Перейти к содержанию
Сергей Ильин

Антивирус Альтаир - очередной фейк или казахский антивирусный убийца?

Recommended Posts

man-bsa
Т.е. новое название и ориентация на внешний рынок автоматически по мнения казахских бизнесменов позволяет конкурировать с мировым брендами? :)

Горковенко снова "лепит" про 12 тысяч пользователей :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ершов Бронислав

Ну что то подозрительная программка уже по названию понятно. Наверное когда её запустишь она технично что то грохнет и скажет об этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hitomi

А не поднять ли тему...

RemoveAny. Случайно наткнулся. "ЛК", завидуйте молча - ибо совместим с Win8.. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hitomi

Umnik, Вы такой скучный - сил нет прямо. :lol: Ну кто Вас просил базу проверять? (я тоже, кстати, au_ глянул).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Анна Шуткина

Зачем антивирус Альтаир переименовали? Их сайт вот теперь новый - http://www.aws-core.kz а защиты нет никакой... Перехожу на Avira Free Antivirus

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
Перехожу на Avira Free Antivirus

Лицензионным пользователям антивируса Альтаир переход на новую версию AWS Core 2014 бесплатный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

и от этого он стал полноценным продуктом? Сорри за тупой вопрос

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Заюзали базы антивируса ClamAV + свои md5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
Заюзали базы антивируса ClamAV + свои md5

Хорошо хоть что детект по хэшам, а не по именам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
Сорри за тупой вопрос

Есть люди которые тупят, а есть которые не любят смайлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

так зачем было менять одно "громкое" имя на другое? И говорить о супер защите? плохой PR заканчивается плохо. Базы ClamAV - это хорошо, но это чужой продукт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
так зачем было менять одно "громкое" имя на другое? И говорить о супер защите? плохой PR заканчивается плохо. Базы ClamAV - это хорошо, но это чужой продукт

Нишевой продукт, наверняка рассчитанный на лавры "национального" (если грант дадут). Онлайн-прием платежей (сейчас это моя специализация) - на казахском же сайте, так что даже в рынок СНГ, похоже, авторы не метят, не то что на глобальный рынок - англоязычной версии, скорее всего, еще долго не будет. Это типично для немногочисленных казахских ИТ-продуктов и веб-сервисов, как легко стало понятно после конференций - "хватит и своего рынка". Так что вряд ли увидим что-то существенно прорывное, кроме роста узнаваемости бренда на родине авторов с нуля до какого-то уровня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В Белоруссии - VBA

На Украине - Zillya (бывший UNA)

В Казахстане - AWS (он же Альтаир)

Все логично. Думаю Казахстан тоже заинтересован в выращивании своих аналитиков, иначе некому киберпреступления расследовать и компьютерной криминалистикой заниматься. Так что выделить небольшие по меркам страны деньги на убыточную антивирусную компанию может быть оправдано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

я как бы не совсем о том. Здесь мы имеем продукт с украденными базами. ClamAV, безусловно, бесплатен, но это совсем не повод красть его базы. Почему говорю о краже? Потому что на сайте нет об этих базах ни слова!

Второе - у перечисленных продуктов - VBA, Zillya - свои базы и технологии. То есть сравнение с этой стороны не совсем корректно - с моей точки зрения. Здесь другие параллели напрашиваются :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

На одну доску ставить VBA и Альтаир можно только как иллюстрацию идеи национального антивируса. Думаю, что всем понятно, что уровень технологий у этих продуктов настолько разный, что о каком-то сравнении речь и не идет, но вот сама идея казахов получить от гос-ва денег на развите (попил) достаточно интересна... интересно, дадут им денег или нет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
но вот сама идея казахов получить от гос-ва денег на развите (попил) достаточно интересна... интересно, дадут им денег или нет :)

Дадут, если у просящего будет правильный подход к гос. кормушке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Технологический уровень у перечисленных мной выше компаний безусловно разный, Альтаир в этом ряду смотрится как fake-av. Но идея у создателей та же самая просматривается. Со временем они заменят ворованные базы на лицензированные, которые дополнят своими "уникальными технологиями". Получат нужные сертификаты и будут отжимать иностранцев на тендерах в госах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Получат нужные сертификаты и будут отжимать иностранцев на тендерах в госах.

