Антивирус Альтаир - очередной фейк или казахский антивирусный убийца?

[man-bsa 1]

Т.е. новое название и ориентация на внешний рынок автоматически по мнения казахских бизнесменов позволяет конкурировать с мировым брендами?

Горковенко снова "лепит" про 12 тысяч пользователей

[Ершов Бронислав 0]

Ну что то подозрительная программка уже по названию понятно. Наверное когда её запустишь она технично что то грохнет и скажет об этом.

[Hitomi 20]

А не поднять ли тему...

RemoveAny. Случайно наткнулся. "ЛК", завидуйте молча - ибо совместим с Win8..

[Umnik 997]

http://virusbase.free-anti-spy.com/ru/sear...?s=b5dd.au_.exe окааай

[Hitomi 20]

http://virusbase.free-anti-spy.com/ru/sear...?s=b5dd.au_.exe окааай

Umnik, Вы такой скучный - сил нет прямо. Ну кто Вас просил базу проверять? (я тоже, кстати, au_ глянул).

[SDA 750]

А не поднять ли тему...

RemoveAny. Случайно наткнулся. "ЛК", завидуйте молча - ибо совместим с Win8..

Без лоха и жизнь плоха

[Анна Шуткина 0]

Зачем антивирус Альтаир переименовали? Их сайт вот теперь новый - http://www.aws-core.kz а защиты нет никакой... Перехожу на Avira Free Antivirus

[Aleksandra 10]

Перехожу на Avira Free Antivirus

Лицензионным пользователям антивируса Альтаир переход на новую версию AWS Core 2014 бесплатный.

[alexgr 556]

и от этого он стал полноценным продуктом? Сорри за тупой вопрос

[Dmitriy K 603]

Заюзали базы антивируса ClamAV + свои md5

[Aleksandra 10]

Заюзали базы антивируса ClamAV + свои md5

Хорошо хоть что детект по хэшам, а не по именам.

[Aleksandra 10]

Сорри за тупой вопрос

Есть люди которые тупят, а есть которые не любят смайлы.

[alexgr 556]

так зачем было менять одно "громкое" имя на другое? И говорить о супер защите? плохой PR заканчивается плохо. Базы ClamAV - это хорошо, но это чужой продукт

[Виталий Я. 859]

так зачем было менять одно "громкое" имя на другое? И говорить о супер защите? плохой PR заканчивается плохо. Базы ClamAV - это хорошо, но это чужой продукт

Нишевой продукт, наверняка рассчитанный на лавры "национального" (если грант дадут). Онлайн-прием платежей (сейчас это моя специализация) - на казахском же сайте, так что даже в рынок СНГ, похоже, авторы не метят, не то что на глобальный рынок - англоязычной версии, скорее всего, еще долго не будет. Это типично для немногочисленных казахских ИТ-продуктов и веб-сервисов, как легко стало понятно после конференций - "хватит и своего рынка". Так что вряд ли увидим что-то существенно прорывное, кроме роста узнаваемости бренда на родине авторов с нуля до какого-то уровня.

[Сергей Ильин 1538]

В Белоруссии - VBA

На Украине - Zillya (бывший UNA)

В Казахстане - AWS (он же Альтаир)

Все логично. Думаю Казахстан тоже заинтересован в выращивании своих аналитиков, иначе некому киберпреступления расследовать и компьютерной криминалистикой заниматься. Так что выделить небольшие по меркам страны деньги на убыточную антивирусную компанию может быть оправдано.

[alexgr 556]

я как бы не совсем о том. Здесь мы имеем продукт с украденными базами. ClamAV, безусловно, бесплатен, но это совсем не повод красть его базы. Почему говорю о краже? Потому что на сайте нет об этих базах ни слова!

Второе - у перечисленных продуктов - VBA, Zillya - свои базы и технологии. То есть сравнение с этой стороны не совсем корректно - с моей точки зрения. Здесь другие параллели напрашиваются

[priv8v 960]

На одну доску ставить VBA и Альтаир можно только как иллюстрацию идеи национального антивируса. Думаю, что всем понятно, что уровень технологий у этих продуктов настолько разный, что о каком-то сравнении речь и не идет, но вот сама идея казахов получить от гос-ва денег на развите (попил) достаточно интересна... интересно, дадут им денег или нет

[Илья Рабинович 521]

но вот сама идея казахов получить от гос-ва денег на развите (попил) достаточно интересна... интересно, дадут им денег или нет

Дадут, если у просящего будет правильный подход к гос. кормушке.

