Тест на лечение активного заражения VII (результаты)

[Threat#47 8]

В прошлом тесте тоже NPE пробовал лечить Cidox (но скачанная утилита не обнаружила заражения). То есть антивирус нашел угрозу, предложил лечить утилитой.

NPE - скачивается через liveUpdate, используется из интерфейса. Вы, похоже, говорите о специальной утилите для Cidox-а. 

Вообще, касательно Cidox-а, у Symc целый набор сигнатур для движка, для IPS, в том числе для детекта в MBR:

 

http://www.symantec.com/security_response/writeup.jsp?docid=2011-070712-0320-99&tabid=2

http://www.symantec.com/security_response/writeup.jsp?docid=2011-071115-0601-99

http://www.symantec.com/security_response/writeup.jsp?docid=2014-101320-3110-99

http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=27074

 

Модули детектировались так же эвристикой и SONAR-ом, т.е. весь спектр уровней способен детектировать - этого зачастую оказалось не достаточно и некоторые компы были заражены при наличии антивируса в системе. 

Рекомендуют пользоваться диском восстановления NBRT: http://www.symantec.com/connect/forums/bootcidox-removal-problems. 

NPE действительно в мае 2014 не справился с вариантом Cidox-а, такая же ситуация с NBRT: https://community.norton.com/en/forums/using-npe-and-nbrt-bootcidox-came-back-how-do-you-remove-it-permanently

Как удалить самому: 

Т.е. какие-то варианты угрозы оказываются по силам, какие-то нет, почему? Функционал ведь не меняется кардинально между вариантами Cidox-а (наверное тут я и ошибаюсь). Такая же тема у лидера данного теста - Касперского. Интересно как образцы для теста подбирались, если картина в реальности не однозначная, но в тесте баланс в сторону Касперского (3 раза подряд). Это так, просто к слову.   

 

Если выполнять удаление (антивирусом) на горячую, а не с помощью диска, есть ли увеличенный риск получить проблемы с системой после такого лечения?  

 

______________________________

KAV 12 не смог удалить: http://forum.kaspersky.com/index.php?showtopic=236858

KIS 2011 не смог удалить: http://virusinfo.info/showthread.php?t=112853

KIS 11-12 аналогично в этой теме: http://www.cyberforum.ru/viruses/thread346727.html

KIS 2012 провалился: http://otvet.mail.ru/question/94097480

"E\Device\HarddiskVolume4" - тоже самое не мог удалить и Norton. 

Касперский в середине 12 года также не смог ничего поделать: http://asino.tomsk.ru/forum/viewtopic.php?p=228480&sid=76fc1d85eb08b3fdb68275e6ceb1030c

Вывод: Cidox-а никто надёжно не лечит? (рез. теста опустим, ровно как и рез. 12 и 11 годов, когда Касперский тоже прекрасно всё вылечил, в реальности только всё по иному оказывается)

[Виктор Коляденко 6]

Вы, похоже, говорите о специальной утилите для Cidox-а. 

 

Я говорю о прошлом тесте. Это был XP SP3 x86 и Norton Internet Security 2012 (19.8.0.14). Комментарии в отчете:

Обнаруживает вредоносные объекты в активном состоянии, но их нейтрализация неуспешна. Предлагает скачать NPE, утилита заражения не обнаруживает вредоносные объекты.

Касперский - тесты anti-malware.ru не проводились на версии ниже, чем 2012 (12.0.0.374(i)).

 

З.Ы. Предлагаю прекратить споры до получения подробного отчета от тестеров.

Модули детектировались так же эвристикой и SONAR-ом, т.е. весь спектр уровней способен детектировать - этого зачастую оказалось не достаточно и некоторые компы были заражены при наличии антивируса в системе. 

 

Ну это и есть защита заражающего объекта (в данном случае - руткита) от обнаружения. Может у других антивирусов на определенные руткиты шел BSOD при "поиске руткитов", а компонент (drivers\*.sys) защищал себя от сканирования/удаления/перемещения. ТО есть детект есть, но только в в неактивном состоянии.

[Сергей Ильин 1538]

тоже самое можно сказать о McAfee, TrendMicro, вся эта тройка выпускает прекрасные отчёты и их знания в ИБ полны и высоки. Думаю, этого достаточно, чтобы не считать "молчание в трубку" с их стороны следствием технологической слабости.   

