VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
Этап первый, подготовка Исходные данные
Физический комп с установленной лицензионной Windows XP Pro SP3 Rus
Железо:
В общем железо особой роли и не играет, суть в том, что во время тестов оно не будет меняться.
Windows обновлена всеми заплатками, стоит такой софт (или бесплатный, или триал, конкретно акронис, winrar и радмин)
Акронис будет клонировать чистую систему на второй винт, после чего винт физически отключается, все тесты будут проходить на втором винчестере, после теста система возвращается в исходное положение тем же акронисом.
Радмин - это удаленное управление, там где это возможно (некоторые антивирусы не позволят управлять собой таким образом, но об этом позднее)
Сама система немного протвикана:
Отключены службы
Беспроводная настройка
Брандмауэр Windows/Общий доступ к Интернету (ICS)
Веб-клиент
Вторичный вход в систему
Клиент отслеживания изменившихся связей
Модуль поддержки NetBIOS через TCP/IP
Обозреватель компьютеров
Определение оборудования оболочки
Планировщик заданий
Сервер
Служба восстановления системы
Служба обнаружения SSDP
Служба сетевого расположения (NLA)
Удаленный реестр
Центр обеспечения безопасности
Я считаю, это оптимально для безопасности, не в ущерб юзабилити системы (видеокаталог и прочее работает, инет запускается).
Отключен автозапуск. Еще кое чего по мелочи, не критичного.
Две сетевых карты, одна смотрит в инмарт, через вторую обеспечивается инет на комп, контроль сетевой активности, удаленное управление.
Выбор вирусов для тестирования.
Что бы не было обидно, тестирование пройдет на вирусах, популярных и отловленных конкретно в нашей сети. Т.е. не будет ни дос-вирусов, ни другой подобной экзотики, зато! попробуем заразить комп некоторыми вирусами и посмотрим на поведение антивиря.
Список вирусов для тестирования довольно грозный (все вирусы - живые, это не семплы, они в том виде, в котором распространяются по сети). С личной коллекции.
Самый первый кандидат - это Avast. Точнее его бесплатная версия, самый популярный в нашей сети антивирус из числа бесплатных.
После загрузки дистрибутива с оффсайта, устанавливаем. Причем удаленно, радмином). Перезагрузка не понадобилась. Обновляем и перегружаем комп (на всякий случай).
После перезагрузки, при рабочем, живом антивире, спокойно упаковал в архив вирусы! - антивирус даже не пикнул ни на один.
Я открыл папку с вирусами - антивирус молчит.
Запускаем полное сканирование системы, посмотрим сколько это займет времени и с какими результатами.
Сканирование окончено.
Результаты:
13 минут 45 секунд - это очень хороший результат. Обнаружен 151 вирус.
И попробуем их запустить
В итоге, windows успешно заражена вирусом, экспресс-сканирование ничего не показало. Извольте убедиться.
После перезагрузки имеем тормоза, кучу ошибок, лжеантивирус и прочие прелести при отсутвующем авасте. При попытке лечения синий экран и больше загрузить систему не получилось.
AVG. С официального сайта скачиваем web-инсталятор в 4,7 метра, выбираем русский язык, прочие настройки и ставим.
112 метров - некислый дистрибутив.
Скачался/установился быстро, перезагрузки не потребовал.
Обновил антивирусные базы и готов к работе.
На всякий случай перегрузим комп и приступим
После перезагрузки, при попытке запаковать архив с вирусами, AVG даже притормозил комп, но честно показал угрозу
При попытке открыть папку с вирусами, выпало аналогичное окно. Запускаем полное сканирование компа.
Итого: 150 вирусов + 4 шпионских перемещены в хранилище. Заняло сканирование 13 минут 58 секунд.
