Тестване на Katana в битка, Computerra

Решихме да тестваме Katana в най-благоприятната среда за злонамерен софтуер - чиста Windows 7 SP1 x86 без актуализации. За да се опрости инфекцията, беше използван администраторски акаунт и UAC беше деактивиран. Германските анализатори от Clean MX поддържат отворен списък със злонамерени връзки, открити в мрежата. Захранихме първите двадесет от тях с IE 8.0 без корекции веднага след инсталирането и актуализирането на Dr.Web Katana.

Както се очаква, Katana не предупреждава за кликвания към фишинг сайтове, дори когато са много явни. Предложение за изтегляне от един от тях и стартиране на злонамерен изпълним файл от Katana също не се блокира - това не е нейна задача.

битка
Имитиране на Dropbox на фишинг сайт и изтегляне на троянски кон.

Dr.Web Katana бързо открива злонамерената активност на изтеглена програма и предлага блокиране на опасни промени. По това време обаче троянският кон вече е получил частичен контрол над системата и е причинил грешка в Explorer.

тестване

битка

Секциите за автоматично стартиране в системния регистър бяха пълни със записи за изтегляне на троянски коне и рекламни модули. Много други липсват на тази екранна снимка, тъй като никой от скенерите на VirusTotal все още не ги разпознава. Тези компоненти действат като системни услуги и блокират опитите за премахване на изтегления зловреден софтуер.

битка

Веднъж заразени, изтеглянето на антивирусни помощни програми от Интернет и стартирането им от преносими носители се блокират от активни троянски коне, чийто списък е наполовина по-малък от диспечера на задачите, но това е само върхът на айсберга. Има още много скрити компоненти.

битка

За повечето потребители остава само една опция - да извършат дезинфекция от стартиращи носители и ръчно да премахнат тези злонамереникомпоненти, които все още не са разпознати от антивирусите. Опитахме се да устоим на активната инфекция в експеримента с помощта на допълнителни помощни програми.

katana
Фрагмент от доклада на AVZ.

Инструментите за системен анализ в безплатната програма AVZ помагат за идентифициране на злонамерени компоненти, докато друга безплатна помощна програма Unlocker ви позволява да заобиколите троянските инструменти за самозащита и да разтоварите активни злонамерени процеси, отключвайки файлове, контролирани от тях. След разтоварване от паметта и премахване на няколко десетки троянски модула ръчно, успяваме да стартираме Dr.Web CureIt!

битка
DrWeb CureIt успя да стартира на заразената система.