Перейти к содержанию
Сергей Ильин

Тест на лечение активного заражения VII (подготовка)

Recommended Posts

vegas

Ротация в тесте нужна, но по какому принципу проводить замену? В прошлом тесте AVG, F-Secure и Outpost показали одинаковый результат, в этом мы F-Secure и Outpost выкидываем, а AVG оставляем. Eset и Panda показали более низкий результат, но при этом переходят в следующий раунд, спортивным языком выражаясь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ротация в тесте нужна, но по какому принципу проводить замену? В прошлом тесте AVG, F-Secure и Outpost показали одинаковый результат, в этом мы F-Secure и Outpost выкидываем, а AVG оставляем. Eset и Panda показали более низкий результат, но при этом переходят в следующий раунд, спортивным языком выражаясь

Принцип простой - спрос со стороны аудитории. Если исходить из этого, то мы упираемся в популярность того или иного антивируса на рынке России (мы на русском в первую очередь пишем).

F-Secure в России нет вообще, да и в мире он стал сильно нишевой. Outpost по-прежнему популярен, но в ограниченном масштабе, поэтому им можно пожертвовать. Eset очень популярен в России, его нельзя исключать. AVG - популярен в силу бесплатной версии. Panda - вопрос спорный, но говорят они стали круче, поэтому можно оставить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vegas

Хорошо. Еще вопрос по ОС. На х32 и на х64 результаты могут отличаться, может есть смысл протестировать на обеих системах (пусть не все семплы)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Хорошо. Еще вопрос по ОС. На х32 и на х64 результаты могут отличаться, может есть смысл протестировать на обеих системах (пусть не все семплы)?

Нет уверенности что вся малвара заведется на обоих архитектурах, но можно попробовать. Единственная проблема - удорожание теста. Поэтому нужно серьезно подумать, даст ли это какую-то интересную нам и читателям информацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vegas

Если результат будет отличаться на х32 и на х64, на мой взгляд это должно быть отражено в результатах теста. Кто что думает? Давайте обсудим

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Например, заражение pmax на х32 и х64 отличается, а как следствие и его лечение антивирусом может отличаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Ещё интересный вопрос, что делать, если антивирус сам не справляется с заражением, но предлагает скачать утилиту для лечения, которая справится?

При этом рассмотреть разные варианты:

Он даёт прямую ссылку на скачивание утилиты (или предлагает, скачать её самостоятельно нажав на соответствующую кнопку).

Он говорит, лечить не могу, нужна такая утилита ищи сам её на сайте моей компании.

Говорит, лечить не могу, предлагает скачать какой-то загрузочный диск и пролечить с этого диска неактивную систему. Думаю в этом случае лечение засчитывать не надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
yura5
Принцип простой - спрос со стороны аудитории. Если исходить из этого, то мы упираемся в популярность того или иного антивируса на рынке России (мы на русском в первую очередь пишем).

F-Secure в России нет вообще, да и в мире он стал сильно нишевой. Outpost по-прежнему популярен, но в ограниченном масштабе, поэтому им можно пожертвовать. Eset очень популярен в России, его нельзя исключать. AVG - популярен в силу бесплатной версии. Panda - вопрос спорный, но говорят они стали круче, поэтому можно оставить.

А мне F-Secure нравится. Два года на нем был, пока они свой файерволл не убрали... Да и по тестам он хорош. Может его оставить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ещё интересный вопрос, что делать, если антивирус сам не справляется с заражением, но предлагает скачать утилиту для лечения, которая справится?

При этом рассмотреть разные варианты:

Он даёт прямую ссылку на скачивание утилиты (или предлагает, скачать её самостоятельно нажав на соответствующую кнопку).

Он говорит, лечить не могу, нужна такая утилита ищи сам её на сайте моей компании.

Говорит, лечить не могу, предлагает скачать какой-то загрузочный диск и пролечить с этого диска неактивную систему. Думаю в этом случае лечение засчитывать не надо.

Логично ставить +/- иными слова снимать половину балла. Так как антивирус не справляется штатными средствами, а нагружает пользователя дополнительными телодвижениями. Но вообще вопрос спорный, так как антивирус обнаруживает вредоноса и показывает нужное средство его устранения.

