Разбор полетов: Файерволл против трояна

ITrader
Современная, простая программа с неограниченными возможностями преобразования времени, знаний и опыта в деньги! Бесплатный доступ ко всем финансовым рынкам, к мировым торгам и профессиональному росту. Скачай и открой бесплатный Демо-счет! Дистанционное обучение. Депозит от 1000 рублей. ФГ Калита-Финанс.
Подробнее...

В начале января 2005 года мы предложили нашим посетителям небольшой тест на прочность их файерволов. Причем, тест был выбран простейший: FireHole. Итак, давайте повторим условия теста:

У вас на компьютере стоит файрволл? Надеемся, что ваш ответ будет "Да" :) Ну что же, давайте проверим ваш любимый файрволл на "пробиваемость" изнутри. Или другими словами, если на вашем компьютере вдруг поселится троянец-шпион, то сможет или нет, этот шпион незаметно отправить информацию в интернет с вашего компьютера. При такой "незаконной" отправке, "правильный" файрволл должен обнаружить врага, поднять тревогу и не пропустить незаконную информацию наружу. Вот сейчас мы это дело и проверим на примере теста FireHole.
Скачиваем файлик отсюда: http://www.keir.net/download/firehole.exe. Вес файлика всего 13 кб, это безвредный файлик, имитирует троянца. При запуске файла, он отсылает тестовое письмо на свой сервер и при этом маскируется под процесс браузера Internet Explorer. Скачанный firehole.exe сохраните в любой директории.
Теперь переходим к делу. Двойным щелчком мышки кликаем по этому файлику - запускаем его на выполнение (попутно запустится окно браузера Internet Explorer)
Видим такое окошко:

Далее нажимаем в окошке на длинную кнопку Start. А теперь наблюдайте за реакцией вашего файрволла: заметит он посторонний процесс или кроме браузера Internet Explorer, он ничего не увидит?
В самом нижнем окошке FireHole (см на картинке) если увидите, что тестовое сообщение нормально ушло с вашего компьютера, а ваш файрволл даже не шелохнулся, то делайте выводы :) Нужно грамотно настроить ваш файрволл или вообще менять его на "правильный".
Удачи!

Популярный файерволл ZoneAlarm (бесплатная версия) не прошел этот тест. Версия профессиональная ZoneAlarm смогла пройти тест только при внесении дополнительных настроек. Ниже одно из писем по поводу этого файрвола:

Скачал я на свой страх и риск этот файлик. Запустил, Kaspersky заблокировал его, говорит что троян (TrojanNotifier.Win32.Small.a). Пока не отключил Каспера ничего не получалось. Потом получилось, и мой ZoneAlarm Pro version 5.0.590.043 не заблокировал и файлик смылся с моей машины в неизвестном направлении (может что и украл :)). Может быть мой файрвол не так настроен или действительно никуда не годный. Посоветуйте что-нить, или его настроить, или каким другим обзавестись?

Ответ:
В ZoneAlarm Pro ползунок Программ Контрол - нужно поставить в верхнее положение HIDE - поможет. Во всяком случае на моей машине, только с такими настройками ZoneAlarm Pro смог увидеть этот файлик и выдать предостережение/заблокировать..
Попробуйте заново пройти тест с такими настройками.
Агнитум Аутпост (профессиональная версия) вычисляет такой файлик при стандартных настройках (в режиме обучения)

Кстати, после выхода нашей статьи, она была выложена на http://netz.ru/comments.php?id=1554_0_1_20_C Появились вот какие комментарии:

Author: KiN (05.01.05 | 09:56)
Сначала заорал Каспер :))))

Author: loader on 05.01.05 | 10:54
У меня настойчиво заорал Др.Веб :)

Author: KiN on 05.01.05 | 10:57
Прога прсто вылетает при запуске. Запускается - появляется окно - и "падает". Фаер - ZoneAlarm

Author: Bir on 05.01.05 | 11:00
Agnitum Outpost Free version не пустил

Author: Rum on 05.01.05 | 12:02
Нужно иметь правильный антивирь :)
Доктор вебыч знает эту зверюгу :))

Author: DrZubr on 05.01.05 | 13:04
Ага, сначала НОД32 заорал а потом Аутпост Фаер за работу принялся.. в общем я и не сомневался (:

Author: invadeR008 on 05.01.05 | 17:37
Кабздец .... а я понадеялся на sp2..... и никто даже не пискнул.....