[Сергей Ильин 1538]

Технологический уровень у перечисленных мной выше компаний безусловно разный, Альтаир в этом ряду смотрится как fake-av. Но идея у создателей та же самая просматривается. Со временем они заменят ворованные базы на лицензированные, которые дополнят своими "уникальными технологиями". Получат нужные сертификаты и будут отжимать иностранцев на тендерах в госах.

[SDA 750]

Получат нужные сертификаты и будут отжимать иностранцев на тендерах в госах.

Толко какой адекватный иностранец, будет участвовать в таком тендере

[alexgr 556]

по данным прошлого года локальной сертификации не было

[Kalibra666 40]

Скачать триалку можно здесь http://altair.winzard.kz/?page_id=22

Хотел скачать для коллекции. Сайт не доступен - пишет.

[priv8v 960]

переехали просто и мини-ребрендились

_http://www.aws-core.kz/products/antivirus-security/

[Kalibra666 40]

http://www.inform.kz/rus/article/2709862

«Особенностью нашей антивирусной программы AWS являются собственные технологии, и то, что техническая поддержка находится внутри страны. Нет необходимости искать зарубежных специалистов, всегда можно обратиться к своим казахстанским»

А что 4-ая версия вроде ничего, протестировал слегка на отлов заранее заготовленной тестовой базы вирусняка на своем компе...

[zerocorporated 10]

Альтаир не выходит на весь мир и развивается пока только в Казахстане, детектируя малварей в этой стране, но более того зловредов именно пользователей Альтаира, тем самым расширяя свою базу.

Вот как позиционируют свой продукт сами разработчики:

_http://inform.kz/kaz/article/2612519

По словам разработчика, это первая казахстанская антивирусная программа, аналогов которой нет. У данного интернет-продукта - 100 процентное казахстанское содержание. Андрей - единственный автор этой программы, и все, кто ему помогал - только казахстанские граждане. Программный продукт запатентован.

Это не просто антивирус. Это комплексная защита информации в режиме реального времени. Доступный и конкурентоспособный продукт для обеспечения информационной безопасности, что приведет к снижению рисков заражения ПК, и даст возможность в будущем отслеживать вирусную активность среди казахстанских пользователей. Самое главное, что информация и базы данных крупных организаций и государственных учреждений не выйдут за пределы границ Республики Казахстан. Кроме того, в новом тестируемом решении 2014 года казахстанской антивирусной системы защиты есть уникальные технологии, дополнительные функции для борьбы с вирусами, которых не имеет ни один антивирус», - подчеркнул А.Горковенко.

_http://tengrinews.kz/internet/pervyiy-kazahstanskiy-antivirus-ustanovili-12-tyisyach-chelovek-241051/

Продукт ALTAIR Systems Security был презентован в мае 2012 года. За прошедший год разработчики выпустили уже три версии антивируса. Около 80 процентов пользователей этой системы проживают в Казахстане, остальные 20 - в России, Беларуси, Болгарии и на Украине.

Горковенко рассказал, что до конца 2013 года планируется выпуск нового антивируса. Он в отличие от ALTAIR'a будет ориентирован и на внешний рынок, что позволит продукту конкурировать с мировыми брендами. Подробности относительно характеристик и функционала программы пока не сообщаются.

Выделение моё.

Много уже было написано другими и даже выложен видео обзор на YouTube.com, но, тем не менее, я решил протестировать программу самостоятельно и обобщить ряд сведений.

Дата тестирования 27.11.2014, название продукта AWS Core X5.

