Интернет Пресс - программы для Windows и Linux, статьи и материалы о компьютерах, бизнес-предложения.
Главная | Новости | Статьи | Веб-мастеру | Призы и подарки | Архив | RSS-канал | Карта сайта
Написать письмо автору сайта
Поиск
 

Безопасность

Разбор полетов: Файерволл против трояна
 | 09:33:00 , 14 Января 2005

Автор: IZone
http://www.izcity.com

В начале января 2005 года мы предложили нашим посетителям небольшой тест на прочность их файерволов. Причем, тест был выбран простейший: FireHole. Итак, давайте повторим условия теста:

У вас на компьютере стоит файрволл? Надеемся, что ваш ответ будет "Да" :) Ну что же, давайте проверим ваш любимый файрволл на "пробиваемость" изнутри. Или другими словами, если на вашем компьютере вдруг поселится троянец-шпион, то сможет или нет, этот шпион незаметно отправить информацию в интернет с вашего компьютера. При такой "незаконной" отправке, "правильный" файрволл должен обнаружить врага, поднять тревогу и не пропустить незаконную информацию наружу. Вот сейчас мы это дело и проверим на примере теста FireHole.
Скачиваем файлик отсюда: http://www.keir.net/download/firehole.exe. Вес файлика всего 13 кб, это безвредный файлик, имитирует троянца. При  запуске файла, он отсылает тестовое письмо на свой сервер и при этом маскируется под процесс браузера Internet Explorer. Скачанный firehole.exe сохраните в любой директории.
Теперь переходим к делу. Двойным щелчком мышки кликаем по этому файлику -  запускаем его на выполнение (попутно запустится окно браузера Internet Explorer)
Видим такое окошко:

Далее нажимаем в окошке на длинную кнопку Start. А теперь наблюдайте за реакцией вашего файрволла: заметит он посторонний процесс или кроме браузера Internet Explorer, он ничего не увидит?
В самом нижнем окошке FireHole (см на картинке) если увидите, что тестовое сообщение нормально ушло с вашего компьютера, а ваш файрволл даже не шелохнулся, то делайте выводы :) Нужно грамотно настроить ваш файрволл или вообще менять его на "правильный".
Удачи!

Что из этого получилось? Разбор полетов:

Популярный файерволл ZoneAlarm (бесплатная версия) не прошел этот тест. Версия профессиональная ZoneAlarm смогла пройти тест только при внесении дополнительных настроек. Ниже одно из писем по поводу этого файрвола:

Скачал я на свой страх и риск этот файлик. Запустил, Kaspersky заблокировал его, говорит что троян (TrojanNotifier.Win32.Small.a). Пока не отключил Каспера ничего не получалось. Потом получилось, и мой ZoneAlarm Pro version 5.0.590.043 не заблокировал и файлик смылся с моей машины в неизвестном направлении (может что и украл :)). Может быть мой файрвол не так настроен или действительно никуда не годный. Посоветуйте что-нить, или его настроить, или каким другим обзавестись?

Ответ:
В ZoneAlarm Pro ползунок Программ Контрол - нужно поставить в верхнее положение HIDE - поможет. Во всяком случае на моей машине, только с такими настройками ZoneAlarm Pro смог увидеть этот файлик и выдать предостережение/заблокировать..
Попробуйте заново пройти тест с такими настройками.
Агнитум Аутпост (профессиональная версия) вычисляет такой файлик при стандартных настройках (в режиме обучения)

Кстати,  после выхода нашей статьи, она была выложена на http://netz.ru/comments.php?id=1554_0_1_20_C Появились вот какие комментарии:

Author: KiN (05.01.05 | 09:56)
Сначала заорал Каспер :))))

Author: loader on 05.01.05 | 10:54
У меня настойчиво заорал Др.Веб :)

Author: KiN on 05.01.05 | 10:57
Прога прсто вылетает при запуске. Запускается - появляется окно - и "падает". Фаер - ZoneAlarm

Author: Bir on 05.01.05 | 11:00
Agnitum Outpost Free version не пустил

Author: Rum on 05.01.05 | 12:02
Нужно иметь правильный антивирь :)
Доктор вебыч знает эту зверюгу :))

Author: DrZubr on 05.01.05 | 13:04
Ага, сначала НОД32 заорал а потом Аутпост Фаер за работу принялся.. в общем я и не сомневался (:

Author: invadeR008 on 05.01.05 | 17:37
Кабздец .... а я понадеялся на sp2..... и никто даже не пискнул.....

