Зайцев Олег
17.06.2005, 11:27
Итак, подошли к концу тесты, описанные в теме http://virusinfo.info/showthread.php?t=2528. Результаты будет обработаны статистически и сведены в единые таблицы и графики, но общие тенденции наметились и вероятно их стоит озвучить:
1. Поиск SpyWare в реестре и cookies. Я сотни раз говорил и писал, и еще повторюсь, что
1.1 Реестр - это древовидная база данных, хранящая настройки системы и прикладных программ. "Шпионов" там быть не может по определению - могут быть ключи, созданные некими программами (эти ключи просто хранят настройки этих программ и никакой угрозы не несут - нет разницы, какая программа создала ключ - ключ реестра - это просто запись в базе данных, сама по себе не опасная). Естетсвенно, что некая программа может поменять ключи, хранящие настройки системы - но это уже отдельный разговор ... Тем не менее, многие из исследованных AntiSpyware программ с маниакальной тщательностью ищет ключи реестра, и обнаружив некий ключ типа Software\Gator начинают кричать, что "в реестре обнаружен SpyWare.Gator" ... - т.е. собственно никакого SpyWare в реестре конечно нет, есть ключ, который сам по себе не опасен
1.2 Шпионские Cookies. Это еще один "зверь", доведенный до абсурда. Cookies - это небольшой текстовый файл, в котором посещаемый WEB сайт может сохранить некие данные (настройки пользователя, некие параметры, дату посещения и т.п.). Файл текстовый и исполняться никак и ничем не может ... создается он только в ходе посещения некоего сайта, передается при его повторных посещениях. Опасности он практически никакой не несет - за исключением того, что разные счетчики-рейтинки смогут следить за моими переходами по сайтам, охваченным одинаковым рейтингом. По идее пользователь может удалить cookies, запретить их, IE6+ содержит мощные средства их блокировки .... - т.е. мифическая супер-опасность cookies явно завышена. Однако параноидальная охота на cookies - хороший маркетинговый ход, т.к. почти гарантировано на любом ПК можно найти кучу cookies разных счетчиков/рейтингов ...
2. Поиск файлов по именам. Смех-смехом, но несколько крупных исследованных продуктов так и поступают. Мало того, что данная методика совершенно не эффективна (многие "звери" меняют свои имена), она потенциально опасна - по мере роста базы растет вероятность ложных срабатываний. Причем самое неприятное в том, что если бы выдавалось сообщение "возможно ..." или "подозрение на ..." - это еще терпимо, но ведь исследованные продукты говорят однозначно - "троян", "вирус", "шпион" и предлагают их удалить. На настоящий момент единственным надежным методом определения "зверя" является сигнатура (начиная от полной MD5 суммы и заканчивая некими выборочными сигнатурами достаточно большого размера внутри файла)
3. Эвристика. В описании многих продуктов гордо заявлено, что есть эвристические методики поиска шпионов ... если они и есть, то успешно и надежно замаскированы :) В ходе тестов я практически не видел срабатываний эвристики ...
4. Большинство исследованных продуктов плохо ловят Trojan-Downloader и Trojan-Dropper. И очень зря ! По сути установка многих зверей происходит имеенно при помощи Trojan-Downloader, и если в ходе лечения не изловить этого самого Trojan-Downloader, то толку от лечения по сути не будет ...
5. Беспомощность перед RootKit технологиями. Причем под RootKit я понимаю простейшие базовые распространенные методики, типа перехвата API в UserMode ... - простейший перехватчик делает процессы и файлы невидимыми. А ведь далеко ходить не нужно - в данной конференции мы уже ловили SpyWare/AdWare, применяющие RookKit технологии для своей маскировки
6. Количество записей в базе. Как показывает практика, цифры, описывающие размеры базы - не показатель ее качества. Опять же, в общем выводе я не хочу заострять внимание на конкреных продуктах, но общая тенденция видна - поразить пользователя огромным количеством чего-то в базе (цифры зачастую внушительные - порядка 100 тыс).
1. Поиск SpyWare в реестре и cookies. Я сотни раз говорил и писал, и еще повторюсь, что
1.1 Реестр - это древовидная база данных, хранящая настройки системы и прикладных программ. "Шпионов" там быть не может по определению - могут быть ключи, созданные некими программами (эти ключи просто хранят настройки этих программ и никакой угрозы не несут - нет разницы, какая программа создала ключ - ключ реестра - это просто запись в базе данных, сама по себе не опасная). Естетсвенно, что некая программа может поменять ключи, хранящие настройки системы - но это уже отдельный разговор ... Тем не менее, многие из исследованных AntiSpyware программ с маниакальной тщательностью ищет ключи реестра, и обнаружив некий ключ типа Software\Gator начинают кричать, что "в реестре обнаружен SpyWare.Gator" ... - т.е. собственно никакого SpyWare в реестре конечно нет, есть ключ, который сам по себе не опасен
1.2 Шпионские Cookies. Это еще один "зверь", доведенный до абсурда. Cookies - это небольшой текстовый файл, в котором посещаемый WEB сайт может сохранить некие данные (настройки пользователя, некие параметры, дату посещения и т.п.). Файл текстовый и исполняться никак и ничем не может ... создается он только в ходе посещения некоего сайта, передается при его повторных посещениях. Опасности он практически никакой не несет - за исключением того, что разные счетчики-рейтинки смогут следить за моими переходами по сайтам, охваченным одинаковым рейтингом. По идее пользователь может удалить cookies, запретить их, IE6+ содержит мощные средства их блокировки .... - т.е. мифическая супер-опасность cookies явно завышена. Однако параноидальная охота на cookies - хороший маркетинговый ход, т.к. почти гарантировано на любом ПК можно найти кучу cookies разных счетчиков/рейтингов ...
2. Поиск файлов по именам. Смех-смехом, но несколько крупных исследованных продуктов так и поступают. Мало того, что данная методика совершенно не эффективна (многие "звери" меняют свои имена), она потенциально опасна - по мере роста базы растет вероятность ложных срабатываний. Причем самое неприятное в том, что если бы выдавалось сообщение "возможно ..." или "подозрение на ..." - это еще терпимо, но ведь исследованные продукты говорят однозначно - "троян", "вирус", "шпион" и предлагают их удалить. На настоящий момент единственным надежным методом определения "зверя" является сигнатура (начиная от полной MD5 суммы и заканчивая некими выборочными сигнатурами достаточно большого размера внутри файла)
3. Эвристика. В описании многих продуктов гордо заявлено, что есть эвристические методики поиска шпионов ... если они и есть, то успешно и надежно замаскированы :) В ходе тестов я практически не видел срабатываний эвристики ...
4. Большинство исследованных продуктов плохо ловят Trojan-Downloader и Trojan-Dropper. И очень зря ! По сути установка многих зверей происходит имеенно при помощи Trojan-Downloader, и если в ходе лечения не изловить этого самого Trojan-Downloader, то толку от лечения по сути не будет ...
5. Беспомощность перед RootKit технологиями. Причем под RootKit я понимаю простейшие базовые распространенные методики, типа перехвата API в UserMode ... - простейший перехватчик делает процессы и файлы невидимыми. А ведь далеко ходить не нужно - в данной конференции мы уже ловили SpyWare/AdWare, применяющие RookKit технологии для своей маскировки
6. Количество записей в базе. Как показывает практика, цифры, описывающие размеры базы - не показатель ее качества. Опять же, в общем выводе я не хочу заострять внимание на конкреных продуктах, но общая тенденция видна - поразить пользователя огромным количеством чего-то в базе (цифры зачастую внушительные - порядка 100 тыс).