Перейти к содержанию
Сергей Ильин

Тест на лечение активного заражения VII (результаты)

Recommended Posts

Сергей Ильин

Дорогие друзья, рад представить вам результаты свежего теста на лечение активного заражения

 

http://www.anti-malware.ru/malware_treatment_test_2015

 

Напоминаю, что обсуждение его методологии велось здесь http://www.anti-malware.ru/forum/index.php?showtopic=29160

 

Тест проведен на Windows 7 x64, участвовали:

 
1. Avast! Internet Security 2015.10.0.2208
2. AVG Internet Security 2015.0.5646
3. Avira Internet Security 14.0.7.468
4. Eset Smart Security 8.0.304.0
5. Kaspersky Internet Security 15.0.1.415(B)
6. BitDefender Internet Security 18.20.0.1429
7. Emsisoft Internet Security 9.0.0.4799
8. Dr.Web Security Space Pro 10.0.0.12160
9. Microsoft Security Essentials 4.6.0305.0
10. McAfee Internet Security 14.0
11. Norton Security 22.1.0.9
12. Qihoo 360 Internet Security 5.0.0.5104
13. TrustPort Internet Security 15.0.0.5420
14. Panda Internet Security 15.0.4
15. Trend Micro Titanium Internet Security 8.0.1133
 
 Отобранные вредоносы для теста:
 

1.     APT (Uroburos, Turla)

2.     Cidox (Rovnix, Mayachok, Boigy)

3.     Poweliks (Powessere)

4.     Backboot (WinNT/Pitou)

5.     WMIGhost (HTTBot, Syndicasec)

6.     Stoned (Bebloh, Shiptob, Bublik)

7.     Pihar (TDL4,TDSS, Alureon, Tidserv)

8.     SST (PRAGMA, TDSS, Alureon)

9.     Zeroaccess (Sirefef, MAX++)

 

Полный текст методологии опубликован здесь http://www.anti-malware.ru/node/15871

 

Краткие итоги тестирования:

 

active_infection_platinum_sm.gif

Kaspersky Internet Security

 

 

 

active_infection_silver_sm.gif

Avast! Internet Security

BitDefender Internet Security
Dr.Web Security Space Pro
 

 

 

active_infection_bronze_sm.gif

Microsoft Security Essentials
Norton Security
 
 
Провалил тест
 
Eset Smart Security
AVG Internet Security
Trend Micro Titanium Internet Security
Qihoo 360 Internet Security
Avira Internet Security
McAfee Internet Security
Panda Internet Security
 
А этих у меня язык не поднимается назвать антивирусами - ни одного вылеченного!
 
Emsisoft Internet Security
TrustPort Internet Security
 
 
 
  • Upvote 7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

А где подробные итоги теста можно посмотреть на предмет кто с каким справился вирусом, а кто нет?

 

P.S. А, виноват, проскочил :) В самом начале сообщения https://www.anti-malware.ru/malware_treatment_test_2015

  • Downvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

WMIGhost поймал только Касперский? А прочие возьмет установка Др. Веб и снос, а потом Бита. И надеяться, что не убьют систему?

Подробный отчет в xls будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Petrovic

 

А этих у меня язык не поднимается назвать антивирусами - ни одного вылеченного!

 
Emsisoft Internet Security
TrustPort Internet Security

 

дык ясно, они не лечат ни чего. Емси вообще anti-malware :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

WMIGhost поймал только Касперский? А прочие возьмет установка Др. Веб и снос, а потом Бита. И надеяться, что не убьют систему?

 

Да, только Касперский. К большему сожалению.

 

Подробный отчет в xls будет?

 

Очень скоро выложим, его нужно проверить еще раз с точки зрения русского языка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

его нужно проверить еще раз с точки зрения русского языка

 

В прошлом тесте было так:

Вредоносные объекты в активном состоянии были обнаружены, однако в реестре остался ключ автозагрузки. Лечение неуспешно.

ТрендМикро, вроде "+" стоит (Koutodoor).

З.Ы. У меня тоже Сумантек не удалил ключ сервиса от одного руткита(странно было, он не хотел работать без обновления баз).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Хотел бы выразить большую благодарность команде тестировщиков, без которых мы бы не сделали этот тест:

vegas

alamor

Alex_Goodwin

 

А также экспертам Anti-Malware.ru, которые помогали в подборе самплов, уточнении методологии и проверке отдельных результатов.

 

:beer: 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

Спасибо за тест  :)

 

Поправте в таблице результатов - Вылечено/Всего - у Norton 4/9 вместо 3/9.

 

Почему аж восемь вендоров "отказались" добавлять Backboot в базы? Ну и Cidox и SST по пять ...

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Почему аж восемь вендоров "отказались" добавлять Backboot в базы

Все зловреды итак в базах. Дроперы будут уничтожены. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Да, важно уточнить, что сами дропперы скорее всего детектировались абсолютно всеми антивирусами (авторы теста, поправьте меня, если не так), а вот активное заражение (зараженный бут-сектор, ветка реестра и т.д) - нет, т.к это значительно сложнее, чем задетектить отдельный PE-файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

зараженный бут-сектор, ветка реестра

 

Дроппер детектировать должны все. Детект ветки реестра (в смысле исправление чего-то вроде "userinit"="virus.exe") уже может зависеть от настроек. Неплохо с этим справляется MBAM (но он то на дропперы многие может забить, особенно если им пару лет - вообще удалить из баз парочку).

