Показано с 1 по 18 из 18.

Общие тенденции современных AntiSpyWare

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Общие тенденции современных AntiSpyWare

    Итак, подошли к концу тесты, описанные в теме http://virusinfo.info/showthread.php?t=2528. Результаты будет обработаны статистически и сведены в единые таблицы и графики, но общие тенденции наметились и вероятно их стоит озвучить:
    1. Поиск SpyWare в реестре и cookies. Я сотни раз говорил и писал, и еще повторюсь, что
    1.1 Реестр - это древовидная база данных, хранящая настройки системы и прикладных программ. "Шпионов" там быть не может по определению - могут быть ключи, созданные некими программами (эти ключи просто хранят настройки этих программ и никакой угрозы не несут - нет разницы, какая программа создала ключ - ключ реестра - это просто запись в базе данных, сама по себе не опасная). Естетсвенно, что некая программа может поменять ключи, хранящие настройки системы - но это уже отдельный разговор ... Тем не менее, многие из исследованных AntiSpyware программ с маниакальной тщательностью ищет ключи реестра, и обнаружив некий ключ типа Software\Gator начинают кричать, что "в реестре обнаружен SpyWare.Gator" ... - т.е. собственно никакого SpyWare в реестре конечно нет, есть ключ, который сам по себе не опасен
    1.2 Шпионские Cookies. Это еще один "зверь", доведенный до абсурда. Cookies - это небольшой текстовый файл, в котором посещаемый WEB сайт может сохранить некие данные (настройки пользователя, некие параметры, дату посещения и т.п.). Файл текстовый и исполняться никак и ничем не может ... создается он только в ходе посещения некоего сайта, передается при его повторных посещениях. Опасности он практически никакой не несет - за исключением того, что разные счетчики-рейтинки смогут следить за моими переходами по сайтам, охваченным одинаковым рейтингом. По идее пользователь может удалить cookies, запретить их, IE6+ содержит мощные средства их блокировки .... - т.е. мифическая супер-опасность cookies явно завышена. Однако параноидальная охота на cookies - хороший маркетинговый ход, т.к. почти гарантировано на любом ПК можно найти кучу cookies разных счетчиков/рейтингов ...
    2. Поиск файлов по именам. Смех-смехом, но несколько крупных исследованных продуктов так и поступают. Мало того, что данная методика совершенно не эффективна (многие "звери" меняют свои имена), она потенциально опасна - по мере роста базы растет вероятность ложных срабатываний. Причем самое неприятное в том, что если бы выдавалось сообщение "возможно ..." или "подозрение на ..." - это еще терпимо, но ведь исследованные продукты говорят однозначно - "троян", "вирус", "шпион" и предлагают их удалить. На настоящий момент единственным надежным методом определения "зверя" является сигнатура (начиная от полной MD5 суммы и заканчивая некими выборочными сигнатурами достаточно большого размера внутри файла)
    3. Эвристика. В описании многих продуктов гордо заявлено, что есть эвристические методики поиска шпионов ... если они и есть, то успешно и надежно замаскированы В ходе тестов я практически не видел срабатываний эвристики ...
    4. Большинство исследованных продуктов плохо ловят Trojan-Downloader и Trojan-Dropper. И очень зря ! По сути установка многих зверей происходит имеенно при помощи Trojan-Downloader, и если в ходе лечения не изловить этого самого Trojan-Downloader, то толку от лечения по сути не будет ...
    5. Беспомощность перед RootKit технологиями. Причем под RootKit я понимаю простейшие базовые распространенные методики, типа перехвата API в UserMode ... - простейший перехватчик делает процессы и файлы невидимыми. А ведь далеко ходить не нужно - в данной конференции мы уже ловили SpyWare/AdWare, применяющие RookKit технологии для своей маскировки
    6. Количество записей в базе. Как показывает практика, цифры, описывающие размеры базы - не показатель ее качества. Опять же, в общем выводе я не хочу заострять внимание на конкреных продуктах, но общая тенденция видна - поразить пользователя огромным количеством чего-то в базе (цифры зачастую внушительные - порядка 100 тыс).
    Последний раз редактировалось Зайцев Олег; 18.06.2005 в 17:40.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    В частности и Spybot и AdAware очень тщательно просматривают реестр и записи от зверей выдают за самих зверей
    А ведь неопытный пользователь и правда подумает, что они нашли что-то опасное
    Нужно радоваться, что хоть большинство антивирей не ищет зверей в реестре.
    Куки это, конечно, тоже смешно.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Geser
    Guest
    Ну чистка реестра тоже дело полезное

