Otóż bądźmy szczerzy - zarażenia typu Adware, Crack czy inne PUP, które zazwyczaj są wykrywane u "zwykłych " użytkowników oraz wszechdostępne na różnych linkach "malwaredomain" nie mają zbyt dużych mocy sprawczych i co najwyżej mogą trochę podenerwować użytkownika, jednak nieznacznie wyrządzić szkody w systemie. Śmiesznym jest więc porównywanie skuteczności antywirusów na tego typu zagrożeniach. Postanowiłem przyjrzeć się kwestii testów z innej strony. Na co dzień sprawdzamy paczki, uruchamiamy nieznane malware, opisujemy reakcję programu. My robimy to z zainteresowania, typowi użytkownicy nie zdają sobie sprawy z zagrożenia jakie niesie sieć i otwierają co popadnie.
A co jeśli dojdzie do infekcji?
I tu pojawia się ciekawostka , programy AV dysponują szeregiem możliwości. Silniki skanujące, kontrole zachowań, heurystyka, chmura, Sandbox.... Ja jednak postanowiłem przyjrzeć się całkiem innemu modułowi- autoochronie
Załóżmy ,że mamy wirusa , który "obejdzie" warstwy aplikacji anti-malware, co wtedy? Jak zachowa się używany antywirus?
Dzięki pomocy F4z , promototooraz A_B_C , a także andrzeja76i aopeudało się to sprawdzić.
Sprawdzian programów zabezpieczających przeprowadziliśmy na przedstawicielach rodziny Live Security . Szkodnik ten , bez względu na wersję, działa w identyczny sposób. Po wykryciu rozpoczyna infekcję systemu, niemiłosiernie kopiując się w rejestrze i blokując wszystkie pliki wykonywalne, z kolei w momencie restartu, przejmuje kontrolę nad autostartem systemu. Jest
ciekawym zagrożeniem dlatego,że głównym rywalem dla niego staje się autoochrona programu zabezpieczającego....
Trochę o nim (na podstawie informacji od
[Aby zobaczyć linki, zarejestruj się tutaj]
)Działanie:
- Wyłączenie SecurityCenter:
- Security Center settings change: machine\software\microsoft\security center\antivirusdisablenotify = 00000001
- Security Center settings change: machine\software\microsoft\security center\antivirusoverride = 00000001
- Security Center settings change: machine\software\microsoft\security center\firewalldisablenotify = 00000001
- Security Center settings change: machine\software\microsoft\security center\firewalloverride = 00000001
- Security Center settings change: machine\software\microsoft\security center\svc\antivirusdisablenotify = 00000001
- Security Center settings change: machine\software\microsoft\security center\svc\antivirusoverride = 00000001
- Security Center settings change: machine\software\microsoft\security center\svc\firewalldisablenotify = 00000001
- Security Center settings change: machine\software\microsoft\security center\svc\firewalloverride = 00000001
- Security Center settings change: machine\software\microsoft\security center\svc\updatesdisablenotify = 00000001
- Security Center settings change: machine\software\microsoft\security center\updatesdisablenotify = 00000001
- Modyfikacja i uruchamianie się ze startem:
- Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\luafv\Start = 00000001
- Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\wuauserv\Start = 00000004
- Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\RunOnce\F4D55F3B0010870E64318881B4EB238B = C:\ProgramData\F4D55F3B0010870E64318881B4EB238B\F4D55F3B0010870E64318881B4EB238B.exe
- Ogólne działanie:
- blokada wszystkich plików wykonywalnych (.exe) za wyjątkiem dobrze zabezpieczonego antywirusa
- zmiana ustawień internetowych
- nie dopuszcza do uruchomienia w SandboxIE
- po włączeniu zazwyczaj znika jego instalator , kopiuje się kilkuset krotnie w rejestrze i plikach
"Documents and Settings"
- blokuje autostart pozostałych aplikacji
- proponuje "uwolnienie" komputera za jedyne 70 Euro
- blokuje możliwość wykonania zrzutu ekranu, w nowszych wydaniach ukrywa się w procesach i autostarcie
- istnieją też "lżejsze" w działaniu FakeAv jak np. ten
[Aby zobaczyć linki, zarejestruj się tutaj]
- blokada wszystkich plików wykonywalnych (.exe) za wyjątkiem dobrze zabezpieczonego antywirusa
Test autoochrony
Zdecydowałem się przeprowadzić testy oprogramowań antywirusowych na zainfekowanych , tymże zagrożeniem, systemach .
[Aby zobaczyć linki, zarejestruj się tutaj]
Wykonane zostały dwie proste próby. Po zainstalowaniu programu antywirusowego wyłączono wszystkie jego funkcje, następnie uruchomiono Live Security. Wirus po wykluciu rozpoczął infekcję wszystkich obszarów systemu, łącznie z blokowaniem plików wykonywalnych. Zadania testującego były proste. W pierwszej próbie należało sprawdzić jak radzi sobie z zagrożeniem aplikacja zabezpieczająca po przywróceniu do działania modułów, a następnie jak poradzi sobie ona z Fake AV w czasie restartu systemu. Zwycięstwo w sprawdzianie gwarantowało tylko przejście pierwszej próby, czyli udowodnienie, że autoochrona jest w stanie pokonać próbującego zabić procesy szkodnika.
