Skocz do zawartości
ichito

Malware Research Group: Test na wykrywanie "rogue" (styczeń 2011)

Rekomendowane odpowiedzi

Malware Research Group PUA Analysis & Infection Prevention Report

 

Malware Research Group opublikowało wyniku najnowszego styczniowego testu na wykrywanie programów "rogue" czyli fałszywego oprogramowania, które dość często gości na forum. Do testu użyto 15 próbek, po 5 w trzech kategoriach:

- klasyczne "rogue" (fałszywe AV, anty-spyware, czyściciele rejestru, itp.), które mają zerową lub minimalną funkcjonalność niemniej od razu wymagają rejestracji (często płatnej) w celu odblokowania rzekomych możliwości naprawczych

- małe samodzielne aplikacje (toolbary, czyściciele dysków) które same w sobie nie szkodzą, ale zawierają ukryte moduły, które po instalacji mogą ściągać i instalować faktycznie szkodliwe oprogramowanie

- "finansowe rogue" czyli programy wyświetlające fałszywe komunikaty o np. zagrożeniu czy katastrofalnym stanie systemu i żądają podczas rejestracji podania np. numeru karty kredytowej lub przekierowują na szkodliwe strony...tak czy siak celem jest kradzież prywatnych danych.

 

Wyniki - od najgorszych do najlepszych:

0 wykrytych

SUPERAntiSpyware...absolutna porażka

1 wykryty

Microsoft Security Essentials...chyba podobnie jak wyżej

2 wykryte

NANO AntiVirus

7 wykrytych

BitDefender Internet Security 2011

McAfee Internet Security 2011

8 wykrytych

AVG Internet Security 2011

10 wykrytych

Kaspersky Internet Security 2011

VIPRE Antivirus Premium

11 wykrytych

avast! Internet Security

Avira Premium Security Suite

Norton Internet Security 2011

Panda Internet Security 2011

12 wykrytych

ESET Smart Security

13 wykrytych

Online Armor++

Prevx

14 wykrytych

Coranti 2010

F-Secure Internet Security 2011

Malwarebytes

15 wykrytych - wszystkie!

Immunet Protect Plus

 

SAS i MSE...zaskakująca porażka...

Całość raportu do pobrania http://malwareresear...t-Jan-20113.zip

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ładny poziom trzyma F-Secure i Immunet Plus, ale jak wiemy posiadają silnik Bitdefendera ,a BD sporo za nimi :D F-Secure i Immunet ma przewagę nad nim ,że pierwszy posiada oprócz jego silnika własne silniki heurystyczne, a immunet swoją chmurę i pewnie dlatego takie wyniki. Dla mnie ichto wynik MSE żadna niespodzianka, chyba nie jesteś tym faktem zdziwiony, tak samo SAS. Nie wiem czemu ludzie nakręcają się tym programem jeśli od spyware są od niego lepsze np. CounterSpy, Spysweeper , SpyEmergency, MBAM itp.:) Dla mnie to słaby program , jedyny plus,że można go używać za darmo :D

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dla mnie ichto wynik MSE żadna niespodzianka, chyba nie jesteś tym faktem zdziwiony, tak samo SAS. Nie wiem czemu ludzie nakręcają się tym programem jeśli od spyware są od niego lepsze np. CounterSpy, Spysweeper , SpyEmergency, MBAM itp.:) Dla mnie to słaby program , jedyny plus,że można go używać za darmo :D

No właśnie Likwi jestem zdziwiony...SAS polecają na wielu forach...nawet, że niby skuteczniejszy od MBAM, co według nawet moich skromnych doświadczeń mija się z prawdą, a czego potwierdzenie widać w wynikach testu. Co do MSE...wydawało mi się, że powinien być skuteczniejszy, chociaż do testów użyto starszej wersji (1)...w końcu to produkt MS czyli producenta systemu najbardziej popularnego, a tym samym najczęściej narażonego na takie fałszywki. Sam test jest trochę "rozkraczony"...testowano samodzielne AV jak i pakiety i może dlatego pierwsza najsłabsza trójka to samodzielne AV?...może sumarycznie możliwości pakietu miały wpływ na ostateczne wyniki?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Nie czytałem metodologi tego testu, ale jak to było skanowanie rogue na żądanie to nie było różnicy czy to pakiet IS czy zwykły Av bo tylko podczas takiego skanu Av z sygnaturami i heurystyką jest wykorzystywany . Jeśli odpalane były te rogue to wiadome Av bez szans bo brak Hipsa, blokera behawioralnego itd. i wynik wypaczony jak najbardziej ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Nie czytałem metodologi tego testu, ale jak to było skanowanie rogue na żądanie to nie było różnicy czy to pakiet IS czy zwykły Av bo tylko podczas takiego skanu Av z sygnaturami i heurystyką jest wykorzystywany . Jeśli odpalane były te rogue to wiadome Av bez szans bo brak Hipsa, blokera behawioralnego itd. i wynik wypaczony jak najbardziej ;)

Też nie zwróciłem na to uwagi, ale tu fragment metodologii

"(...)

4) One of the Affiliate PUA samples installer is copied to the desktop of each of the 201 cloned systems.

5) The Affiliate PUA installer is executed.

6) If the PUA installs, the PUA is then executed.

7) Security applications which detect the installer in stage 4 (czyli kopiowanie na pulpit) or block its execution in stage 5 (czyli instalacja) or the PUA

from executing in stage 6 (czyli uruchomienie) are classified as having passed the test.

8) Applications which fail to detect the installer in stage 4 or block its execution in stage 5 or the PUA

from executing in stage 6 are classified as having failed the test. (...)"

 

Wynika z tego, że jednak miały znaczenie moduły ochrony proaktywnej...HIPSy czy blokery. Samodzielne AV nie miały raczej szans.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Raczej wątpię aby piaskownice (Avast, KIS) i HIPS OA (Program Guard) poległy? Jeżeli jest mowa o wykrytych rogue, to jest test on-demand.

Nie ma też FP w tym teście, a Immunet mocno sypie fałszywkami.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Tu jeszcze jest jeden problem. To, że coś jest wykryte nie oznacza, że jest usunięte. I stąd właśnie popularność SAS. Jak już coś wykryje, to najpewniej to usunie (podobnie Malwarebytes', ale ten część szkodników blokuje w pierwszej kolejności po zainfekowaniu systemu), dlatego stosuje się go na zainfekowanych systemach. Jednakże nie można go polecić jako jedyne zabezpieczenie przed spyware. Ot stosuje się go jako skaner, gdy nadejdzie taka potrzeba.

Zgadzam się z opinią, że HIPSy raczej nie były tu w ogóle używane do blokowania intruzów. Przeprowadzono raczej test oparty na blacklistach, czyli w sumie nic pożytecznego, tylko ładnie potem wyniki wyglądają.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dlatego specjalnie wzięli OA++.

 

Cieszy mnie ten wynik, myślałem że OA++ już się nie liczy. Zestaw OA + Emsisoft Anti-malware jest bardzo mocny (a OA++ i Sandboxie jest wyjechany w kosmos, pod względem skuteczności).

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

 

(a OA++ i Sandboxie jest wyjechany w kosmos, pod względem skuteczności).

 

 

Zgadza się! Sam polecam w jednym z zestawów do wyboru OA + Sandboxie + Avira. Ale jeszcze skuteczniejszy jest Shadow Defender + OA Premium :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...