  5. #4
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    0
    по_моему, вполне логично вести поиск в реестре и в случае обнаружения подозрительных ключей переходить на диск для проверки указанных файлов... ad_aware, pestpatrol(не "трастовый") вместе записями ключей всегда показывают директории и файлы будто-бы шпионов.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от santy
    по_моему, вполне логично вести поиск в реестре и в случае обнаружения подозрительных ключей переходить на диск для проверки указанных файлов... ad_aware, pestpatrol(не "трастовый") вместе записями ключей всегда показывают директории и файлы будто-бы шпионов.
    Показывают они далеко не всегда ... в том то и все дело. И формулировка "Malware", а не подозрение на что-то там. мы то понимаем, что к чему ... а начинающего "вирусолова" такой лог повергает в шок.
    Пример - у меня абсолютно чистый ПК, на нем гарантировано ничего нет - но Ad_Aware нашет целый "зверинец", например:
    CoolWebSearch Object Recognized!
    Type : RegData
    Data : about:blank
    Category : Malware
    Comment :
    Rootkey : HKEY_LOCAL_MACHINE
    Object : software\microsoft\internet explorer\main
    Value : Start Page
    Data : about:blank
    возникает вопрос - и где тут CoolWebSearch !?
    или вот еще пример:
    Startnow.Hyperbar Object Recognized!
    Type : Regkey
    Data :
    Category : Malware
    Comment :
    Rootkey : HKEY_LOCAL_MACHINE
    Object : software\igor v. gunko
    Эту запись я специально внес в реестр - кроме пустого ключа "software\igor v. gunko" там ничего нет ...
    Или вот еще пример -
    Tracking Cookie Object Recognized!
    Type : IECache Entry
    Data : zaitsev@rambler[2].txt
    Category : Data Miner
    Comment : Hits:851
    Value : Cookie:zaitsev@rambler.ru/
    Expires : 05.06.2015 15:34:36
    LastSync : Hits:851
    UseCount : 0
    Hits : 851
    Возникает вопрос - рамблер то чем виноват (там у меня в списке нашлось 420 "tracking cookies", причем сайты то нормальные - rambler.ru, list.ru, downloads.ru, bannerbank.ru, hotlog.ru, ...) - как правило от баннерных рулеток или рейтинговых счетчиков.
    Т.е. имхо проверять реестр можно и нужно, как один из вариантов эвристики - AVZ на шаге 7 в том числе это и делает, когда шерстит систему программами эвристики ...

  7. #6
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    52
    Позволю себе не согласиться с Олегом. Поиск спайваря по именам файлов и ключам реестра может быть очень эффективным! Там, где разработчики вставляют изменение имени файла, почему то почти всегда забывают про новый CLSID а уж подавляющее большинство заразы настолько примитивно, что и этого не делает... так что, несмотря на примитивность и глючность метода, он имеет право на жизнь. Благодарные пользователи продуктов, его использующих, подтвердили бы мои слова

    Далее, хорошим методом детекта я бы назвал сигнатурный, но с обязательной поддержкой большого числа упаковщиков. Пример - Adware.GloboSearch, мутирующее со страшной силой. АВЗ ловит очень незначительное количество его модификаций...

    Что касается КАВ, то и он недалеко ушел. Студенты-рабы у Каспера составляют такие сигнатуры, что хоть стой, хоть плакай. Берут числом. В итоге начинает ловиться практически все, но далеко не сразу.

