19.10.2012, 16:47
Kolejny szybki teścik przedstawiający, jak programy zabezpieczające radzą sobie z popularnym złodziejem bankowym ,,Zeusem'''' nie mając go w swojej bazie.
Test został podzielony na 4 etapy:
1. Włączenie wszystkich modułów programu i uruchomienie trojana.
2. Wyłączenie HIPS (jeśli takowy posiada). Sam firewall, antywirus i bloker behawioralny.
3. Zostawienie samego blokera behawioralnego.
4. Wyłączenie wszystkich modułów oprócz firewalla, uruchomienie trojana. Włączenie modułów i sprawdzenie czy wykryje jakimś swoim modułem zmianę w przeglądarce.
Test ma pokazać czy kliknięcie przez niedoświadczonego użytkownika komputera, spowoduje zarażenie trojanem. Czy program go wykryje oraz najważniejsze, jak dobre posiada moduły behawioralne.
W teście wzięli udział:Emsisoft internet security pack 7, Kaspersky internet Security 2013, F-secure internet security 2013.
Platforma testowa : Virtual Box, przydzielone 512 mb. ramu.
Wszystkie programy nanajwyższych możliwych ustawieniach.
Testowany trojan:
W chwili testu detekcja 9/44. Żaden z testowanych programów nie miał go w bazie.
Ewentualne zarażenie sprawdzałem: Hitmanem Pro, Hitmanem Pro Alert beta, Secure Banking.
Pomysł na test dał mi Mcalex
Emsisoft Internet Security pack
Uruchomiłem trojana ze wszystkimi włączonymi modułami. Zablokowałem próbę stworzenia nowego pliku. Mnóstwo alertów, naklikałem się ze 100 razy albo 200. Tyle alertów pewnie dlatego, że nie kliknąłem ,,zapamiętaj decyzję''''.
Każdy program tak testowałem.
Nie doszło do zarażenia.
Wyłączyłem: Emsisoft Anti-Malware, Program Guard, HIPS, Oslone internetowa, uruchomiłem komputer.
Zostawiłem samego Firewalla włączonego i Emsisoft Anti-Malware. Hitman pro alert i Secure banking nic nie wykryły, Hitman Pro wykryl jeden plik na virus total 11/41 (to ten sam plik, który uruchomiłem tylko pod inna nazwa). Emsisoft AntiMalware (Mamutu) wykryl podejrzane działanie, raz zablokowałem. Następnie uruchomiłem ten plik, który został jako nowo utworzony. Gdy plik w Mamutu dodamy do kwarantanny nie będzie żadnych śladów w systemie. Hitman pro, Hitman Pro alert beta i Secure Banking nic nie wykryly.
Mamutu zablokował plik/
Sam firewall Online armor nic nie zdzialal,
Zarażenie
3/4
F-secure
Uruchomiłem trojana ze wszystkimi włączonymi modułami. Jak widać DeepGuard zablokował plik. Hitman pro wykrył zagrożenie, lecz nie może wyrządzić żadnych szkód. Test zaliczony.
DeepGuard zablokował plik, Hitman pro wykrył zagrożenie, lecz nie może wyrządzić żadnych szkód.
Test zaliczony.
3/4
Kaspersky
Przy kasperskym miiałem małe problemy. Prawdopodobnie spowodane zbyt małym przydzieleniem pamięci dla maszyny wirtualnej.
Program spowodował u mnie 2 BSODY. Program wykrywał od początku chmurą ,,Zeusa''''
Kaspersky wykrył zagrożenie chmurą.
Po wyłączeniu Kontroli aplikacji i Kontroli systemu program wykrył zagrożenie chmurą.
Po wyłączeniu chmury, minęło z 10 minut. Program zaktualizował się kolejny raz i wykrywał już zagrożenie definicjami. Poza tym system zaliczył BSODA i nie mogłem dokończyć testu:/
Tak więc możecie się spodziewać aktualizacji testu Kasperskiego na innej próbce.
Po aktualizacji baz i wyłączeniu wszystkich modułów oprócz firewalla doszło do zainfekowania. Jednak skanując Hitmanem Pro program miał już w bazie wira i zneutralizował go.
Na zakończenie dodam, że testowałem na tym samym trojanie również AVG IS oraz AVIRE IS. Oba programy świetnie sobie poradziły, a Avira jako jedyna zablokowała samym firewallem Zeusa. Wszystkie tutaj przedstawione programy wykryły swoimibehawioralnymi blokerami zagrożenie. Kaspersky wykrył chmurą. Co smutne: żaden program nie potrafił wykryć ,,Zeusa'''', gdy już go zainstalowaliśmy. Tak więc, doszło do zmian w przeglądarce.
