no confidential data leaked.
So basically the trojan is locked within GeSWall's isolation layer and cannot do a harm.
Additionally, GeSWall prevents subsequent auto-runs (when it is started without your desire on some event: every boot, logon, etc.) of this trojan. It means that trojan will not be installed in the system and cannot "re-started" later.
GeSWall use this "tracking" approach in order to be as non-intrusive as possible
In that scenario you would need an Antivirues in order to clean malware files from your system, when a vendor becoming aware of it.
But, again, just presence of malware files on your disk does not mean that you are infected by the malware.")

[Sabbb]

PS: ma non esiste su questo forum una persona capace di intervenire e di far notare l'ovvio a chi si ostina a proseguire sull'errata via?

A me ,onestamente ,mi pare più ovvio che hashcat si sta dimostrando disponibile ,e con tanto di garbo.
Come hai detto tu:umiltà gente..umiltà.
PS.Non voglio difendere nessuno,e conosco hashcat pochissimo;però fossi in te mi esprimerei in altro modo..

[nv2]

e di questo, in effetti, me ne scuso:
riconosco di aver esagerato...



Quando ho utilizzato (forse scorrettamente) la parola umiltà, non voleva essere tanto un'aggressione alla persona ma volevo solo dire che, prima di parlare, bisognerebbe quantomeno conoscere l'oggetto del contendere...


E questo mi ha fatto inalberare...

Scusate tutti, in particolare la parte offesa...
Di solito, infatti, non è mio costume aggredire...

[Sabbb]

Tutto Ok..

[kronos]

fatto i test rispettando i criteri usati da hashcat (eseguirli tutti insieme, uno dietro l'altro).
l'unica miglioria che mi sono permesso di applicare, se me lo permettete, è questa:


almeno non devo stare a dire a DW ad ogni avvio se trattare il file X come Trusted o Untrusted (essendo il desktop, dove io li avviavo, una cartella di download lui giustamente lo chiede).

dopo averli avviati tutti avevo attivi 10+ malware (questo recita l'icona in trayicon di DW), molti si sono ovviamente terminati da soli, hanno creato cloni, file in cartelle di sistema, voci di registro blablabla.
Ho cliccato il tastone rosso grosso di DW che recita "STOP ATTACK" e per magia i malware attivi in memoria sono svaniti.
Ho riavviato e, andando nella scheda File-Registry Rollback, ho selezionato la voce più vecchia e scelto l'opzione Rollback to (che cancella tutte le modifiche successive a quell'evento selezionato).

Ovviamente, pc pulito, la scansione con MalwareBytes non mostra niente:

Codice: Seleziona tutto

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 6369

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

15/04/2011 18.48.38
mbam-log-2011-04-15 (18-48-38).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 129288
Tempo trascorso: 1 minuti, 25 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)


Idem l'esito di HitmanPro..