Кстати, хранилище реализовано в виде простой скрытой папки (так же как и в прежних версиях) - просто переименованные файлы с расширением fil
Backdoor.Win32.Delf.iuh.exe
Email-Flooder.Win32.Agent.al.exe
Net-Worm.Win32.Kido.dam.n.exe
Net-Worm.Win32.Kido.dam.o.exe
Net-Worm.Win32.Kido.ih.exe
Packed.Win32.Klone.av.exe
Rootkit.Win32.TDSS.a.exe
Trojan-Spy.Win32.Zbot.apfp.exe
Trojan.Win32.Jorik.SdBot.en.exe
Virus.Win32.Sality.aa.exe
Worm.Win32.Viking.ko.exe
Worm.Win32.AutoIt.xl
После заражения и перезагрузки, антивирус не только устоял на ногах, но и пытается лечиться
После попросил перезагрузку, потом долечиваем. В итоге худо-бедно, но в паре с DrWebCureIt! долечил комп.
Минус - визуально тяжелее аваста. Зато убил вирус, который даже не знал )
Следующий кандидат на тестирование - антивирус Avira, точнее его бесплатная версия
Довольно компактный инсталятор (41 метр), быстренько поставился, обновился, радует проверка критических областей при первом запуске. Интерфейс - англоязычный, официально русского в бесплатной версии нет.
И так, приступим. После перезагрузки (хотя антивирус ее не требовал):
Архив запаковать авира не дала, перехватив вирусы.
Посмотрим, что скажет полное сканирование компа.
Результаты сканирования удивляют. 18 минут, 222 вируса (откуда? я только 187 ложил), но тем не менее результат - только 4 штуки пропустил
Проверим на устойчивость и на лечение.
Пробуем заразить комп вирусами
• Backdoor.Win32.Delf.iuh.exe
• Email-Flooder.Win32.Agent.al.exe
• Net-Worm.Win32.Kido.dam.n.exe
• Net-Worm.Win32.Kido.dam.o.exe
• Net-Worm.Win32.Kido.ih.exe
• Packed.Win32.Klone.av.exe
• Rootkit.Win32.TDSS.a.exe
• Trojan-Spy.Win32.Zbot.apfp.exe
• Trojan.Win32.Jorik.SdBot.en.exe
• Virus.Win32.Sality.aa.exe
• Worm.Win32.Viking.ko.exe
• Worm.Win32.AutoIt.xl
А вот с активным заражением у авиры получилось туго. Система упала в синий экран и более с него не поднялась даже в безопасном режиме. Даже аваст держался куда успешней. Подключив винт к исходной системе, была возможность просмотреть и убедиться в успешном заражении, лечить же систему задачи не было.
А вот еще один "классический" пример - имитация имени настоящего файла, авось примелькается и его не заметят
Следующий антивирус, который мы помучаем - Comodo antivirus. Забегая вперед, замечу, что у этого антивируса уже есть очень сильный механизм проактивной защиты, как у "взрослых" антивирусных решений.
И так. Все начинается с web-инсталятора. Русский язык в наличии.
После установки, антивирус попросил перезагрузку. Это нормальное явление в связи с необходимостью установки драйвера-перехватчика.
Зато после установки, антивирь немедля заблокировал радмин, как потенциально опасную программу. Пришлось разблокировать вручную
Обратите внимание, антивирус заблокировал сам архиватор, как взаимодействующий с вирусами. Все антивирусы ранее блокировали сами вирусы (см на ошибку архиватора "файл недоступен").
Открыть папку с вирусами антивирь мне тоже не дал
Посмотрим, что у него со скоростью и качеством сканирования.
Продолжаем. Сканирование системы заняло 35 минут 41 секунду. Найдено 179 вирусов
Не найдено 8 вирусов
Пойдем на хитрость. Заражение COMODO вирусом, который он не знает. Это хороший тест для проактивной защиты.
Дальше в картинках
Пока я не разрешу действие, вирус не может действовать. Разрешаем и получаем:
Опять нужно подтвердить свой выбор - вирус пытается внедриться в систему. Аналогичное поведение с другими вирусами
После перезагрузки можно изолировать вредоносные файлы, прямо с журнала работы
Быстрая проверка DrWeb CureIt! подтвердила - активного заражения нет.
Хотя вирус есть и он на месте - COMODO его заблокировал
Идем дальше. Заражаем нашим комплектом вирей. После перезагрузки, комп таки загрузился, со скрипом, но разгрузился. Comodo уцелел (механизм самозащиты?) и даже начал отстреливать левые процессы:
Более того, есть диспетчер процессов с возможностями управления
Не смотря на заверения Comodo на чистый комп, есть огромные тормоза в работе + записи в реестре явно указывают на малварей.
