Перейти к содержанию
Сергей Ильин

Антивирус Альтаир - очередной фейк или казахский антивирусный убийца?

Recommended Posts

priv8v

zerocorporated, спасибо за подробный разбор, люблю эту программу, когда-то про нее тоже тут немного писал, потому приятно снова о ней прочитать :)

Чисто от себя несколько пожеланий\замечаний (они никак не умаляют ценность технической части исследования):

1. Много и долго распространений про эцп и фреймворк - кто-то может не выдержать и дальше уже не прочитать самое интересное - это ведь не шибко важная инфа по сравнению с дальнейшим исследованием и говорит лишь о раздолбайстве авторов или о чем-то таком подобном - наскорую руку накодили на чем умеют и тратиться на эцп не стали (ну или другие причины были такого же уровня).

2. Кейлоггер и антируткит. А оно вообще заявлено производителем? Если да, то тестить софтом от яндекса и авз - совсем не есть гуд. Есть же куча тулз ликтестовых с кейлоггом разными способами. Как пример: в КИСе есть защита от кейлоггеров, но на пунтосвитчер он ничего не скажет (по иным причинам), тогда обывателю будет казаться что кис=альтаир по защите.

Проверка антируткита вообще некорректна - предотвращает загрузку драйверов другой модуль, а не антируткит. Антируткит можно было на скорую руку протестить так: берем юзермодный кусок малвари, который скрывается драйвером на диске, отключаем авер, ставим малварь - сканируем папку - альтаир не видит файла в папке, хотя он там есть. Второй способ - берем зловредную малварь, которая ставит драйвер, который скрывает сам себя, драйвер должен в неактивном состоянии детектится авером - отключаем его, ставим малварь - пытаемся заставить авер хотя бы найти намеки на зловредный активный драйвер.

Остальное: Почему фолс (ложное срабатывание) названо "методом обнаружения"? Что за термин такой? Где ссылка на вирустотал на этот файл, чтоб всем это было видно? Вдруг это правда PUA, с тулбаром на борту (ссылка на ВТ это бы могла прояснить, а так кто-то вас может и заподозрить)?

PS: еще раз повторю - замечания чисто к методологии, а не к результатам, я вполне осознаю, что никакого антируткита, супер-облака и проактивки там нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zerocorporated
Чисто от себя несколько пожеланий\замечаний (они никак не умаляют ценность технической части исследования):

Спасибо за конструктивную критику!

1. Много и долго распространений про эцп и фреймворк - кто-то может не выдержать и дальше уже не прочитать самое интересное - это ведь не шибко важная инфа по сравнению с дальнейшим исследованием и говорит лишь о раздолбайстве авторов или о чем-то таком подобном - наскорую руку накодили на чем умеют и тратиться на эцп не стали (ну или другие причины были такого же уровня).

1. Хотелось подать все самое интересное ближе к концу.

2. Я не могу сказать что это не важно. При скачивании загрузчик не говорит об успешной загрузке установщика антивируса и я первым делом подумал что к концу скачивания произошел обрыв связи с сервером. Хэша файла на сайте не найти и ЭЦП у файла нет, как понять что он правильно загрузился?

3. С объемом переборщил, но мне не понятно зачем скачивать .Net в пустую. Может в новых версиях хотят перейти на версию .Net 3.5 и готовятся заранее?

2. Кейлоггер и антируткит. А оно вообще заявлено производителем? Если да, то тестить софтом от яндекса и авз - совсем не есть гуд. Есть же куча тулз ликтестовых с кейлоггом разными способами. Как пример: в КИСе есть защита от кейлоггеров, но на пунтосвитчер он ничего не скажет (по иным причинам), тогда обывателю будет казаться что кис=альтаир по защите.

Проверка антируткита вообще некорректна - предотвращает загрузку драйверов другой модуль, а не антируткит. Антируткит можно было на скорую руку протестить так: берем юзермодный кусок малвари, который скрывается драйвером на диске, отключаем авер, ставим малварь - сканируем папку - альтаир не видит файла в папке, хотя он там есть. Второй способ - берем зловредную малварь, которая ставит драйвер, который скрывает сам себя, драйвер должен в неактивном состоянии детектится авером - отключаем его, ставим малварь - пытаемся заставить авер хотя бы найти намеки на зловредный активный драйвер.

1. Анти Кейлоггер заявлен напрямую в новинках версии X5:

_http://www.aws-core.kz/%D0%BD%D0%BE%D0%B2%D0%BE%D0%B5-%D0%B2-x5/

- Технология защиты данных при вводе с обычной клавиатуры — Антишпион. Позволяет обойти все установленные в системе клавиатурные перехватчики. Это то же самое, если бы вы использовали виртуальную клавиатуру.

Получается это тест проактивной защиты (подключение dll к процессу). Если бы это было как в KIS, то Punto оказался бы в доверенных в проактивной защите AWS Core, но он не оказался и я специально это упомянул в тексте. А при помощи ликтестов антивирус уже тестировали на YouTube.