    А вообще, так же склоняюсь к мысли, что, кроме продвинутых стартап-менеджеров, рулят только антивирусы, а обычные ремуверы нафиг не нужны. Пример - LazyMin, который хрен какой ремувер вылечит из-за встроенного механизма файлового инфекта ;-)

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Xen
    Позволю себе не согласиться с Олегом. Поиск спайваря по именам файлов и ключам реестра может быть очень эффективным! Там, где разработчики вставляют изменение имени файла, почему то почти всегда забывают про новый CLSID а уж подавляющее большинство заразы настолько примитивно, что и этого не делает... так что, несмотря на примитивность и глючность метода, он имеет право на жизнь. Благодарные пользователи продуктов, его использующих, подтвердили бы мои слова
    ....
    AVZ на этапе 7 именно это и делает. Но прежде чем писать то-то в лог, он проследит ссылку до файла, убедится в его наличие, провери его по базе безопасных файлов и базе "зверей", проверит имя файла, может быть поищет некие сигнатуры ... - это я считаю нормальным и имеющим право на жизнь как один из методов. Я имел в виду пример, показанный на Ad-Aware чуть выше - вопли по поводу каждого "шпионского" ключа реестра.

  9. #8
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    52
    Ну да, false positives как средство маркетинга еще никто не отменял ;) Хотя этим неявно грешит и MS AntiSpyware, скажем, при проверке FlashGet ;-))

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Xen
    Ну да, false positives как средство маркетинга еще никто не отменял Хотя этим неявно грешит и MS AntiSpyware, скажем, при проверке FlashGet ;-))
    Вот вот ... именно. И охота на кукизы, имхо, из этой же оперы - продукт должен ловить что-то в больших количествах, не важно что конкретно. И еще я забыл про один момент - сейчас я дописал его к первому посту - кол-во записей в базе. Как правило, эта цифра практически не отражает качества работы ...

  11. #10
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    0
    Цитата Сообщение от Зайцев Олег
    ...Т.е. имхо проверять реестр можно и нужно, как один из вариантов эвристики - AVZ на шаге 7 в том числе это и делает, когда шерстит систему программами эвристики ...
    Если визуально наблюдать за работой некоторых AntiSpyWare, можно заметить что:
    Adaware SE при быстром сканировании компа проверяет первоначально процессы и модули, затем реестр, кэш браузера, закладки IE, систему, потом сканирует диск (если указаны папки, или полное сканирование диска).
    SpyBot&Destroy непонятно (визуально) какую ведет проверку, перебирая список(св.24000) антишпионов из антивирусной базы.
    Microsoft AntiSpyware проверяет процессы, сканирует диск, затем проверяет реестр.
    Олег, а какую последовательность проверок реально выполняют протестированные Вами AntiSpyware? И какая последовательность проверки видится Вам оптимальной?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от santy
    Если визуально наблюдать за работой некоторых AntiSpyWare, можно заметить что:
    Adaware SE при быстром сканировании компа проверяет первоначально процессы и модули, затем реестр, кэш браузера, закладки IE, систему, потом сканирует диск (если указаны папки, или полное сканирование диска).
    SpyBot&Destroy непонятно (визуально) какую ведет проверку, перебирая список(св.24000) антишпионов из антивирусной базы.
    Microsoft AntiSpyware проверяет процессы, сканирует диск, затем проверяет реестр.
    Олег, а какую последовательность проверок реально выполняют протестированные Вами AntiSpyware? И какая последовательность проверки видится Вам оптимальной?
    Реально все исследованные продукты работают примерно одинаково, просто реализации различаются ... но идея проста:
    1. Сканирование реестра (часто тупым перебором ключей из базе данных)
    2. Проверка памяти (аналогично - иногда нормально, иногда просто поиск процессов по именам)
    3. Поиск файлов на диске (иногда по именам, иногда по сигнатурам ... часто можно видеть длительный поиск несуществующих файлов по полным именам)
    4. Поиск особых объектов типа кукизов, файлов в кеше браузера ...
    В разных продуктах меняется порядок этих операций, их исполнение - но принцип одинаковый.
    ---------
    По моему мнению, ни один из исследованных продуктов не далал ряд важных вещей, мне порядок работы видится так:
    1. Антируткит. Тут даже речи нет о поиске серьезных руткитов - просто нужно хотя-бы анализировать/лечить перехват API + хотя-бы сто-то типа правки KiST. Иначе банальный перехват 2-5 функций делает "зверя" невидимым и неуязвимым - а таких "зверей" из области SpyWare становится все больше.
    2. Сканирование памяти - перед проверкой диска нужно найти и остановить вредоносные процессы - это упростит лечение и повысит его эффективность. В случае лечения - удаление файла и зачистка системы согласно описанным в базе правилам;
    3. Сканирование диска - поиск файлов по сигнатурам. В случае лечения - зачистка системы согласно описанным в базе правилам;
    4. Эвристика - в том числе проверка реестра, поиск каких-то характерных и опасных изменений в системе ... - это как завершение, т.к. без п.п. 1 можно многое не увидеть, а на п.п. 2-3 можно найти "зверей" надежными способами и поубивать их - это уменьшит кол-во срабатываний на п.п 4

