Test ochrony w czasie rzeczywistym/leczenia
#1
Postanowiłem sprawdzić mniej znane programy pod kątem zapobiegania i leczenia infekcji.
Dzisiejsi bohaterowie to:
-AVANSI 4.2
-BAIDU ANTYVIRUS 2013
-Rising antyvirus free
-Panda Cloud

Do walki z nimi staną najbardzej popularne szkodniki:
-ZeroAccess w wersji recycle.bin
-FakeAV System Care Antyvirus
-Urausy

Testy czas zacząć
[center] Ochrona proaktywna [/center]

-Test prosty uruchamiam szkodniki i sprawdzam czy program dał sobie rade z zablokowaniem

Wszystkie programy zostały zaaktualizowane do najnowszych definicji zagrożeń żademu labowi nie wysyłałem próbek
Próbki pochodzą z 16 maja od tachiona

Na start

[center] BAIDU antyvirus [/center]

[Obrazek: 7h1y4a.jpg]
BAIDU pokazuje że jest aktualny także lecimy z testem

Na początek sprawdzimy jak radzi sobie z wykrywalnością szkodników
3/3-fakeAV
3/3-ZeroAccess
2/3-Urausy
7/10 ładnie
No to lecimy z proaktywną ochroną na początku
[center] FakeAV system care antyvirus [/center]
Pierwszy sampel -ładnie zablokowany
[Obrazek: oc2s14.jpg]

Drugi sampelek- kolejne blokowanie
[Obrazek: 997lhr.jpg]

Trzeci sampel
[Obrazek: qvx2px.jpg]
też blokowanie


[center] Urausy [/center]
1 sampel-zniknął explorer.exe mineły 2 minuty i powrócił baidu nie powiadomił że wykrył cokolwiek log ochrony też nic nie pokazał.
Więc zresetuje maszynę i sprawdzę czy szkodnik się zaaktywował
Znowu explorer się wyrzucił tym razem białe tło czyżby ransom działał ?
[Obrazek: 77pli8.jpg]
Tak komputer został zablokowany baidu nic nie poradził
Uruchomiłem tryb awaryjny oczywiście reset po zalogowaniu Wall
Dla testu uruchomiłem skaner po zresetowaniu się powłoki odrazu po uruchomieniu ransoma i co ?
Baidu wykrył no ale czy nie za późno ?
Przecież nikt się nie skapnie że mu komputer zablokowało jak zniknie mu explorer na chwilę

2/3/4-sampel tak samo

[center] Zeroaccess [/center]
1 sampel-baidu wyskoczył mi z powiadomieniem
[Obrazek: uay4qy.jpg]
Oczywiście blokujemy

2/3 sampel - podobna sytuacja


Dodano: 19 maja 2013, 11:17

[center] AVANSI Antyvirus [/center]
Na starcie miły komunikat o braku antyvirusa w systemie Lol
[Obrazek: tz50ih.jpg]
Próba uruchomienia aktualizacji pokazuje że bazy są aktualne mimo że są z 31 maja ? ale jak to możliwe mamy dzisiaj 19 maja skoro aż takie nowe to pewnie zaszaleje przy skanie
@edit
Data wygaśnięcia sygnatur Lol
No to skanujemy
0/7 Facepalm

FakeAV System care antyvirus
Tak jak sądziłem AVANSI nic nie wykrył, po resecie wystartował System care antyvirus i zablokował AVANSI co było do przewidzenia
[Obrazek: 1frb2b.jpg]
Urausy
Nic podczas uruchamiania nie wykrył.
Postanowiłem mu pomóc i zrobić skanowanie cos wykrył ale chyba się pomylił
[Obrazek: ecg7mx.jpg]
Zresetowałem maszynę urausy się uruchomił.
Zeroaccess nie będe testował bo szkoda czasu i tak nic nie zrobi ten "AV" dla mnie wygląda jak fakeAV
Odpowiedz
#2
Odpowiedz
#3
Kopiowanie najwyższą formą uznania Lol
szykuje się rising aktualizuje się aktualnie
Odpowiedz
#4
Hej widzę testy ruszyły,to dobrze Smile
Zapomniałem ci napisać że w przypadku tego urausy,tryb awaryjny nie wchodzi czyli tak czy siak wyszło tak jak pisałem w sb że lepszym wyborem jest tu livecd lub FRST,a co się tyczy tego białego tła to infekcja sobie oczywiście działa pewnie tylko i wyłącznie sieć została zablokowana przez program lub inny czynnik i reszta nie została dociągnięta.
Odpowiedz
#5
[center] Rising antyvirus free [/center]

skanowanie 0/7 Facepalm
[center] FakeAV
[/center]

Więc uruchamiamy
1 sampel
Pozytywne zaskoczenie rising wykrył zagrożenie mechanizmem trojan defense
[Obrazek: tkevdy.jpg]
2 sampel powtórka
[Obrazek: sya7jp.jpg]
3 sampel ponownie
[Obrazek: lq3a5d.jpg]
Urausy
Tutaj rising się nie popisał nie zablokował żadnego urausy po restarcie of kors system zablokowany plików w trybie awaryjnym nie wykrywa mimo że mu je wskazałem do skanowania
[center] Zeroaccess [/center]
1 sampel
Znowu moduł trojan defence wykrywa podejrzany proces
[Obrazek: lx8o2c.jpg]
2 Sampel
[Obrazek: 0g76ga.jpg]
3 Sampel
[Obrazek: mhsgf0.jpg]