А мне F-Secure нравится. Два года на нем был, пока они свой файерволл не убрали... Да и по тестам он хорош. Может его оставить?

Я бы дал шанс китайским друзьям показать себя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop

Предложил бы такой список:

Avast! Internet Security

AVG Internet Security

360 Internet Security

BitDefender Internet Security

Comodo Internet Security

Dr.Web Security Space

Eset Smart Security

F-Secure Internet Security

Kaspersky Internet Security

McAfee Internet Security

Microsoft Security Essentials

Norton Security

Panda Internet Security

Trend Micro Internet Security

TrustPort IS

Вот почему (+корректировки):

1) Интересно посмотреть на лидеров ИБ: Symantec, McAfee, TrendMicro, LK. В случае с Symantec ситуация интереснее: там есть технология замены из облачной сети (GIN 2.0) системных файлов. Ещё в NIS 2014 появилась, очень хочется увидеть в действии, сможет ли вылечить системные файлы в реализации Norton Security. Кстати MSE теперь тоже так может. Хочу заметить, что в составе NS есть NPE (Norton Power Eraser), его стоит тоже задействовать, вероятнее всего.

2) MSE - популярный, бесплатный антивирус, который рекомендует Microsoft, является эталоном для сравнения, должен доказать тот факт, что без стороннего решения не обойтись. +причина выше

3) Avast! IS - интересно увидеть чего достигли разработчики самого популярного бесплатного антивируса. Возможно стоит включить в сравнение бесплатную версию.

4) AVG - спорно, но, похоже, популярен, поэтому стоит включить.

5) 360 IS - завоёвывает аудиторию, в тестах проявляет себя довольно неплохо, набирает популярность из-за мультидвижковой концепции и халявности.

6) TrustPort (можно взять Emsisoft) - на мой взгляд, просто должен провалится ради того, чтобы показать: вылечить комп не может тот, кто не умеет разбирать вирусы самостоятельно.

7) Panda - испанцы бывало были даже лидерами многих тестов (2011,2010), на данный момент ситуация у них снова улучшилась, стоит проверить, в мире не имеют больше 6 млн домашних пользователей, но тем не менее рез. в последних тестах стали лучше.

8) Dr.WEB - прославленный лекарь, но в последнее время о нём отзывы не очень именно по лечению, говорят даже лечилка Panda лекает лучше.

9) Comodo - популярен среди якобы умельцев, рассматривается из-за нагромождения различных модулей и настроек к ним как хороший конкурент платникам.

10) ESET - популярен, лечить стал лучше вероятнее всего, интересно посмотреть.

11) BitDefender - постоянный лидер многих тестов, обязательно стоит проверить.

12) F-Secure - не понятный игрок на рынке, пользуется чужим, но имеет что-то своё, интересно будет увидеть результат работы такого странного тандема.

______________________________

Набирают популярность 64bit системы. Нужно разделить результаты для систем обоих разрядностей. Мотивирую чем: зловреды могут работать по-разному, буквально им препятствуют разные системы, в 64bit уровень безопасности выше, по последнему тесту использования антивирусами средств DEP, ASLR видно, что происходит это по-разному, т.е. на одной системы антивирус может быть выгружен, на другой нет.

http://www.comss.ru/page.php?id=2302

Логично ставить +/- иными слова снимать половину балла. Так как антивирус не справляется штатными средствами, а нагружает пользователя дополнительными телодвижениями. Но вообще вопрос спорный, так как антивирус обнаруживает вредоноса и показывает нужное средство его устранения.

Я бы ничего не снимал, но другого варианта нет, ведь расчёт на обычного пользователя, ленивого и наглого.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vegas

Точную статистику не веду, но скачать, записать и пролечиться с загрузочного диска сможет в лучшем случае процентов 10 пользователей (и то это, наверное, оптимистично). Для всех остальных если антивирус в обычном режиме не справляется - результат лечения отрицательный. Так что снижать за загрузочный диск по моему нужно. Вообще есть тенденция перекладывать лечение на спец. утилиты, а антивирус должен ставиться на чистую систему - раньше чтобы пролечить систему нужно было поставить антивирус, а теперь, зачастую, чтобы поставить антивирус нужно сначала пролечить систему...

