PDA

Просмотр полной версии : Общие тенденции современных AntiSpyWare



Зайцев Олег
17.06.2005, 11:27
Итак, подошли к концу тесты, описанные в теме http://virusinfo.info/showthread.php?t=2528. Результаты будет обработаны статистически и сведены в единые таблицы и графики, но общие тенденции наметились и вероятно их стоит озвучить:
1. Поиск SpyWare в реестре и cookies. Я сотни раз говорил и писал, и еще повторюсь, что
1.1 Реестр - это древовидная база данных, хранящая настройки системы и прикладных программ. "Шпионов" там быть не может по определению - могут быть ключи, созданные некими программами (эти ключи просто хранят настройки этих программ и никакой угрозы не несут - нет разницы, какая программа создала ключ - ключ реестра - это просто запись в базе данных, сама по себе не опасная). Естетсвенно, что некая программа может поменять ключи, хранящие настройки системы - но это уже отдельный разговор ... Тем не менее, многие из исследованных AntiSpyware программ с маниакальной тщательностью ищет ключи реестра, и обнаружив некий ключ типа Software\Gator начинают кричать, что "в реестре обнаружен SpyWare.Gator" ... - т.е. собственно никакого SpyWare в реестре конечно нет, есть ключ, который сам по себе не опасен
1.2 Шпионские Cookies. Это еще один "зверь", доведенный до абсурда. Cookies - это небольшой текстовый файл, в котором посещаемый WEB сайт может сохранить некие данные (настройки пользователя, некие параметры, дату посещения и т.п.). Файл текстовый и исполняться никак и ничем не может ... создается он только в ходе посещения некоего сайта, передается при его повторных посещениях. Опасности он практически никакой не несет - за исключением того, что разные счетчики-рейтинки смогут следить за моими переходами по сайтам, охваченным одинаковым рейтингом. По идее пользователь может удалить cookies, запретить их, IE6+ содержит мощные средства их блокировки .... - т.е. мифическая супер-опасность cookies явно завышена. Однако параноидальная охота на cookies - хороший маркетинговый ход, т.к. почти гарантировано на любом ПК можно найти кучу cookies разных счетчиков/рейтингов ...
2. Поиск файлов по именам. Смех-смехом, но несколько крупных исследованных продуктов так и поступают. Мало того, что данная методика совершенно не эффективна (многие "звери" меняют свои имена), она потенциально опасна - по мере роста базы растет вероятность ложных срабатываний. Причем самое неприятное в том, что если бы выдавалось сообщение "возможно ..." или "подозрение на ..." - это еще терпимо, но ведь исследованные продукты говорят однозначно - "троян", "вирус", "шпион" и предлагают их удалить. На настоящий момент единственным надежным методом определения "зверя" является сигнатура (начиная от полной MD5 суммы и заканчивая некими выборочными сигнатурами достаточно большого размера внутри файла)
3. Эвристика. В описании многих продуктов гордо заявлено, что есть эвристические методики поиска шпионов ... если они и есть, то успешно и надежно замаскированы :) В ходе тестов я практически не видел срабатываний эвристики ...
4. Большинство исследованных продуктов плохо ловят Trojan-Downloader и Trojan-Dropper. И очень зря ! По сути установка многих зверей происходит имеенно при помощи Trojan-Downloader, и если в ходе лечения не изловить этого самого Trojan-Downloader, то толку от лечения по сути не будет ...
5. Беспомощность перед RootKit технологиями. Причем под RootKit я понимаю простейшие базовые распространенные методики, типа перехвата API в UserMode ... - простейший перехватчик делает процессы и файлы невидимыми. А ведь далеко ходить не нужно - в данной конференции мы уже ловили SpyWare/AdWare, применяющие RookKit технологии для своей маскировки
6. Количество записей в базе. Как показывает практика, цифры, описывающие размеры базы - не показатель ее качества. Опять же, в общем выводе я не хочу заострять внимание на конкреных продуктах, но общая тенденция видна - поразить пользователя огромным количеством чего-то в базе (цифры зачастую внушительные - порядка 100 тыс).

kps
17.06.2005, 12:56
В частности и Spybot и AdAware очень тщательно просматривают реестр и записи от зверей выдают за самих зверей :bad:
А ведь неопытный пользователь и правда подумает, что они нашли что-то опасное :)
Нужно радоваться, что хоть большинство антивирей не ищет зверей в реестре.
Куки это, конечно, тоже смешно.