Rising bardzo sobie ładnie poradził mimo braków w sygnaturach jedynie brakuje detekcji urausy i antyvir dla mnie idealny


Dodano: 19 maja 2013, 16:51

[center] MBAM PRO [/center]

[center] Fake AV [/center]
Tu natychmiastowy pogrom MBAM zdążył usunąć pliki zanim je uruchomiłem

[Obrazek: sejlco.jpg]
Następnie spróbowałem wyłączyć ochronę i je uruchomić efekt ?
Pliki nadały sobie atrybut ukryty
[Obrazek: icqsct.jpg]
[center] Urausy [/center]
Znowu MBAM pliki usunął
[Obrazek: zvikwk.jpg]
[center] ZeroAccess [/center]
I powtórka
[Obrazek: cwaatk.jpg]

Czyli najlepszym jak narazie chociaż płatnym softem okazał się Malwarebytes Anti-malware
Odpowiedz
#6
Dorzucisz NANO AV ?
Odpowiedz
#7
Nano ma problemy z aktualizacją
tylko jest taki problem że nie dorzuce AV ważącego więcej niż 120MB bo mi łącze urywa po 120MB
we wtorek/jutro mam zamiar przetestować:
ESET
AVAST
AVIRA
Odpowiedz
#8
[center] ESET NOD32 Antyvirus 6.0 [/center]
[center] FakeAV [/center]
1 sampel ESET zablokował i przeniósł do kwarantanny zanim zdążyłem uruchomić
[Obrazek: 6bhtc3.jpg]
2/3-podobnie

[center] URAUSY [/center]
Jak wyżej wszystkie sample wykryte i usunięte
[Obrazek: ramclf.jpg]
[center] ZeroAccess [/center]
Znowu powtórka sample wykryte i usunięte
[Obrazek: a95t1p.jpg]


Dodano: 20 maja 2013, 21:36

[center] ThreatFire[/center]
Teraz coś innego zamiast pakietów AV postanowiłem przetestować nie wspierany już Bloker behavioralny firmy PCtools
[center] FakeAV[/center]
3 sample zostały zablokowane
[Obrazek: 95sjef.jpg]
[Obrazek: iz9glc.jpg]
[Obrazek: sxz3xz.jpg]
[center] URAUSY[/center]
Tutaj threatfire poległ nawet na najwyższym ustawieniu nie wykrył podejrzanego działania
[center] ZeroAccess[/center]
Wszystkie próbki zablokowane
[Obrazek: z6d2ky.jpg]
[Obrazek: 49pjyr.jpg]
[Obrazek: bbzj5s.jpg]
Odpowiedz
#9
Conor29134 napisał(a):nie wspierany już HIPS behavioraln y firmy PCtools

To albo HIPS albo bloker behawioralny. TF to BB.
Odpowiedz
#10
Dziękuje za zwrócenie uwagi poprawione Wink
Odpowiedz
#11
Powtórz test, tylko że na koncie gościa.
Odpowiedz
#12
tobster napisał(a):Powtórz test, tylko że na koncie gościa.

W celu...?
Odpowiedz
#13
Na koncie gościa ma się jeszcze niższe uprawnienia.
To ma jak najbardziej sens, bo malware może sobie nie dać rady z systemem (chociaż to XP...).
Odpowiedz
#14
ktośtam napisał(a):
tobster napisał(a):Powtórz test, tylko że na koncie gościa.

W celu...?

Uprawnienia ? Malware na koncie administratora ma All inclusive . Dlatego dobrze jest robić test na koncie administratora, użytkownika, gościa i wyciągać z tego wnioski. Teraz użytkownicy są troszkę bardziej rozgarnięci i jednak dostrzegają zalety w korzystaniu z konta użytkownika, a nie ciągle na adminie.
Odpowiedz
#15
No zapewne drugie konto mieć to wcale nie jest złym pomysłem,tylko jaki procent użytkowników posiada dwa konta?
Rodzice którzy tworzą konta w systemie dla swoich pociech ??
Odpowiedz
#16
tobster napisał(a):Uprawnienia ? Malware na koncie administratora ma All inclusive . Dlatego dobrze jest robić test na koncie administratora, użytkownika, gościa i wyciągać z tego wnioski. Teraz użytkownicy są troszkę bardziej rozgarnięci i jednak dostrzegają zalety w korzystaniu z konta użytkownika, a nie ciągle na adminie.

Tobster więc tak
na gościu jeżeli się nie mylę to zawartosć jest wyczyszczana po wylogowaniu
Urausy napewno działa na koncie ograniczonym w win7 Grin
Odpowiedz
#17
Pewnie że działa jak i fakeav Smile


Dodano: 21 maja 2013, 17:46

Jedynie dla mnie przydatne do rozwiązania infekcji z poziomu tego konta Smile
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości