Windows 7 vs szkodliwe oprogramowanie (konto standardowe)

Mój ostatni test mający na celu zbadanie tego, czy oprogramowanie zapewniane przez firmę Microsoft jest wystarczające do ochrony komputera przed „popularnymi” zagrożeniami spotkał się ze sporym zainteresowaniem. Niestety pakiet ochronny nie zdał egzaminu, poległ na ransomware Urausy, który informuje nas o rzekomym zablokowaniu komputera przez policję i konieczności dokonania wpłaty do jego odblokowania. W komentarzach pojawił się opinie o tym, aby sprawdzić, jak całość zachowa się podczas pracy na koncie z ograniczeniami, pomimo że oficjalne materiały Microsoftu dają do zrozumienia, że różnica nie powinna być wielka bez świadomego zatwierdzania z naszej strony.

Konfiguracja ochronna

  • Windows 7 Professional SP1 64-bit – bez zmian.
  • Antywirus MS Security Essentials –zaktualizowane bazy.
  • Kontrola konta użytkownika ustawiona na poziomie maksymalnym – bez zmian.
  • EMET ustawiony na maksymalną zalecaną ochronę – bez zmian.
  • ZMIANA: Test został wykonany na koncie z uprawnieniami standardowymi zamiast administratora. W systemie istniały dwa konta: admin oraz test. Oba posiadające inne hasła.

Próbki malware

Po raz kolejny od osoby zajmującej się zbieraniem szkodliwego oprogramowania i jego analizą o nicku tachion otrzymałem nowe próbki typu 0-day. Tym razem było ich 17, nie były to tylko ransomware ale i zagrożenia innego typu. Nadal wśród nich znajdowały się Urausy – bardzo popularne zagrożenie, na którym system poległ w ostatnim czasie. Poniżej podaję sumy kontrolne md5 próbek użytych w tym teście:

0ec87fd3e8c4931f29cf9d10fa9893cb
2eb8d202336fff74d87b33151345131a
5db1319eba4898308c7a77110828eb14
5e62d4b2a46b53ce86941613f46b810a
9a6b8fea5f6b1c1084aa8bdc162c22c3
30d8aba13be84aa262bec006ab00d944
037e43def1511feb24a665dcdee870d0
43f1b97c08cd5534e33c17ebaab21b93
88ee45179a118366f8fbddbfe2f1a2cf
662b3d581a43821bf47453b75cce6be1
676c9c9d0b46c4d8c7be81420d4e67df
756e9e48fbdc769caa090bc19cdda229
993d28610707e11e4177a1314975c717
e6c3488ed27f9b79b9d46aec0a10eb7c
f8ceefcc45f3a89a57ad8c319f1147a1
fb6debc01a230ecb461f7019ae682a1f
fbaf4ac99765e1ff0c28a8b3beca530f

Test

Poniżej przedstawiam film z zapisem całego testu:

Wyniki i wnioski

Niestety, muszę powtórzyć kwestię z poprzedniego testu: zestaw poległ.
Podobnie jak poprzednio nie pomogło oprogramowanie zabezpieczające. Malware nie ugięło się nawet pod ograniczeniami narzucanymi przez standardowe konto użytkownika. Da się jednak wyciągnąć dodatkowe wnioski: przede wszystkim, przy kilku próbkach ograniczone uprawnienia dały o sobie znać. Malware nie było w stanie częściowo lub w ogóle wykonać tego co zamierzało. Dodatkowa, wbudowana w system „warstwa ochronna” dała sobie radę i co ważne, zachowała się inaczej niż poprzednio (co jest nieco w sprzeczności z danymi MS). Druga sprawa: pomimo infekcji konta podstawowego, to administratora cały czas funkcjonowało prawidłowo. Mogłem w ten sposób wykonać skanowanie, usunąć infekcję i powrócić do pracy na koncie standardowym. Komputer nie został całkowicie unieruchomiony, nie musiałem korzystać z pakietów livecd. Oczywiście trudno powiedzieć co byłoby w sytuacji zagrożenia szyfrującego dane – bez uprawnień nie powinno wydostać się na poziom plików wymagających ich podniesienia, ale same dane raczej stracilibyśmy.

Wniosek końcowy dla mnie jest następujący: jeżeli możemy, używajmy obok siebie dwóch kont. Administratora, oraz standardowego do codziennej pracy. Ze względu na taki a nie inny sposób podwyższania uprawnień częste wpisywanie hasła w sytuacjach gdy „mocniej grzebiemy” w systemie nie będzie zbyt przyjemny (niestety to nie Linux, w którego dystrybucjach często z poziomu monitu da się podwyższyć uprawnienia na sesję i mieć więcej spokoju), ale jednak da nam nie tylko dodatkową ochronę, ale możliwy łatwiejszy ratunek w wypadku infekcji. Należy jednak zdać sobie sprawę, że nie może to być jedyna ochrona. Nawet praca na takim koncie, ale bez żadnego oprogramowania antymalware w wypadku infekcji skończy się źle.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.