  13. #12
    Scelio
    Guest
    Ну да, false positives как средство маркетинга еще никто не отменял Хотя этим неявно грешит и MS AntiSpyware, скажем, при проверке FlashGet ;-))
    А какой-такой ФлэшГет? Забыли уже, что в прошлых версиях был режим "adware", т.е. можно было не вводить серийник, а глотать баннеры, скачанные услужливым Cydoor'ом. На этот цидор-модуль и ругаются практически все антивиры/антиспаи.

  14. #13
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    52
    Да, ругаются, но... 1) юзер сам выбирает вариант установки адварной версии 2) MS AntiSpyware предлагает удалить весь ФлешГет целиком :-))

  15. #14
    Scelio
    Guest
    Вдогонку - не стоит говорить о бесполезности и неэффективности проверки реестра - программы, которые находят и убивают ключи, прописанные злыми врагами в реестре тем самым деактивируют шпионов.
    В этом они могут оказаться даже эффективнее антивиров - антивир может не найти вражину сигнатурным/эвристическм поиском, а антиспай, прибив "подозрительный" ключ отцепит его от эксплорера, тем самым обезвредив. Опять же, нужно знать, что удаляешь...
    Для примера возьмем тот же тулбар с crack.ms - SpyBot находит от него кучу ключей в реестре и прибивает их. В результате тулбар не грузится (он же в реестре не прописан, лежит себе на винте длл-ка). А, например SpywareDoctor находит эти же ключи, и при проверке дисков своим дисксканером находит файлы от него, соответственно, может их прибить до кучи.

  16. #15
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    52
    Вдогонку вдогонке... по этому принципу работает моя софтинка. Она просто сканит всю автозагрузку, причем из драйвера, чтобы обойти юзермодные руткиты, и выдает результат. Юзер уже сам решает, что оставить, а что удалить. Явно спайварные записи метятся соответствующим образом.

    Получилось что-то вроде продвинутого HijackThis =)) с наворотами. Работает имхо достаточно эффективно.

  17. #16
    Scelio
    Guest
    Цитата Сообщение от Xen
    Да, ругаются, но... 1) юзер сам выбирает вариант установки адварной версии 2) MS AntiSpyware предлагает удалить весь ФлешГет целиком :-))
    Программу или дистрибутив? Если дистрибутив, то вполне логично - он нашел внутри спайварь, и предлагает грохнуть. Так же как многие антивиры/антиспаи. Если саму программу, то, хбз, я не помню уже, распаковывалась ли длл-ка с цидором при установке. Какая версия Флэшгета-то? И какие файлы в его папке?

  18. #17
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    52
    В том то и дело, что весь целиком, уже проинсталлированый в Program Files ;-) какая версия ФГ и МС АС уже не помню, далеко не самые свежие

  19. #18
    Scelio
    Guest
    Дык. Если он ругался на сам ФГ а не на cd_clint.dll это непорядок. Флэшгетики то ли в 1.6х, то ли в 1.7х убрали возможность adware-установки.

Похожие темы

  1. топ современных сетевых червей
    От eboev в разделе Сетевые атаки
    Ответов: 0
    Последнее сообщение: 18.01.2010, 14:25
  2. Ответов: 0
    Последнее сообщение: 05.10.2009, 21:06
  3. DrWeb: «Безобидный индюк» и другие вирусные тенденции августа
    От Kuzz в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 03.09.2009, 17:10
  4. CES 2009: Blu-ray, HDTV, 3D Video и другие HD тенденции рынка
    От IgorKr в разделе Аппаратное обеспечение
    Ответов: 0
    Последнее сообщение: 23.01.2009, 21:34
  5. Ответов: 1
    Последнее сообщение: 27.06.2008, 10:22

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00012 seconds with 21 queries