 

Смотрим этот отчет http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp__understanding-wmi-malware.pdfи затем на минус у Trend Micro Titanium Internet Security в таблице 3 напротив WMIGhost. Как это можно объяснить? Ну хоть детект сделали и на этом спасибо 

В Norton Security NPE (проактивная лечилка) встроена в антивирус, не надо ничего даже скачивать, чего-то ждать, как я понимаю, исследователи этим не пользовались? Мы ведь моделируем такую ситуацию: установили на заражённую систему антивирус, комп надо вылечить. Вдруг производитель часть забот возложил на лечилку не спроста и вы ей не воспользовались, а она, повторяю, запускается сразу прямо из GUI в разделе сканов. 

 

 NPE мы запускали, Norton Security сам предлагает ее запустить. Например, Poweliks вылечен именно при помощи NPE.

Norton все угрозы знал реактивно?

 

Backboot и SST не знал, так как детект так и не добавили. В таблице стоит минус со звездочкой. У других отсутствие детекта помечено также.

[Milord 55]

А нельзя ли увидеть хоть хеш суммы, на тестовые образцы?

[Threat#47 8]

Ну это и есть защита заражающего объекта (в данном случае - руткита) от обнаружения. Может у других антивирусов на определенные руткиты шел BSOD при "поиске руткитов", а компонент (drivers\*.sys) защищал себя от сканирования/удаления/перемещения. ТО есть детект есть, но только в в неактивном состоянии.

Какая защита? Дроппер попал на комп и ничто его не остановило, даже репутация, которой плевать на тех. уровень, её надёжно обходит только наличие SSL у источника. Я ведь говорю о статическом анализе дроппера. Наверное в то время действительно такое могло быть. Сейчас уровень защиты, в том числе проактивной защиты, стал лучше.

Ещё нашёл свидетельства, что после того, как появились первые жертвы в 2011, Symc сразу внесла в IPS сигнатуры, поэтому загрузки объектов на подобие Cidox-ов стали блокироваться, т.е. скачать нельзя. Всё же, смогли отреагировать на предотвращение, а потом и на обнаружение. Это просто о важности комплексной проактивно-реактивной защиты сегодня. 

 

 

NPE мы запускали, Norton Security сам предлагает ее запустить.

Ага, т.е. сработали сигнатуры IPS типа System Infected (обычно после этого поступает предложение запустить NPE, это Анти-Бот технология), т.е. движок лечения самого антивируса и его не смог вылечить самостоятельно. Почему же так? Почему одни антивирусы пытаются лечить угрозы такого уровня, а другие нет?

p.s. что касается угроз популярных сегодняшнего времени (не руткитов-буткитов), то с их лечением у Norton и NPE проблем нет, на это указывают соотв. исследования Av-Comporatives. 

Отредактировал Апрель 8, 2015 Threat#47

[Threat#47 8]

Смотрим этот отчет http://www.trendmicr...wmi-malware.pdfи затем на минус у Trend Micro Titanium Internet Security в таблице 3 напротив WMIGhost. Как это можно объяснить? Ну хоть детект сделали и на этом спасибо 

 

Да, всё это удивительно. Исследователи разобрались что и как, а лечения нет? 

[Виктор Коляденко 6]

Дроппер попал на комп и ничто его не остановило, даже репутация, которой плевать на тех. уровень, её надёжно обходит только наличие SSL у источника.

 

Я не знаю, о чем говорите Вы. Я говорю, что дроппер запускается до установки антивируса. Вопрос о том, активирована ли в данной версии Win 7 простейшая защита от запуска неизвестных исполняемых файлов не рассмотрен авторами теста.

З.Ы. Опять же, в прошлом тесте было так у 1 антивируса, что есть детект файлов в TEMP, но нет обнаружения основной dll (она открыта с монопольным доступом). Или MSE не мог вылечить  Pihar, SST, Zeroaccess, хотя у первой угрозы хотя бы что-то детектировал.

[Сергей Ильин 1538]

Исследователи разобрались что и как, а лечения нет? 

 

 

Выходит что так 

 

 

Почему же так? Почему одни антивирусы пытаются лечить угрозы такого уровня, а другие нет?

 

 

Вопрос к вендорам, почему некоторые из них игнорируют проблемы лечения. 

 

 

А нельзя ли увидеть хоть хеш суммы, на тестовые образцы?