Просто я составил много текста, а потом его пытался разбить на главы и неудачно вышло.

2. Действительно антируткит не заявлен и при помощи AVZ Guard тестируется проактивная защита:

_http://www.aws-core.kz/products/ultimate-security/

Защита от установки вредоносных драйверов

_http://www.aws-core.kz/aws-core-2014/%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0-%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B-%D1%80%D0%B5%D0%B5%D1%81%D1%82%D1%80%D0%B0/

В AWS Core реализована мощная система защиты реестра, которая контролирует большинство важных ключей, не позволяя вредоносным объектам выполнить свои действия, даже на уровне администратора. Тем самым система защиты реестра обеспечивает безопасность системных процессов от интеграции к ним вредоносных модулей, блокирует цикл автозагрузки вирусов в ОС, блокирует появление вредоносных объектов низкого уровня, руткитов, СМС-вымогателей и прочих вредоносных приложений, библиотек и сервисов.
Остальное: Почему фолс (ложное срабатывание) названо "методом обнаружения"? Что за термин такой? Где ссылка на вирустотал на этот файл, чтоб всем это было видно? Вдруг это правда PUA, с тулбаром на борту (ссылка на ВТ это бы могла прояснить, а так кто-то вас может и заподозрить)?

_https://www.virustotal.com/ru/file/4533160d9f967382e978f0f112b44d11554c7c5354bc7ab9ea8eea6fb260a62d/analysis/1417350847/

_http://virusscan.jotti.org/ru/scanresult/803f9eaf81fc9948280e3ea19773afb3b9b89408 (есть срабатывание Clam)

Это моя ошибка. Оказалось что это срабатывание, но не AWS Core а Clam AntiVirus, и не сигнатурного а эвристического анализатора Clam.

_http://www.clamav.net/doc/pua.html

«Методом обнаружения» – потому что срабатывания происходит только при включении в расширенных настройка антивируса опции «Использовать метод обнаружения “PUA”», при этом в интерфейсе программы не поясняется что это такое. Так как настройка Clam (и вообще настройки сигнатурного и эвристического анализа для обоих движков) делались в соседней вкладке "Расширенных настроек" антивируса я и подумал что технология PUA имеет отношение к AWS Core, а не Clam. Как оказалось в последствии - пояснения есть на сайте AWS Core: _http://www.aws-core.kz/%D1%81%D0%BF%D1%80%D0%B0%D0%B2%D0%BA%D0%B0/%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%B5%D0%BD%D0%BD%D1%8B%D0%B5-%D0%BF%D0%B0%D1%80%D0%B0%D0%BC%D0%B5%D1%82%D1%80%D1%8B/

"Использовать метод обнаружения «PUA» — способ обнаружения вредоносного ПО с помощью двигателя ClamAV."

========================

Пришла в голову новая идея. Так как после установки антивируса у него прошлогодние антивирусные базы можно сравнить старые базы с новыми и посмотреть насколько они увеличились.

Состояние баз на момент установки:

Версия базы сигнатур: 4000

Последнее обновление: 14.10.2013

Версия программы: 5.0.0.6

После обновления:

Версия базы сигнатур: 4468

Последнее обновление: 30.11.2014

Версия программы: 5.0.0.6

Сравнил файлы относящиеся только к базам AWS Core и собрал все новые записи вместе, проверил на уникальность (был один дубль).

Новых записей 3424 (файл с хэшами приложен к сообщению). Некоторые проверенные мной хэши обнаруживаются как вредоносные множеством антивирусов на VirusTotal.

New_base.txt

========================

P.S: Хоть и не спрашивали, но я хочу пояснить ещё кое-что про корпоративную версию. Антивирус поставляется в корпоративной версии максимально для 250 ПК _http://workscape.kz/shop/category/view/7

New_base.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Сравнил файлы относящиеся только к базам AWS Core и собрал все новые записи вместе, проверил на уникальность (был один дубль).

Новых записей 3424 (файл с хэшами приложен к сообщению). Некоторые проверенные мной хэши обнаруживаются как вредоносные множеством антивирусов на VirusTotal.

А знаете что в этих хешах самое вкусное (помимо того, что это тупейшие md5-хеши)? А то, что по ним наглядно видна работа их "вирусной лаборатории" (дело даже не в количестве файлов в день - несколько штук), а в том, что это не какие-то уникальные казахские зловреды, а файлы из пабликовых (в открытом доступе) бесплатных вирусных коллекций virussign.com - каждый день они выкладывают архивчик на 100 мб... - вот эти архивчики авторы антивируса иногда выкачивают и "детектируют" (добавляют в базы md5 этих файлов).

:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest briofillium

Новый тест антивируса Альтаир

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

прикрутили клам... что там тестить-то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

С нетерпением ждём побед этого антивируса в тестах на АМ  :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илио́н

Шесть медалей он уже схлопотал.

Снимfhок.PNG

post-21950-0-88469100-1453918786_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илио́н

Моторолер не мой!!! Я просто разместил ОБЪЯВУ!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×