Толко какой адекватный иностранец, будет участвовать в таком тендере :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

по данным прошлого года локальной сертификации не было

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

переехали просто и мини-ребрендились

_http://www.aws-core.kz/products/antivirus-security/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kalibra666

http://www.inform.kz/rus/article/2709862

«Особенностью нашей антивирусной программы AWS являются собственные технологии, и то, что техническая поддержка находится внутри страны. Нет необходимости искать зарубежных специалистов, всегда можно обратиться к своим казахстанским»

А что 4-ая версия вроде ничего, протестировал слегка на отлов заранее заготовленной тестовой базы вирусняка на своем компе...

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zerocorporated
Альтаир не выходит на весь мир и развивается пока только в Казахстане, детектируя малварей в этой стране, но более того зловредов именно пользователей Альтаира, тем самым расширяя свою базу.

Вот как позиционируют свой продукт сами разработчики:

_http://inform.kz/kaz/article/2612519

По словам разработчика, это первая казахстанская антивирусная программа, аналогов которой нет. У данного интернет-продукта - 100 процентное казахстанское содержание. Андрей - единственный автор этой программы, и все, кто ему помогал - только казахстанские граждане. Программный продукт запатентован.

Это не просто антивирус. Это комплексная защита информации в режиме реального времени. Доступный и конкурентоспособный продукт для обеспечения информационной безопасности, что приведет к снижению рисков заражения ПК, и даст возможность в будущем отслеживать вирусную активность среди казахстанских пользователей. Самое главное, что информация и базы данных крупных организаций и государственных учреждений не выйдут за пределы границ Республики Казахстан. Кроме того, в новом тестируемом решении 2014 года казахстанской антивирусной системы защиты есть уникальные технологии, дополнительные функции для борьбы с вирусами, которых не имеет ни один антивирус», - подчеркнул А.Горковенко.

_http://tengrinews.kz/internet/pervyiy-kazahstanskiy-antivirus-ustanovili-12-tyisyach-chelovek-241051/

Продукт ALTAIR Systems Security был презентован в мае 2012 года. За прошедший год разработчики выпустили уже три версии антивируса. Около 80 процентов пользователей этой системы проживают в Казахстане, остальные 20 - в России, Беларуси, Болгарии и на Украине.

Горковенко рассказал, что до конца 2013 года планируется выпуск нового антивируса. Он в отличие от ALTAIR'a будет ориентирован и на внешний рынок, что позволит продукту конкурировать с мировыми брендами. Подробности относительно характеристик и функционала программы пока не сообщаются.

Выделение моё.

Много уже было написано другими и даже выложен видео обзор на YouTube.com, но, тем не менее, я решил протестировать программу самостоятельно и обобщить ряд сведений.

Дата тестирования 27.11.2014, название продукта AWS Core X5.

Сначала с официального сайта скачивается загрузчик антивируса AWS_Core_Downloader.rar (внутри файл AWS_Core_Downloader.exe), который загружает файлы (в зависимости от выбора пользователя):

_http://aws-core.kz/aws-downloads/AWSCoreUltimate.exe 338 МБ (354 536 234 байт) (дата обновления на сервере - 30 Oct 2014)

_http://aws-core.kz/aws-downloads/AWSCoreAntivirus.exe 334 МБ (350 592 220 байт) (дата обновления на сервере - 30 Sep 2014)

_http://aws-core.kz/aws-downloads/AWSCoreFree.exe 324 МБ (339 547 236 байт) (дата обновления на сервере - 20 Feb 2014)

Загрузка файлов происходит по протоколу http (небезопасное соединение)

Загрузчик файлов упакован в rar архив, при том что сам распакованный имеет размер 71 680 байт (нужно упаковывать в zip архив или поставлять загрузчик не упакованным).

