Сергей Ильин

Тест антируткитов II (обсуждение)

В этой теме 65 сообщений

Коллеги, я вижу, что в догонку к только что опубликованному тесту на лечение активного заражения, есть потребность в проверке эффективности специализированных антируткитов для обнаружения сложных угроз.

Поэтому я предлагаю провести мини-тест небольшего набора специализированных антируткитов, среди которых:

1. Antivir Rootkit 1.1.0.1

2. AVZ 4.32

3. F-Secure BlackLight

4. Rootkit Unhooker 3.8

5. Sophos Anti-Rootkit 1.5

6. Trend Micro RootkitBuster 2.8

7. UnHackMe 5.7

8. VBA32 Antirootkit 3.12.3 beta

AVG Antirootkit - больше не существует

BitDefender Antirootkit - тоже больше нет

Gmer - в Авасте мы его уже посмотрели, стоит ли отдельно смотреть?

McAfee Rootkit Detective - вроде как тоже уже нет

Если есть какие-то предложения еще по тестируемым продуктам, то предлагайте, но не больше двух, много тестировать не хочется. Это же быстрый мини-тест ;)

Вредоносы предлагаю взять те же самые, что и в тесте антивирусов на активное заражение, только за вычетом тех, где руткит-технологии нет. В итоге получается такой список:

2. Rustock (NewRest)

3. Sinowal (Mebroot)

5. TDL (TDSS, Alureon, Tidserv)

6. TDL2 (TDSS, Alureon, Tidserv)

7. Srizbi

8. Rootkit.Podnuha (Boaxxe)

9. Rootkit.Pakes (synsenddrv)

10. Rootkit.Protector (Cutwail, Pandex, Pushdo)

11. Virus.Protector (Kobcka, Neprodoor)

13. Trojan-Spy.Zbot

14. Win32/Glaze

16. TDL3 v.3.17 (TDSS, Alureon, Tidserv)

Не хотелось бы брать другие самплы, так как тогда не будет корреляции результатов с тестом на лечение активного заражения. А так можно будет говорить о наличии в арсенале у вендоров, которые выглядели в тесте не очень хорошо со штатными средства, специальных средств для борьбы с этими сложными угрозами.

Предлагаю оперативно обсудить тест и начать его делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Надо бы быстрее фиксировать(скачивать) версии руткитов, пока их.. не обновили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gmer - в Авасте мы его уже посмотрели, стоит ли отдельно смотреть?

в авасте он не допиленный стоит

не хватает доктор вебовского

rootrepeal, sysinspector, icesword, osam-autorun-manager

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rootrepeal, sysinspector, icesword, osam-autorun-manager

icesword фтопку.

XueTr добавить (названьице самое то :lol:).

AVPTool

CureIt (если лицензия позволяет)

А есть ли смысл? Это не специализированные инструменты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Надо бы быстрее фиксировать(скачивать) версии руткитов, пока их.. не обновили.

Они зафиксированы :)

icesword фтопку

По причине ... ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Стух уже давно.

Panda AntiRootkit тоже, наверное, неактуален (от 2007). Разделили между Panda QuickRemover, Panda ActiveScan и Облаком.

McAfee Rootkit Detective хоть от 2007 г., но кое-что находит.

IceSword122en находит, конечно, много, но он тоже от 2007 года.

А XueTr, действительно, с новейшей поддержкой Windows7.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Стух уже давно.

он может и стух, но получше будет чем

5. Sophos Anti-Rootkit 1.5

6. Trend Micro RootkitBuster 2.8

7. UnHackMe 5.7

эти поделки

А есть ли смысл? Это не специализированные инструменты.

в авптул использовать авз, он же там через драйверок кава вроде работает, а он получше будет чем в авз=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все-таки я предлагаю брать актуальные версии, те инструменты, которые обновляются. Остальные поделки фтопку. И работы меньше для тестировщиков.

