Перейти к содержанию
Сергей Ильин

Тест на лечение активного заражения VII (результаты)

Recommended Posts

Сергей Ильин

Дорогие друзья, рад представить вам результаты свежего теста на лечение активного заражения

 

http://www.anti-malware.ru/malware_treatment_test_2015

 

Напоминаю, что обсуждение его методологии велось здесь http://www.anti-malware.ru/forum/index.php?showtopic=29160

 

Тест проведен на Windows 7 x64, участвовали:

 
1. Avast! Internet Security 2015.10.0.2208
2. AVG Internet Security 2015.0.5646
3. Avira Internet Security 14.0.7.468
4. Eset Smart Security 8.0.304.0
5. Kaspersky Internet Security 15.0.1.415(B)
6. BitDefender Internet Security 18.20.0.1429
7. Emsisoft Internet Security 9.0.0.4799
8. Dr.Web Security Space Pro 10.0.0.12160
9. Microsoft Security Essentials 4.6.0305.0
10. McAfee Internet Security 14.0
11. Norton Security 22.1.0.9
12. Qihoo 360 Internet Security 5.0.0.5104
13. TrustPort Internet Security 15.0.0.5420
14. Panda Internet Security 15.0.4
15. Trend Micro Titanium Internet Security 8.0.1133
 
 Отобранные вредоносы для теста:
 

1.     APT (Uroburos, Turla)

2.     Cidox (Rovnix, Mayachok, Boigy)

3.     Poweliks (Powessere)

4.     Backboot (WinNT/Pitou)

5.     WMIGhost (HTTBot, Syndicasec)

6.     Stoned (Bebloh, Shiptob, Bublik)

7.     Pihar (TDL4,TDSS, Alureon, Tidserv)

8.     SST (PRAGMA, TDSS, Alureon)

9.     Zeroaccess (Sirefef, MAX++)

 

Полный текст методологии опубликован здесь http://www.anti-malware.ru/node/15871

 

Краткие итоги тестирования:

 

active_infection_platinum_sm.gif

Kaspersky Internet Security

 

 

 

active_infection_silver_sm.gif

Avast! Internet Security

BitDefender Internet Security
Dr.Web Security Space Pro
 

 

 

active_infection_bronze_sm.gif

Microsoft Security Essentials
Norton Security
 
 
Провалил тест
 
Eset Smart Security
AVG Internet Security
Trend Micro Titanium Internet Security
Qihoo 360 Internet Security
Avira Internet Security
McAfee Internet Security
Panda Internet Security
 
А этих у меня язык не поднимается назвать антивирусами - ни одного вылеченного!
 
Emsisoft Internet Security
TrustPort Internet Security
 
 
 
  • Upvote 7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

А где подробные итоги теста можно посмотреть на предмет кто с каким справился вирусом, а кто нет?

 

P.S. А, виноват, проскочил :) В самом начале сообщения https://www.anti-malware.ru/malware_treatment_test_2015

  • Downvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

WMIGhost поймал только Касперский? А прочие возьмет установка Др. Веб и снос, а потом Бита. И надеяться, что не убьют систему?

Подробный отчет в xls будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Petrovic

 

А этих у меня язык не поднимается назвать антивирусами - ни одного вылеченного!

 
Emsisoft Internet Security
TrustPort Internet Security

 

дык ясно, они не лечат ни чего. Емси вообще anti-malware :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

WMIGhost поймал только Касперский? А прочие возьмет установка Др. Веб и снос, а потом Бита. И надеяться, что не убьют систему?

 

Да, только Касперский. К большему сожалению.

 

Подробный отчет в xls будет?

 

Очень скоро выложим, его нужно проверить еще раз с точки зрения русского языка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

его нужно проверить еще раз с точки зрения русского языка

 

В прошлом тесте было так:

Вредоносные объекты в активном состоянии были обнаружены, однако в реестре остался ключ автозагрузки. Лечение неуспешно.

ТрендМикро, вроде "+" стоит (Koutodoor).

З.Ы. У меня тоже Сумантек не удалил ключ сервиса от одного руткита(странно было, он не хотел работать без обновления баз).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Хотел бы выразить большую благодарность команде тестировщиков, без которых мы бы не сделали этот тест:

vegas

alamor

Alex_Goodwin

 

А также экспертам Anti-Malware.ru, которые помогали в подборе самплов, уточнении методологии и проверке отдельных результатов.