Для работы загрузчика требуется .Net Framework, но он будет скачан и установлен только установщиком антивируса. В случае отсутствия у пользователя установленного .Net Framework программа завершается с ошибкой и не предупреждает пользователя о необходимости установки .Net Framework.

После завершения скачивания антивируса загрузчик не предупреждает об удачной загрузке файла.

Загрузчик и установщик не имеют ЭЦП (Электронной Цифровой Подписи).

Далее разбирается файл AWSCoreUltimate.exe как самая полная версия антивируса.

При установки антивируса производится установка .Net Framework и Visual C++ RTL без предупреждения пользователя, хотя для работы загрузчика уже требовался .Net Framework и он должен быть установлен.

Неизвестно зачем производится установка .Net Framework 3.0 и 3.5, так как загрузчик и антивирус рассчитаны на .Net Framework 2.0.

.Net Framework 3.5 поставляется в виде веб установщика.

Директория \WorkScape Technologies\AWS Core X5\Components\ содержащая установщики .Net Framework и Visual C++ RTL имеет размер 249 МБ (262 050 403 байт) и после установки не удаляется.

Файл \WorkScape Technologies\AWS Core X5\Components\VCR_x86_x64.exe является кустарной сборкой Visual C++ RTL и не имеет ЭЦП Microsoft.

Dll и exe файлы находящиеся в директории \WorkScape Technologies\AWS Core X5\ не подписаны ЭЦП.

Пояснение по поводу ЭЦП: так как на официальном сайте программы не указаны хэши загрузочных и установочных файлов и эти файлы не подписаны ЭЦП затруднено определение того устанавливает ли пользователь оригинальный дистрибутив ПО. Может произойти подмена файлов во время загрузки программы или её хранения.

После установки антивируса база сигнатур обновлена по 14.10.2013, несмотря на то что программа загружалась и устанавливалась 27.11.2014 (была загружена последняя версия с сайта производителя).

Противодействие клавиатурным перехватчикам:

Во время тестирования была запушена программа автоматического переключения клавиатуры Punto Switcher, но антивирус не выдавал предупреждений о перехвате нажатий клавиш (в системе ZOND процесс Punto имел статус «Неизвестное»).

Межсетевой экран и антируткит:

Программа не использует драйверы или NDIS фильтры.

Программа не противодействует руткитам (AVZ Guard запускается и мешает работе антивируса, хотя программа должна была блокировать драйвер AVZ Guard ещё на стадии установки).

В программе отсутствует межсетевой экран, хотя есть монитор сетевой активности.

Самозащита антивируса:

Самозащита программы не срабатывает если в консоли выполнить команду:

taskkill /f /t /im AWS.exeУспешно: Процесс, с идентификатором 1220, дочерний процесса 1816, был завершен.Успешно: Процесс, с идентификатором 352, дочерний процесса 1816, был завершен.Успешно: Процесс, с идентификатором 1108, дочерний процесса 1816, был завершен.Успешно: Процесс, с идентификатором 1816, дочерний процесса 1320, был завершен.

Самозащита файлов программы находящихся в директории \WorkScape Technologies\AWS Core X5\ основана на установки NTFS прав полного запрета для текущего пользователя. Причем при завершении процессов командой taskkill антивирус перестаёт запускаться, так как у пользователя нет прав на доступ к директории (но после перезагрузки системы он запускается).

Для отключения автозапуска антивируса после программы taskkill необходимо выполнить в консоли следующие команды:

cacls "%ProgramFiles%\WorkScape Technologies\AWS Core X5" /e /r %username%del /f /q "%ProgramFiles%\WorkScape Technologies\AWS Core X5\AWS.exe"

Ключ HKLM\SOFTWARE\WorkScape хранит настройки антивируса и является не защищённым от изменений или удаления. В случае удаления ключа во время работы антивируса он завершается с ошибкой и больше не запускается, при этом процесс Clamupd.exe продолжает работу. Если же антивирус во время удаления ключа был выключен, то он больше не запустится.

