Test ochrony w czasie rzeczywistym/leczenia
#1
Postanowiłem sprawdzić mniej znane programy pod kątem zapobiegania i leczenia infekcji.
Dzisiejsi bohaterowie to:
-AVANSI 4.2
-BAIDU ANTYVIRUS 2013
-Rising antyvirus free
-Panda Cloud

Do walki z nimi staną najbardzej popularne szkodniki:
-ZeroAccess w wersji recycle.bin
-FakeAV System Care Antyvirus
-Urausy

Testy czas zacząć
[center] Ochrona proaktywna [/center]

-Test prosty uruchamiam szkodniki i sprawdzam czy program dał sobie rade z zablokowaniem

Wszystkie programy zostały zaaktualizowane do najnowszych definicji zagrożeń żademu labowi nie wysyłałem próbek
Próbki pochodzą z 16 maja od tachiona

Na start

[center] BAIDU antyvirus [/center]

[Aby zobaczyć linki, zarejestruj się tutaj]

BAIDU pokazuje że jest aktualny także lecimy z testem

Na początek sprawdzimy jak radzi sobie z wykrywalnością szkodników
3/3-fakeAV
3/3-ZeroAccess
2/3-Urausy
7/10 ładnie
No to lecimy z proaktywną ochroną na początku
[center] FakeAV system care antyvirus [/center]
Pierwszy sampel -ładnie zablokowany

[Aby zobaczyć linki, zarejestruj się tutaj]


Drugi sampelek- kolejne blokowanie

[Aby zobaczyć linki, zarejestruj się tutaj]


Trzeci sampel

[Aby zobaczyć linki, zarejestruj się tutaj]

też blokowanie


[center] Urausy [/center]
1 sampel-zniknął explorer.exe mineły 2 minuty i powrócił baidu nie powiadomił że wykrył cokolwiek log ochrony też nic nie pokazał.
Więc zresetuje maszynę i sprawdzę czy szkodnik się zaaktywował
Znowu explorer się wyrzucił tym razem białe tło czyżby ransom działał ?

[Aby zobaczyć linki, zarejestruj się tutaj]

Tak komputer został zablokowany baidu nic nie poradził
Uruchomiłem tryb awaryjny oczywiście reset po zalogowaniu Wall
Dla testu uruchomiłem skaner po zresetowaniu się powłoki odrazu po uruchomieniu ransoma i co ?
Baidu wykrył no ale czy nie za późno ?
Przecież nikt się nie skapnie że mu komputer zablokowało jak zniknie mu explorer na chwilę

2/3/4-sampel tak samo

[center] Zeroaccess [/center]
1 sampel-baidu wyskoczył mi z powiadomieniem

[Aby zobaczyć linki, zarejestruj się tutaj]

Oczywiście blokujemy

2/3 sampel - podobna sytuacja


Dodano: 19 maja 2013, 11:17

[center] AVANSI Antyvirus [/center]
Na starcie miły komunikat o braku antyvirusa w systemie Lol

[Aby zobaczyć linki, zarejestruj się tutaj]

Próba uruchomienia aktualizacji pokazuje że bazy są aktualne mimo że są z 31 maja ? ale jak to możliwe mamy dzisiaj 19 maja skoro aż takie nowe to pewnie zaszaleje przy skanie
@edit
Data wygaśnięcia sygnatur Lol
No to skanujemy
0/7 Facepalm

FakeAV System care antyvirus
Tak jak sądziłem AVANSI nic nie wykrył, po resecie wystartował System care antyvirus i zablokował AVANSI co było do przewidzenia

[Aby zobaczyć linki, zarejestruj się tutaj]

Urausy
Nic podczas uruchamiania nie wykrył.
Postanowiłem mu pomóc i zrobić skanowanie cos wykrył ale chyba się pomylił

[Aby zobaczyć linki, zarejestruj się tutaj]

Zresetowałem maszynę urausy się uruchomił.
Zeroaccess nie będe testował bo szkoda czasu i tak nic nie zrobi ten "AV" dla mnie wygląda jak fakeAV
Odpowiedz
#2
Lavasoft Ad-Aware:

[Aby zobaczyć linki, zarejestruj się tutaj]


AVANSI:

[Aby zobaczyć linki, zarejestruj się tutaj]


Cool
Odpowiedz
#3
Kopiowanie najwyższą formą uznania Lol
szykuje się rising aktualizuje się aktualnie
Odpowiedz
#4
Hej widzę testy ruszyły,to dobrze Smile
Zapomniałem ci napisać że w przypadku tego urausy,tryb awaryjny nie wchodzi czyli tak czy siak wyszło tak jak pisałem w sb że lepszym wyborem jest tu livecd lub FRST,a co się tyczy tego białego tła to infekcja sobie oczywiście działa pewnie tylko i wyłącznie sieć została zablokowana przez program lub inny czynnik i reszta nie została dociągnięta.
Odpowiedz
#5
[center] Rising antyvirus free [/center]

skanowanie 0/7 Facepalm
[center] FakeAV
[/center]

Więc uruchamiamy
1 sampel
Pozytywne zaskoczenie rising wykrył zagrożenie mechanizmem trojan defense

[Aby zobaczyć linki, zarejestruj się tutaj]

2 sampel powtórka

[Aby zobaczyć linki, zarejestruj się tutaj]

3 sampel ponownie

[Aby zobaczyć linki, zarejestruj się tutaj]

Urausy
Tutaj rising się nie popisał nie zablokował żadnego urausy po restarcie of kors system zablokowany plików w trybie awaryjnym nie wykrywa mimo że mu je wskazałem do skanowania
[center] Zeroaccess [/center]
1 sampel
Znowu moduł trojan defence wykrywa podejrzany proces

[Aby zobaczyć linki, zarejestruj się tutaj]

2 Sampel

[Aby zobaczyć linki, zarejestruj się tutaj]

3 Sampel

[Aby zobaczyć linki, zarejestruj się tutaj]


Rising bardzo sobie ładnie poradził mimo braków w sygnaturach jedynie brakuje detekcji urausy i antyvir dla mnie idealny


Dodano: 19 maja 2013, 16:51

[center] MBAM PRO [/center]

[center] Fake AV [/center]
Tu natychmiastowy pogrom MBAM zdążył usunąć pliki zanim je uruchomiłem

[Aby zobaczyć linki, zarejestruj się tutaj]

Następnie spróbowałem wyłączyć ochronę i je uruchomić efekt ?
Pliki nadały sobie atrybut ukryty

[Aby zobaczyć linki, zarejestruj się tutaj]

[center] Urausy [/center]
Znowu MBAM pliki usunął

[Aby zobaczyć linki, zarejestruj się tutaj]

[center] ZeroAccess [/center]
I powtórka

[Aby zobaczyć linki, zarejestruj się tutaj]


Czyli najlepszym jak narazie chociaż płatnym softem okazał się Malwarebytes Anti-malware
Odpowiedz
#6
Dorzucisz NANO AV ?
Odpowiedz
#7
Nano ma problemy z aktualizacją
tylko jest taki problem że nie dorzuce AV ważącego więcej niż 120MB bo mi łącze urywa po 120MB
we wtorek/jutro mam zamiar przetestować:
ESET
AVAST
AVIRA
Odpowiedz
#8
[center] ESET NOD32 Antyvirus 6.0 [/center]
[center] FakeAV [/center]
1 sampel ESET zablokował i przeniósł do kwarantanny zanim zdążyłem uruchomić

[Aby zobaczyć linki, zarejestruj się tutaj]

2/3-podobnie

[center] URAUSY [/center]
Jak wyżej wszystkie sample wykryte i usunięte

[Aby zobaczyć linki, zarejestruj się tutaj]

[center] ZeroAccess [/center]
Znowu powtórka sample wykryte i usunięte

[Aby zobaczyć linki, zarejestruj się tutaj]



Dodano: 20 maja 2013, 21:36

[center] ThreatFire[/center]
Teraz coś innego zamiast pakietów AV postanowiłem przetestować nie wspierany już Bloker behavioralny firmy PCtools
[center] FakeAV[/center]
3 sample zostały zablokowane

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[center] URAUSY[/center]
Tutaj threatfire poległ nawet na najwyższym ustawieniu nie wykrył podejrzanego działania
[center] ZeroAccess[/center]
Wszystkie próbki zablokowane

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#9
Conor29134 napisał(a):nie wspierany już HIPS behavioraln y firmy PCtools

To albo HIPS albo bloker behawioralny. TF to BB.
Odpowiedz
#10
Dziękuje za zwrócenie uwagi poprawione Wink
Odpowiedz
#11
Powtórz test, tylko że na koncie gościa.
Odpowiedz
#12
tobster napisał(a):Powtórz test, tylko że na koncie gościa.

W celu...?
Odpowiedz
#13
Na koncie gościa ma się jeszcze niższe uprawnienia.
To ma jak najbardziej sens, bo malware może sobie nie dać rady z systemem (chociaż to XP...).
Odpowiedz
#14
ktośtam napisał(a):
tobster napisał(a):Powtórz test, tylko że na koncie gościa.

W celu...?

Uprawnienia ? Malware na koncie administratora ma All inclusive . Dlatego dobrze jest robić test na koncie administratora, użytkownika, gościa i wyciągać z tego wnioski. Teraz użytkownicy są troszkę bardziej rozgarnięci i jednak dostrzegają zalety w korzystaniu z konta użytkownika, a nie ciągle na adminie.
Odpowiedz
#15
No zapewne drugie konto mieć to wcale nie jest złym pomysłem,tylko jaki procent użytkowników posiada dwa konta?
Rodzice którzy tworzą konta w systemie dla swoich pociech ??
Odpowiedz
#16
tobster napisał(a):Uprawnienia ? Malware na koncie administratora ma All inclusive . Dlatego dobrze jest robić test na koncie administratora, użytkownika, gościa i wyciągać z tego wnioski. Teraz użytkownicy są troszkę bardziej rozgarnięci i jednak dostrzegają zalety w korzystaniu z konta użytkownika, a nie ciągle na adminie.

Tobster więc tak
na gościu jeżeli się nie mylę to zawartosć jest wyczyszczana po wylogowaniu
Urausy napewno działa na koncie ograniczonym w win7 Grin
Odpowiedz
#17
Pewnie że działa jak i fakeav Smile


Dodano: 21 maja 2013, 17:46

Jedynie dla mnie przydatne do rozwiązania infekcji z poziomu tego konta Smile
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości