Test ochrony w czasie rzeczywistym/leczenia - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Publikacje (https://safegroup.pl/forum-27.html) +--- Dział: Testy (https://safegroup.pl/forum-22.html) +--- Wątek: Test ochrony w czasie rzeczywistym/leczenia (/thread-6906.html) |
Test ochrony w czasie rzeczywistym/leczenia - Conor29134 - 19.05.2013 Postanowiłem sprawdzić mniej znane programy pod kątem zapobiegania i leczenia infekcji. Dzisiejsi bohaterowie to: -AVANSI 4.2 -BAIDU ANTYVIRUS 2013 -Rising antyvirus free -Panda Cloud Do walki z nimi staną najbardzej popularne szkodniki: -ZeroAccess w wersji recycle.bin -FakeAV System Care Antyvirus -Urausy Testy czas zacząć [center] Ochrona proaktywna [/center] -Test prosty uruchamiam szkodniki i sprawdzam czy program dał sobie rade z zablokowaniem Wszystkie programy zostały zaaktualizowane do najnowszych definicji zagrożeń żademu labowi nie wysyłałem próbek Próbki pochodzą z 16 maja od tachiona Na start [center] BAIDU antyvirus [/center] [Aby zobaczyć linki, zarejestruj się tutaj] BAIDU pokazuje że jest aktualny także lecimy z testemNa początek sprawdzimy jak radzi sobie z wykrywalnością szkodników 3/3-fakeAV 3/3-ZeroAccess 2/3-Urausy 7/10 ładnie No to lecimy z proaktywną ochroną na początku [center] FakeAV system care antyvirus [/center] Pierwszy sampel -ładnie zablokowany [Aby zobaczyć linki, zarejestruj się tutaj] Drugi sampelek- kolejne blokowanie [Aby zobaczyć linki, zarejestruj się tutaj] Trzeci sampel [Aby zobaczyć linki, zarejestruj się tutaj] też blokowanie[center] Urausy [/center] 1 sampel-zniknął explorer.exe mineły 2 minuty i powrócił baidu nie powiadomił że wykrył cokolwiek log ochrony też nic nie pokazał. Więc zresetuje maszynę i sprawdzę czy szkodnik się zaaktywował Znowu explorer się wyrzucił tym razem białe tło czyżby ransom działał ? [Aby zobaczyć linki, zarejestruj się tutaj] Tak komputer został zablokowany baidu nic nie poradziłUruchomiłem tryb awaryjny oczywiście reset po zalogowaniu Dla testu uruchomiłem skaner po zresetowaniu się powłoki odrazu po uruchomieniu ransoma i co ? Baidu wykrył no ale czy nie za późno ? Przecież nikt się nie skapnie że mu komputer zablokowało jak zniknie mu explorer na chwilę 2/3/4-sampel tak samo [center] Zeroaccess [/center] 1 sampel-baidu wyskoczył mi z powiadomieniem [Aby zobaczyć linki, zarejestruj się tutaj] Oczywiście blokujemy2/3 sampel - podobna sytuacja Dodano: 19 maja 2013, 11:17 [center] AVANSI Antyvirus [/center] Na starcie miły komunikat o braku antyvirusa w systemie [Aby zobaczyć linki, zarejestruj się tutaj] Próba uruchomienia aktualizacji pokazuje że bazy są aktualne mimo że są z 31 maja ? ale jak to możliwe mamy dzisiaj 19 maja skoro aż takie nowe to pewnie zaszaleje przy skanie@edit Data wygaśnięcia sygnatur No to skanujemy 0/7 FakeAV System care antyvirus Tak jak sądziłem AVANSI nic nie wykrył, po resecie wystartował System care antyvirus i zablokował AVANSI co było do przewidzenia [Aby zobaczyć linki, zarejestruj się tutaj] UrausyNic podczas uruchamiania nie wykrył. Postanowiłem mu pomóc i zrobić skanowanie cos wykrył