Перейти к содержанию
Сергей Ильин

Антивирус Альтаир - очередной фейк или казахский антивирусный убийца?

Recommended Posts

priv8v

zerocorporated, спасибо за подробный разбор, люблю эту программу, когда-то про нее тоже тут немного писал, потому приятно снова о ней прочитать :)

Чисто от себя несколько пожеланий\замечаний (они никак не умаляют ценность технической части исследования):

1. Много и долго распространений про эцп и фреймворк - кто-то может не выдержать и дальше уже не прочитать самое интересное - это ведь не шибко важная инфа по сравнению с дальнейшим исследованием и говорит лишь о раздолбайстве авторов или о чем-то таком подобном - наскорую руку накодили на чем умеют и тратиться на эцп не стали (ну или другие причины были такого же уровня).

2. Кейлоггер и антируткит. А оно вообще заявлено производителем? Если да, то тестить софтом от яндекса и авз - совсем не есть гуд. Есть же куча тулз ликтестовых с кейлоггом разными способами. Как пример: в КИСе есть защита от кейлоггеров, но на пунтосвитчер он ничего не скажет (по иным причинам), тогда обывателю будет казаться что кис=альтаир по защите.

Проверка антируткита вообще некорректна - предотвращает загрузку драйверов другой модуль, а не антируткит. Антируткит можно было на скорую руку протестить так: берем юзермодный кусок малвари, который скрывается драйвером на диске, отключаем авер, ставим малварь - сканируем папку - альтаир не видит файла в папке, хотя он там есть. Второй способ - берем зловредную малварь, которая ставит драйвер, который скрывает сам себя, драйвер должен в неактивном состоянии детектится авером - отключаем его, ставим малварь - пытаемся заставить авер хотя бы найти намеки на зловредный активный драйвер.

Остальное: Почему фолс (ложное срабатывание) названо "методом обнаружения"? Что за термин такой? Где ссылка на вирустотал на этот файл, чтоб всем это было видно? Вдруг это правда PUA, с тулбаром на борту (ссылка на ВТ это бы могла прояснить, а так кто-то вас может и заподозрить)?

PS: еще раз повторю - замечания чисто к методологии, а не к результатам, я вполне осознаю, что никакого антируткита, супер-облака и проактивки там нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zerocorporated
Чисто от себя несколько пожеланий\замечаний (они никак не умаляют ценность технической части исследования):

Спасибо за конструктивную критику!

1. Много и долго распространений про эцп и фреймворк - кто-то может не выдержать и дальше уже не прочитать самое интересное - это ведь не шибко важная инфа по сравнению с дальнейшим исследованием и говорит лишь о раздолбайстве авторов или о чем-то таком подобном - наскорую руку накодили на чем умеют и тратиться на эцп не стали (ну или другие причины были такого же уровня).

1. Хотелось подать все самое интересное ближе к концу.

2. Я не могу сказать что это не важно. При скачивании загрузчик не говорит об успешной загрузке установщика антивируса и я первым делом подумал что к концу скачивания произошел обрыв связи с сервером. Хэша файла на сайте не найти и ЭЦП у файла нет, как понять что он правильно загрузился?

3. С объемом переборщил, но мне не понятно зачем скачивать .Net в пустую. Может в новых версиях хотят перейти на версию .Net 3.5 и готовятся заранее?

2. Кейлоггер и антируткит. А оно вообще заявлено производителем? Если да, то тестить софтом от яндекса и авз - совсем не есть гуд. Есть же куча тулз ликтестовых с кейлоггом разными способами. Как пример: в КИСе есть защита от кейлоггеров, но на пунтосвитчер он ничего не скажет (по иным причинам), тогда обывателю будет казаться что кис=альтаир по защите.

Проверка антируткита вообще некорректна - предотвращает загрузку драйверов другой модуль, а не антируткит. Антируткит можно было на скорую руку протестить так: берем юзермодный кусок малвари, который скрывается драйвером на диске, отключаем авер, ставим малварь - сканируем папку - альтаир не видит файла в папке, хотя он там есть. Второй способ - берем зловредную малварь, которая ставит драйвер, который скрывает сам себя, драйвер должен в неактивном состоянии детектится авером - отключаем его, ставим малварь - пытаемся заставить авер хотя бы найти намеки на зловредный активный драйвер.

1. Анти Кейлоггер заявлен напрямую в новинках версии X5:

_http://www.aws-core.kz/%D0%BD%D0%BE%D0%B2%D0%BE%D0%B5-%D0%B2-x5/

- Технология защиты данных при вводе с обычной клавиатуры — Антишпион. Позволяет обойти все установленные в системе клавиатурные перехватчики. Это то же самое, если бы вы использовали виртуальную клавиатуру.

Получается это тест проактивной защиты (подключение dll к процессу). Если бы это было как в KIS, то Punto оказался бы в доверенных в проактивной защите AWS Core, но он не оказался и я специально это упомянул в тексте. А при помощи ликтестов антивирус уже тестировали на YouTube.

