Перейти к содержанию
Сергей Ильин

Антивирус Альтаир - очередной фейк или казахский антивирусный убийца?

Recommended Posts

priv8v

zerocorporated, спасибо за подробный разбор, люблю эту программу, когда-то про нее тоже тут немного писал, потому приятно снова о ней прочитать :)

Чисто от себя несколько пожеланий\замечаний (они никак не умаляют ценность технической части исследования):

1. Много и долго распространений про эцп и фреймворк - кто-то может не выдержать и дальше уже не прочитать самое интересное - это ведь не шибко важная инфа по сравнению с дальнейшим исследованием и говорит лишь о раздолбайстве авторов или о чем-то таком подобном - наскорую руку накодили на чем умеют и тратиться на эцп не стали (ну или другие причины были такого же уровня).

2. Кейлоггер и антируткит. А оно вообще заявлено производителем? Если да, то тестить софтом от яндекса и авз - совсем не есть гуд. Есть же куча тулз ликтестовых с кейлоггом разными способами. Как пример: в КИСе есть защита от кейлоггеров, но на пунтосвитчер он ничего не скажет (по иным причинам), тогда обывателю будет казаться что кис=альтаир по защите.

Проверка антируткита вообще некорректна - предотвращает загрузку драйверов другой модуль, а не антируткит. Антируткит можно было на скорую руку протестить так: берем юзермодный кусок малвари, который скрывается драйвером на диске, отключаем авер, ставим малварь - сканируем папку - альтаир не видит файла в папке, хотя он там есть. Второй способ - берем зловредную малварь, которая ставит драйвер, который скрывает сам себя, драйвер должен в неактивном состоянии детектится авером - отключаем его, ставим малварь - пытаемся заставить авер хотя бы найти намеки на зловредный активный драйвер.

Остальное: Почему фолс (ложное срабатывание) названо "методом обнаружения"? Что за термин такой? Где ссылка на вирустотал на этот файл, чтоб всем это было видно? Вдруг это правда PUA, с тулбаром на борту (ссылка на ВТ это бы могла прояснить, а так кто-то вас может и заподозрить)?

PS: еще раз повторю - замечания чисто к методологии, а не к результатам, я вполне осознаю, что никакого антируткита, супер-облака и проактивки там нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zerocorporated
Чисто от себя несколько пожеланий\замечаний (они никак не умаляют ценность технической части исследования):

Спасибо за конструктивную критику!

1. Много и долго распространений про эцп и фреймворк - кто-то может не выдержать и дальше уже не прочитать самое интересное - это ведь не шибко важная инфа по сравнению с дальнейшим исследованием и говорит лишь о раздолбайстве авторов или о чем-то таком подобном - наскорую руку накодили на чем умеют и тратиться на эцп не стали (ну или другие причины были такого же уровня).

1. Хотелось подать все самое интересное ближе к концу.

2. Я не могу сказать что это не важно. При скачивании загрузчик не говорит об успешной загрузке установщика антивируса и я первым делом подумал что к концу скачивания произошел обрыв связи с сервером. Хэша файла на сайте не найти и ЭЦП у файла нет, как понять что он правильно загрузился?

3. С объемом переборщил, но мне не понятно зачем скачивать .Net в пустую. Может в новых версиях хотят перейти на версию .Net 3.5 и готовятся заранее?

2. Кейлоггер и антируткит. А оно вообще заявлено производителем? Если да, то тестить софтом от яндекса и авз - совсем не есть гуд. Есть же куча тулз ликтестовых с кейлоггом разными способами. Как пример: в КИСе есть защита от кейлоггеров, но на пунтосвитчер он ничего не скажет (по иным причинам), тогда обывателю будет казаться что кис=альтаир по защите.

Проверка антируткита вообще некорректна - предотвращает загрузку драйверов другой модуль, а не антируткит. Антируткит можно было на скорую руку протестить так: берем юзермодный кусок малвари, который скрывается драйвером на диске, отключаем авер, ставим малварь - сканируем папку - альтаир не видит файла в папке, хотя он там есть. Второй способ - берем зловредную малварь, которая ставит драйвер, который скрывает сам себя, драйвер должен в неактивном состоянии детектится авером - отключаем его, ставим малварь - пытаемся заставить авер хотя бы найти намеки на зловредный активный драйвер.

1. Анти Кейлоггер заявлен напрямую в новинках версии X5:

_http://www.aws-core.kz/%D0%BD%D0%BE%D0%B2%D0%BE%D0%B5-%D0%B2-x5/

- Технология защиты данных при вводе с обычной клавиатуры — Антишпион. Позволяет обойти все установленные в системе клавиатурные перехватчики. Это то же самое, если бы вы использовали виртуальную клавиатуру.

Получается это тест проактивной защиты (подключение dll к процессу). Если бы это было как в KIS, то Punto оказался бы в доверенных в проактивной защите AWS Core, но он не оказался и я специально это упомянул в тексте. А при помощи ликтестов антивирус уже тестировали на YouTube.

Просто я составил много текста, а потом его пытался разбить на главы и неудачно вышло.

2. Действительно антируткит не заявлен и при помощи AVZ Guard тестируется проактивная защита:

_http://www.aws-core.kz/products/ultimate-security/

Защита от установки вредоносных драйверов

_http://www.aws-core.kz/aws-core-2014/%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0-%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B-%D1%80%D0%B5%D0%B5%D1%81%D1%82%D1%80%D0%B0/

В AWS Core реализована мощная система защиты реестра, которая контролирует большинство важных ключей, не позволяя вредоносным объектам выполнить свои действия, даже на уровне администратора. Тем самым система защиты реестра обеспечивает безопасность системных процессов от интеграции к ним вредоносных модулей, блокирует цикл автозагрузки вирусов в ОС, блокирует появление вредоносных объектов низкого уровня, руткитов, СМС-вымогателей и прочих вредоносных приложений, библиотек и сервисов.
Остальное: Почему фолс (ложное срабатывание) названо "методом обнаружения"? Что за термин такой? Где ссылка на вирустотал на этот файл, чтоб всем это было видно? Вдруг это правда PUA, с тулбаром на борту (ссылка на ВТ это бы могла прояснить, а так кто-то вас может и заподозрить)?

