Перейти к содержанию
Сергей Ильин

Тест на лечение активного заражения VII (результаты)

Recommended Posts

Сергей Ильин

Дорогие друзья, рад представить вам результаты свежего теста на лечение активного заражения

 

http://www.anti-malware.ru/malware_treatment_test_2015

 

Напоминаю, что обсуждение его методологии велось здесь http://www.anti-malware.ru/forum/index.php?showtopic=29160

 

Тест проведен на Windows 7 x64, участвовали:

 
1. Avast! Internet Security 2015.10.0.2208
2. AVG Internet Security 2015.0.5646
3. Avira Internet Security 14.0.7.468
4. Eset Smart Security 8.0.304.0
5. Kaspersky Internet Security 15.0.1.415(B)
6. BitDefender Internet Security 18.20.0.1429
7. Emsisoft Internet Security 9.0.0.4799
8. Dr.Web Security Space Pro 10.0.0.12160
9. Microsoft Security Essentials 4.6.0305.0
10. McAfee Internet Security 14.0
11. Norton Security 22.1.0.9
12. Qihoo 360 Internet Security 5.0.0.5104
13. TrustPort Internet Security 15.0.0.5420
14. Panda Internet Security 15.0.4
15. Trend Micro Titanium Internet Security 8.0.1133
 
 Отобранные вредоносы для теста:
 

1.     APT (Uroburos, Turla)

2.     Cidox (Rovnix, Mayachok, Boigy)

3.     Poweliks (Powessere)

4.     Backboot (WinNT/Pitou)

5.     WMIGhost (HTTBot, Syndicasec)

6.     Stoned (Bebloh, Shiptob, Bublik)

7.     Pihar (TDL4,TDSS, Alureon, Tidserv)

8.     SST (PRAGMA, TDSS, Alureon)

9.     Zeroaccess (Sirefef, MAX++)

 

Полный текст методологии опубликован здесь http://www.anti-malware.ru/node/15871

 

Краткие итоги тестирования:

 

active_infection_platinum_sm.gif

Kaspersky Internet Security

 

 

 

active_infection_silver_sm.gif

Avast! Internet Security

BitDefender Internet Security
Dr.Web Security Space Pro
 

 

 

active_infection_bronze_sm.gif

Microsoft Security Essentials
Norton Security
 
 
Провалил тест
 
Eset Smart Security
AVG Internet Security
Trend Micro Titanium Internet Security
Qihoo 360 Internet Security
Avira Internet Security
McAfee Internet Security
Panda Internet Security
 
А этих у меня язык не поднимается назвать антивирусами - ни одного вылеченного!
 
Emsisoft Internet Security
TrustPort Internet Security
 
 
 
  • Upvote 7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

А где подробные итоги теста можно посмотреть на предмет кто с каким справился вирусом, а кто нет?

 

P.S. А, виноват, проскочил :) В самом начале сообщения https://www.anti-malware.ru/malware_treatment_test_2015

  • Downvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

WMIGhost поймал только Касперский? А прочие возьмет установка Др. Веб и снос, а потом Бита. И надеяться, что не убьют систему?

Подробный отчет в xls будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Petrovic

 

А этих у меня язык не поднимается назвать антивирусами - ни одного вылеченного!

 
Emsisoft Internet Security
TrustPort Internet Security

 

дык ясно, они не лечат ни чего. Емси вообще anti-malware :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

WMIGhost поймал только Касперский? А прочие возьмет установка Др. Веб и снос, а потом Бита. И надеяться, что не убьют систему?

 

Да, только Касперский. К большему сожалению.

 

Подробный отчет в xls будет?

 

Очень скоро выложим, его нужно проверить еще раз с точки зрения русского языка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

его нужно проверить еще раз с точки зрения русского языка

 

В прошлом тесте было так:

Вредоносные объекты в активном состоянии были обнаружены, однако в реестре остался ключ автозагрузки. Лечение неуспешно.

ТрендМикро, вроде "+" стоит (Koutodoor).

З.Ы. У меня тоже Сумантек не удалил ключ сервиса от одного руткита(странно было, он не хотел работать без обновления баз).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Хотел бы выразить большую благодарность команде тестировщиков, без которых мы бы не сделали этот тест:

vegas

alamor

Alex_Goodwin

 

А также экспертам Anti-Malware.ru, которые помогали в подборе самплов, уточнении методологии и проверке отдельных результатов.

 

:beer: 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

Спасибо за тест  :)

 

Поправте в таблице результатов - Вылечено/Всего - у Norton 4/9 вместо 3/9.

 

Почему аж восемь вендоров "отказались" добавлять Backboot в базы? Ну и Cidox и SST по пять ...

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Почему аж восемь вендоров "отказались" добавлять Backboot в базы

Все зловреды итак в базах. Дроперы будут уничтожены. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Да, важно уточнить, что сами дропперы скорее всего детектировались абсолютно всеми антивирусами (авторы теста, поправьте меня, если не так), а вот активное заражение (зараженный бут-сектор, ветка реестра и т.д) - нет, т.к это значительно сложнее, чем задетектить отдельный PE-файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

зараженный бут-сектор, ветка реестра

 

Дроппер детектировать должны все. Детект ветки реестра (в смысле исправление чего-то вроде "userinit"="virus.exe") уже может зависеть от настроек. Неплохо с этим справляется MBAM (но он то на дропперы многие может забить, особенно если им пару лет - вообще удалить из баз парочку).