 

:beer: 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

Спасибо за тест  :)

 

Поправте в таблице результатов - Вылечено/Всего - у Norton 4/9 вместо 3/9.

 

Почему аж восемь вендоров "отказались" добавлять Backboot в базы? Ну и Cidox и SST по пять ...

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Почему аж восемь вендоров "отказались" добавлять Backboot в базы

Все зловреды итак в базах. Дроперы будут уничтожены. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Да, важно уточнить, что сами дропперы скорее всего детектировались абсолютно всеми антивирусами (авторы теста, поправьте меня, если не так), а вот активное заражение (зараженный бут-сектор, ветка реестра и т.д) - нет, т.к это значительно сложнее, чем задетектить отдельный PE-файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

зараженный бут-сектор, ветка реестра

 

Дроппер детектировать должны все. Детект ветки реестра (в смысле исправление чего-то вроде "userinit"="virus.exe") уже может зависеть от настроек. Неплохо с этим справляется MBAM (но он то на дропперы многие может забить, особенно если им пару лет - вообще удалить из баз парочку).

 

А вот если вендор не добавил детект на какую-то dll, то это уже плохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вы описания зловредов-то вообще читали? К чему ваше сообщение тогда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Да, запуск ява-скрипта сигнатурно вроде сложно определить. Но AVG, Kaspersky, BitDefender, MSE, Norton и Trend Micro как-то вылечили Poweliks. Stoned не вылечили Trend Micro и явные аутсайдеры (у кого 0 или 1 очков).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Некоторые люди общаются с другими напрямую из подсознания.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Из безсознания. Минуя сознание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Поправте в таблице результатов - Вылечено/Всего - у Norton 4/9 вместо 3/9. 

 

Поправили, спасибо!

 

Поправте в таблице результатов - Вылечено/Всего - у Norton 4/9 вместо 3/9.   Почему аж восемь вендоров "отказались" добавлять Backboot в базы? Ну и Cidox и SST по пять ...

 

Единственное объяснение: они считают, что это не вредонос. Других объяснений нет. Отправляли им файлы много раз (анонимно конечно же) - никакого результата.

 

Такая "интеллектуальная" работа вирлаба настораживает мягко говоря и намекает как в этих компаниях ставят детекты. Не удивлюсь если по вирустоталу :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Сергей Ильин, а вы запускали специализированное средство очистки (ESET Specialized Cleaner)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сергей Ильин, а вы запускали специализированное средство очистки (ESET Specialized Cleaner)?

 

Нет, мы не использовали специальные утилиты. Тогда нужно было бы еще запускать DrWeb CureIT и множество утилит других вендоров. Некоторые вообще обнаруживают вредоноса и предлагают пролечиться с загрузочного диска :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Такая "интеллектуальная" работа вирлаба настораживает мягко говоря и намекает как в этих компаниях ставят детекты. Не удивлюсь если по вирустоталу

Если угроза неизвестна, то важно, чтобы заражение происходило под надзором HIPSа, иначе ничего вылечить (окатить) не получится.

Дело в бизнесе. Кроме как просто лицензирование, Symc (как и MCAfee, наверное TrendMicro тоже) выдаёт различные уровни поддержки клиента, домашние юзеры не имеют надёжного доступа к вирлабу, то отвечают, то нет. Факт. Вирлаб, который первым (или один из первых - не всегда можно чётко понять, да и не факт, что это важно - главное, что полноценные отчёты по APT есть и анализ в том числе) находит APT уже несколько лет (включая Regin) вряд ли промышляет подобными сомнительными вещами (хотя нельзя быть на 100% уверенным) (я о STAR), тоже самое можно сказать о McAfee, TrendMicro, вся эта тройка выпускает прекрасные отчёты и их знания в ИБ полны и высоки. Думаю, этого достаточно, чтобы не считать "молчание в трубку" с их стороны следствием технологической слабости.   

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Специализированное средство очистки ESET доступно через главное меню (раздел «Справка и поддержка»). Впрочем, если антивирус не предложил, то это минус разработчикам.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Кстати, по поводу интегрированных лечилок. Сейчас стало популярно интегрировать отдельную лечилку в антивирус. 

 

Допустим, антивирус не вылечил угрозу, а лечилка вылечила, как это подходит обычному пользователю?