Сначала с официального сайта скачивается загрузчик антивируса AWS_Core_Downloader.rar (внутри файл AWS_Core_Downloader.exe), который загружает файлы (в зависимости от выбора пользователя):

_http://aws-core.kz/aws-downloads/AWSCoreUltimate.exe 338 МБ (354 536 234 байт) (дата обновления на сервере - 30 Oct 2014)

_http://aws-core.kz/aws-downloads/AWSCoreAntivirus.exe 334 МБ (350 592 220 байт) (дата обновления на сервере - 30 Sep 2014)

_http://aws-core.kz/aws-downloads/AWSCoreFree.exe 324 МБ (339 547 236 байт) (дата обновления на сервере - 20 Feb 2014)

Загрузка файлов происходит по протоколу http (небезопасное соединение)

Загрузчик файлов упакован в rar архив, при том что сам распакованный имеет размер 71 680 байт (нужно упаковывать в zip архив или поставлять загрузчик не упакованным).

Для работы загрузчика требуется .Net Framework, но он будет скачан и установлен только установщиком антивируса. В случае отсутствия у пользователя установленного .Net Framework программа завершается с ошибкой и не предупреждает пользователя о необходимости установки .Net Framework.

После завершения скачивания антивируса загрузчик не предупреждает об удачной загрузке файла.

Загрузчик и установщик не имеют ЭЦП (Электронной Цифровой Подписи).

Далее разбирается файл AWSCoreUltimate.exe как самая полная версия антивируса.

При установки антивируса производится установка .Net Framework и Visual C++ RTL без предупреждения пользователя, хотя для работы загрузчика уже требовался .Net Framework и он должен быть установлен.

Неизвестно зачем производится установка .Net Framework 3.0 и 3.5, так как загрузчик и антивирус рассчитаны на .Net Framework 2.0.

.Net Framework 3.5 поставляется в виде веб установщика.

Директория \WorkScape Technologies\AWS Core X5\Components\ содержащая установщики .Net Framework и Visual C++ RTL имеет размер 249 МБ (262 050 403 байт) и после установки не удаляется.

Файл \WorkScape Technologies\AWS Core X5\Components\VCR_x86_x64.exe является кустарной сборкой Visual C++ RTL и не имеет ЭЦП Microsoft.

Dll и exe файлы находящиеся в директории \WorkScape Technologies\AWS Core X5\ не подписаны ЭЦП.

Пояснение по поводу ЭЦП: так как на официальном сайте программы не указаны хэши загрузочных и установочных файлов и эти файлы не подписаны ЭЦП затруднено определение того устанавливает ли пользователь оригинальный дистрибутив ПО. Может произойти подмена файлов во время загрузки программы или её хранения.

После установки антивируса база сигнатур обновлена по 14.10.2013, несмотря на то что программа загружалась и устанавливалась 27.11.2014 (была загружена последняя версия с сайта производителя).

Противодействие клавиатурным перехватчикам:

Во время тестирования была запушена программа автоматического переключения клавиатуры Punto Switcher, но антивирус не выдавал предупреждений о перехвате нажатий клавиш (в системе ZOND процесс Punto имел статус «Неизвестное»).

Межсетевой экран и антируткит:

Программа не использует драйверы или NDIS фильтры.

Программа не противодействует руткитам (AVZ Guard запускается и мешает работе антивируса, хотя программа должна была блокировать драйвер AVZ Guard ещё на стадии установки).

В программе отсутствует межсетевой экран, хотя есть монитор сетевой активности.

Самозащита антивируса:

Самозащита программы не срабатывает если в консоли выполнить команду:

taskkill /f /t /im AWS.exeУспешно: Процесс, с идентификатором 1220, дочерний процесса 1816, был завершен.Успешно: Процесс, с идентификатором 352, дочерний процесса 1816, был завершен.Успешно: Процесс, с идентификатором 1108, дочерний процесса 1816, был завершен.Успешно: Процесс, с идентификатором 1816, дочерний процесса 1320, был завершен.

Самозащита файлов программы находящихся в директории \WorkScape Technologies\AWS Core X5\ основана на установки NTFS прав полного запрета для текущего пользователя. Причем при завершении процессов командой taskkill антивирус перестаёт запускаться, так как у пользователя нет прав на доступ к директории (но после перезагрузки системы он запускается).

Для отключения автозапуска антивируса после программы taskkill необходимо выполнить в консоли следующие команды:

cacls "%ProgramFiles%\WorkScape Technologies\AWS Core X5" /e /r %username%del /f /q "%ProgramFiles%\WorkScape Technologies\AWS Core X5\AWS.exe"

Ключ HKLM\SOFTWARE\WorkScape хранит настройки антивируса и является не защищённым от изменений или удаления. В случае удаления ключа во время работы антивируса он завершается с ошибкой и больше не запускается, при этом процесс Clamupd.exe продолжает работу. Если же антивирус во время удаления ключа был выключен, то он больше не запустится.