_https://www.virustotal.com/ru/file/4533160d9f967382e978f0f112b44d11554c7c5354bc7ab9ea8eea6fb260a62d/analysis/1417350847/

_http://virusscan.jotti.org/ru/scanresult/803f9eaf81fc9948280e3ea19773afb3b9b89408 (есть срабатывание Clam)

Это моя ошибка. Оказалось что это срабатывание, но не AWS Core а Clam AntiVirus, и не сигнатурного а эвристического анализатора Clam.

_http://www.clamav.net/doc/pua.html

«Методом обнаружения» – потому что срабатывания происходит только при включении в расширенных настройка антивируса опции «Использовать метод обнаружения “PUA”», при этом в интерфейсе программы не поясняется что это такое. Так как настройка Clam (и вообще настройки сигнатурного и эвристического анализа для обоих движков) делались в соседней вкладке "Расширенных настроек" антивируса я и подумал что технология PUA имеет отношение к AWS Core, а не Clam. Как оказалось в последствии - пояснения есть на сайте AWS Core: _http://www.aws-core.kz/%D1%81%D0%BF%D1%80%D0%B0%D0%B2%D0%BA%D0%B0/%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%B5%D0%BD%D0%BD%D1%8B%D0%B5-%D0%BF%D0%B0%D1%80%D0%B0%D0%BC%D0%B5%D1%82%D1%80%D1%8B/

"Использовать метод обнаружения «PUA» — способ обнаружения вредоносного ПО с помощью двигателя ClamAV."

========================

Пришла в голову новая идея. Так как после установки антивируса у него прошлогодние антивирусные базы можно сравнить старые базы с новыми и посмотреть насколько они увеличились.

Состояние баз на момент установки:

Версия базы сигнатур: 4000

Последнее обновление: 14.10.2013

Версия программы: 5.0.0.6

После обновления:

Версия базы сигнатур: 4468

Последнее обновление: 30.11.2014

Версия программы: 5.0.0.6

Сравнил файлы относящиеся только к базам AWS Core и собрал все новые записи вместе, проверил на уникальность (был один дубль).

Новых записей 3424 (файл с хэшами приложен к сообщению). Некоторые проверенные мной хэши обнаруживаются как вредоносные множеством антивирусов на VirusTotal.

New_base.txt

========================

P.S: Хоть и не спрашивали, но я хочу пояснить ещё кое-что про корпоративную версию. Антивирус поставляется в корпоративной версии максимально для 250 ПК _http://workscape.kz/shop/category/view/7

New_base.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Сравнил файлы относящиеся только к базам AWS Core и собрал все новые записи вместе, проверил на уникальность (был один дубль).

Новых записей 3424 (файл с хэшами приложен к сообщению). Некоторые проверенные мной хэши обнаруживаются как вредоносные множеством антивирусов на VirusTotal.

А знаете что в этих хешах самое вкусное (помимо того, что это тупейшие md5-хеши)? А то, что по ним наглядно видна работа их "вирусной лаборатории" (дело даже не в количестве файлов в день - несколько штук), а в том, что это не какие-то уникальные казахские зловреды, а файлы из пабликовых (в открытом доступе) бесплатных вирусных коллекций virussign.com - каждый день они выкладывают архивчик на 100 мб... - вот эти архивчики авторы антивируса иногда выкачивают и "детектируют" (добавляют в базы md5 этих файлов).

:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest briofillium

Новый тест антивируса Альтаир

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

прикрутили клам... что там тестить-то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

С нетерпением ждём побед этого антивируса в тестах на АМ  :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илио́н

Шесть медалей он уже схлопотал.

Снимfhок.PNG

post-21950-0-88469100-1453918786_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илио́н

Моторолер не мой!!! Я просто разместил ОБЪЯВУ!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      проверил, работает, но стоит помнить что кэш используется только при массовой проверке и только для файлов не получивших статус проверенного ранее.
      для проверки отдельного файла кэш не используется по очевидным причинам.
    • PR55.RP55
      Определять время применения GPO Определять время применения GPO - с привязкой к событию. ( например запуск... скрипта ) Писать в Инфо.
    • PR55.RP55
      Настройка vtCacheDays= не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.  
    • demkd
      ---------------------------------------------------------
       4.12.3
      ---------------------------------------------------------
       o Добавлено несколько новых ключей автозапуска.  o Добавлен новый флаг запуска "Проверять весь HKCR".
         Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
         Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
         Если флаг установлен:
          o Твик #37 не исправит все проблемные пути в реестре
          o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.  o Улучшена функция парсинга командной строки.  o Исправлена функция восстановления реестра для неактивной системы.
         Добавлено удаление старых логов реестра, они могли препятствовать загрузке хайвов после оффлайн восстановления реестра.
         Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
          o Автозагрузка службы ABR теперь работает в отложенном режиме для устранение возможного сбоя загрузки пользовательского хайва реестра.
          o Добавлен модуль defrag для дефрагментации и устранения ошибок в сохраненной копии реестра.  o В окно информации о задаче добавлены даты создания и последнего запуска.  o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).  o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.  o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).  o Исправлена ошибка которая могла привести к переполнению буфера.  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 16.0.24.
×