A Comodo Leak Test Suite értelmezése
(a CLT.EXE mappájában létrejövő CLT.HTML fájl fordítása)
1. RootkitInstallation: MissingDriverLoad
(rootkit telepítés: betöltődés hiányzó eszközvezérlőként)
Tevékenység: megpróbálja olyan eszközvezérlő kulcsát megkeresni a Windows regisztrációs adatbázisában, amihez a megfelelő fájl hiányzik a lemezen. Ha talál ilyet, önmagát másolja a driver helyére, a hiányzó fájl nevén.
Kockázat: a betöltődő rosszindulatú eszközvezérlők a lehető legveszélyesebbek, mivel az operációs rendszer részeként képesek működni, maximális jogosultsággal.
2. RootkitInstallation: LoadAndCallImage
(rootkit telepítés: LoadAndCallImage)
Tevékenység: megpróbál egy eszközvezérlőt betöltő API-t (ki)használni. A módszert általában (de nem kizárólag) a rootkitek fejlesztői alkalmazzák.
Kockázat: a betöltődő rosszindulatú eszközvezérlők a lehető legveszélyesebbek, mivel az operációs rendszer részeként képesek működni, maximális jogosultsággal.
3. RootkitInstallation: DriverSupersede
(rootkit telepítés: eszközvezérlő cseréje)
Tevékenység: megpróbál felülírni egy létező eszközvezérlőt, majd igyekszik önmagát betölteni a vezérlő helyett, annak fájlnevével.
Kockázat: a betöltődő rosszindulatú eszközvezérlők a lehető legveszélyesebbek, mivel az operációs rendszer részeként képesek működni, maximális jogosultsággal.
4. RootkitInstallation: ChangeDrvPath
(rootkit telepítés: elérési út megváltoztatása)
Tevékenység: az SCM-mel (a Service Control Manager, rendszerszolgáltatásokat irányító windows-os segédprogram) megpróbálja megváltoztatni valamelyik létező eszközvezérlő elérési útvonalát.
Kockázat: a betöltődő rosszindulatú eszközvezérlők a lehető legveszélyesebbek, mivel az operációs rendszer részeként képesek működni, maximális jogosultsággal.
5. Invasion: Runner
(behatolás: csempész, de észrevétlen határsértő értelemben)
Tevékenység: igyekszik módosítani (megfertőzni) az alapértelmezett böngésző fájljait és megpróbál csatlakozni az internethez.
Kockázat: gyakori fertőzési módszer, amivel megkerülhető a fájlok épségét (hogy nem változtatta meg senki) nem ellenőrző tűzfalak védelme.
6. Invasion: RawDisk
(behatolás: lemezmanipuláció)
Tevékenység: megpróbál közvetlenül hozzáférni a lemezhez és módosítani a tartalmát.
Kockázat: gyakori fertőzési módszer, ami sok biztonsági rést nyithat, többek közt megfertőzheti a lemez indítószektorát vagy eszközvezérlőket tölthet be.
7. Invasion: PhysicalMemory
(behatolás: fizikai memória)
Tevékenység: megpróbálja közvetlenül elérni és módosítani a fizikai memóriát, annak tartalmát.
Kockázat: a fizikai memória közvetlen elérése sok biztonsági rést nyithat azáltal, hogy megkerüli az operációs rendszer kötelező biztonsági rendszabályait.
8. Invasion: FileDrop
(behatolás: fájl becsempészése)
Tevékenység: megpróbálja becsempészni magát a Windows SYSTEM32 mappájába.
Kockázat: ha egy vírus be tud jutni a SYSTEM32 mappába, ott könnyen megfertőzhet akár létfontosságú rendszerfájlokat is.
9. Invasion: DebugControl
(behatolás: debug irányítása)
Tevékenység: megpróbálja közvetlenül elérni és módosítani a fizikai memóriát, annak tartalmát.
Kockázat: a fizikai memória közvetlen elérése sok biztonsági rést nyithat azáltal, hogy megkerüli az operációs rendszer kötelező biztonsági rendszabályait.
10. Injection: SetWinEventHook
(beinjekciózás: a windows rendszereseményekre ráakasztható “kampó” beiktatása)
Tevékenység: a Windows SetWineventHook hozzáférési API-ja segítségével megpróbál beinjekciózni egy rosszindulatú DLL-t.
