Перейти к содержанию
Сергей Ильин

Тест на лечение активного заражения VII (результаты)

Recommended Posts

Threat#47

В прошлом тесте тоже NPE пробовал лечить Cidox (но скачанная утилита не обнаружила заражения). То есть антивирус нашел угрозу, предложил лечить утилитой.

NPE - скачивается через liveUpdate, используется из интерфейса. Вы, похоже, говорите о специальной утилите для Cidox-а. 

Вообще, касательно Cidox-а, у Symc целый набор сигнатур для движка, для IPS, в том числе для детекта в MBR:

 

http://www.symantec.com/security_response/writeup.jsp?docid=2011-070712-0320-99&tabid=2

http://www.symantec.com/security_response/writeup.jsp?docid=2011-071115-0601-99

http://www.symantec.com/security_response/writeup.jsp?docid=2014-101320-3110-99

http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=27074

 

Модули детектировались так же эвристикой и SONAR-ом, т.е. весь спектр уровней способен детектировать - этого зачастую оказалось не достаточно и некоторые компы были заражены при наличии антивируса в системе. 

Рекомендуют пользоваться диском восстановления NBRT: http://www.symantec.com/connect/forums/bootcidox-removal-problems. 

NPE действительно в мае 2014 не справился с вариантом Cidox-а, такая же ситуация с NBRT: https://community.norton.com/en/forums/using-npe-and-nbrt-bootcidox-came-back-how-do-you-remove-it-permanently

Как удалить самому: 

Т.е. какие-то варианты угрозы оказываются по силам, какие-то нет, почему? Функционал ведь не меняется кардинально между вариантами Cidox-а (наверное тут я и ошибаюсь). Такая же тема у лидера данного теста - Касперского. Интересно как образцы для теста подбирались, если картина в реальности не однозначная, но в тесте баланс в сторону Касперского (3 раза подряд). Это так, просто к слову.   

 

Если выполнять удаление (антивирусом) на горячую, а не с помощью диска, есть ли увеличенный риск получить проблемы с системой после такого лечения?  

 

______________________________

KAV 12 не смог удалить: http://forum.kaspersky.com/index.php?showtopic=236858

KIS 2011 не смог удалить: http://virusinfo.info/showthread.php?t=112853

KIS 11-12 аналогично в этой теме: http://www.cyberforum.ru/viruses/thread346727.html

KIS 2012 провалился: http://otvet.mail.ru/question/94097480

"E\Device\HarddiskVolume4" - тоже самое не мог удалить и Norton. 

Касперский в середине 12 года также не смог ничего поделать: http://asino.tomsk.ru/forum/viewtopic.php?p=228480&sid=76fc1d85eb08b3fdb68275e6ceb1030c

Вывод: Cidox-а никто надёжно не лечит? (рез. теста опустим, ровно как и рез. 12 и 11 годов, когда Касперский тоже прекрасно всё вылечил, в реальности только всё по иному оказывается)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Вы, похоже, говорите о специальной утилите для Cidox-а. 

 

Я говорю о прошлом тесте. Это был XP SP3 x86 и Norton Internet Security 2012 (19.8.0.14). Комментарии в отчете:

Обнаруживает вредоносные объекты в активном состоянии, но их нейтрализация неуспешна. Предлагает скачать NPE, утилита заражения не обнаруживает вредоносные объекты.

Касперский - тесты anti-malware.ru не проводились на версии ниже, чем 2012 (12.0.0.374(i)).

 

З.Ы. Предлагаю прекратить споры до получения подробного отчета от тестеров.

Модули детектировались так же эвристикой и SONAR-ом, т.е. весь спектр уровней способен детектировать - этого зачастую оказалось не достаточно и некоторые компы были заражены при наличии антивируса в системе. 

 

Ну это и есть защита заражающего объекта (в данном случае - руткита) от обнаружения. Может у других антивирусов на определенные руткиты шел BSOD при "поиске руткитов", а компонент (drivers\*.sys) защищал себя от сканирования/удаления/перемещения. ТО есть детект есть, но только в в неактивном состоянии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

тоже самое можно сказать о McAfee, TrendMicro, вся эта тройка выпускает прекрасные отчёты и их знания в ИБ полны и высоки. Думаю, этого достаточно, чтобы не считать "молчание в трубку" с их стороны следствием технологической слабости.   