Антивирус добавляет запрет на изменение значений в ключе реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ для текущего пользователя, поэтому без дополнительных программ из консоли не получается убрать параметр автозапуска антивируса из автозагрузки (из regedit или сторонних программ это можно сделать).

Программа производит постоянный опрос ключей:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ (защита автозапуска)
• HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ (защита автозапуска)
• HKCU\Software\Microsoft\Internet Explorer\PhishingFilter\ (защита защиты от фишинга IE, права на запись в этот ключ у пользователя есть)
• HKLM\System\CurrentControlSet\Control\ComputerName\ActiveComputerName\ (постоянные обращения к имени компьютера, но на изменение ключа программа не реагирует)

Постоянный опрос директорий и файлов:

• \WorkScape Technologies\AWS Core X5\
• %UserProfile%\Шаблоны\awslic.tmp (по-видимому файл с лицензией)

Реализация проактивной защиты:

Программа следит за изменениями на диске используя функция NotifyChangeDirectory для всего диска %SystemDrive%, в случае обнаружения изменений задает вопрос пользователю и если он не успеет ответить за 15 секунд удаляет подозрительный файл. Проверена реакция на размещение файлов с расширением .sys в любых директориях %SystemDrive%.

Программа следит за списком процессов и при обнаружение нового процесса спрашивает у пользователя что с ним делать. При этом процесс во время выбора пользователя продолжает работать, хотя должен был быть остановлен антивирусом до принятия решения пользователем.

Антивирусные базы:

Расположена по адресу \WorkScape Technologies\AWS Core X5\db\

9 файлов с именами Base1400.adm - Base3000.adm имеют размер 0 байт.

Файлы Base200.adm, Base400.adm, Base600.adm, Base800.adm, Base1000.adm, Base1200.adm, BaseBC.adm содержат неизвестные данные. Например, содержимое файла Base400.adm:

211:little boy :]]]]I know about your little problem :Demail: satishraj2001@yahoo.comUnpirvodidaccreditmentc:\winter\Set\Bottom\Up\value\wild\industry\Support\nearcare.pdbprogram: black.holeаUPX2©\No Hack\Delphi my‹PHQ!00:?e$l7е°oтЙяЁc:\myapp.exe1.2.840.113549.1.9.6f:\CB\ARM_Sustaining\BuildResults\bin\Win32\Release\AdobeARMHelper.pdb\zsiilitzcpioq.exe\parent.txtf:\dd\vctools\vc7libs\ship\atlmfc\src\mfc\auxdata.cppD:\miror.comYapp.ExE\@.zylmix

18 файлов an0AV0.adm - an0AVf.adm, BaseWR.adm и cldBase.adm содержат базы сигнатур в виде хэшей. Размер баз 1,19 МБ (1 250 888 байт). Хэши хранятся в текстовом, а не двоичном виде.

Базы Clam Antivirus содержатся в файлах daily.cld, main.cvd и bytecode.cvd, а также в поддиректориях вида clamav-da306eb62c60ed625bb667841bbab818.00000114.clamtmp. Размер баз Clam Antivirus 440 МБ (461 392 869 байт)

Общий размер антивирусных баз 441 МБ (462 664 957 байт)

Метод обнаружения PUA:

Защита срабатывает на программу Total Uninstall версии 5.0.1, хотя данная программа не является шпионским или вредоносным ПО. Тип угрозы: PUA.Spyware.XPCSpyPro

Дополнительные особенности:

Программа не имеет средств централизованного управления (не подходит для среднего и крупного бизнеса, затруднено использование на малых предприятиях).

Функция "Создания диска восстановления системы" запускает программу ntbackup.exe из поставки Windows и не имеет своей программы создания аварийных дисков.

Функция "Поиск и исправления неисправностей реестра" находит в ключе реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значения Shell и Userinit неправильными (на чистой системе). В первом случае программа изменила регистр букв, во втором был изменен путь к Userinit на значение без запятой в конце.