Антивирус Альтаир - очередной фейк или казахский антивирусный убийца?

[priv8v 960]

zerocorporated, спасибо за подробный разбор, люблю эту программу, когда-то про нее тоже тут немного писал, потому приятно снова о ней прочитать

Чисто от себя несколько пожеланий\замечаний (они никак не умаляют ценность технической части исследования):

1. Много и долго распространений про эцп и фреймворк - кто-то может не выдержать и дальше уже не прочитать самое интересное - это ведь не шибко важная инфа по сравнению с дальнейшим исследованием и говорит лишь о раздолбайстве авторов или о чем-то таком подобном - наскорую руку накодили на чем умеют и тратиться на эцп не стали (ну или другие причины были такого же уровня).

2. Кейлоггер и антируткит. А оно вообще заявлено производителем? Если да, то тестить софтом от яндекса и авз - совсем не есть гуд. Есть же куча тулз ликтестовых с кейлоггом разными способами. Как пример: в КИСе есть защита от кейлоггеров, но на пунтосвитчер он ничего не скажет (по иным причинам), тогда обывателю будет казаться что кис=альтаир по защите.

Проверка антируткита вообще некорректна - предотвращает загрузку драйверов другой модуль, а не антируткит. Антируткит можно было на скорую руку протестить так: берем юзермодный кусок малвари, который скрывается драйвером на диске, отключаем авер, ставим малварь - сканируем папку - альтаир не видит файла в папке, хотя он там есть. Второй способ - берем зловредную малварь, которая ставит драйвер, который скрывает сам себя, драйвер должен в неактивном состоянии детектится авером - отключаем его, ставим малварь - пытаемся заставить авер хотя бы найти намеки на зловредный активный драйвер.

Остальное: Почему фолс (ложное срабатывание) названо "методом обнаружения"? Что за термин такой? Где ссылка на вирустотал на этот файл, чтоб всем это было видно? Вдруг это правда PUA, с тулбаром на борту (ссылка на ВТ это бы могла прояснить, а так кто-то вас может и заподозрить)?

PS: еще раз повторю - замечания чисто к методологии, а не к результатам, я вполне осознаю, что никакого антируткита, супер-облака и проактивки там нет.

[zerocorporated 10]

Чисто от себя несколько пожеланий\замечаний (они никак не умаляют ценность технической части исследования):

Спасибо за конструктивную критику!

1. Много и долго распространений про эцп и фреймворк - кто-то может не выдержать и дальше уже не прочитать самое интересное - это ведь не шибко важная инфа по сравнению с дальнейшим исследованием и говорит лишь о раздолбайстве авторов или о чем-то таком подобном - наскорую руку накодили на чем умеют и тратиться на эцп не стали (ну или другие причины были такого же уровня).

1. Хотелось подать все самое интересное ближе к концу.

2. Я не могу сказать что это не важно. При скачивании загрузчик не говорит об успешной загрузке установщика антивируса и я первым делом подумал что к концу скачивания произошел обрыв связи с сервером. Хэша файла на сайте не найти и ЭЦП у файла нет, как понять что он правильно загрузился?

3. С объемом переборщил, но мне не понятно зачем скачивать .Net в пустую. Может в новых версиях хотят перейти на версию .Net 3.5 и готовятся заранее?

2. Кейлоггер и антируткит. А оно вообще заявлено производителем? Если да, то тестить софтом от яндекса и авз - совсем не есть гуд. Есть же куча тулз ликтестовых с кейлоггом разными способами. Как пример: в КИСе есть защита от кейлоггеров, но на пунтосвитчер он ничего не скажет (по иным причинам), тогда обывателю будет казаться что кис=альтаир по защите.

Проверка антируткита вообще некорректна - предотвращает загрузку драйверов другой модуль, а не антируткит. Антируткит можно было на скорую руку протестить так: берем юзермодный кусок малвари, который скрывается драйвером на диске, отключаем авер, ставим малварь - сканируем папку - альтаир не видит файла в папке, хотя он там есть. Второй способ - берем зловредную малварь, которая ставит драйвер, который скрывает сам себя, драйвер должен в неактивном состоянии детектится авером - отключаем его, ставим малварь - пытаемся заставить авер хотя бы найти намеки на зловредный активный драйвер.

1. Анти Кейлоггер заявлен напрямую в новинках версии X5:

_http://www.aws-core.kz/%D0%BD%D0%BE%D0%B2%D0%BE%D0%B5-%D0%B2-x5/

- Технология защиты данных при вводе с обычной клавиатуры — Антишпион. Позволяет обойти все установленные в системе клавиатурные перехватчики. Это то же самое, если бы вы использовали виртуальную клавиатуру.

Получается это тест проактивной защиты (подключение dll к процессу). Если бы это было как в KIS, то Punto оказался бы в доверенных в проактивной защите AWS Core, но он не оказался и я специально это упомянул в тексте. А при помощи ликтестов антивирус уже тестировали на YouTube.

Просто я составил много текста, а потом его пытался разбить на главы и неудачно вышло.