 

А вот если вендор не добавил детект на какую-то dll, то это уже плохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вы описания зловредов-то вообще читали? К чему ваше сообщение тогда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Да, запуск ява-скрипта сигнатурно вроде сложно определить. Но AVG, Kaspersky, BitDefender, MSE, Norton и Trend Micro как-то вылечили Poweliks. Stoned не вылечили Trend Micro и явные аутсайдеры (у кого 0 или 1 очков).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Некоторые люди общаются с другими напрямую из подсознания.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Из безсознания. Минуя сознание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Поправте в таблице результатов - Вылечено/Всего - у Norton 4/9 вместо 3/9. 

 

Поправили, спасибо!

 

Поправте в таблице результатов - Вылечено/Всего - у Norton 4/9 вместо 3/9.   Почему аж восемь вендоров "отказались" добавлять Backboot в базы? Ну и Cidox и SST по пять ...

 

Единственное объяснение: они считают, что это не вредонос. Других объяснений нет. Отправляли им файлы много раз (анонимно конечно же) - никакого результата.

 

Такая "интеллектуальная" работа вирлаба настораживает мягко говоря и намекает как в этих компаниях ставят детекты. Не удивлюсь если по вирустоталу :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Сергей Ильин, а вы запускали специализированное средство очистки (ESET Specialized Cleaner)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сергей Ильин, а вы запускали специализированное средство очистки (ESET Specialized Cleaner)?

 

Нет, мы не использовали специальные утилиты. Тогда нужно было бы еще запускать DrWeb CureIT и множество утилит других вендоров. Некоторые вообще обнаруживают вредоноса и предлагают пролечиться с загрузочного диска :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Такая "интеллектуальная" работа вирлаба настораживает мягко говоря и намекает как в этих компаниях ставят детекты. Не удивлюсь если по вирустоталу

Если угроза неизвестна, то важно, чтобы заражение происходило под надзором HIPSа, иначе ничего вылечить (окатить) не получится.

Дело в бизнесе. Кроме как просто лицензирование, Symc (как и MCAfee, наверное TrendMicro тоже) выдаёт различные уровни поддержки клиента, домашние юзеры не имеют надёжного доступа к вирлабу, то отвечают, то нет. Факт. Вирлаб, который первым (или один из первых - не всегда можно чётко понять, да и не факт, что это важно - главное, что полноценные отчёты по APT есть и анализ в том числе) находит APT уже несколько лет (включая Regin) вряд ли промышляет подобными сомнительными вещами (хотя нельзя быть на 100% уверенным) (я о STAR), тоже самое можно сказать о McAfee, TrendMicro, вся эта тройка выпускает прекрасные отчёты и их знания в ИБ полны и высоки. Думаю, этого достаточно, чтобы не считать "молчание в трубку" с их стороны следствием технологической слабости.   

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Специализированное средство очистки ESET доступно через главное меню (раздел «Справка и поддержка»). Впрочем, если антивирус не предложил, то это минус разработчикам.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Кстати, по поводу интегрированных лечилок. Сейчас стало популярно интегрировать отдельную лечилку в антивирус. 

 

Допустим, антивирус не вылечил угрозу, а лечилка вылечила, как это подходит обычному пользователю?

Ответ очевиден - не очень. Однако, лечилку проще переписать, дописать, обновить функционал, также легко работать с движком лечения в антивирусе? Оправдано ли технически (какие преимущества по сравнению с традиционной схемой это даёт) наличие отдельной интегрированной лечилки в антивирусе или нет?

 

В Norton Security NPE (проактивная лечилка) встроена в антивирус, не надо ничего даже скачивать, чего-то ждать, как я понимаю, исследователи этим не пользовались? Мы ведь моделируем такую ситуацию: установили на заражённую систему антивирус, комп надо вылечить. Вдруг производитель часть забот возложил на лечилку не спроста и вы ей не воспользовались, а она, повторяю, запускается сразу прямо из GUI в разделе сканов. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Да, важно уточнить, что сами дропперы скорее всего детектировались абсолютно всеми антивирусами (авторы теста, поправьте меня, если не так), а вот активное заражение (зараженный бут-сектор, ветка реестра и т.д) - нет, т.к это значительно сложнее, чем задетектить отдельный PE-файл.

Да, детект не был добавлен на дамп заражённого загрузочного сектора.

Если угроза неизвестна, то важно, чтобы заражение происходило под надзором HIPSа, иначе ничего вылечить (окатить) не получится.

По методологии сначала система заражается, а уже потом ставиться антивирус. 

В Norton Security NPE (проактивная лечилка) встроена в антивирус, не надо ничего даже скачивать, чего-то ждать, как я понимаю, исследователи этим не пользовались?

Пользовались.
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Пользовались.

Т.е. она что-то обнаружила и устранить не смогла.

Norton все угрозы знал реактивно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Т.е. она что-то обнаружила и устранить не смогла.

 

В прошлом тесте тоже NPE пробовал лечить Cidox (но скачанная утилита не обнаружила заражения). То есть антивирус нашел угрозу, предложил лечить утилитой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×