AppGuard 3.4.2.0 kontra Blackhole exploit kit

SE7EN

Bardzo aktywny
Fąfel
Dołączył
27 Maj 2010
Posty
1124
Reakcje/Polubienia
114
AppGuard 3.4.2.0 kontra Blackhole exploit kit
 
A

Anonymous

Aleś SE7EN-dowalił do pieca :wariat Baśka na wilderssach dostanie palpitacji serca...nie mam co prawda javy...ale taka sytuacja nie powinna się zdarzyć...jutro to uruchomię na GW....jak to zatrzyma...AG leci na zbity pysk :dziwak
 
A

Anonymous

@SE7EN
Mam prośbę. Czy byłbyś tak uprzejmy i powtórzył test z wykorzystaniem EMET i dodając pliki java.exe i javaw.exe do aplikacji chronionych przez EMET? Bo patrząc na test, wygląda na to, że LSP prześlizgnął się wykorzystując szparkę w javaw.exe.
 

artoor

Bardzo aktywny
Zasłużony
Dołączył
6 Lipiec 2012
Posty
1157
Reakcje/Polubienia
0
Miasto
Częstochowa
Podpinam się pod powyższe pytanie. Jak sprawa wygląda przy aktywnym EMET?
 
A

Anonymous

SE7EN-zapodaj tego sampla tutaj :) Każdy sobie sam uruchomi...to zwykłe : Live Security...więc (w razie czego) z usunięciem nie będzie problemu :eek:o
 
A

Anonymous

Hornet,
Obawiam się, że sam sampel z LSP to za mało. Tu chodzi o cały exploit, który ładuje LSP a ten wymaga pewnych specyficznych uwarunkowań do uruchomienia (np. niezałatana Java), które na maszynach większości z nas nie zaistnieją, więc jeżeli SE7EN, ma odpowiednio przygotowaną maszynę wirtualną, ochotę i chwilę czasu, to może przecież sprawdzić jak będzie wyglądała sytuacja na maszynie z EMET ;)
 

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35567
Reakcje/Polubienia
24594
Miasto
Trololololo
I just tested this same FakeAV in Virtual XP.
Protection mode: Locked down
Allowed guarded user-space launches and ran it from the documents folder.
It successfully terminated AppGuard; in fact it's very good at terminating most things.
Unfortunately for Mr Malware, the BrnFileLock driver blocks it from writing its start entry, so upon reboot poor FakeAV is dead.
Even if it didn't block writing the run once start entry, it would not have been able to launch from its user-space directory.
RIP malware
Reply With Quote

Zaloguj lub Zarejestruj się aby zobaczyć!
 

artoor

Bardzo aktywny
Zasłużony
Dołączył
6 Lipiec 2012
Posty
1157
Reakcje/Polubienia
0
Miasto
Częstochowa
Widziałem ten fragment dyskusji na wildersach... jakoś się tym strasznie nie przejęli ;) Co niektórzy to nawet nie dowierzają w wynik testu... z drugiej strony przy wyłączonej javie... ba! Nawet przy włączonej, ale podczas uruchamiania przeglądarki w sandboxowej "kuwecie", nic by nie wylazło na zewnątrz? Poprawcie mnie jeśli się mylę :)
 

FARMER

Bardzo aktywny
Zasłużony
Dołączył
1 Lipiec 2010
Posty
948
Reakcje/Polubienia
4
Miasto
Piernikowo
SE7EN zapodaj link do tego szkodnika , a jeszcze najlepiej sprawdź DW jakbyś mógł?
 
A

Anonymous

Dajta już spokój :wariat Nie rozumiecie ?? SE7EN ma poczucie humoru i ładnie nas wkręcił :papież
 

artoor

Bardzo aktywny
Zasłużony
Dołączył
6 Lipiec 2012
Posty
1157
Reakcje/Polubienia
0
Miasto
Częstochowa
Prima aprilis to chyba bardziej na wiosnę :p
 
A

Anonymous

Stackz na Wildersach:
Just an update to my previous post.
The AppGuard service is not terminated by this malware. This was just a fault in my testing, in that I didn't disable the VM integration features. It's just the GUI front end that is terminated and prevented from restarting, meaning all you lose is the notifications.
AppGuard completely restricts the malware's actions.

As for testing as shown in the YouTube video, I'm unable to reproduce any sort of bypass from any exploit kit. I don't doubt the legitimacy of the video, but do question whether AppGuard's protection was weakened by the presence of the many other commercial rootkits (aka security apps) installed.
 

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35567
Reakcje/Polubienia
24594
Miasto
Trololololo
już raz coś takiego było że malware ubił GUI AppGuarda ale nie sterownik/usługę który jest odpowiedzialny za ochronę.Do infekcji nie doszło i co ważne to musiał być specjalne przygotowany system, czyli nieaktualizowany (stara java itp.)
 

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35567
Reakcje/Polubienia
24594
Miasto
Trololololo
no nie ale szum trzeba było zrobić :wariat
 
Do góry