Test został podzielony na 4 etapy:
1. Włączenie wszystkich modułów programu i uruchomienie trojana.
2. Wyłączenie HIPS (jeśli takowy posiada). Sam firewall, antywirus i bloker behawioralny.
3. Zostawienie samego blokera behawioralnego.
4. Wyłączenie wszystkich modułów oprócz firewalla, uruchomienie trojana. Włączenie modułów i sprawdzenie czy wykryje jakimś swoim modułem zmianę w przeglądarce.
Test ma pokazać czy kliknięcie przez niedoświadczonego użytkownika komputera, spowoduje zarażenie trojanem. Czy program go wykryje oraz najważniejsze, jak dobre posiada moduły behawioralne.
W teście wzięli udział:Emsisoft internet security pack 7, Kaspersky internet Security 2013, F-secure internet security 2013.
Platforma testowa : Virtual Box, przydzielone 512 mb. ramu.
Wszystkie programy nanajwyższych możliwych ustawieniach.
Testowany trojan:
[Aby zobaczyć linki, zarejestruj się tutaj]
W chwili testu detekcja 9/44. Żaden z testowanych programów nie miał go w bazie.
Ewentualne zarażenie sprawdzałem: Hitmanem Pro, Hitmanem Pro Alert beta, Secure Banking.
Pomysł na test dał mi Mcalex
Emsisoft Internet Security pack
Uruchomiłem trojana ze wszystkimi włączonymi modułami. Zablokowałem próbę stworzenia nowego pliku. Mnóstwo alertów, naklikałem się ze 100 razy albo 200
. Tyle alertów pewnie dlatego, że nie kliknąłem ,,zapamiętaj decyzję''''. Każdy program tak testowałem.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie doszło do zarażenia.
Wyłączyłem: Emsisoft Anti-Malware, Program Guard, HIPS, Oslone internetowa, uruchomiłem komputer.
Zostawiłem samego Firewalla włączonego i Emsisoft Anti-Malware. Hitman pro alert i Secure banking nic nie wykryły, Hitman Pro wykryl jeden plik na virus total 11/41 (to ten sam plik, który uruchomiłem tylko pod inna nazwa). Emsisoft AntiMalware (Mamutu) wykryl podejrzane działanie, raz zablokowałem. Następnie uruchomiłem ten plik, który został jako nowo utworzony. Gdy plik w Mamutu dodamy do kwarantanny nie będzie żadnych śladów w systemie. Hitman pro, Hitman Pro alert beta i Secure Banking nic nie wykryly.
[Aby zobaczyć linki, zarejestruj się tutaj]
Mamutu zablokował plik/
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Sam firewall Online armor nic nie zdzialal,
[Aby zobaczyć linki, zarejestruj się tutaj]
Zarażenie
3/4
F-secure
Uruchomiłem trojana ze wszystkimi włączonymi modułami. Jak widać DeepGuard zablokował plik. Hitman pro wykrył zagrożenie, lecz nie może wyrządzić żadnych szkód. Test zaliczony.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak wyżej DeepGuard zablokował plik, Hitman pro wykrył zagrożenie, lecz nie może wyrządzić żadnych szkód. Test zaliczony.
[Aby zobaczyć linki, zarejestruj się tutaj]
Tutaj program całkowicie poległ. Zarażenie3/4
Kaspersky
Przy kasperskym miiałem małe problemy. Prawdopodobnie spowodane zbyt małym przydzieleniem pamięci dla maszyny wirtualnej.
Program spowodował u mnie 2 BSODY. Program wykrywał od początku chmurą ,,Zeusa''''
Kaspersky wykrył zagrożenie chmurą.
[Aby zobaczyć linki, zarejestruj się tutaj]
Po wyłączeniu Kontroli aplikacji i Kontroli systemu program wykrył zagrożenie chmurą.
Po wyłączeniu chmury, minęło z 10 minut. Program zaktualizował się kolejny raz i wykrywał już zagrożenie definicjami. Poza tym system zaliczył BSODA i nie mogłem dokończyć testu:/
Tak więc możecie się spodziewać aktualizacji testu Kasperskiego na innej próbce.
Po aktualizacji baz i wyłączeniu wszystkich modułów oprócz firewalla doszło do zainfekowania. Jednak skanując Hitmanem Pro program miał już w bazie wira i zneutralizował go.
Na zakończenie dodam, że testowałem na tym samym trojanie również AVG IS oraz AVIRE IS. Oba programy świetnie sobie poradziły, a Avira jako jedyna zablokowała samym firewallem Zeusa. Wszystkie tutaj przedstawione programy wykryły swoimibehawioralnymi blokerami zagrożenie. Kaspersky wykrył chmurą. Co smutne: żaden program nie potrafił wykryć ,,Zeusa'''', gdy już go zainstalowaliśmy. Tak więc, doszło do zmian w przeglądarce.