  • Upvote 6

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Я бы ничего не снимал, но другого варианта нет, ведь расчёт на обычного пользователя, ленивого и наглого.

1) Это дополнительные лишние движения для пользователя.

2) Предположим у юзера стоял антивирус со свежими базами и он его временно отключил на время установки игры. Из-за заражения у юзера может не работать интернет, получается антивирус стоит и справиться не может.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova
Есть чего добавить?

Я не вижу никакого смысла в этом тесте как таковом в данном формате и с такими образцами. Для чего? Разве что для новых версий вот такого убогого и лживого маркетинга? http://eugene.kaspersky.com/2013/08/01/pro...ainst-bootkits/

3-4 годичной давности лолкиты (с 6-10 летней давности технологиями) где засилье унылых патчей, ирп подмен, не менее унылые легаси биос буткиты (оперсурс), не умеющие даже нормально грузится на новых машинах и ОС.

А почему так? А потому что ничего нового нет и не предвидиться. На венде достигнуто состояние, когда большая часть системных механизмов изучена и остается только высасывать из пальца идеи по типа poweliks. Пожалуй, единственное из нового, что осталось при современном уровне ОС и аппаратуры это ефи буткит. Не тот, что для круглогодичных сборищ кокаиновых "хэкиров", а тот который будет работать. Но целесообразность появления такого вызывает сомнения. А через пару лет большая часть этого бинарного УГ вообще не загрузится на новой венде, причем некоторые уже не работают на современном железе и ОС. Золотой век лолкитов на венде прошел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Я не вижу никакого смысла в этом тесте как таковом в данном формате и с такими образцами.

А в каком формате и с какими образцами видишь?

Для чего?

Конкретно этот тест проводится для сравнение способности антивирусов лечить зараженные системы известной и популярной малварей, которая пытается скрыться от своего обнаружения различными техниками.

И в целом, тестирование отражает растановку сил в лечении и технологиях, применяемых для этого. И это, по моему мнению, один из немногох тестов, который реально что-то показывает и отражает.

Разве что для новых версий вот такого убогого и лживого маркетинга? http://eugene.kaspersky.com/2013/08/01/pro...ainst-bootkits/

Эта статья не для программистов и не для айтишников в целом. Она для простых пользователей, котоыре интересуются данной тематикой. Что не то? Что там лживого? Написано так, чтобы было интересно широкой аудитори. Можешь лучше написать?

3-4 годичной давности лолкиты (с 6-10 летней давности технологиями)

Ну так посоветуй не лолкита 1-2 годовой давности с самыми современными технологиями? Да и в контексте данного тестирования не столь принципиален возраст отобранного семейства. Главное - применяемые техники. И как показывали прошлые тестировния и как покажет это - большинство не сможет найти/вылечить и 3-4 летних лолкитов. А это тоже результат.

Вот методика прошлого тестирования.

Тема и создана для того, чтобы кто-то что-то предложил, подходящее под методику. У меня интересовались, что можно взять - я предложил. Что-то отобрали. Пока, к сожалению, интересных предложений не было.

А почему так? А потому что ничего нового нет и не предвидиться. На венде достигнуто состояние, когда большая часть системных механизмов изучена и остается только высасывать из пальца идеи по типа poweliks. Пожалуй, единственное из нового, что осталось при современном уровне ОС и аппаратуры это ефи буткит. Не тот, что для круглогодичных сборищ кокаиновых "хэкиров", а тот который будет работать. Но целесообразность появления такого вызывает сомнения. А через пару лет большая часть этого бинарного УГ вообще не загрузится на новой венде, причем некоторые уже не работают на современном железе и ОС. Золотой век лолкитов на венде прошел.

Так что - не проводить тест тогда? Все одинаково лечат? "Хомяки" в безопасности? Все очевидно. Да и без буткитов малварь прекрасно будет сидеть и далее на самых новых ОС. И в отобранных семплах для свежего теста как раз много "высосанных" - тот же poweliks и другой UM. Только вот хорошо, если и их будут лечить большинство.

