Windows 8 vs szkodliwe oprogramowanie

Poprzednie dwa testy dotyczące standardowych zabezpieczeń systemu Windows 7 i darmowego oprogramowania oferowanego przez firmę Microsoft skończyły się niestety klęską zabezpieczeń, pomimo niewielkiej ilości zagrożeń jakie brały udział w teście. Pytanie jakie pojawiło się już przy pierwszym teście było zbyt zachęcające, aby nie poszukać na nie odpowiedzi: jak spisze się ochrona w wypadku Windows 8? Czy zmiany jakie zaszły w systemie pod kątem bezpieczeństwa to tylko detale, czy jednak jakieś praktyczne profity?

Konfiguracja ochronna

  • Windows 8 Professional 64-bit – najnowszy system Microsoftu, warto tutaj wspomnieć o tym, że w porównaniu do Windows 7 zawiera on m.in. poszerzoną ochronę jądra systemowego (Patchgaurd / Kernel Patch Protection).
  • Antywirus Windows Defender – w teorii jest to MS Security Essentials zintegrowany z systemem, bazy oczywiście zaktualizowane.
  • Kontrola konta użytkownika ustawiona na poziomie maksymalnym – bez zmian.
  • EMET ustawiony na maksymalną zalecaną ochronę – bez zmian.
  • Włączony filtr Smart Screen – nowość w Windows 8, znany do tej pory z przeglądarki Internet Explorer teraz skanuje również aplikacje które uruchamiamy na komputerze.
  • Test wykonany na koncie z uprawnieniami standardowymi zamiast administratora. W systemie istniały dwa konta: admin oraz test. Oba posiadające inne hasła.

Próbki malware

Po raz kolejny od osoby zajmującej się zbieraniem szkodliwego oprogramowania i jego analizą o nicku tachion otrzymałem nowe próbki typu 0-day. Tym razem było ich specjalnie aż 30, aby specjalnie wysilić system do walki o swój byt. Wśród nich zagrożenia różnego typu: ransomware, zbot, kelihos oraz medfos . Poniżej podaję sumy kontrolne md5 próbek użytych w tym teście:

0144a7b38df8ded0bb66071edf70cae5
104b7dffe057c0036e8a52b44bb8ddcd
1e88a315e4bc9ee0ff45f5c46a92021b
20e65bd2d015d5049cc14aae0bbc8807
23e1fb1da8ce2437d8922308418c007d
26ab9fdc5d7893f51a8951c862e017ab
2e8e51a503a049c8183bf9590df74e70
31ef643d99f311e52dc3f3697967a734
4dfab6e842376d3d175a644b74bb2e97
5356d6079cb15deb605a09fdefa543de
5a0d90a32e52dcced60a5d4aea261109
608e6fa3e48511450ab98d9bee24a615
626ca7c41873adb305aa720f279ddb98
62805ad229322028c0fa3c8c074871cc
7137eae3715c57139727fbe50dc05a55
8e23f9428ff120aea89183dbdb1101f8
aaae6b3ab35c19fc9931f7bbc8eac7f5
b3e9ad8b0433bc70c73d3bd91b8bd65a
b47608d2649e6d867828eace6773fd45
bde9c4eb9c53fc6346674f65bc8beb92
c4b37114dc15ce7e923ab44405f445ed
c78fec1b813f4afbf700f00934584b1a
d6170737ac2eeb651229596a8a2a4d19
dd60849b4ac7c9f0f794e8357eb0bdfa
e4e1ed1587471cdf9b0b2334043ee527
e7754720dfcdf773763fb0d24aa58c33
f02977c5192db614b465ffaba5c8a677
f44827f8cd68e62dc35f8ec89a819ed4
f6019253bb90542dd246d6216520340d
f6d75a66890109473e3ac8cb9c3df84c

Przebieg testu:

Niżej znajdziecie nagranie zawierające test. Muszę jednak tutaj coś przyznać. Test został wykonany dwa razy, bo za pierwszym byłem nastawiony na kolejną infekcję przez Urausy i w efekcie „nie przygotowałem się” do niego tj. na maszynie nie było żadnego oprogramowania firm trzecich do skanowania na żądanie i dezynfekcji. Poza tym, pierwszy test został wykonany przy mniejszej ilości zagrożeń, został więc on powtórzony (z nowymi próbkami 0-day których sumy podałem wcześniej).

Wyniki

Przyznam, że tak samo wyglądało to we wspomnianym pierwszym wpisie. Był to dla mnie niezły szok. Po raz pierwszy system nie poddał się ransomowi urausy, ani innym zagrożeniom. Dostęp do konta po zalogowaniu był cały czas możliwy, nic nie odnotował monitor Comodo KillSwitch. Skanowanie za pomocą HitmanPro oraz Malwarebytes Anti-Malware nie wykazało żadnych infekcji poza jedną pozostałością w katalogu z próbkami. Niemniej postanowiłem opublikować również wyniki skanowania przy pomocy OTL, aby każdy mógł rzucić na to okiem – w wypadku próbek 0day nie można w pełni ufać w wynik skanowania nawet kilkoma skanerami.

Mimo wszystko widać, że zmiany w najnowszych okienkach to nie są tylko delikatne kosmetyczne zmiany. Inaczej niż MS Security Essentials zachowuje się wbudowany w system Windows Defender – po prostu po uruchomieniu zagrożeń wykrył on ich więcej niż antywirus dostępny osobno na starsze wersje systemu. Niebagatelne znacznie ma również filtr Smart Screen, który posiada naprawdę sporą bazę informacji i reaguje szybko przy próbie uruchamiania zagrożeń. Cóż mogę powiedzieć… pomimo że paczka próbek nie była duża, różnica jest widoczna gołym okiem.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.