в авптул использовать авз, он же там через драйверок кава вроде работает, а он получше будет чем в авз=))

А? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AVPTool

CureIt (если лицензия позволяет)

Это действительно специальные утилиты. Тогда надо брать еще и MSRT, McAfee Removal Tools и т.п., тест будет уже другой по смыслу.

в авасте он не допиленный стоит

А gmer отдельно развивается сейчас? Если нет, то не будет смысла брать устаревшую версию изначально.

не хватает доктор вебовского

А что у них?

ESET SysInspector 1.2.021 (английская версия).

Берем точно, я просто забыл про него.

rootrepeal, sysinspector, icesword, osam-autorun-manager

rootrepeal

icesword

osam-autorun-manager

Что-то из этого все таки берем?

XueTr добавить (названьице самое то laugh.gif).

Стоит взять в тест этот XueTr?

он может и стух, но получше будет чем

5. Sophos Anti-Rootkit 1.5

6. Trend Micro RootkitBuster 2.8

7. UnHackMe 5.7

Так они развиваются, версии новые выходят, проекты живые.

У меня сомнения по поводу F-Secure BlackLight. Продукт жив вообще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Поэтому я предлагаю провести мини-тест небольшего набора специализированных антируткитов, среди которых:

8. VBA32 Antirootkit 3.12.3 beta

Уже релиз вышел. Версия 3.12.4.0. http://anti-virus.by/en/vba32arkit.shtml

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(Ego1st @ 17.02.2010, 9:39)

не хватает доктор вебовского

А что у них?

Dr.Web Shark. Только периода 2008-2009 года и без сканера.

Но может быть работа и была продолжена после.

Стоит взять в тест этот XueTr?

См. сами (ссылка). 7d2bcc84aab2t.jpg 95749b872ddet.jpg e3bcf6e79f5et.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А gmer отдельно развивается сейчас? Если нет, то не будет смысла брать устаревшую версию изначально.

Развивается.

Стоит взять в тест этот XueTr?

Стоит.

Dr.Web Shark. Только периода 2008-2009 года и без сканера.

Динозавры остаются за бортом :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Динозавры остаются за бортом

А вот от 2009 года.

ATool update to v.1.0021

_http://www.antiy.net/freetools/atool.htm Файл>>>

946a36f01078t.jpg eb8bc54a0165t.jpg 3fbd24ba4009t.jpg

Текст в некоторых кнопках уползает, но в китайском всё чётко.

---

SysProt AntiRootkit (у меня несколько раз ругнулся, но ясно на что)

_http://sites.google.com/site/sysprotantirootkit/ Файл в самом низу страницы.

aaccc891b255t.jpg a16844d945dat.jpg 9181b833b47ft.jpg

---

Gmer за прошлый год выпустили много новых версий/сборок. Видимо не зря. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Динозавры остаются за бортом

некоторые динозавры могут фору дать всяким разным недотулзам=))

А?

ошибся? казалось анализатор в авптул как раз, так и работает=))

rootrepeal

icesword

osam-autorun-manager

rootrepeal

и

osam-autorun-manager их точно, насчет icesword уже не уверен=))

Dr.Web Shark. Только периода 2008-2009 года и без сканера.

Но может быть работа и была продолжена после.

какого сканера? он кстати не хуже rku=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
какого сканера? он кстати не хуже rku=))

Действительно, что это я. Ну если не хотят... smile396.gif

Вот документация >>> DWShark_ru_pdf.zip.

a901ab54d4f4t.jpg 4bede436df4ft.jpg 40ee159e6f6ft.jpg

DWShark_ru_pdf.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

AVPTool всё-таки помощнее, чем KAV 9, в плане борьбы с руткитами.

Если же рассматривать только руткиты, которые детектируют заражение "из общих соображений" и не зависят от детекта файлов, то как это проверить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а антируткит от Авира- Avira AntiRootkit Tool ? было бы интересно посмотреть его...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AVPTool всё-таки помощнее, чем KAV 9, в плане борьбы с руткитами.