 

Смотрим этот отчет http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp__understanding-wmi-malware.pdfи затем на минус у Trend Micro Titanium Internet Security в таблице 3 напротив WMIGhost. Как это можно объяснить? Ну хоть детект сделали и на этом спасибо  <_<

В Norton Security NPE (проактивная лечилка) встроена в антивирус, не надо ничего даже скачивать, чего-то ждать, как я понимаю, исследователи этим не пользовались? Мы ведь моделируем такую ситуацию: установили на заражённую систему антивирус, комп надо вылечить. Вдруг производитель часть забот возложил на лечилку не спроста и вы ей не воспользовались, а она, повторяю, запускается сразу прямо из GUI в разделе сканов. 

 

 NPE мы запускали, Norton Security сам предлагает ее запустить. Например, Poweliks вылечен именно при помощи NPE.

Norton все угрозы знал реактивно?

 

Backboot и SST не знал, так как детект так и не добавили. В таблице стоит минус со звездочкой. У других отсутствие детекта помечено также.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

А нельзя ли увидеть хоть хеш суммы, на тестовые образцы?

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Ну это и есть защита заражающего объекта (в данном случае - руткита) от обнаружения. Может у других антивирусов на определенные руткиты шел BSOD при "поиске руткитов", а компонент (drivers\*.sys) защищал себя от сканирования/удаления/перемещения. ТО есть детект есть, но только в в неактивном состоянии.

Какая защита? Дроппер попал на комп и ничто его не остановило, даже репутация, которой плевать на тех. уровень, её надёжно обходит только наличие SSL у источника. Я ведь говорю о статическом анализе дроппера. Наверное в то время действительно такое могло быть. Сейчас уровень защиты, в том числе проактивной защиты, стал лучше.

Ещё нашёл свидетельства, что после того, как появились первые жертвы в 2011, Symc сразу внесла в IPS сигнатуры, поэтому загрузки объектов на подобие Cidox-ов стали блокироваться, т.е. скачать нельзя. Всё же, смогли отреагировать на предотвращение, а потом и на обнаружение. Это просто о важности комплексной проактивно-реактивной защиты сегодня. 

 

 

NPE мы запускали, Norton Security сам предлагает ее запустить.

Ага, т.е. сработали сигнатуры IPS типа System Infected (обычно после этого поступает предложение запустить NPE, это Анти-Бот технология), т.е. движок лечения самого антивируса и его не смог вылечить самостоятельно. Почему же так? Почему одни антивирусы пытаются лечить угрозы такого уровня, а другие нет?

p.s. что касается угроз популярных сегодняшнего времени (не руткитов-буткитов), то с их лечением у Norton и NPE проблем нет, на это указывают соотв. исследования Av-Comporatives. 

Отредактировал Threat#47

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Смотрим этот отчет http://www.trendmicr...wmi-malware.pdfи затем на минус у Trend Micro Titanium Internet Security в таблице 3 напротив WMIGhost. Как это можно объяснить? Ну хоть детект сделали и на этом спасибо 

 

Да, всё это удивительно. Исследователи разобрались что и как, а лечения нет? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Дроппер попал на комп и ничто его не остановило, даже репутация, которой плевать на тех. уровень, её надёжно обходит только наличие SSL у источника.

 

Я не знаю, о чем говорите Вы. Я говорю, что дроппер запускается до установки антивируса. Вопрос о том, активирована ли в данной версии Win 7 простейшая защита от запуска неизвестных исполняемых файлов не рассмотрен авторами теста.

З.Ы. Опять же, в прошлом тесте было так у 1 антивируса, что есть детект файлов в TEMP, но нет обнаружения основной dll (она открыта с монопольным доступом). Или MSE не мог вылечить  Pihar, SST, Zeroaccess, хотя у первой угрозы хотя бы что-то детектировал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Исследователи разобрались что и как, а лечения нет? 

 

 

Выходит что так 

 

 

Почему же так? Почему одни антивирусы пытаются лечить угрозы такого уровня, а другие нет?

 

 

Вопрос к вендорам, почему некоторые из них игнорируют проблемы лечения. 

 

 

А нельзя ли увидеть хоть хеш суммы, на тестовые образцы?