Kockázat: egy másik futó folyamatba injekciózott DLL vagy programkód a már futó folyamat részeként képes viselkedni, azonos jogosultságokkal. A kártevők gyakran élnek vissza ezzel a módszerrel, hogy önmagukat megbízható folyamatnak álcázzák.
11. Injection: SetWindowsHookEx
(beinjekciózás SetWindowsHookEx-szel)
Tevékenység: a SetWindowsHookEx nevű közönséges windows-os API segítségével próbálja beinjekciózni a rosszindulatú DLL-t.
Kockázat: egy másik futó folyamatba injekciózott DLL vagy programkód a már futó folyamat részeként képes viselkedni, azonos jogosultságokkal. A kártevők gyakran élnek vissza ezzel a módszerrel, hogy önmagukat megbízható folyamatnak álcázzák.
12. Injection: SetThreadContext
(beinjekciózás SetThreadContexttel)
Tevékenység: a ProcessInjecttől kicsit eltérő módszerrel próbálja beinjekciózni a rosszindulatú DLL-t.
Kockázat: egy másik futó folyamatba injekciózott DLL vagy programkód a már futó folyamat részeként képes viselkedni, azonos jogosultságokkal. A kártevők gyakran élnek vissza ezzel a módszerrel, hogy önmagukat megbízható folyamatnak álcázzák.
13. Injection: Services
(beinjekciózás: szolgáltatások kulcs)
Tevékenység: megpróbálja módosítani a Services (szolgáltatások) kulcsát a Windows regisztrációs adatbázisában, azért, hogy önmagát is szolgáltatásként indíthassa el.
Kockázat: a kártevő a Windows-zal együtt elindítja önmagát is. A kulccsal olyan rootkitet vagy rendszerindító eszközvezérlőt telepíthet, amivel teljesen átveheti az operációs rendszer irányítását.
14. Injection: ProcessInject
(beinjekciózás ProcessInjecttel)
Tevékenység: megpróbál beinjekciózni egy rosszindulatú DLL-t, a kártevőprogramok íróinak egyik leggyakoribb módszerével.
Kockázat: egy másik futó folyamatba injekciózott DLL vagy programkód a már futó folyamat részeként képes viselkedni, azonos jogosultságokkal. A kártevők gyakran élnek vissza ezzel a módszerrel, hogy önmagukat megbízható folyamatnak álcázzák.
15. Injection: KnownDlls
(beinjekciózás: ismert Dll-ek)
Tevékenység: mivel ez az egyik legnehezebben észlelhető fertőzési technika, megpróbálja úgy módosítani az operációs rendszer valamelyik objektumát a memóriában, hogy beültethesse magát egy futó, megbízható folyamatba.
Kockázat: egy másik futó folyamatba injekciózott DLL vagy programkód a már futó folyamat részeként képes viselkedni, azonos jogosultságokkal. A kártevők gyakran élnek vissza ezzel a módszerrel, hogy önmagukat megbízható folyamatnak álcázzák.
16. Injection: DupHandles
(beinjekciózás kezelők másolásával, meghamisításával)
Tevékenység: úgy próbál hozzáférni egy másik folyamat memóriájához, hogy ellopja egy megbízható folyamat kezelőit.
Kockázat: egy másik futó folyamatba injekciózott DLL vagy programkód a már futó folyamat részeként képes viselkedni, azonos jogosultságokkal. A kártevők gyakran élnek vissza ezzel a módszerrel, hogy önmagukat megbízható folyamatnak álcázzák.
17. Injection: CreateRemoteThread
(beinjekciózás: CreateRemoteThread)
Tevékenység: a ProcessInjecttől kicsit eltérő módszerrel próbálja beinjekciózni a rosszindulatú DLL-t.
Kockázat: egy másik futó folyamatba injekciózott DLL vagy programkód a már futó folyamat részeként képes viselkedni, azonos jogosultságokkal. A kártevők gyakran élnek vissza ezzel a módszerrel, hogy önmagukat megbízható folyamatnak álcázzák.
18. Injection: APC dll injection
(beinjekciózás: APC DLL-injekció)
Tevékenység: a ProcessInjecttől kicsit eltérő módszerrel próbálja beinjekciózni a rosszindulatú DLL-t.