Проверка винта на чистой системе DrWeb CureIt! показала вот что (диск D - это бывший диск C тестовой системы):
Code:
4757exe[1].exe;D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\B6KLTZMI;Trojan.Click.50748;Удален.;
4757exe[2].exe;D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\B6KLTZMI;Trojan.Click.50748;Удален.;
WinRAR.exe;D:\Program Files\WinRAR;Win32.Sector.4;Исцелен.;
syscr.exe;D:\RECYCLER\S-1-5-21-3227207928-2543379123-359484968-6327;Trojan.DownLoad.35732;Удален.;
104084.exe;D:\Temp;Trojan.Click.50748;Удален.;
8526303.exe;D:\Temp;Trojan.Click.50748;Удален.;
cfdrive32.exe;D:\WINDOWS;Trojan.Click.50748;Удален.;
lkakfe32.dll;D:\WINDOWS\system32;Trojan.PWS.Banker.52775;Неизлечим.Перемещен.;
nl398845.dll;D:\WINDOWS\system32;Win32.Sector.4;Удален.;
nl398845.dl_;D:\WINDOWS\system32;Win32.Sector.4;Удален.;
qmghhn.sys;D:\WINDOWS\system32\drivers;Win32.Sector.4;Удален.;
lkakfe32.dll;D:\WINDOWS\system32\spool\prtprocs\w32x86;Trojan.PWS.Banker.52775;Неизлечим.Перемещен.;
Т.е. если антивирус не знал cfdrive32.exe - то кроме проактивки ему противопоставить нечего.
PS - Win32.Sector.4 - это и есть Virus.Win32.Sality - антивирус с ним не справился. Хотя он его знает.
Следующий кандидат - DrWeb. На тестирование скачана обычная версия, без фаерволла. Жирный-жирный минус - привязка обновления антивируса к штатному планировщику, который отключается на раз. После инсталяции просит перезагрузку (видимо связано с системой самозащиты антивируса).
После перезагрузки, обновляем базы
На упаковку архива с вирусами наш герой молчит.
Открываем папку с вирусами - аналогично ;(
Посмотрим, что скажет полное сканирование системы.
Все антивирусы в тестировании используются в режиме "для домохозяек", т.е. с настройками по умолчанию. Единственное что, я не ставлю тулбары у некоторых антивирусов. Все остальное работает в таком режиме, в каком работает у 90% пользователей сети.
Время сканирования DrWeb несколько удивляет. 4-я версия была куда быстрее. А так имеем 2 часа 23 минуты. Учитывая то, что полное сканирование DrWeb CureIt! на этом компе занимает примерно 1.5 часа, то учитывая работу фонового антивирусного монитора, результат более-менее правдоподобен.
Кстати, на скрине хорошо видно, каким образом получается 180 вирусов из 178 образцов.
DrWeb пропустил 3 вируса
Проверим антивирус на устойчивость к заражению.
После заражения вирусами, DrWeb попытался их лечить прямо на ходу, видимо антивирусный монитор делал свое дело
После перезагрузки монитор не только уцелел (вроде бы), но и продолжил убивать нечисть
Но судя по диспетчеру задач полностью вылечить не удалось
Прочем запуск сканера решил проблему, верхний файл был удален после перезагрузки системы.
После перезагрузки быстрое сканирование ничего не обнаружило, процессы тоже чистые. Будем считать, условно вылечили.
Следующий антивирус - ESET NOD32. Установился без проблем (размещение в дистрибутиве коммерческого антивируса, пусть даже в триальной версии, яндекс-бара откровенно улыбнуло), перезагрузки не потребовал.
После контрольной перезагрузки упаковать архив не дал
Аналогично прореагировал на открытие папки с вирусами
Посмотрим, что скажет полное сканирование компа. Сканирование завершено.
Результаты сканирования
Пропущенные вирусы. 13 штук.
PS: блин, а я сижу и думаю, почему это Worm.Win32.AutoIt.xl самый популярный у нас червь? Вот оно что.
Ладно, смотрим на заражение и лечение.
Блажен тот, кто верует (с). После заражения NOD не только устоял, но и молчал как партизан.
