Skocz do zawartości
Nadchodzące zmiany w logowaniu

Malware Research Group: Test na wykrywanie "rogue" (styczeń 2011)

ichito

Przez ichito
w Oprogramowanie zabezpieczające

Rekomendowane odpowiedzi

ichito

ichito

Opublikowano
Opublikowano

Malware Research Group PUA Analysis & Infection Prevention Report

 

Malware Research Group opublikowało wyniku najnowszego styczniowego testu na wykrywanie programów "rogue" czyli fałszywego oprogramowania, które dość często gości na forum. Do testu użyto 15 próbek, po 5 w trzech kategoriach:

- klasyczne "rogue" (fałszywe AV, anty-spyware, czyściciele rejestru, itp.), które mają zerową lub minimalną funkcjonalność niemniej od razu wymagają rejestracji (często płatnej) w celu odblokowania rzekomych możliwości naprawczych

- małe samodzielne aplikacje (toolbary, czyściciele dysków) które same w sobie nie szkodzą, ale zawierają ukryte moduły, które po instalacji mogą ściągać i instalować faktycznie szkodliwe oprogramowanie

- "finansowe rogue" czyli programy wyświetlające fałszywe komunikaty o np. zagrożeniu czy katastrofalnym stanie systemu i żądają podczas rejestracji podania np. numeru karty kredytowej lub przekierowują na szkodliwe strony...tak czy siak celem jest kradzież prywatnych danych.

 

Wyniki - od najgorszych do najlepszych:

0 wykrytych

SUPERAntiSpyware...absolutna porażka

1 wykryty

Microsoft Security Essentials...chyba podobnie jak wyżej

2 wykryte

NANO AntiVirus

7 wykrytych

BitDefender Internet Security 2011

McAfee Internet Security 2011

8 wykrytych

AVG Internet Security 2011

10 wykrytych

Kaspersky Internet Security 2011

VIPRE Antivirus Premium

11 wykrytych

avast! Internet Security

Avira Premium Security Suite

Norton Internet Security 2011

Panda Internet Security 2011

12 wykrytych

ESET Smart Security

13 wykrytych

Online Armor++

Prevx

14 wykrytych

Coranti 2010

F-Secure Internet Security 2011

Malwarebytes

15 wykrytych - wszystkie!

Immunet Protect Plus

 

SAS i MSE...zaskakująca porażka...

Całość raportu do pobrania http://malwareresear...t-Jan-20113.zip

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
LikwidatoR

LikwidatoR

Opublikowano
Opublikowano

Ładny poziom trzyma F-Secure i Immunet Plus, ale jak wiemy posiadają silnik Bitdefendera ,a BD sporo za nimi :D F-Secure i Immunet ma przewagę nad nim ,że pierwszy posiada oprócz jego silnika własne silniki heurystyczne, a immunet swoją chmurę i pewnie dlatego takie wyniki. Dla mnie ichto wynik MSE żadna niespodzianka, chyba nie jesteś tym faktem zdziwiony, tak samo SAS. Nie wiem czemu ludzie nakręcają się tym programem jeśli od spyware są od niego lepsze np. CounterSpy, Spysweeper , SpyEmergency, MBAM itp.:) Dla mnie to słaby program , jedyny plus,że można go używać za darmo :D

Odnośnik do komentarza
ichito

ichito

Opublikowano
  • Autor
Opublikowano

Dla mnie ichto wynik MSE żadna niespodzianka, chyba nie jesteś tym faktem zdziwiony, tak samo SAS. Nie wiem czemu ludzie nakręcają się tym programem jeśli od spyware są od niego lepsze np. CounterSpy, Spysweeper , SpyEmergency, MBAM itp.:) Dla mnie to słaby program , jedyny plus,że można go używać za darmo :D

No właśnie Likwi jestem zdziwiony...SAS polecają na wielu forach...nawet, że niby skuteczniejszy od MBAM, co według nawet moich skromnych doświadczeń mija się z prawdą, a czego potwierdzenie widać w wynikach testu. Co do MSE...wydawało mi się, że powinien być skuteczniejszy, chociaż do testów użyto starszej wersji (1)...w końcu to produkt MS czyli producenta systemu najbardziej popularnego, a tym samym najczęściej narażonego na takie fałszywki. Sam test jest trochę "rozkraczony"...testowano samodzielne AV jak i pakiety i może dlatego pierwsza najsłabsza trójka to samodzielne AV?...może sumarycznie możliwości pakietu miały wpływ na ostateczne wyniki?

Odnośnik do komentarza
ichito

ichito

Opublikowano
  • Autor
Opublikowano

Nie czytałem metodologi tego testu, ale jak to było skanowanie rogue na żądanie to nie było różnicy czy to pakiet IS czy zwykły Av bo tylko podczas takiego skanu Av z sygnaturami i heurystyką jest wykorzystywany . Jeśli odpalane były te rogue to wiadome Av bez szans bo brak Hipsa, blokera behawioralnego itd. i wynik wypaczony jak najbardziej ;)

Też nie zwróciłem na to uwagi, ale tu fragment metodologii

"(...)

4) One of the Affiliate PUA samples installer is copied to the desktop of each of the 201 cloned systems.

5) The Affiliate PUA installer is executed.

6) If the PUA installs, the PUA is then executed.

7) Security applications which detect the installer in stage 4 (czyli kopiowanie na pulpit) or block its execution in stage 5 (czyli instalacja) or the PUA

from executing in stage 6 (czyli uruchomienie) are classified as having passed the test.

8) Applications which fail to detect the installer in stage 4 or block its execution in stage 5 or the PUA

from executing in stage 6 are classified as having failed the test. (...)"

 

Wynika z tego, że jednak miały znaczenie moduły ochrony proaktywnej...HIPSy czy blokery. Samodzielne AV nie miały raczej szans.

Odnośnik do komentarza
Sevard

Sevard

Opublikowano
Opublikowano

Tu jeszcze jest jeden problem. To, że coś jest wykryte nie oznacza, że jest usunięte. I stąd właśnie popularność SAS. Jak już coś wykryje, to najpewniej to usunie (podobnie Malwarebytes', ale ten część szkodników blokuje w pierwszej kolejności po zainfekowaniu systemu), dlatego stosuje się go na zainfekowanych systemach. Jednakże nie można go polecić jako jedyne zabezpieczenie przed spyware. Ot stosuje się go jako skaner, gdy nadejdzie taka potrzeba.

Zgadzam się z opinią, że HIPSy raczej nie były tu w ogóle używane do blokowania intruzów. Przeprowadzono raczej test oparty na blacklistach, czyli w sumie nic pożytecznego, tylko ładnie potem wyniki wyglądają.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...