Просто я составил много текста, а потом его пытался разбить на главы и неудачно вышло.

2. Действительно антируткит не заявлен и при помощи AVZ Guard тестируется проактивная защита:

_http://www.aws-core.kz/products/ultimate-security/

Защита от установки вредоносных драйверов

_http://www.aws-core.kz/aws-core-2014/%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0-%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B-%D1%80%D0%B5%D0%B5%D1%81%D1%82%D1%80%D0%B0/

В AWS Core реализована мощная система защиты реестра, которая контролирует большинство важных ключей, не позволяя вредоносным объектам выполнить свои действия, даже на уровне администратора. Тем самым система защиты реестра обеспечивает безопасность системных процессов от интеграции к ним вредоносных модулей, блокирует цикл автозагрузки вирусов в ОС, блокирует появление вредоносных объектов низкого уровня, руткитов, СМС-вымогателей и прочих вредоносных приложений, библиотек и сервисов.
Остальное: Почему фолс (ложное срабатывание) названо "методом обнаружения"? Что за термин такой? Где ссылка на вирустотал на этот файл, чтоб всем это было видно? Вдруг это правда PUA, с тулбаром на борту (ссылка на ВТ это бы могла прояснить, а так кто-то вас может и заподозрить)?

_https://www.virustotal.com/ru/file/4533160d9f967382e978f0f112b44d11554c7c5354bc7ab9ea8eea6fb260a62d/analysis/1417350847/

_http://virusscan.jotti.org/ru/scanresult/803f9eaf81fc9948280e3ea19773afb3b9b89408 (есть срабатывание Clam)

Это моя ошибка. Оказалось что это срабатывание, но не AWS Core а Clam AntiVirus, и не сигнатурного а эвристического анализатора Clam.

_http://www.clamav.net/doc/pua.html

«Методом обнаружения» – потому что срабатывания происходит только при включении в расширенных настройка антивируса опции «Использовать метод обнаружения “PUA”», при этом в интерфейсе программы не поясняется что это такое. Так как настройка Clam (и вообще настройки сигнатурного и эвристического анализа для обоих движков) делались в соседней вкладке "Расширенных настроек" антивируса я и подумал что технология PUA имеет отношение к AWS Core, а не Clam. Как оказалось в последствии - пояснения есть на сайте AWS Core: _http://www.aws-core.kz/%D1%81%D0%BF%D1%80%D0%B0%D0%B2%D0%BA%D0%B0/%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%B5%D0%BD%D0%BD%D1%8B%D0%B5-%D0%BF%D0%B0%D1%80%D0%B0%D0%BC%D0%B5%D1%82%D1%80%D1%8B/

"Использовать метод обнаружения «PUA» — способ обнаружения вредоносного ПО с помощью двигателя ClamAV."

========================

Пришла в голову новая идея. Так как после установки антивируса у него прошлогодние антивирусные базы можно сравнить старые базы с новыми и посмотреть насколько они увеличились.

Состояние баз на момент установки:

Версия базы сигнатур: 4000

Последнее обновление: 14.10.2013

Версия программы: 5.0.0.6

После обновления:

Версия базы сигнатур: 4468

Последнее обновление: 30.11.2014

Версия программы: 5.0.0.6

Сравнил файлы относящиеся только к базам AWS Core и собрал все новые записи вместе, проверил на уникальность (был один дубль).

Новых записей 3424 (файл с хэшами приложен к сообщению). Некоторые проверенные мной хэши обнаруживаются как вредоносные множеством антивирусов на VirusTotal.

New_base.txt

========================

P.S: Хоть и не спрашивали, но я хочу пояснить ещё кое-что про корпоративную версию. Антивирус поставляется в корпоративной версии максимально для 250 ПК _http://workscape.kz/shop/category/view/7

New_base.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Сравнил файлы относящиеся только к базам AWS Core и собрал все новые записи вместе, проверил на уникальность (был один дубль).

Новых записей 3424 (файл с хэшами приложен к сообщению). Некоторые проверенные мной хэши обнаруживаются как вредоносные множеством антивирусов на VirusTotal.

А знаете что в этих хешах самое вкусное (помимо того, что это тупейшие md5-хеши)? А то, что по ним наглядно видна работа их "вирусной лаборатории" (дело даже не в количестве файлов в день - несколько штук), а в том, что это не какие-то уникальные казахские зловреды, а файлы из пабликовых (в открытом доступе) бесплатных вирусных коллекций virussign.com - каждый день они выкладывают архивчик на 100 мб... - вот эти архивчики авторы антивируса иногда выкачивают и "детектируют" (добавляют в базы md5 этих файлов).

:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

прикрутили клам... что там тестить-то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

С нетерпением ждём побед этого антивируса в тестах на АМ  :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илио́н

Шесть медалей он уже схлопотал.

Снимfhок.PNG

post-21950-0-88469100-1453918786_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илио́н

Моторолер не мой!!! Я просто разместил ОБЪЯВУ!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×