ale chyba się pomylił [Aby zobaczyć linki, zarejestruj się tutaj] Zresetowałem maszynę urausy się uruchomił.Zeroaccess nie będe testował bo szkoda czasu i tak nic nie zrobi ten "AV" dla mnie wygląda jak fakeAV Re: Test ochrony w czasie rzeczywistym/leczenia - ktośtam - 19.05.2013 Lavasoft Ad-Aware: [Aby zobaczyć linki, zarejestruj się tutaj] AVANSI: [Aby zobaczyć linki, zarejestruj się tutaj] Re: Test ochrony w czasie rzeczywistym/leczenia - Conor29134 - 19.05.2013 Kopiowanie najwyższą formą uznania szykuje się rising aktualizuje się aktualnie Re: Test ochrony w czasie rzeczywistym/leczenia - tachion - 19.05.2013 Hej widzę testy ruszyły,to dobrze Zapomniałem ci napisać że w przypadku tego urausy,tryb awaryjny nie wchodzi czyli tak czy siak wyszło tak jak pisałem w sb że lepszym wyborem jest tu livecd lub FRST,a co się tyczy tego białego tła to infekcja sobie oczywiście działa pewnie tylko i wyłącznie sieć została zablokowana przez program lub inny czynnik i reszta nie została dociągnięta. Re: Test ochrony w czasie rzeczywistym/leczenia - Conor29134 - 19.05.2013 [center] Rising antyvirus free [/center] skanowanie 0/7 [center] FakeAV [/center] Więc uruchamiamy 1 sampel Pozytywne zaskoczenie rising wykrył zagrożenie mechanizmem trojan defense [Aby zobaczyć linki, zarejestruj się tutaj] 2 sampel powtórka[Aby zobaczyć linki, zarejestruj się tutaj] 3 sampel ponownie[Aby zobaczyć linki, zarejestruj się tutaj] UrausyTutaj rising się nie popisał nie zablokował żadnego urausy po restarcie of kors system zablokowany plików w trybie awaryjnym nie wykrywa mimo że mu je wskazałem do skanowania [center] Zeroaccess [/center] 1 sampel Znowu moduł trojan defence wykrywa podejrzany proces [Aby zobaczyć linki, zarejestruj się tutaj] 2 Sampel[Aby zobaczyć linki, zarejestruj się tutaj] 3 Sampel[Aby zobaczyć linki, zarejestruj się tutaj] Rising bardzo sobie ładnie poradził mimo braków w sygnaturach jedynie brakuje detekcji urausy i antyvir dla mnie idealny Dodano: 19 maja 2013, 16:51 [center] MBAM PRO [/center] [center] Fake AV [/center] Tu natychmiastowy pogrom MBAM zdążył usunąć pliki zanim je uruchomiłem [Aby zobaczyć linki, zarejestruj się tutaj] Następnie spróbowałem wyłączyć ochronę i je uruchomić efekt ?Pliki nadały sobie atrybut ukryty [Aby zobaczyć linki, zarejestruj się tutaj] [center] Urausy [/center]Znowu MBAM pliki usunął [Aby zobaczyć linki, zarejestruj się tutaj] [center] ZeroAccess [/center]I powtórka [Aby zobaczyć linki, zarejestruj się tutaj] Czyli najlepszym jak narazie chociaż płatnym softem okazał się Malwarebytes Anti-malware Re: Test ochrony w czasie rzeczywistym/leczenia - tobster - 19.05.2013 Dorzucisz NANO AV ? Re: Test ochrony w czasie rzeczywistym/leczenia - Conor29134 - 19.05.2013 Nano ma problemy z aktualizacją tylko jest taki problem że nie dorzuce AV ważącego więcej niż 120MB bo mi łącze urywa po 120MB we wtorek/jutro mam zamiar przetestować: ESET AVAST AVIRA Re: Test ochrony w czasie rzeczywistym/leczenia - Conor29134 - 20.05.2013 [center] ESET NOD32 Antyvirus 6.0 [/center] [center] FakeAV [/center] 1 sampel ESET