Антивирус добавляет запрет на изменение значений в ключе реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ для текущего пользователя, поэтому без дополнительных программ из консоли не получается убрать параметр автозапуска антивируса из автозагрузки (из regedit или сторонних программ это можно сделать).

Программа производит постоянный опрос ключей:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ (защита автозапуска)
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ (защита автозапуска)
  • HKCU\Software\Microsoft\Internet Explorer\PhishingFilter\ (защита защиты от фишинга IE, права на запись в этот ключ у пользователя есть)
  • HKLM\System\CurrentControlSet\Control\ComputerName\ActiveComputerName\ (постоянные обращения к имени компьютера, но на изменение ключа программа не реагирует)

Постоянный опрос директорий и файлов:

  • \WorkScape Technologies\AWS Core X5\
  • %UserProfile%\Шаблоны\awslic.tmp (по-видимому файл с лицензией)

Реализация проактивной защиты:

Программа следит за изменениями на диске используя функция NotifyChangeDirectory для всего диска %SystemDrive%, в случае обнаружения изменений задает вопрос пользователю и если он не успеет ответить за 15 секунд удаляет подозрительный файл. Проверена реакция на размещение файлов с расширением .sys в любых директориях %SystemDrive%.

Программа следит за списком процессов и при обнаружение нового процесса спрашивает у пользователя что с ним делать. При этом процесс во время выбора пользователя продолжает работать, хотя должен был быть остановлен антивирусом до принятия решения пользователем.

Антивирусные базы:

Расположена по адресу \WorkScape Technologies\AWS Core X5\db\

9 файлов с именами Base1400.adm - Base3000.adm имеют размер 0 байт.

Файлы Base200.adm, Base400.adm, Base600.adm, Base800.adm, Base1000.adm, Base1200.adm, BaseBC.adm содержат неизвестные данные. Например, содержимое файла Base400.adm:

211:little boy :]]]]I know about your little problem :Demail: [email protected]:\winter\Set\Bottom\Up\value\wild\industry\Support\nearcare.pdbprogram: black.holeаUPX2©\No Hack\Delphi my‹PHQ!00:?e$l7е°oтЙяЁc:\myapp.exe1.2.840.113549.1.9.6f:\CB\ARM_Sustaining\BuildResults\bin\Win32\Release\AdobeARMHelper.pdb\zsiilitzcpioq.exe\parent.txtf:\dd\vctools\vc7libs\ship\atlmfc\src\mfc\auxdata.cppD:\miror.comYapp.ExE\@.zylmix

18 файлов an0AV0.adm - an0AVf.adm, BaseWR.adm и cldBase.adm содержат базы сигнатур в виде хэшей. Размер баз 1,19 МБ (1 250 888 байт). Хэши хранятся в текстовом, а не двоичном виде.

Базы Clam Antivirus содержатся в файлах daily.cld, main.cvd и bytecode.cvd, а также в поддиректориях вида clamav-da306eb62c60ed625bb667841bbab818.00000114.clamtmp. Размер баз Clam Antivirus 440 МБ (461 392 869 байт)

Общий размер антивирусных баз 441 МБ (462 664 957 байт)

Метод обнаружения PUA:

Защита срабатывает на программу Total Uninstall версии 5.0.1, хотя данная программа не является шпионским или вредоносным ПО. Тип угрозы: PUA.Spyware.XPCSpyPro

PUA.Spyware.XPCSpyPro.PNG

Дополнительные особенности:

Программа не имеет средств централизованного управления (не подходит для среднего и крупного бизнеса, затруднено использование на малых предприятиях).

Функция "Создания диска восстановления системы" запускает программу ntbackup.exe из поставки Windows и не имеет своей программы создания аварийных дисков.

Функция "Поиск и исправления неисправностей реестра" находит в ключе реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значения Shell и Userinit неправильными (на чистой системе). В первом случае программа изменила регистр букв, во втором был изменен путь к Userinit на значение без запятой в конце.

post-4453-1417247807_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×