З.Ы. Критика полезна. Но при условии, когда что-то предлагается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

DiabloNova _сам_ отметил, что технологии эти малварные очень древние, а раз так, то все антивирусы уже давно должны все это бороть с закрытыми глазами, но как-то не могут почему-то, хотя данные технологии весьма известны и популярны, ничего секретно-редкого в тест не предлагается.

Так что как более хорошо проверить возможности антивирусов выгребать глубокое укоренение зловредов - я не знаю, на мой взгляд костяк методологии вполне верен. Разумеется можно для важности пободаться на предмет выбора ОСи, пару зловредов заменить, какие-то продукты взять, кого-то убрать, но это все косметические доработки без влияния на суть, которая, имхо, верна.

Не, ну можно конечно развить теорию заговора, что Сергей Ильин куплен лично Е.К и И.Д (причем последний брал с новогодней скидкой), но это уж как-то совсем за гранью рациональности будет.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
Эта статья не для программистов и не для айтишников в целом. Она для простых пользователей, котоыре интересуются данной тематикой. Что не то? Что там лживого? Написано так, чтобы было интересно широкой аудитори. Можешь лучше написать?

Офф топ конечно. Но цель описана верно, маркетинг, ЛК стремится сделать так, чтобы её ресурсы постоянно маячили перед глазами, при возможности продукты пиарятся. Ничего плохого не вижу в этом, но факт.

Не, ну можно конечно развить теорию заговора, что Сергей Ильин куплен лично Е.К и И.Д (причем последний брал с новогодней скидкой), но это уж как-то совсем за гранью рациональности будет.

Ну ресурс этот явно под ЛК, если не экономически, так контингентом точно, составителями методологий. Ничего плохого, обычное явление. Просто надо всё правильно понимать. :D

Отредактировал Rustock.WA

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

меня в большой и чистой любви к ЛК вроде никто не подозревал, но мои советы при составлении методологий никогда не гнобили. Если есть ощушения, прогиба методологии под ЛК - участвуйте в выработке, тут всем дается слово и с уважением выслушивается независимо от количества сообщений на форуме. Но это тоже оффтоп, но полезный по своей сути.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Ну ресурс этот явно под ЛК, если не экономически, так контингентом точно, составителями методологий. Ничего плохого, обычное явление. Просто надо всё правильно понимать.

У каждого свои мнения. Это очень хорошо. Но говорить о том, что все здесь "прогнуто" под ЛК - чушь. Тем более, что здесь далеко не все из АВ индустрии

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
У каждого свои мнения. Это очень хорошо. Но говорить о том, что все здесь "прогнуто" под ЛК - чушь. Тем более, что здесь далеко не все из АВ индустрии

;)"но" здесь не применимо, коль "У каждого свои мнения. Это очень хорошо.", ибо дальше идёт "все здесь "прогнуто" под ЛК - чушь. Тем более, что здесь далеко не все из АВ индустрии". Последнее не аргумент, ведь обычные юзеры и не будут влиять на методику, наборы для тестов и прочее. Ресурс этот я знаю с 2009 года и наблюдаю его активность довольно давно. Так что тут мне тоже есть от чего отталкиваться. Тему развивать не будем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

ок, ваше мнение понятно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

С одной стороны верно, что руткиты не развиваются и что революционных открытий результаты теста не покажут. С другой стороны результаты теста покажут кто так и научился лечить эти старые и всем известные руткиты.

Простые пользователи постоянно спрашивают какой антивирус лучше лечит систему. Им наплевать что технологии все старые, им нужно решить проблему. И хотят они ее решить предельно быстро и с гарантированным результатов. Именно поэтому результаты теста ИМХО будет востребованы несмотря ни на что.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
yura5

Тогда не 360 Internet Security, а 360 Total Security-именно он сейчас развивается

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
По многочисленным просьбам сообщества мы решили сделать новый тест на лечение активного заражения.

В этот раз мы хотим сделать тест только на платформе Windows 7 x64. Windows XP уже официально больше не поддерживается, поэтому ориентироваться на нее нет никакого смысла.