2. Действительно антируткит не заявлен и при помощи AVZ Guard тестируется проактивная защита:

_http://www.aws-core.kz/products/ultimate-security/

Защита от установки вредоносных драйверов

_http://www.aws-core.kz/aws-core-2014/%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0-%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B-%D1%80%D0%B5%D0%B5%D1%81%D1%82%D1%80%D0%B0/

В AWS Core реализована мощная система защиты реестра, которая контролирует большинство важных ключей, не позволяя вредоносным объектам выполнить свои действия, даже на уровне администратора. Тем самым система защиты реестра обеспечивает безопасность системных процессов от интеграции к ним вредоносных модулей, блокирует цикл автозагрузки вирусов в ОС, блокирует появление вредоносных объектов низкого уровня, руткитов, СМС-вымогателей и прочих вредоносных приложений, библиотек и сервисов.

Остальное: Почему фолс (ложное срабатывание) названо "методом обнаружения"? Что за термин такой? Где ссылка на вирустотал на этот файл, чтоб всем это было видно? Вдруг это правда PUA, с тулбаром на борту (ссылка на ВТ это бы могла прояснить, а так кто-то вас может и заподозрить)?

_https://www.virustotal.com/ru/file/4533160d9f967382e978f0f112b44d11554c7c5354bc7ab9ea8eea6fb260a62d/analysis/1417350847/

_http://virusscan.jotti.org/ru/scanresult/803f9eaf81fc9948280e3ea19773afb3b9b89408 (есть срабатывание Clam)

Это моя ошибка. Оказалось что это срабатывание, но не AWS Core а Clam AntiVirus, и не сигнатурного а эвристического анализатора Clam.

_http://www.clamav.net/doc/pua.html

«Методом обнаружения» – потому что срабатывания происходит только при включении в расширенных настройка антивируса опции «Использовать метод обнаружения “PUA”», при этом в интерфейсе программы не поясняется что это такое. Так как настройка Clam (и вообще настройки сигнатурного и эвристического анализа для обоих движков) делались в соседней вкладке "Расширенных настроек" антивируса я и подумал что технология PUA имеет отношение к AWS Core, а не Clam. Как оказалось в последствии - пояснения есть на сайте AWS Core: _http://www.aws-core.kz/%D1%81%D0%BF%D1%80%D0%B0%D0%B2%D0%BA%D0%B0/%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%B5%D0%BD%D0%BD%D1%8B%D0%B5-%D0%BF%D0%B0%D1%80%D0%B0%D0%BC%D0%B5%D1%82%D1%80%D1%8B/

"Использовать метод обнаружения «PUA» — способ обнаружения вредоносного ПО с помощью двигателя ClamAV."

========================

Пришла в голову новая идея. Так как после установки антивируса у него прошлогодние антивирусные базы можно сравнить старые базы с новыми и посмотреть насколько они увеличились.

Состояние баз на момент установки:

Версия базы сигнатур: 4000

Последнее обновление: 14.10.2013

Версия программы: 5.0.0.6

После обновления:

Версия базы сигнатур: 4468

Последнее обновление: 30.11.2014

Версия программы: 5.0.0.6

Сравнил файлы относящиеся только к базам AWS Core и собрал все новые записи вместе, проверил на уникальность (был один дубль).

Новых записей 3424 (файл с хэшами приложен к сообщению). Некоторые проверенные мной хэши обнаруживаются как вредоносные множеством антивирусов на VirusTotal.

New_base.txt

========================

P.S: Хоть и не спрашивали, но я хочу пояснить ещё кое-что про корпоративную версию. Антивирус поставляется в корпоративной версии максимально для 250 ПК _http://workscape.kz/shop/category/view/7

New_base.txt

[priv8v 960]

Сравнил файлы относящиеся только к базам AWS Core и собрал все новые записи вместе, проверил на уникальность (был один дубль).

Новых записей 3424 (файл с хэшами приложен к сообщению). Некоторые проверенные мной хэши обнаруживаются как вредоносные множеством антивирусов на VirusTotal.

А знаете что в этих хешах самое вкусное (помимо того, что это тупейшие md5-хеши)? А то, что по ним наглядно видна работа их "вирусной лаборатории" (дело даже не в количестве файлов в день - несколько штук), а в том, что это не какие-то уникальные казахские зловреды, а файлы из пабликовых (в открытом доступе) бесплатных вирусных коллекций virussign.com - каждый день они выкладывают архивчик на 100 мб... - вот эти архивчики авторы антивируса иногда выкачивают и "детектируют" (добавляют в базы md5 этих файлов).

[Guest briofillium]

Новый тест антивируса Альтаир

 

[priv8v 960]

прикрутили клам... что там тестить-то?

[Guest ivanovigor]

@anip,

Антивирус Куранина - http://kuranin.jimdo.com/ 

[AlexxSun 150]

С нетерпением ждём побед этого антивируса в тестах на АМ 

[Илио́н 0]

Шесть медалей он уже схлопотал.

[Илио́н 0]

Моторолер не мой!!! Я просто разместил ОБЪЯВУ!