Kockázat: egy másik futó folyamatba injekciózott DLL vagy programkód a már futó folyamat részeként képes viselkedni, azonos jogosultságokkal. A kártevők gyakran élnek vissza ezzel a módszerrel, hogy önmagukat megbízható folyamatnak álcázzák.
19. Injection: AdvancedProcessTermination
(beinjekciózás: speciális folyamatmegszüntetés)
Tevékenység: megpróbál megszüntetni egy folyamatot az API debugolásával.
Kockázat: a folyamatok meglepetésszerűen leállíthatók.
20. InfoSend: ICMP Test
(infoküldés: ICMP-teszt)
Tevékenység: megpróbál információt küldeni az internetre ICMP-protokollal.
Kockázat: ha a tűzfal nem szűri az ICMP-protokollt, előfordulhat, hogy nem veszi észre az ICMP-adatfolyamban a trójaiakat sem.
21. InfoSend: DNS Test
(infoküldés: DNS-teszt)
Tevékenység: megpróbál információt küldeni az internetre a Windows DNS API-jaival.
Kockázat: a Windows DNS API-jai megbízható folyamatokat használnak a DNS-lekérdezésekhez, így előfordulhat, hogy a tűzfal nem veszi észre a kérések mögött megbúvó valódi folyamatot.
22. Impersonation: OLE automation
(szerepjátszás: OLE-automatizálás)
Tevékenyég: megpróbálja elindítani az Internet Explorert, majd az elindított IE-példányt OLE-automatizálással igyekszik rávenni, hogy adatokat küldjön az internetes szerverre.
Kockázat: a tűzfalak megkerülésével rosszindulatú fájlok tölthetők le.
23. Impersonation: ExplorerAsParent
(szerepjátszás: az Explorer, mint szülőfolyamat)
Tevékenység: megpróbál az explorer.exe fájl segítségével kapcsolódni az internethez.
Kockázat: előfordulhat, hogy a tűzfalak nem veszik észre az internetes kapcsolati kérelem mögött megbúvó valódi programot.
24. Impersonation: DDE
(szerepjátszás: közvetlen adatcsere)
Tevékenység: DDE-vel, azaz közvetlen adatcserével igyekszik módosítani az IE működését, így próbál adatokat eljuttatni az internetes szerverre.
Kockázat: a tűzfalak megkerülhetővé válnak és rosszindulató fájlok tölthetők le a böngésző megbízható folyamata segítségével.
25. Impersonation: Coat
(szerepjátszás: álruha)
Tevékenység: megpróbálja átnevezni magát az alapértelmezett böngésző fájlnevére a memóriában és az internethez próbál kapcsolódni.
Kockázat: a tűzfalak azt hihetik, hogy a kapcsolati kérelem mögött megbúvó valódi folyamat megbízható.
26. Impersonation: BITS
(szerepjátszás: BITS)
Tevékenység: a Windows Background Intelligent Transfer Service (BITS) szolgáltatása segítségével próbál az internetre kapcsolódni.
Kockázat: a tűzfalak megkerülhetők és a Windows megbízható szolgáltatásaival rosszindulatú fájlok tölthetők le.
27. Hijacking: WinlogonNotify
(eltérítés: Windows beléptetési értesítés)
Tevékenység: egy kártevő megpróbálja módosítani a WinlogonNotify regisztrációs adatbázis kulcsot, hogy a beléptetési folyamattal együtt önmagát is elindíthassa.
Kockázat: a kártevő a Windows minden egyes indításával önmagát is automatikusan elindítja. Az a tény, hogy ez nem olyan közönséges rendszerindítási kulcs, amit az átlagos diagnosztikai segédprogramok vizsgálni szoktak, növeli a kártevő túlélési esélyeit. Ugyanezt a kulcsot szokták manipulálni, amikor az operációs rendszer megbízható folyamataiba szándékoznak kártékony DLL-t injekciózni.
28. Hijacking: Userinit
(eltérítés: felhasználó-inicializáló folyamat manipulálása)
Tevékenység: megpróbálja módosítani a regisztrációs adatbázis Userinit kulcsát, hogy átvehesse annak a userinit.exe folyamatnak a szerepét, amelyik a bejelentkezés után a felhasználói adatok inicializálásáért felelős.