Author: bere on 05.01.05 | 17:55
Я запускаю прогу на неё кидается нод 32 после нажатия кнопки отправить, прога падает :-)) и кидает ошибку .. (Видать дело Аутпоста) кароче не удалось даже рыпнуться

Author: Sm1th on 05.01.05 | 19:07
McAfee VirusScan Enterprise v8.0i сразу убил файл, я только успел скачать его... артивирь грохнул его :))

Author: DeViL @ TeaM on 05.01.05 | 20:45
У меня тож Карспер заорал, трояна заподозрил, и затем слетает файл, так что я даже не проверил свой фаерволл.
p.s Фаерволл стоит - Sygate

Author: [COOL]er on 05.01.05 | 21:18
Хех, ДрВеб даже скачать не дал :)

Author: Dezzper on 05.01.05 | 21:20
Во-во, не то что запустить... Даже скачать то толком не дал :)

Author: DrZubr on 05.01.05 | 21:49
Нортон промолчал ..SP2 тоже

Author: yakkie on 05.01.05 | 23:38

Ага, сп2 тоже мне... А ещё на стену претендует. Надо чё-нить поприличнее себе ставить однако...

Author: PANpredator on 06.01.05 | 00:49
ну, я потом отрубил каспера, и агнитум не пустил... так что каспер+аутпост = рулез :)

Author: loader on 06.01.05 | 08:03
А у меня ничего нигде не загружается... Просто заходит и убивается (в прямом смысле)
Касперский...

Author: Azzy on 06.01.05 | 08:04
NOD32 не пустил

Author: xeon on 06.01.05 | 09:45
Nod32 поймал сразу же

Author: Rebeiro on 06.01.05 | 10:00
При попытке запуска файл был убит avast! Antivirus так что до испытания стенки опять же не дошло...
видать прога очень хорошо имитирует троян... ;-)

Author: Sir_Dracula on 06.01.05 | 10:17
Да сто пудов троян..... F-Port сразу определил как backdoor clamav - Trojan.Notifier.Small-1
так что - это не тестилка для файрволла это тестилка для антивиря ;-)

Author: Ruwa on 06.01.05 | 11:44
Во фигня:
Symantec Antivirus Corporate 9 с последними обновлениями ничего не заподозрил. Outpost Firewall Pro 2.1.303 ничего не заподозрил, весь траф пропустил... На серваке стоит Kerio Winroute Firewall 5.1.10 и через него все пакеты прошли.
Я в шоке :( Вот вам и корпоративная защита, мать их...

Author: green on 06.01.05 | 12:00
Кстати, когда прога коннектится, она отправляет вот это:
Message from user "lionfish" on computer LIONFISH [5.0.6.142] at 01/06/05 14:16:39
***** I have successfully bypassed the personal firewall! *****
ну, естественно имя пользователя, имя компа и IP адрес подставляется свой, где была запущена прога.
Так что сама по себе прога - не вирь, но могла бы им быть, потому и детектится как вирь.

1. Похвально, что практически у всех пользователей работают в режиме реального времени антивирусные мониторы. Поскольку утилита firehole.exe сделана по видимому весьма просто, без всяких маскировок, то практически все антивирусные программы детектируют ее как вирус-троян. Один Symantec Antivirus промолчал... Ну наверное не потому, что хуже других... А может лучше других и действительно имеет самый совершенный в мире механизм сканирования? Ведь, все-таки firehole.exe - это не вирус, а пустышка. Хотя с другой стороны, разумнее все-таки реагировать на firehole.exe, как на вирус. Что собственно и продемонстрировали остальные антивирусы.
В общем попутно получился тест и для антивирусов :)

2. Для чистоты эксперимента очевидно нужно проводить тестирование файерволов с отключенным антивирусным монитором.

Если вы имеете, что сказать, то добро пожаловать - высказывайтесь в комментариях!