fatto qualche piccolo test, abbastanza frettoloso perchè devo studiare fisica
Il test è strutturato in 2 parti:
1. Sotto Account limitato
2. Come amministratore
Sample testato:
- i2.exe; famiglia rootkit (backdoor?)
-
Analisi Virus Total
1. Account Limitato
Configurazione:
-Lua
-Comodo (firewall e D+, impostati su Computer Security Policy e Paranoid Mode)
Sono state fatte le seguenti modifiche a Comodo:
1) D+ > Advanced > Defence+ Settings > tolta la spunta ai Trusted Software Vendors
2) D+ > Advanced > Defence+ Settings > Monitor Settings > E' stata messa la spunta a tutte le opzioni
Iniziamo col test:
1. Avvio il sample
2. crea una nuova .dll in system32
3. crea un nuovo driver, sempre in system 32
4. cerca di creare una chiave per avviare il driver precedentemente creato (p81eskse.sys)
5. L'.exe di partenza (i2.exe) accede a explorer.exe.
--------------------------------------------------------
Il test per l'account limitato termina qui, non ho avuto nessun altro popup e cmq il rootkit non è riuscito ad infettare (pienamente?) il computer: non si nota nessun sintomo strano.
Come si vedrà, lo stesso non si può dire per la seconda parte, con l'account amministratore