Если же рассматривать только руткиты, которые детектируют заражение "из общих соображений" и не зависят от детекта файлов, то как это проверить?

Дело не в детекте файлов, а в детекте аномалий + возможность вручную вылечить активное заражение используя эти инструменты. С другой стороны, самый лучший анти-руткит для меня - это WinDbg, все остальное - туфта :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ошибся? казалось анализатор в авптул как раз, так и работает=))

Если там использовать движок AVZ как ты предложил, то будет работать рандомный дров AVZ, при автоматическом лечении (сканер) работает klif.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если там использовать движок AVZ как ты предложил, то будет работать рандомный дров AVZ, при автоматическом лечении (сканер) работает klif.

значить ошибся, казалось где-то читал про то что описал выше ну да ладно значить не надо брать=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
значить ошибся, казалось где-то читал про то что описал выше ну да ладно значить не надо брать=))

В продукте движок AVZ работает через klif :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Lexluthor87
       Из своего личного опыта  могу поделиться следующей информацией. Кто-нибудь знаком с порядком получения микрокредитов в интернете? Я сам множество раз встречал в сети рекламу, типа, мгновенно любую сумму на ваш счет, без поручителей и залога, нужен только паспорт и ИНН...На днях срочно понадобились 3300 дол США  на 5-6 дней, и я начал искать варианты, типа быстроденьги и т.д. Я долго искал именно такой вариант, чтобы минимально переплачивать на процентах. Как я понял, в среднем процентные ставки микрокредитов в 2018 году составляют около 1-3% в день, это в основном зависит от суммы кредита. Но есть и варианты кредитов со ставкой менее 1%!!! Ставки 0,5-0,17% в день!!! Я нашел сам когда залез на https://fin32.com/ua , там куча предложений, пришлось перечитать массу вариантов, но оно того стоило. кому надо - пробуйте)
    • seomasterpro
      Если Ваш сайт работает на WordPress, то рекомендую установить плагин "Anti-Malware Security and Brute-Force Firewall".  Данный плагин является одним из немногих, что способны не только обнаруживать вредоносный код, но и умеют  удалять его. Функции и возможности. Автоматическое устранение известных угроз. Возможность загрузки определений новых угроз по мере их обнаружения. Автоматическое обновление версий TimThumb для устранения уязвимостей. Автоматическая установка обновления WP-login.php, чтобы блокировать атаку brute force. Возможность настроек сканирования. Запуск быстрого сканирования из админ. панели или полное сканирование из настроек плагина. Если Вам нужны рекомендации как пользоваться данным плагином для выявления вредоносных кодов на Вашем сайте, то можете обратиться к спецам от веб-студии на https://seo-master.pro Без регистрации плагин работает только в режиме сканирования. Регистрация плагина позволяет получить доступ к новым определениям «известных угроз» и другим функциям таким, как автоматическое удаление, а также патчи для конкретных уязвимостей , таких как старые версии TimThumb. Обновленные файлы определения могут быть загружены автоматически после того, как только Ваш ключ зарегистрирован. В противном случае, этот плагин просто сканирует на наличие потенциальных угроз и предоставляет Вам самостоятельно определять и удалять вредоносный код.
    • PR55.RP55
      Я с какой целью вам дал ссылку ? Откройте. И, если уж пишите про PC то стоит привести его характеристики. Asus k50c 2008 год; Windows 7; Одноядерный - Celeron 220 с тактовой частотой 1200 МГц; Память: DDR2 - 2ГБ. встроенная видеокарта: SiS Mirage 3+; HDD на 250 ГБ  
    • kostepanych
      А комодо без проблем работает без инета? Можно ли обновлять базы без инета, скачав обновления с официального сайта на другом компе?
      И не будет ли он сильно грузить старый ноут Asus k50c?
    • PR55.RP55
      + Info Software
      Media Lid
      Megabit
      Megabit, OOO
      'LLC' Dort
      "LLC" Dort