 

А вот если вендор не добавил детект на какую-то dll, то это уже плохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вы описания зловредов-то вообще читали? К чему ваше сообщение тогда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Да, запуск ява-скрипта сигнатурно вроде сложно определить. Но AVG, Kaspersky, BitDefender, MSE, Norton и Trend Micro как-то вылечили Poweliks. Stoned не вылечили Trend Micro и явные аутсайдеры (у кого 0 или 1 очков).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Некоторые люди общаются с другими напрямую из подсознания.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Из безсознания. Минуя сознание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Поправте в таблице результатов - Вылечено/Всего - у Norton 4/9 вместо 3/9. 

 

Поправили, спасибо!

 

Поправте в таблице результатов - Вылечено/Всего - у Norton 4/9 вместо 3/9.   Почему аж восемь вендоров "отказались" добавлять Backboot в базы? Ну и Cidox и SST по пять ...

 

Единственное объяснение: они считают, что это не вредонос. Других объяснений нет. Отправляли им файлы много раз (анонимно конечно же) - никакого результата.

 

Такая "интеллектуальная" работа вирлаба настораживает мягко говоря и намекает как в этих компаниях ставят детекты. Не удивлюсь если по вирустоталу :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Сергей Ильин, а вы запускали специализированное средство очистки (ESET Specialized Cleaner)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сергей Ильин, а вы запускали специализированное средство очистки (ESET Specialized Cleaner)?

 

Нет, мы не использовали специальные утилиты. Тогда нужно было бы еще запускать DrWeb CureIT и множество утилит других вендоров. Некоторые вообще обнаруживают вредоноса и предлагают пролечиться с загрузочного диска :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Такая "интеллектуальная" работа вирлаба настораживает мягко говоря и намекает как в этих компаниях ставят детекты. Не удивлюсь если по вирустоталу

Если угроза неизвестна, то важно, чтобы заражение происходило под надзором HIPSа, иначе ничего вылечить (окатить) не получится.

Дело в бизнесе. Кроме как просто лицензирование, Symc (как и MCAfee, наверное TrendMicro тоже) выдаёт различные уровни поддержки клиента, домашние юзеры не имеют надёжного доступа к вирлабу, то отвечают, то нет. Факт. Вирлаб, который первым (или один из первых - не всегда можно чётко понять, да и не факт, что это важно - главное, что полноценные отчёты по APT есть и анализ в том числе) находит APT уже несколько лет (включая Regin) вряд ли промышляет подобными сомнительными вещами (хотя нельзя быть на 100% уверенным) (я о STAR), тоже самое можно сказать о McAfee, TrendMicro, вся эта тройка выпускает прекрасные отчёты и их знания в ИБ полны и высоки. Думаю, этого достаточно, чтобы не считать "молчание в трубку" с их стороны следствием технологической слабости.   

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Специализированное средство очистки ESET доступно через главное меню (раздел «Справка и поддержка»). Впрочем, если антивирус не предложил, то это минус разработчикам.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Кстати, по поводу интегрированных лечилок. Сейчас стало популярно интегрировать отдельную лечилку в антивирус. 

 

Допустим, антивирус не вылечил угрозу, а лечилка вылечила, как это подходит обычному пользователю?

Ответ очевиден - не очень. Однако, лечилку проще переписать, дописать, обновить функционал, также легко работать с движком лечения в антивирусе? Оправдано ли технически (какие преимущества по сравнению с традиционной схемой это даёт) наличие отдельной интегрированной лечилки в антивирусе или нет?

 

В Norton Security NPE (проактивная лечилка) встроена в антивирус, не надо ничего даже скачивать, чего-то ждать, как я понимаю, исследователи этим не пользовались? Мы ведь моделируем такую ситуацию: установили на заражённую систему антивирус, комп надо вылечить. Вдруг производитель часть забот возложил на лечилку не спроста и вы ей не воспользовались, а она, повторяю, запускается сразу прямо из GUI в разделе сканов. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Да, важно уточнить, что сами дропперы скорее всего детектировались абсолютно всеми антивирусами (авторы теста, поправьте меня, если не так), а вот активное заражение (зараженный бут-сектор, ветка реестра и т.д) - нет, т.к это значительно сложнее, чем задетектить отдельный PE-файл.

Да, детект не был добавлен на дамп заражённого загрузочного сектора.

Если угроза неизвестна, то важно, чтобы заражение происходило под надзором HIPSа, иначе ничего вылечить (окатить) не получится.

По методологии сначала система заражается, а уже потом ставиться антивирус. 

В Norton Security NPE (проактивная лечилка) встроена в антивирус, не надо ничего даже скачивать, чего-то ждать, как я понимаю, исследователи этим не пользовались?

Пользовались.
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Пользовались.

Т.е. она что-то обнаружила и устранить не смогла.

Norton все угрозы знал реактивно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Т.е. она что-то обнаружила и устранить не смогла.

 

В прошлом тесте тоже NPE пробовал лечить Cidox (но скачанная утилита не обнаружила заражения). То есть антивирус нашел угрозу, предложил лечить утилитой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×