Geser
17.06.2005, 13:16
Ну чистка реестра тоже дело полезное :)

santy
17.06.2005, 13:32
по_моему, вполне логично вести поиск в реестре и в случае обнаружения подозрительных ключей переходить на диск для проверки указанных файлов... ad_aware, pestpatrol(не "трастовый") вместе записями ключей всегда показывают директории и файлы будто-бы шпионов.

Зайцев Олег
17.06.2005, 14:37
по_моему, вполне логично вести поиск в реестре и в случае обнаружения подозрительных ключей переходить на диск для проверки указанных файлов... ad_aware, pestpatrol(не "трастовый") вместе записями ключей всегда показывают директории и файлы будто-бы шпионов.
Показывают они далеко не всегда ... в том то и все дело. И формулировка "Malware", а не подозрение на что-то там. мы то понимаем, что к чему ... а начинающего "вирусолова" такой лог повергает в шок.
Пример - у меня абсолютно чистый ПК, на нем гарантировано ничего нет - но Ad_Aware нашет целый "зверинец", например:

CoolWebSearch Object Recognized!
Type : RegData
Data : about:blank
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Start Page
Data : about:blank
возникает вопрос - и где тут CoolWebSearch !?
или вот еще пример:


Startnow.Hyperbar Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\igor v. gunko

Эту запись я специально внес в реестр - кроме пустого ключа "software\igor v. gunko" там ничего нет ...
Или вот еще пример -
Tracking Cookie Object Recognized!

Type : IECache Entry
Data : [email protected][2].txt
Category : Data Miner
Comment : Hits:851
Value : Cookie:[email protected]/
Expires : 05.06.2015 15:34:36
LastSync : Hits:851
UseCount : 0
Hits : 851
Возникает вопрос - рамблер то чем виноват (там у меня в списке нашлось 420 "tracking cookies", причем сайты то нормальные - rambler.ru, list.ru, downloads.ru, bannerbank.ru, hotlog.ru, ...) - как правило от баннерных рулеток или рейтинговых счетчиков.
Т.е. имхо проверять реестр можно и нужно, как один из вариантов эвристики - AVZ на шаге 7 в том числе это и делает, когда шерстит систему программами эвристики ...

Xen
18.06.2005, 05:25
Позволю себе не согласиться с Олегом. Поиск спайваря по именам файлов и ключам реестра может быть очень эффективным! Там, где разработчики вставляют изменение имени файла, почему то почти всегда забывают про новый CLSID ;) а уж подавляющее большинство заразы настолько примитивно, что и этого не делает... так что, несмотря на примитивность и глючность метода, он имеет право на жизнь. Благодарные пользователи продуктов, его использующих, подтвердили бы мои слова ;)

Далее, хорошим методом детекта я бы назвал сигнатурный, но с обязательной поддержкой большого числа упаковщиков. Пример - Adware.GloboSearch, мутирующее со страшной силой. АВЗ ловит очень незначительное количество его модификаций...

Что касается КАВ, то и он недалеко ушел. Студенты-рабы у Каспера составляют такие сигнатуры, что хоть стой, хоть плакай. Берут числом. В итоге начинает ловиться практически все, но далеко не сразу.