Вот ориентировочный список самплов для теста:

APT

https://securelist.ru/blog/virus-watch/15591/agent-btz/

http://vrt-blog.snort.org/2014/04/snake-ca...t-uroburos.html

cidox

аналог семплу из прошлого теста

Poweliks

https://blog.gdatasoftware.com/blog/article...out-a-file.html

http://blog.trendmicro.com/trendlabs-secur...ndows-registry/

http://www.kernelmode.info/forum/viewtopic...f=16&t=3377

backboot

Свежий актуальный буткит, работающий и под 8.1 x64. Статей пока не было. И новостей тоже :)

WMIGhost

http://www.trendmicro.com/cloud-content/us...wmi-malware.pdf

stoned

https://blog.gdatasoftware.com/blog/article...nnovations.html

pmax

http://www.symantec.com/connect/blogs/back...rensic-analysis

http://www.kernelmode.info/forum/viewtopic...f=16&t=2858

pihar

Прошлый образец

pragma

Прошлый образец

zeroaccess

Прошлый образец

****************

Будем рады услышать предложения по составу самплов.

Методологию предполагается оставить неизменной.

А может стоить добавить более актуальных зловредов? "Зевсов", "Фейков", "Рэнсомов"? Думаете, что они окажутся лёгкой добычей? Далеко не факт.

P.S. Шифраторов добавлять не стоит, ибо там надо предотвращать, а не лечить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

С трудом могу вспомнить зловредов из указанных категорий с самозащитой (через скрытие - тоже самозащита). Могут у продуктов быть только заторы с правкой реестра после киляния файлов, а то ОС проблемно будет грузиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
С трудом могу вспомнить зловредов из указанных категорий с самозащитой (через скрытие - тоже самозащита). Могут у продуктов быть только заторы с правкой реестра после киляния файлов, а то ОС проблемно будет грузиться.

+ Там ещё проблемы с лечением МБР могут быть, некоторые фейки заражают её.

1) Как насчёт W32.Sality.AE (Symantec), Virus.Win32.Sality.aa (ЛК) ? W32.Neshuta (Symantec)?

Sality имеет механизм самозащиты, а вот Neshuta производит изменения в реестре, которые не просто возвратить обратно, т.е. часто сам образец антивирусы удаляют, а вот реестр не могут вылечить. Что получаем? Программы перестают запускаться.

2) Ещё один вариант: W32.Changeup (Symantec), Worm.Win32. VBNA.a (ЛК), выгружает при своей работе след. процессы (хотя получается довольно не равновесная ситуация):

reader_sl.exe

360tray.exe

Avp32.exe

Avpcc.exe

Avpm.exe

Avpupd.exe

CCenter.exe

Fsgk32.exe

KavPFW.exe

NISSERV.EXE

Navrunr.exe

Navw32.exe

Navwnt.exe

SAVScan.exe

avcenter.exe

avgnt.exe

avguard.exe

avp.exe

cpd.exe

fsav32.exe

fsbwsys.exe

3) W32.IRCBot.NG (Symantec), Backdoor.Win32.Ruskill.yk (ЛК), расставляет для самозащиты перехватчики на функции:

NtEnumerateValueKey

NtQueryDirectoryFile

CopyFileA

CopyFileW

DeleteFileA

DeleteFileW

MoveFileA

MoveFileW

CreateFileA

CreateFileW

Send

GetAddrInfoW

HttpSendRequestA

HttpSendRequestW

InternetWriteFile

DnsQuery_A

DnsQuery_W

PR_Write

URLDownloadToFileA

URLDownloadToFileW

RegCreateKeyExA

RegCreateKeyExW

Кстати этот зловред очень интересный, он управляемый. Может даже ДДОСить.

4) Email-Worm.Win32.Mixor.a (ЛК), W32.Mixor (Symantec), требует сложного лечения, рекомендую его особенно, потому что придётся работать с системными файлами, если их вылечить не корректно - BSOD. А у MSE,Norton есть механизмы замены системных файлов, вот и посмотрим что и как работает. Данный зловред также блокирует обновления антивируса. Вообщем, подойдёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×