Author: bere on 05.01.05 | 17:55
Я запускаю прогу на неё кидается нод 32 после нажатия кнопки отправить, прога падает :-)) и кидает ошибку .. (Видать дело Аутпоста) кароче не удалось даже рыпнуться

Author: Sm1th on 05.01.05 | 19:07
McAfee VirusScan Enterprise v8.0i сразу убил файл, я только успел скачать его... артивирь грохнул его :))

Author: DeViL @ TeaM on 05.01.05 | 20:45
У меня тож Карспер заорал, трояна заподозрил, и затем слетает файл, так что я даже не проверил свой фаерволл.
p.s Фаерволл стоит - Sygate

Author: [COOL]er on 05.01.05 | 21:18
Хех, ДрВеб даже скачать не дал :)

Author: Dezzper on 05.01.05 | 21:20
Во-во, не то что запустить... Даже скачать то толком не дал :)

Author: DrZubr on 05.01.05 | 21:49
Нортон промолчал ..SP2 тоже

Author: yakkie on 05.01.05 | 23:38

Ага, сп2 тоже мне... А ещё на стену претендует. Надо чё-нить поприличнее себе ставить однако...

Author: PANpredator on 06.01.05 | 00:49
ну, я потом отрубил каспера, и агнитум не пустил... так что каспер+аутпост = рулез :)

Author: loader on 06.01.05 | 08:03
А у меня ничего нигде не загружается... Просто заходит и убивается (в прямом смысле)
Касперский...

Author: Azzy on 06.01.05 | 08:04
NOD32 не пустил

Author: xeon on 06.01.05 | 09:45
Nod32 поймал сразу же

Author: Rebeiro on 06.01.05 | 10:00
При попытке запуска файл был убит avast! Antivirus так что до испытания стенки опять же не дошло...
видать прога очень хорошо имитирует троян... ;-)

Author: Sir_Dracula on 06.01.05 | 10:17
Да сто пудов троян..... F-Port сразу определил как backdoor clamav - Trojan.Notifier.Small-1
так что - это не тестилка для файрволла это тестилка для антивиря ;-)

Author: Ruwa on 06.01.05 | 11:44
Во фигня:
Symantec Antivirus Corporate 9 с последними обновлениями ничего не заподозрил. Outpost Firewall Pro 2.1.303 ничего не заподозрил, весь траф пропустил... На серваке стоит Kerio Winroute Firewall 5.1.10 и через него все пакеты прошли.
Я в шоке :( Вот вам и корпоративная защита, мать их...

Author: green on 06.01.05 | 12:00
Кстати, когда прога коннектится, она отправляет вот это:
Message from user "lionfish" on computer LIONFISH [5.0.6.142] at 01/06/05 14:16:39
***** I have successfully bypassed the personal firewall! *****
ну, естественно имя пользователя, имя компа и IP адрес подставляется свой, где была запущена прога.
Так что сама по себе прога - не вирь, но могла бы им быть, потому и детектится как вирь.

Комментарии:

1. Похвально, что практически у всех пользователей работают в режиме реального времени антивирусные мониторы. Поскольку утилита firehole.exe сделана по видимому весьма просто, без всяких маскировок, то практически все антивирусные программы детектируют ее как вирус-троян. Один Symantec Antivirus промолчал... Ну наверное не потому, что хуже других... А может лучше других и действительно имеет самый совершенный в мире механизм сканирования? Ведь, все-таки firehole.exe - это не вирус, а пустышка. Хотя с другой стороны, разумнее все-таки реагировать на firehole.exe, как на вирус. Что собственно и продемонстрировали остальные антивирусы.
В общем попутно получился тест и для антивирусов :)

2. Для чистоты эксперимента очевидно нужно проводить тестирование файерволов с отключенным антивирусным монитором.





Оценок этой статье - 22. Средний балл - 1.67 Просмотров - 20902

Выставить оценку статье:


Читайте также:

  • Так ли трудно украсть данные с компьютера?
  • Тестируем файервол Outpost Firewall Pro ver. 2.5.370.4626 на пробиваемость изнутри... или Нортон?
  • Какой антивирус лучше? Касперский, Доктор Вэб или Нортон?

    Все статьи рубрики Безопасность




  • Поиск
     

    Размещение рекламы | Контакты

    Главная | Новости | Статьи | Веб-мастеру | Призы и подарки | Архив | RSS-канал | Карта сайта

    Вверх
    Copyright © 2004 - 2024 г. При перепечатке гиперссылка на «Интернет Пресс» обязательна.