Premessa:
provato il sample che mi pare avesse segnalato sampei da qualche parte (ripreso da
Edgar's Blog)...io lo posto qua
Ho voluto semplicemente vedere se PrevxEdge free lo riconosceva (ma ne ero quasi certo, tant'è che non ho usato nessuna protezione tipo ISR o VM).
era stato visto come risultasse di difficile individuazione, cambiando ogni giorno (circa) dimensione e caratteristiche...
Questo era un piccolo test che avevo in mente di fare per i fatti miei, ma non mi costava niente fare 2 screen e postarli:P
Configurazione:
XP Pro SP3
Limited User account
Software Restriction Policy disattivate (sennò il test non si può fare
)
RealTime Defender
PrevxEdge free
1. qui uno screen della pagina infetta, da cui è possibile, cliccando su un cuoricino, scaricare il file
youandme.exe, infetto:
2. Scarico il file, lo salvo sul desktop e lo faccio analizzare su VirusTotal...risultato pessimo:
http://www.virustotal.com/analisis/0...591da315f94b69
neanche Prevx identifica il sample, secondo VirusTotal.
3. Avvio il sample, e guardate chi interviene?
4. Il test, per me, era già finito, quindi all'avviso di RealTimeDefender sull'esecuzione del malware, ho risposto
Block.
PrevxEdge aveva già riconosciuto il sample, prima che RTD mi avvisasse della sua esecuzione (si tratta di una frazione di secondo).
Ad ogni modo per i non credenti posto uno screen con i log di RTD e Prevx con il malware identificato
:
Conclusione:
- non usiamo VT come una certezza, è un ottimo servizio, ma spesso fallace
- PrevxEdge, gran bel programma. Usato con un buon hips è molto utile
--------------------------------------------------------------------------
MD5: 4df6318ae20d71f9f05697f6903dac09
SHA1: 6c33f18dd0c0b43c9aebe9ad10e70e5ee0bff2ef
Peso: 399360 bytes
Nome:
onlyyou.exe o
youandme.exe