Следующий кандидат - антивирус Касперского.
При инсталляции нас ожидает сюрприз - невозможность управлять антивирусом через радмин. Это часть механизма самозащиты антивируса. (я упоминал об этом выше).
После обновления и перезагрузки, проверяем. Запаковать в архив антивирус не дал
Открыть папку с вирусом антивирус не дал:
Автоматически начав лечение
Посмотрим, что покажет полное сканирование компа. Полная проверка компьютера заняла 46 минут 06 сек, обнаружено 194 вируса.
Пропущено 2 вируса
При заражении вирусом срабатывает проактивная защита (правда только задатки ее, более полная версия есть в KIS, но мы ее не рассматриваем).
Части вирусов просто не удалось внедриться в систему, хотя диспетчер задач они таки обрубили)))
После перезагрузки, мало того, что он обнаружил вирусы, так еще и собрался лечить Sality
Еще один момент, связанный с KAV - восстановление после заражения
Диспетчер задач раблокирован
Компьютер вылечен.
Следующий на растерзание - McAfee, точнее McAfee AntiVirus Plus
После регистрации дают скачать 3-х мегабайтный web-инсталятор. Устанавливаем с инета, предварительно сняв галочки с всего ненужного - нас интересует только антивирус.
Устанавливается относительно шустро
После установки и обновления, контрольной перезагрузки (хотя не требовал), продолжаем.
Запаковать вирусы в архив антивирус не дал
При просмотре папки с вирусами тоже заблокировал
Посмотрим, что скажет полное сканирование компа
Полное сканирование заняло примерно 28 минут (точнее не скажу, журнал антивируса довольно не информативен).
Понаходило всякой хрени, включая куки (кому они мешали)
Зато пропустило 15 вирусов
Посмотрим систему на заражение. После заражения вирями шикарный вариант - антивирь не мешает вирусам, вирусы не мешают ему)))
20.08 к ночи закончю публикацию первого теста....
Last edited by artscripts : 08-19-2011 at 03:37 PM.
Настройки антивируса не учитываете? У них всех есть несколько режимов, но суть такова, что один режим обязательно максимально щадит системные ресурсы, и, например, не сканирует каждый каталог, который открывает пользователь, а другой режим - наоборот, жертвуя системными ресурсами, сканирует всё и вся. Подозреваю, что во время тестирования Вами Аваста был включен как раз щадящий режим, раз он не ругнулся на каталог с кучей гадостей. = )
Centurio, Это только 1 тест, просто спешат с указанием источника, как будт-то я их некогда не указывал. Я приведу тут 5 независимых тестов, если конечно тема позволит, из 5 разных источников, потом их укажу сверху как все дооформлю. За один день конечно не получится, но за неделю осилю. там и сравните результаты. Еще раз повторюсь если мне позволит тема вместить столько символов
OldEr
Специалист
Join Date: Jun 2007
Награды в конкурсах:
Posts: 4,731
Версия vB: 3.8.x
Пол:
Reputation:
Мастер 4230
Репутация в разделе: 513
1
Источник хорошо бы сразу указывать, а то получается время оформить пост Вы нашли, а добавить ссылоку нет - некрасиво.)
Да ничего еще не дооформленно)) мне места под картинки не хватает)) Если уж принципиально вам все сразу недоделаное, то пожалуйста, можно просто сылок на фтыкать сами обзор собирайте)
artscripts добавил 19.08.2011 в 01:39
Постараюсь до завтра до ночи первый тест доделать.
Last edited by artscripts : 08-19-2011 at 01:39 AM.
Reason: Добавлено сообщение
OldEr
Специалист
Join Date: Jun 2007
Награды в конкурсах:
Posts: 4,731
Версия vB: 3.8.x
Пол:
Reputation:
Мастер 4230
Репутация в разделе: 513
0
Quote:
Originally Posted by artscripts
Если уж принципиально вам все сразу недоделаное, то пожалуйста, можно просто сылок на фтыкать сами обзор собирайте)
Не в этом дело. Мне бы, например, было очень неприятно, если бы взяли мой материал(статью, пост, обзор) скопипастили и даже ссылку обратную не оставили.
Тестирование антивирусов 2011