Test był zdecydowanie specyficzny, gdyż zakładał sprawdzenie programu zabezpieczającego na zainfekowanym systemie, ale nie byle jakim wirusem, a samym Live Security Platinum. Na szczęście takie sytuacje są mało prawdopodobne w codziennym użytkowaniu komputera, gdyż heurystyki produktów antywirusowych są już w stanie rozpoznać zachowanie podejrzanego obiektu. A w zasadzie „prawie są“ .
Zwycięzców testu można podzielić na cztery grupy :
- programów , których autoochrona była w stanie zabić LiveSecurity zarówno w czasie rzeczywistym jak i po restarcie
- aplikacji , potrafiących działać przy włączonym LiveSecurity,ale nie umiejących go zabić bez nowej definicji, oraz ginących po ponownym uruchomieniu systemu
- oprogramowań, które działały przy włączonym LS zarówno w czasie rzeczywistym jak i po restarcie, ale nie zlikwidowały go
- jak i tych softów, w przypadku których w momencie restartu, Live Security przejmował kontrolę nad systemem, jednak w czasie rzeczywistym był unieszkodliwiany. Reprezentantem tej grupy jest Kaspersky, którego należało "reanimować" przez uruchomienie go w trybie awaryjnym.
Szkoda tylko, że tych „drugich, trzecich i czwartych“ jest zdecydowanie więcej.
Najbardziej martwi jednak fakt występowania wśród przegranych, czyli oprogramowań zupełnie bezradnychw kwestiachautoochrony , znanych i popularnych aplikacji takich jak McAfee, F secure, Bullguard czy ArcaVir. Wierzę jednak mimo wszystko, że ich ochrona heurystyczna będzie w stanie unieszkodliwić próbkę LS w momencie kiedy użytkownik pobierze takową na komputer. Nie chcę „krakać“ , ale jeśli złośliwej podróbki AV nie wykryje silnik działający na podstawie sygnatur, czy ochrona behawioralna, to raczej sytuacja systemu będzie mocno nieciekawa. Dzieje się tak ( czego przykładem jest np Dr.Web) , że nawet jeśli nieznana
kopia LS zostanie uruchomiona na komputerze oraz rozpocznie infekcję, aplikacja AV z dobrą autoochroną nie pozwoli na wyłączenie swoich procesów, a następnie spokojnie poczeka na aktualizacje baz sygnatur wirusów lub jak to np. w Webroocie użytkownik będzie mógł sam zakończyć szkodliwy program.
W zasadzie przegraną w walce z FakeAv może być tylko całkowite unieruchomienie antywirusa, na szczęście zdarzało się to nieczęsto.
Na pewno, jak do tej pory największymi niespodziankami są reakcje znanego z niemal stuprocentowej detekcji Kasperskyego, czy niepozornego i darmowego Kingsofta .Zdecydowanie największym nieszczęśnikiem przeprowadzonych zawodów jest F secure, który choć posiada naprawdę świetną ochronę heurystyczną DeepGuard, nie radzi sobie z próbami unieruchomienia go. A szkoda... Może jednak idealny program może istnieć?
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Klęska Avg?
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Zwycięzcy testu:
- Emsisoft Anti-Malware
- Dr.Web 7.0
- Norman Security Suite Pro
- Webroot SA
- G Data IS 2013
- Kaspersky Internet Security 2012
- Comodo Internet Security Premium 2012
- Avg Internet Security 2012
- Bitdefender Internet Security 2013
- Avast Internet Security 7.0
- Norton Internet Security 2012
- Trustport Internet Security 2013
- Avira Internet Security 2012
- Virusbuster Internet Security
- Trend Micro Internet Security Titanum 2012
- Eset Smart Security 5
- Panda Cloud 2.0
- Kingsoft Antivirus 2012
- STOPzilla
- Panda Global Protection 2013
- Ikarus AV
Przegrani:
- mks_vir
- PcTools AV Free
- McAfee Total Protection/Av plus 2012
- FileMedic
- F Secure Internet Security 2012
- Ashampoo AntiMalware
- Bullguard Internet Security 2012
- Ad-Aware 2012
- MalwareSecure
- Roboscan
- Microsoft SE
Choć LiveSecurity nie jest Rootkitem ZA czy mutacją siejącego kiedyś postrach Sality, nie można mu odebrać jednej umiejętności : dobitnie zweryfikował ,który program będzie w stanie przeżyć spotkanie z wirusem potrafiącym zarządzać procesami systemu. Swym działaniem wykrył swoiste luki we własnych zabezpieczeniach oprogramowań.... zabezpieczających. Trochę to paradoksalne, ale okazuje się, że czasem ilość warstw ochrony wcale nie świadczy o pełnej skuteczności. Pociesza jednak fakt ,że lista zwycięzców jest dużo dłuższa niż przegranych.
Dziękuję.
Autor:McAlex