zablokował i przeniósł do kwarantanny zanim zdążyłem uruchomić [Aby zobaczyć linki, zarejestruj się tutaj] 2/3-podobnie[center] URAUSY [/center] Jak wyżej wszystkie sample wykryte i usunięte [Aby zobaczyć linki, zarejestruj się tutaj] [center] ZeroAccess [/center]Znowu powtórka sample wykryte i usunięte [Aby zobaczyć linki, zarejestruj się tutaj] Dodano: 20 maja 2013, 21:36 [center] ThreatFire[/center] Teraz coś innego zamiast pakietów AV postanowiłem przetestować nie wspierany już Bloker behavioralny firmy PCtools [center] FakeAV[/center] 3 sample zostały zablokowane [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [center] URAUSY[/center]Tutaj threatfire poległ nawet na najwyższym ustawieniu nie wykrył podejrzanego działania [center] ZeroAccess[/center] Wszystkie próbki zablokowane [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Re: Test ochrony w czasie rzeczywistym/leczenia - ktośtam - 20.05.2013 Conor29134 napisał(a):nie wspierany już HIPS behavioraln y firmy PCtools To albo HIPS albo bloker behawioralny. TF to BB. Re: Test ochrony w czasie rzeczywistym/leczenia - Conor29134 - 20.05.2013 Dziękuje za zwrócenie uwagi poprawione Re: Test ochrony w czasie rzeczywistym/leczenia - tobster - 20.05.2013 Powtórz test, tylko że na koncie gościa. Re: Test ochrony w czasie rzeczywistym/leczenia - ktośtam - 21.05.2013 tobster napisał(a):Powtórz test, tylko że na koncie gościa. W celu...? Re: Test ochrony w czasie rzeczywistym/leczenia - Konto usunięte - 21.05.2013 Na koncie gościa ma się jeszcze niższe uprawnienia. To ma jak najbardziej sens, bo malware może sobie nie dać rady z systemem (chociaż to XP...). Re: Test ochrony w czasie rzeczywistym/leczenia - tobster - 21.05.2013 ktośtam napisał(a):tobster napisał(a):Powtórz test, tylko że na koncie gościa. Uprawnienia ? Malware na koncie administratora ma All inclusive . Dlatego dobrze jest robić test na koncie administratora, użytkownika, gościa i wyciągać z tego wnioski. Teraz użytkownicy są troszkę bardziej rozgarnięci i jednak dostrzegają zalety w korzystaniu z konta użytkownika, a nie ciągle na adminie. Re: Test ochrony w czasie rzeczywistym/leczenia - tachion - 21.05.2013 No zapewne drugie konto mieć to wcale nie jest złym pomysłem,tylko jaki procent użytkowników posiada dwa konta? Rodzice którzy tworzą konta w systemie dla swoich pociech ?? Re: Test ochrony w czasie rzeczywistym/leczenia - Conor29134 - 21.05.2013 tobster napisał(a):Uprawnienia ? Malware na koncie administratora ma All inclusive . Dlatego dobrze jest robić test na koncie administratora, użytkownika, gościa i wyciągać z tego wnioski. Teraz użytkownicy są troszkę bardziej rozgarnięci i jednak dostrzegają zalety w korzystaniu z konta użytkownika, a nie ciągle na adminie. Tobster więc tak na gościu jeżeli się nie mylę to zawartosć jest wyczyszczana po wylogowaniu Urausy napewno działa na koncie ograniczonym w win7 Re: Test ochrony w czasie rzeczywistym/leczenia - tachion - 21.05.2013 Pewnie że działa jak i fakeav Dodano: 21 maja 2013, 17:46 Jedynie dla mnie przydatne do rozwiązania infekcji z poziomu tego konta |