Перейти к содержанию
Сергей Ильин

Тест на лечение активного заражения VII (результаты)

Recommended Posts

Сергей Ильин

Дорогие друзья, рад представить вам результаты свежего теста на лечение активного заражения

 

http://www.anti-malware.ru/malware_treatment_test_2015

 

Напоминаю, что обсуждение его методологии велось здесь http://www.anti-malware.ru/forum/index.php?showtopic=29160

 

Тест проведен на Windows 7 x64, участвовали:

 
1. Avast! Internet Security 2015.10.0.2208
2. AVG Internet Security 2015.0.5646
3. Avira Internet Security 14.0.7.468
4. Eset Smart Security 8.0.304.0
5. Kaspersky Internet Security 15.0.1.415(B)
6. BitDefender Internet Security 18.20.0.1429
7. Emsisoft Internet Security 9.0.0.4799
8. Dr.Web Security Space Pro 10.0.0.12160
9. Microsoft Security Essentials 4.6.0305.0
10. McAfee Internet Security 14.0
11. Norton Security 22.1.0.9
12. Qihoo 360 Internet Security 5.0.0.5104
13. TrustPort Internet Security 15.0.0.5420
14. Panda Internet Security 15.0.4
15. Trend Micro Titanium Internet Security 8.0.1133
 
 Отобранные вредоносы для теста:
 

1.     APT (Uroburos, Turla)

2.     Cidox (Rovnix, Mayachok, Boigy)

3.     Poweliks (Powessere)

4.     Backboot (WinNT/Pitou)

5.     WMIGhost (HTTBot, Syndicasec)

6.     Stoned (Bebloh, Shiptob, Bublik)

7.     Pihar (TDL4,TDSS, Alureon, Tidserv)

8.     SST (PRAGMA, TDSS, Alureon)

9.     Zeroaccess (Sirefef, MAX++)

 

Полный текст методологии опубликован здесь http://www.anti-malware.ru/node/15871

 

Краткие итоги тестирования:

 

active_infection_platinum_sm.gif

Kaspersky Internet Security

 

 

 

active_infection_silver_sm.gif

Avast! Internet Security

BitDefender Internet Security
Dr.Web Security Space Pro
 

 

 

active_infection_bronze_sm.gif

Microsoft Security Essentials
Norton Security
 
 
Провалил тест
 
Eset Smart Security
AVG Internet Security
Trend Micro Titanium Internet Security
Qihoo 360 Internet Security
Avira Internet Security
McAfee Internet Security
Panda Internet Security
 
А этих у меня язык не поднимается назвать антивирусами - ни одного вылеченного!
 
Emsisoft Internet Security
TrustPort Internet Security
 
 
 
  • Upvote 7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

А где подробные итоги теста можно посмотреть на предмет кто с каким справился вирусом, а кто нет?

 

P.S. А, виноват, проскочил :) В самом начале сообщения https://www.anti-malware.ru/malware_treatment_test_2015

  • Downvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

WMIGhost поймал только Касперский? А прочие возьмет установка Др. Веб и снос, а потом Бита. И надеяться, что не убьют систему?

Подробный отчет в xls будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Petrovic

 

А этих у меня язык не поднимается назвать антивирусами - ни одного вылеченного!

 
Emsisoft Internet Security
TrustPort Internet Security

 

дык ясно, они не лечат ни чего. Емси вообще anti-malware :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

WMIGhost поймал только Касперский? А прочие возьмет установка Др. Веб и снос, а потом Бита. И надеяться, что не убьют систему?

 

Да, только Касперский. К большему сожалению.

 

Подробный отчет в xls будет?

 

Очень скоро выложим, его нужно проверить еще раз с точки зрения русского языка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

его нужно проверить еще раз с точки зрения русского языка

 

В прошлом тесте было так:

Вредоносные объекты в активном состоянии были обнаружены, однако в реестре остался ключ автозагрузки. Лечение неуспешно.

ТрендМикро, вроде "+" стоит (Koutodoor).

З.Ы. У меня тоже Сумантек не удалил ключ сервиса от одного руткита(странно было, он не хотел работать без обновления баз).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Хотел бы выразить большую благодарность команде тестировщиков, без которых мы бы не сделали этот тест:

vegas

alamor

Alex_Goodwin

 

А также экспертам Anti-Malware.ru, которые помогали в подборе самплов, уточнении методологии и проверке отдельных результатов.

 

:beer: 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

Спасибо за тест  :)

 

Поправте в таблице результатов - Вылечено/Всего - у Norton 4/9 вместо 3/9.

 

Почему аж восемь вендоров "отказались" добавлять Backboot в базы? Ну и Cidox и SST по пять ...

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Почему аж восемь вендоров "отказались" добавлять Backboot в базы

Все зловреды итак в базах. Дроперы будут уничтожены. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Да, важно уточнить, что сами дропперы скорее всего детектировались абсолютно всеми антивирусами (авторы теста, поправьте меня, если не так), а вот активное заражение (зараженный бут-сектор, ветка реестра и т.д) - нет, т.к это значительно сложнее, чем задетектить отдельный PE-файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

зараженный бут-сектор, ветка реестра

 

Дроппер детектировать должны все. Детект ветки реестра (в смысле исправление чего-то вроде "userinit"="virus.exe") уже может зависеть от настроек. Неплохо с этим справляется MBAM (но он то на дропперы многие может забить, особенно если им пару лет - вообще удалить из баз парочку).