Ответ очевиден - не очень. Однако, лечилку проще переписать, дописать, обновить функционал, также легко работать с движком лечения в антивирусе? Оправдано ли технически (какие преимущества по сравнению с традиционной схемой это даёт) наличие отдельной интегрированной лечилки в антивирусе или нет?

 

В Norton Security NPE (проактивная лечилка) встроена в антивирус, не надо ничего даже скачивать, чего-то ждать, как я понимаю, исследователи этим не пользовались? Мы ведь моделируем такую ситуацию: установили на заражённую систему антивирус, комп надо вылечить. Вдруг производитель часть забот возложил на лечилку не спроста и вы ей не воспользовались, а она, повторяю, запускается сразу прямо из GUI в разделе сканов. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Да, важно уточнить, что сами дропперы скорее всего детектировались абсолютно всеми антивирусами (авторы теста, поправьте меня, если не так), а вот активное заражение (зараженный бут-сектор, ветка реестра и т.д) - нет, т.к это значительно сложнее, чем задетектить отдельный PE-файл.

Да, детект не был добавлен на дамп заражённого загрузочного сектора.

Если угроза неизвестна, то важно, чтобы заражение происходило под надзором HIPSа, иначе ничего вылечить (окатить) не получится.

По методологии сначала система заражается, а уже потом ставиться антивирус. 

В Norton Security NPE (проактивная лечилка) встроена в антивирус, не надо ничего даже скачивать, чего-то ждать, как я понимаю, исследователи этим не пользовались?

Пользовались.
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Пользовались.

Т.е. она что-то обнаружила и устранить не смогла.

Norton все угрозы знал реактивно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Т.е. она что-то обнаружила и устранить не смогла.

 

В прошлом тесте тоже NPE пробовал лечить Cidox (но скачанная утилита не обнаружила заражения). То есть антивирус нашел угрозу, предложил лечить утилитой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      В документации правильно, просто забыл убрать, после того как сменил тип интеграции.   Удаление исключений работает только в режиме виртуализации, в принципе системная защита ядра легко преодолевается, но дефендер тогда сходит с ума и ведет себя неадекватно, поэтому только виртуализация, можно конечно допилить что бы удалялось через api, но это все равно не будет работать с неактивной системой, поэтому оставил так как есть.
    • santy
      Demkd, судя по тестам интеграция uVS и  WinRE, запуск uVS из меню Winpe прошли нормально. (проверил на W10), Единственно, после завершения интеграции выходит сообщение, что при обновлении uVS интеграцию необходимо повторить. Так ли это? В документации указано, что если обновление выполнено в каталоге, который ранее был интегрирован с WinRe, то повторная интеграция не нужна.  
    • santy
      RP55, это запись в реестре на исключение из проверки в Windefender. запись защищенная в Wndef, поэтому просто через delref в uVS ее не удалить из реестра. И это правильно.
    • PR55.RP55
      Demkd Вот допустим в образе\системе есть запись: Полное имя                  C:\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1
      Имя файла                   GOODBYEDPI-0.2.3RC1
      Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Исключение
                                  
      Сохраненная информация      на момент создания образа
      Статус                      ПОДОЗРИТЕЛЬНЫЙ Исключение
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                                  
      Ссылки на объект            
      Ссылка                      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc1
      C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc10
                                   При применении команды: Alt+Del delref %SystemDrive%\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1 т.е. вопрос, что будет при удалении ссылки и почему статус Исключение - и если он должен исключать - то почему не исключает?
    • PR55.RP55
      Сейчас в ряде случаев готовые скрипты и образы приходиться размещать на сторонних ресурсах - типа Яндекс диска и т.д. А тем временем есть оф. сайт... т.е. Предлагаю добавить в меню uVS команды: Файл: Создать полный образ автозапуска и разместить образ\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/MSI_2024-12-24_16-07-15_v4.14.6 ------------ В Меню Скрипт - команду: Сохранить автоматически созданный скрипт в файл и разместить\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/Скрипт: 001 - & - MSI_2024-12-24_16-07-15_v4.14.6 ---------- 1) Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск WIM 2) Вариант: Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск прошедшие проверку системные файлы\файлы образа. Это всё можно сделать заранее - до заражения системы. Кроме того далеко не всегда проблемы в работе системы связанны с вирусами. А так флешка не нужна - всё всегда на месте.  
×