 

 

Алиасы - MD5
APT (Uroburos, Turla) - a86ac0ad1f8928e8d4e1b728448f54f9
Cidox (Rovnix, Mayachok, Boigy) - 951ed97afcbb33ad0ac932823193dd66
Poweliks (Powessere) - 735295a0d9d22e6e212034741312b02f
Backboot (WinNT/Pitou) - 2afb72c2162756c24b055d6227348e88
WMIGhost (HTTBot, Syndicasec) - 0df40b226a4913a57668b83b7c7b443c
Stoned (Bebloh, Shiptob, Bublik) - 0b01450cc58583a0baea99e27b9317a7
Pihar (TDL4,TDSS, Alureon, Tidserv) -  15201d321848bf9b3b211887394e9fa2
SST (PRAGMA, TDSS, Alureon) - e748f65e21e88555c854d79bad714491
Zeroaccess (Sirefef, MAX++) x64 - d2d312277f7577a1d1f9db5e8fb1ad32
  • Upvote 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

А этих у меня язык не поднимается назвать антивирусами - ни одного вылеченного!

 
Emsisoft Internet Security
TrustPort Internet Security

 

Вы все врете!!!111 Это фейк!!11

Шокирующее разоблачение здесь.

pic.png

post-4500-0-86086200-1428501359_thumb.png

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Магазин конечно будет против Касперского и Др.Веба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vegas

Это они обиделись что zillya в тест не взяли :)

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

@Dmitriy K, поржал :) Украинские стратегически друзья отжигают :)

 

Считаю этот пост подтверждением крутости нашего теста :)

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Да, для воздействия на наших "стратегических друзей" нужно узнать, в каких российских гос.компаниях используют Др.Веб. А в каких-то может Eset и AVG, причем бесплатный антивирус может в общей сети предприятия идет вперемешку с Eset Nod32 / Smart Security.

 

З.Ы. RAP-квадрант, в котором по реактивному детекту (и проактивному!) AVG обходит Avast-а, который около результатов KAV/KIS. Кто-то в это верит? Хуже них в этом тесте из нормальных только Майкрософт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Доктор Веб тоже активно обсуждает результаты теста http://forum.drweb.com/index.php?showtopic=320816

 

На редкость адекватное в этот раз. Даже как-то неудобно и странно. Боюсь кола скиснет и попкорн пропадет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
man-bsa

Буквально вчера послушал вебинар emsisoft, так они круче всех, дают ссылку на тестирование http://www.anti-malware-reviews.ru/

я естественно не выдержал некоторых "бредней" и спросил про ваше тестирование, ответ был - не в курсе этого тетсирования, а наше даже касперские на своем сайте показывают.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Мы не стремимся завешать своими значками сайты вендоров. Для этого нужно начать продавать раздавать медальки направо и налево. Далее придется загрубить методологию таким образом, чтобы почти все были хорошие. Тогда за тесты будут платить. Именно это и происходит с тестами AV-Test.org или AV-Comparatives.org - рука руку моет. ИМХО пользы от таких тестом почти никакой нет. У нас за тесты никто не платит, мы сами их финансируем.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Такими темпами вам скоро начнут платить за то чтоб не участвовать в тесте :lol:

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Такими темпами вам скоро начнут платить за то чтоб не участвовать в тесте

 

Пока только угрожают  :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Выложен полный отчет о результатах тестирования http://www.anti-malware.ru/files/active_infection_test7.xls

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Что-то с Poweliks не понял. McAfee не ставится и ему "-". Или все же он ставится, но не может найти руткит? А Trend Micro Вы ставите на чистую систему и ставите "+".
Как я понял, восстановление службы BFE - это долго или антивирусы сами её восстанавливают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Что-то с Poweliks не понял. McAfee не ставится и ему "-". Или все же он ставится, но не может найти руткит? А Trend Micro Вы ставите на чистую систему и ставите "+"

 

Это служебные комментарии, на них можно не обращать внимание. Проверяли по разному чтобы удостовериться в правильности вердикта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Это служебные комментарии, на них можно не обращать внимание. Проверяли по разному чтобы удостовериться в правильности вердикта.

вообще то по взрослому, нужно было включить проф коменты, с пояснением что, да как, ну или вообще убрать эти заметки, не серьёзно как то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

смесь из Win32.Viking.Gen и W32.Parite B

 

Мне уже понравилась идея. Но это же не тот Викинг. Нормальный должен иметь детект например Worm.Win32.Viking.ad/Win32.HLLW.Gavir.22.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×