 

А вот если вендор не добавил детект на какую-то dll, то это уже плохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вы описания зловредов-то вообще читали? К чему ваше сообщение тогда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Да, запуск ява-скрипта сигнатурно вроде сложно определить. Но AVG, Kaspersky, BitDefender, MSE, Norton и Trend Micro как-то вылечили Poweliks. Stoned не вылечили Trend Micro и явные аутсайдеры (у кого 0 или 1 очков).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Некоторые люди общаются с другими напрямую из подсознания.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Из безсознания. Минуя сознание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Поправте в таблице результатов - Вылечено/Всего - у Norton 4/9 вместо 3/9. 

 

Поправили, спасибо!

 

Поправте в таблице результатов - Вылечено/Всего - у Norton 4/9 вместо 3/9.   Почему аж восемь вендоров "отказались" добавлять Backboot в базы? Ну и Cidox и SST по пять ...

 

Единственное объяснение: они считают, что это не вредонос. Других объяснений нет. Отправляли им файлы много раз (анонимно конечно же) - никакого результата.

 

Такая "интеллектуальная" работа вирлаба настораживает мягко говоря и намекает как в этих компаниях ставят детекты. Не удивлюсь если по вирустоталу :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Сергей Ильин, а вы запускали специализированное средство очистки (ESET Specialized Cleaner)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сергей Ильин, а вы запускали специализированное средство очистки (ESET Specialized Cleaner)?

 

Нет, мы не использовали специальные утилиты. Тогда нужно было бы еще запускать DrWeb CureIT и множество утилит других вендоров. Некоторые вообще обнаруживают вредоноса и предлагают пролечиться с загрузочного диска :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Такая "интеллектуальная" работа вирлаба настораживает мягко говоря и намекает как в этих компаниях ставят детекты. Не удивлюсь если по вирустоталу

Если угроза неизвестна, то важно, чтобы заражение происходило под надзором HIPSа, иначе ничего вылечить (окатить) не получится.

Дело в бизнесе. Кроме как просто лицензирование, Symc (как и MCAfee, наверное TrendMicro тоже) выдаёт различные уровни поддержки клиента, домашние юзеры не имеют надёжного доступа к вирлабу, то отвечают, то нет. Факт. Вирлаб, который первым (или один из первых - не всегда можно чётко понять, да и не факт, что это важно - главное, что полноценные отчёты по APT есть и анализ в том числе) находит APT уже несколько лет (включая Regin) вряд ли промышляет подобными сомнительными вещами (хотя нельзя быть на 100% уверенным) (я о STAR), тоже самое можно сказать о McAfee, TrendMicro, вся эта тройка выпускает прекрасные отчёты и их знания в ИБ полны и высоки. Думаю, этого достаточно, чтобы не считать "молчание в трубку" с их стороны следствием технологической слабости.   

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Специализированное средство очистки ESET доступно через главное меню (раздел «Справка и поддержка»). Впрочем, если антивирус не предложил, то это минус разработчикам.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Кстати, по поводу интегрированных лечилок. Сейчас стало популярно интегрировать отдельную лечилку в антивирус. 

 

Допустим, антивирус не вылечил угрозу, а лечилка вылечила, как это подходит обычному пользователю?

Ответ очевиден - не очень. Однако, лечилку проще переписать, дописать, обновить функционал, также легко работать с движком лечения в антивирусе? Оправдано ли технически (какие преимущества по сравнению с традиционной схемой это даёт) наличие отдельной интегрированной лечилки в антивирусе или нет?

 

В Norton Security NPE (проактивная лечилка) встроена в антивирус, не надо ничего даже скачивать, чего-то ждать, как я понимаю, исследователи этим не пользовались? Мы ведь моделируем такую ситуацию: установили на заражённую систему антивирус, комп надо вылечить. Вдруг производитель часть забот возложил на лечилку не спроста и вы ей не воспользовались, а она, повторяю, запускается сразу прямо из GUI в разделе сканов. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Да, важно уточнить, что сами дропперы скорее всего детектировались абсолютно всеми антивирусами (авторы теста, поправьте меня, если не так), а вот активное заражение (зараженный бут-сектор, ветка реестра и т.д) - нет, т.к это значительно сложнее, чем задетектить отдельный PE-файл.

Да, детект не был добавлен на дамп заражённого загрузочного сектора.

Если угроза неизвестна, то важно, чтобы заражение происходило под надзором HIPSа, иначе ничего вылечить (окатить) не получится.

По методологии сначала система заражается, а уже потом ставиться антивирус. 

В Norton Security NPE (проактивная лечилка) встроена в антивирус, не надо ничего даже скачивать, чего-то ждать, как я понимаю, исследователи этим не пользовались?

Пользовались.
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Пользовались.

Т.е. она что-то обнаружила и устранить не смогла.

Norton все угрозы знал реактивно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Т.е. она что-то обнаружила и устранить не смогла.

 

В прошлом тесте тоже NPE пробовал лечить Cidox (но скачанная утилита не обнаружила заражения). То есть антивирус нашел угрозу, предложил лечить утилитой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×