Kockázat: a kártevő a Windows minden egyes indításával önmagát is automatikusan elindítja. Az a tény, hogy ez nem olyan közönséges rendszerindítási kulcs, amit az átlagos diagnosztikai segédprogramok vizsgálni szoktak, növeli a kártevő túlélési esélyeit.
29. Hijacking: UIHost
(eltérítés: UIHost kulcs manipulálása)
Tevékenység: megpróbálja módosítani a regisztrációs adatbázis UIHost kulcsát, hogy átvehesse annak a logonui.exe folyamatnak a szerepét, amelyik a bejelentkezés előtt végrehajtódik.
Kockázat: a kártevő a Windows minden egyes indításával önmagát is automatikusan elindítja. Az a tény, hogy ez nem olyan közönséges rendszerindítási kulcs, amit az átlagos diagnosztikai segédprogramok vizsgálni szoktak, növeli a kártevő túlélési esélyeit.
30. Hijacking: SupersedeServiceDll
(eltérítés: a ServiceDll kulcs manipulálása)
Tevékenység: megpróbálja módosítani a regisztrációs adatbázis ServiceDll kulcsát, hogy az operációs rendszer svchost.exe nevű megbízható folyamatával önmagát is elindíthassa.
Kockázat: a kártevő a Windows minden egyes indításával önmagát is automatikusan elindítja. Az a tény, hogy ez nem olyan közönséges rendszerindítási kulcs, amit az átlagos diagnosztikai segédprogramok vizsgálni szoktak, növeli a kártevő túlélési esélyeit. Ugyanezt a kulcsot szokták manipulálni, amikor az operációs rendszer megbízható folyamataiba szándékoznak kártékony DLL-t injekciózni.
31. Hijacking: StartupPrograms
(eltérítés: automatikusan induló rendszerprogramok kulcs manipulálása)
Tevékenység: megpróbálja úgy módosítani a regisztrációs adatbázis StartupPrograms kulcsát, hogy a Windows indulásakor önmagát is elindíthassa.
Kockázat: a kártevő a Windows minden egyes indításával önmagát is automatikusan elindítja. Az a tény, hogy ez nem olyan közönséges rendszerindítási kulcs, amit az átlagos diagnosztikai segédprogramok vizsgálni szoktak, növeli a kártevő túlélési esélyeit.
32. Hijacking: ChangeDebuggerPath
(eltérítés: a debugger elérési útvonal kulcsának manipulációja)
Tevékenység: megpróbálja úgy módosítani a regisztrációs adatbázis Debugger kulcsát, hogy önmagát indíthassa el, amikor egy program végzetes hibával leáll.
Kockázat: a kártevő minden alkalommal automatikusan elindul, amikor egy futó program összeomlik. Az a tény, hogy ez nem olyan közönséges rendszerindítási kulcs, amit az átlagos diagnosztikai segédprogramok vizsgálni szoktak, növeli a kártevő túlélési esélyeit. Ugyanezt a kulcsot szokták manipulálni, amikor az operációs rendszer megbízható folyamataiba szándékoznak kártékony DLL-t injekciózni.
33. Hijacking: AppinitDlls
(eltérítés: a folyamatokat inicializáló DLL-kulcsok manipulálása)
Tevékenység: megpróbálja úgy módosítani a regisztrációs adatbázis AppInitDlls kulcsát, hogy önmagát minden futó folyamatba beinjekciózhassa.
Kockázat: bármelyik program indításakor a kártevő önmagát is elindítja. Az a tény, hogy ez nem olyan közönséges rendszerindítási kulcs, amit az átlagos diagnosztikai segédprogramok vizsgálni szoktak, növeli a kártevő túlélési esélyeit. Ugyanezt a kulcsot szokták manipulálni, amikor az operációs rendszer megbízható folyamataiba szándékoznak kártékony DLL-t injekciózni.
34. Hijacking: ActiveDesktop
(eltérítés: ActiveDesktop manipulálása)
Tevékenység: megpróbálja megváltoztatni a Windows aktív asztalának hátterét.
Kockázat: a beágyazott HTML-fájl adatátvitelre bírhatja rá a megbízható folyamatként aposztrofált explorer.exe-t és bizalmas információkat csempészhet ki a számítógépről az interneten.
A Leak Test Suite letölthető innen (mérete 123 kB):