А вообще, так же склоняюсь к мысли, что, кроме продвинутых стартап-менеджеров, рулят только антивирусы, а обычные ремуверы нафиг не нужны. Пример - LazyMin, который хрен какой ремувер вылечит из-за встроенного механизма файлового инфекта ;-)

Зайцев Олег
18.06.2005, 15:38
Позволю себе не согласиться с Олегом. Поиск спайваря по именам файлов и ключам реестра может быть очень эффективным! Там, где разработчики вставляют изменение имени файла, почему то почти всегда забывают про новый CLSID ;) а уж подавляющее большинство заразы настолько примитивно, что и этого не делает... так что, несмотря на примитивность и глючность метода, он имеет право на жизнь. Благодарные пользователи продуктов, его использующих, подтвердили бы мои слова ;)
....

AVZ на этапе 7 именно это и делает. Но прежде чем писать то-то в лог, он проследит ссылку до файла, убедится в его наличие, провери его по базе безопасных файлов и базе "зверей", проверит имя файла, может быть поищет некие сигнатуры ... - это я считаю нормальным и имеющим право на жизнь как один из методов. Я имел в виду пример, показанный на Ad-Aware чуть выше - вопли по поводу каждого "шпионского" ключа реестра.

Xen
18.06.2005, 16:39
Ну да, false positives как средство маркетинга еще никто не отменял ;) Хотя этим неявно грешит и MS AntiSpyware, скажем, при проверке FlashGet ;-))

Зайцев Олег
18.06.2005, 17:37
Ну да, false positives как средство маркетинга еще никто не отменял ;) Хотя этим неявно грешит и MS AntiSpyware, скажем, при проверке FlashGet ;-))
Вот вот ... именно. И охота на кукизы, имхо, из этой же оперы - продукт должен ловить что-то в больших количествах, не важно что конкретно. И еще я забыл про один момент - сейчас я дописал его к первому посту - кол-во записей в базе. Как правило, эта цифра практически не отражает качества работы ...

santy
20.06.2005, 12:44
...Т.е. имхо проверять реестр можно и нужно, как один из вариантов эвристики - AVZ на шаге 7 в том числе это и делает, когда шерстит систему программами эвристики ...

Если визуально наблюдать за работой некоторых AntiSpyWare, можно заметить что:
Adaware SE при быстром сканировании компа проверяет первоначально процессы и модули, затем реестр, кэш браузера, закладки IE, систему, потом сканирует диск (если указаны папки, или полное сканирование диска).
SpyBot&Destroy непонятно (визуально) какую ведет проверку, перебирая список(св.24000) антишпионов из антивирусной базы.
Microsoft AntiSpyware проверяет процессы, сканирует диск, затем проверяет реестр.
Олег, а какую последовательность проверок реально выполняют протестированные Вами AntiSpyware? И какая последовательность проверки видится Вам оптимальной?

Зайцев Олег
20.06.2005, 14:23
Если визуально наблюдать за работой некоторых AntiSpyWare, можно заметить что:
Adaware SE при быстром сканировании компа проверяет первоначально процессы и модули, затем реестр, кэш браузера, закладки IE, систему, потом сканирует диск (если указаны папки, или полное сканирование диска).
SpyBot&Destroy непонятно (визуально) какую ведет проверку, перебирая список(св.24000) антишпионов из антивирусной базы.
Microsoft AntiSpyware проверяет процессы, сканирует диск, затем проверяет реестр.
Олег, а какую последовательность проверок реально выполняют протестированные Вами AntiSpyware? И какая последовательность проверки видится Вам оптимальной?
Реально все исследованные продукты работают примерно одинаково, просто реализации различаются ... но идея проста:
1. Сканирование реестра (часто тупым перебором ключей из базе данных)
2. Проверка памяти (аналогично - иногда нормально, иногда просто поиск процессов по именам)
3. Поиск файлов на диске (иногда по именам, иногда по сигнатурам ... часто можно видеть длительный поиск несуществующих файлов по полным именам)
4. Поиск особых объектов типа кукизов, файлов в кеше браузера ...
В разных продуктах меняется порядок этих операций, их исполнение - но принцип одинаковый.
---------
По моему мнению, ни один из исследованных продуктов не далал ряд важных вещей, мне порядок работы видится так:
1. Антируткит. Тут даже речи нет о поиске серьезных руткитов - просто нужно хотя-бы анализировать/лечить перехват API + хотя-бы сто-то типа правки KiST. Иначе банальный перехват 2-5 функций делает "зверя" невидимым и неуязвимым - а таких "зверей" из области SpyWare становится все больше.
2. Сканирование памяти - перед проверкой диска нужно найти и остановить вредоносные процессы - это упростит лечение и повысит его эффективность. В случае лечения - удаление файла и зачистка системы согласно описанным в базе правилам;
3. Сканирование диска - поиск файлов по сигнатурам. В случае лечения - зачистка системы согласно описанным в базе правилам;
4. Эвристика - в том числе проверка реестра, поиск каких-то характерных и опасных изменений в системе ... - это как завершение, т.к. без п.п. 1 можно многое не увидеть, а на п.п. 2-3 можно найти "зверей" надежными способами и поубивать их - это уменьшит кол-во срабатываний на п.п 4