 

 

Алиасы - MD5

APT (Uroburos, Turla) - a86ac0ad1f8928e8d4e1b728448f54f9

Cidox (Rovnix, Mayachok, Boigy) - 951ed97afcbb33ad0ac932823193dd66

Poweliks (Powessere) - 735295a0d9d22e6e212034741312b02f

Backboot (WinNT/Pitou) - 2afb72c2162756c24b055d6227348e88

WMIGhost (HTTBot, Syndicasec) - 0df40b226a4913a57668b83b7c7b443c

Stoned (Bebloh, Shiptob, Bublik) - 0b01450cc58583a0baea99e27b9317a7

Pihar (TDL4,TDSS, Alureon, Tidserv) -  15201d321848bf9b3b211887394e9fa2

SST (PRAGMA, TDSS, Alureon) - e748f65e21e88555c854d79bad714491

Zeroaccess (Sirefef, MAX++) x64 - d2d312277f7577a1d1f9db5e8fb1ad32

[Dmitriy K 603]

А этих у меня язык не поднимается назвать антивирусами - ни одного вылеченного!

 

Emsisoft Internet Security

TrustPort Internet Security

 

Вы все врете!!!111 Это фейк!!11

Шокирующее разоблачение здесь.

[Виктор Коляденко 6]

Магазин конечно будет против Касперского и Др.Веба.

[vegas 7]

Это они обиделись что zillya в тест не взяли

[Milord 55]

Магазин конечно будет против Касперского и Др.Веба

агнитум забыли))

http://my-pc.com.ua/index.php?route=information/news&news_id=33

[Сергей Ильин 1538]

@Dmitriy K, поржал Украинские стратегически друзья отжигают

 

Считаю этот пост подтверждением крутости нашего теста

[Виктор Коляденко 6]

Да, для воздействия на наших "стратегических друзей" нужно узнать, в каких российских гос.компаниях используют Др.Веб. А в каких-то может Eset и AVG, причем бесплатный антивирус может в общей сети предприятия идет вперемешку с Eset Nod32 / Smart Security.

 

З.Ы. RAP-квадрант, в котором по реактивному детекту (и проактивному!) AVG обходит Avast-а, который около результатов KAV/KIS. Кто-то в это верит? Хуже них в этом тесте из нормальных только Майкрософт.

[AlexxSun 150]

Доктор Веб тоже активно обсуждает результаты теста http://forum.drweb.com/index.php?showtopic=320816

[Сергей Ильин 1538]

Доктор Веб тоже активно обсуждает результаты теста http://forum.drweb.com/index.php?showtopic=320816

 

На редкость адекватное в этот раз. Даже как-то неудобно и странно. Боюсь кола скиснет и попкорн пропадет

[man-bsa 1]

Буквально вчера послушал вебинар emsisoft, так они круче всех, дают ссылку на тестирование http://www.anti-malware-reviews.ru/

я естественно не выдержал некоторых "бредней" и спросил про ваше тестирование, ответ был - не в курсе этого тетсирования, а наше даже касперские на своем сайте показывают.

[Сергей Ильин 1538]

Мы не стремимся завешать своими значками сайты вендоров. Для этого нужно начать продавать раздавать медальки направо и налево. Далее придется загрубить методологию таким образом, чтобы почти все были хорошие. Тогда за тесты будут платить. Именно это и происходит с тестами AV-Test.org или AV-Comparatives.org - рука руку моет. ИМХО пользы от таких тестом почти никакой нет. У нас за тесты никто не платит, мы сами их финансируем.

[priv8v 960]

Такими темпами вам скоро начнут платить за то чтоб не участвовать в тесте

[Сергей Ильин 1538]

Такими темпами вам скоро начнут платить за то чтоб не участвовать в тесте

 

Пока только угрожают 

[Сергей Ильин 1538]

Выложен полный отчет о результатах тестирования http://www.anti-malware.ru/files/active_infection_test7.xls

[Виктор Коляденко 6]

Что-то с Poweliks не понял. McAfee не ставится и ему "-". Или все же он ставится, но не может найти руткит? А Trend Micro Вы ставите на чистую систему и ставите "+".
Как я понял, восстановление службы BFE - это долго или антивирусы сами её восстанавливают?

[Сергей Ильин 1538]

Что-то с Poweliks не понял. McAfee не ставится и ему "-". Или все же он ставится, но не может найти руткит? А Trend Micro Вы ставите на чистую систему и ставите "+"

 

Это служебные комментарии, на них можно не обращать внимание. Проверяли по разному чтобы удостовериться в правильности вердикта.

[Milord 55]

Это служебные комментарии, на них можно не обращать внимание. Проверяли по разному чтобы удостовериться в правильности вердикта.

вообще то по взрослому, нужно было включить проф коменты, с пояснением что, да как, ну или вообще убрать эти заметки, не серьёзно как то.

[Виктор Коляденко 6]

смесь из Win32.Viking.Gen и W32.Parite B

 

Мне уже понравилась идея. Но это же не тот Викинг. Нормальный должен иметь детект например Worm.Win32.Viking.ad/Win32.HLLW.Gavir.22.