Windows 7 vs szkodliwe oprogramowanie

Często mówi się o tym, jaki to Windows jest dziurawy, jakie to wielkie ma problemy z bezpieczeństwem, no i jak łatwo zniszczyć sobie system szkodliwym oprogramowaniem. Najczęściej zapomina się jednak o tym, że prawdziwy problem z bezpieczeństwem nie znajduje się na dysku, ale pomiędzy monitorem a krzesłem… to nieuwaga, niedbalstwo i niewiedza użytkowników częściej doprowadza do infekcji niż wymierzony w nas atak. Firma Microsoft stara się jakoś pomóc w ochronie. Postanowiłem sprawdzić, jak z paczką zagrożeń 0-day dosyć popularnego typu poradzi sobie system tej firmy i oprogramowanie przez nich udostępniane.

Co po jasnej stronie mocy:

  • Windows 7 Professional SP1 64-bit – ponieważ jest to system bardzo popularny na komputerach użytkowników domowych. Windows 8 jeszcze nie dominuje, a Windows XP powoli umiera. Odmiana 64-bitowa, ponieważ ze względu na rosnącą ilość pamięci jest ona wybierana coraz częściej, a dodatkowo posiada rozszerzoną ochronę jądra systemowego. System posiadał zainstalowane wszystkie aktualizacje, działał jako maszyna wirtualna w oprogramowaniu VirtualBox.
  • Antywirus MS Security Essentials – w najnowszych okienkach wbudowany w system, w starszych sugerowany w Windows Update w wypadku braku antywirusa. Zupełnie darmowy dla użytkowników domowych jak i dla firm do 10 stanowisk.
  • Kontrola konta użytkownika ustawiona na poziomie maksymalnym. Jest to bardzo dobry mechanizm wprowadzony w systemie Vista, ale od siódemki pracuje on na domyślnie nieco obniżonych ustawieniach aby nie przerażać użytkowników dużą ilością komunikatów. Niestety, nie jest to dobre, bo jeżeli coś działa na naszym użytkowniku, może dokonywać zmian w systemie bez monitu.
  • EMET – zestaw narzędzi rozszerzonego środowiska ograniczającego ryzyko – aplikacja, pozwalająca sterować dodatkowymi zabezpieczeniami, które mogą ograniczać luki w aplikacjach np. wymuszanie DEP, aktywacja ASLR. O tej aplikacji z pewnością napiszę oddzielny wpis, bo nie jest specjalnie znana, a naprawdę warta uwagi.

Próbki malware

Od osoby zajmującej się zbieraniem szkodliwego oprogramowania i jego analizą o nicku tachion otrzymałem 20 próbek typu 0-day ransomware. Były to między innymi dobrze znane od jakiegoś czasu Urausy – na forach gdzie pomaga się w wypadku infekcji można znaleźć całe multum tematów, w których użytkownicy proszę o pomoc w usunięciu dziwnego komunikatu, pochodzącego rzekomo od policji. Jest to obecnie „bardzo popularne” zagrożenie.

Test

Poniżej przedstawiam film z zapisem całego testu:

Wyniki i wnioski

Niestety, zestaw poległ.
Jak widać na filmie, w trakcie testu eksplorator był kilka razy przeładowywany, niemniej część plików “wyparowała” co budziło nadzieje na sukces, no ale niestety… po ponownym uruchomieniu systemu wita nas dobrze znana informacja o rzekomym naruszeniu prawa… Oczywiście daleko jest od tego aby mówić, że takie połączenie jest zupełnie złe i skazane na porażkę. W wielu wypadkach poradzi sobie, może też dzięki EMETowi chronić takie aplikacje jak przeglądarka internetowa czy wiecznie dziurawa Java, ale… no właśnie. Przypadki infekcji takimi zagrożeniami są ostatnio bardzo częste, jest to istna plaga. Od siebie zalecałbym więc coś innego, co lepiej niż MSE radzi sobie z nowymi zagrożeniami, nawet jeżeli wiąże się z używaniem heurystyki i naraża nas na większe ryzyko fałszywego alarmu.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.