Scelio
28.03.2006, 10:23
Ну да, false positives как средство маркетинга еще никто не отменял ;) Хотя этим неявно грешит и MS AntiSpyware, скажем, при проверке FlashGet ;-))
А какой-такой ФлэшГет? Забыли уже, что в прошлых версиях был режим "adware", т.е. можно было не вводить серийник, а глотать баннеры, скачанные услужливым Cydoor'ом. На этот цидор-модуль и ругаются практически все антивиры/антиспаи.

Xen
28.03.2006, 10:51
Да, ругаются, но... 1) юзер сам выбирает вариант установки адварной версии 2) MS AntiSpyware предлагает удалить весь ФлешГет целиком :-))

Scelio
28.03.2006, 10:59
Вдогонку - не стоит говорить о бесполезности и неэффективности проверки реестра - программы, которые находят и убивают ключи, прописанные злыми врагами в реестре тем самым деактивируют шпионов.
В этом они могут оказаться даже эффективнее антивиров - антивир может не найти вражину сигнатурным/эвристическм поиском, а антиспай, прибив "подозрительный" ключ отцепит его от эксплорера, тем самым обезвредив. Опять же, нужно знать, что удаляешь...
Для примера возьмем тот же тулбар с crack.ms - SpyBot находит от него кучу ключей в реестре и прибивает их. В результате тулбар не грузится (он же в реестре не прописан, лежит себе на винте длл-ка). А, например SpywareDoctor находит эти же ключи, и при проверке дисков своим дисксканером находит файлы от него, соответственно, может их прибить до кучи.

Xen
28.03.2006, 11:21
Вдогонку вдогонке... по этому принципу работает моя софтинка. Она просто сканит всю автозагрузку, причем из драйвера, чтобы обойти юзермодные руткиты, и выдает результат. Юзер уже сам решает, что оставить, а что удалить. Явно спайварные записи метятся соответствующим образом.

Получилось что-то вроде продвинутого HijackThis =)) с наворотами. Работает имхо достаточно эффективно.

Scelio
28.03.2006, 11:39
Да, ругаются, но... 1) юзер сам выбирает вариант установки адварной версии 2) MS AntiSpyware предлагает удалить весь ФлешГет целиком :-))

Программу или дистрибутив? Если дистрибутив, то вполне логично - он нашел внутри спайварь, и предлагает грохнуть. Так же как многие антивиры/антиспаи. Если саму программу, то, хбз, я не помню уже, распаковывалась ли длл-ка с цидором при установке. Какая версия Флэшгета-то? И какие файлы в его папке?

Xen
28.03.2006, 13:14
В том то и дело, что весь целиком, уже проинсталлированый в Program Files ;-) какая версия ФГ и МС АС уже не помню, далеко не самые свежие

Scelio
28.03.2006, 13:27
Дык. Если он ругался на сам ФГ а не на cd_clint.dll это непорядок. Флэшгетики то ли в 1.6х, то ли в 1.7х убрали возможность adware-установки.