Elementary PDM tests

Сегодня во многих антивирусных продуктах (почти во всех популярных) есть технология анализа поведения программ – так называемая, проактивная защита. Модуль проактивной защиты занимается анализом поведения программ – обнаруживает потенциально опасное действие и предупреждает об этом пользователя, и уже пользователю предоставляется выбор: разрешать данное действие или нет. Это позволяет обнаруживать еще неизвестное антивирусу вредоносное программное обеспечение и блокировать его действия, но т.к подобные действия могут совершать и легитимные программы антивирус вынужден «спрашивать» у пользователя о разрешении подобных действий. К примеру, запускать в браузере какой-то сайт может как вполне безвредная программа (многие программы при установке открывают в браузере свой сайт), так и трояны, поэтому антивирус сам не может судить о вредоносности объекта, совершающего подобное действие и должен предоставлять пользователю решать самому: разрешать или нет.
Сейчас многие антивирусы превратились в целые комплексы защитного ПО – помимо антивируса они имеют модули проактивной защиты, анти-спам, firewall, родительский контроль и т.д, но к сожалению, проверить качество работы каждого модуля достаточно проблематично. Если качество сигнатурного анализа проверяется многими компаниями достаточно часто, то на проактивную защиту пока мало кто обращает внимания – серьезных тестов как таковых нет, лик-тестов крайне мало и они все старые и однотипные…
Как показывает опыт, в некоторых АВ-продуктах проактивные защиты являются лишь красивым рекламным шагом, а не грозным оружием в борьбе с вредоносным ПО – они «знакомы» лишь с тремя-четырьмя потенциально опасными действиями…
Именно поэтому была создана эта небольшая утилита – 23 лик-теста проактивных защит. Конечно, потенциально опасных действий гораздо больше, но в эту утилиту, в основном, вошли самые распространенные и критичные действия, поэтому то, как проактивная защиту будет реагировать на них, будет являться достаточно хорошим показателем ее качества.

Останавливаться сейчас на технических подробностях я не буду – их все Вы сможете найти в справке к утилите, с которой просто необходимо ознакомится. Здесь хочется лишь отметить, что программа рассчитана на опытных пользователей, и ее желательно использовать на виртуальной машине, предварительно сделав снимок системы – так автору программы будет спокойнее.

Лик-тест считается пройденным, если от антивирусного ПО поступил запрос о данном действии или оно было заблокировано без запросов к пользователю. Тестировать защиты следует на настройках «по умолчанию» - т.е на таких, которые выставляются автоматически при установке данного антивирусного ПО.

Данными лик-тестами уже были протестированы несколько проактивных защит разных производителей. Результаты, мягко говоря, поразили – некоторые защиты успешно справились со всеми лик-тестами, а некоторые провалили более половины. Результаты тестирований намеренно не опубликованы – возможность это сделать предоставляется именно Вам.
С помощью этих лик-тестов Вы можете протестировать модуль проактивной защиты, установленного у Вас антивируса и при желании можете опубликовать в этой теме результаты тестирования. При большом количестве результатов разных продуктов можно будет составить сравнительную таблицу, показывающую наглядно качество проактивных защит разных антивирусов в сравнении другими.


Скриншот программы:

http://s58.radikal.ru/i161/0902/ee/4cf660e6af33.jpg

Сама программа находится в архиве в аттаче к данному сообщению. Пароль на архив: 123

При распаковке в папке "отдельно_файлы_лик-тесты" остался только один файлик test01.exe. KIS 2009 всех обозвал HEUR.Generic-ами. Рdm_tests_v1.1.exe занесён в недоверенные. Тест пройден :)

Доктор Веб сказал, что архив PDM_tests_v1.1.exe инфицирован, и переместил его в карантин. :)

Доктор Веб сказал, что архив PDM_tests_v1.1.exe инфицирован, и переместил его в карантин
не аутоитом, случаем, инфицирован? если да, то так и есть - ведь хранилище файлов именно на нем и написано ради удобства включения 23 файлов в один. для такого случая - они рядом в соседней папке все по-отдельности лежит - все 23 файла...


сработала лучьще чем любая PDM и убила основной тест, до его запуска, тестировать собственно нечего
повторюсь еще раз - можете не обращать на главный файл никакого внимания - это сделано лишь ради удобства и никакого отношения к тестированию этот файл не имеет - он лишь хранит в себе 23 файла и при нажатии на определенную кнопку извлекает из себя соответствующий файл и запускает его. Раз не выходит запускать через GUI - следует запускать файлы поодиночке - они в соседней папке.


И отдельные файлы(тесты) замочила, больщенство!!!

буду благодарен за подробный отчет: что Есет "замочил", а что нет. Какие действия выполнились? Какие были заблокированы или заданы вопросы? какие файлы были забиты еще до запуска.
(если авер, кстати, сигнатурно вдруг что-то задетектил, то это не считается работой ПДМ и прохождением теста - в таком случае этот файл нужно мне будет или переписать или упаковать).


И это даже без более продвинутой и жосткой эвристики , интернет, емайл, DVD/CD/USB -относительно эвристики в файловом и сканере на максимальных настройках.
ну, собственно, выше было сказано про то, что нужно тестить на дефолтных настройках...

что за версия ESS, кстати??

не аутоитом, случаем, инфицирован? если да, то так и есть - ведь хранилище файлов именно на нем и написано ради удобства включения 23 файлов в один. для такого случая - они рядом в соседней папке все по-отдельности лежит - все 23 файла...
Хороший вопрос. :) Я даже не посмотрел. Нет, не АвтоИтом.
27-02-2009 23:31:49 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002 - контейнер AUTOIT
27-02-2009 23:31:49 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002\DOCUME~1\admin\LOC ALS~1\Temp\autC.tmp - упакований ASCRIPT
27-02-2009 23:31:49 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002\DOCUME~1\admin\LOC ALS~1\Temp\autC.tmp - OK
27-02-2009 23:31:49 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002\Documents and Settings\admin\ 01>G89 AB>;\make_v1.1\Elementary PDM tests v1.1\for_compiler\test01.exe - OK
27-02-2009 23:31:50 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002\Documents and Settings\admin\ 01>G89 AB>;\make_v1.1\Elementary PDM tests v1.1\for_compiler\test1.exe - OK
...

Конкретно обругал test6.exe
27-02-2009 23:31:50 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002\Documents and Settings\admin\ 01>G89 AB>;\make_v1.1\Elementary PDM tests v1.1\for_compiler\test6.exe - , можливо, iнфiкований STPAGE.Trojan
...
27-02-2009 23:31:51 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002 - архiв iнфiкований
27-02-2009 23:31:51 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe - архiв iнфiкований
27-02-2009 23:31:52 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe - перемiщений як 'C:\Program Files\DrWeb\infected.!!!\PDM_tests_v1.1.exe.6DCFD4 BB'

ну, в общем ясно, что "архiв iнфiкований" :)

KIS всех поместил в недоверные.

Результаты тестирования Outpost Security Suite PRO 2009


1 марта 2009 года.
С адреса http://www.agnitum.ru/products/security-suite/download.php
Был скачан продукт Outpost Security Suite PRO 2009 с поддержкой русского и английского языков. В процессе установки по запросу инсталлятора был выбран уровень безопасности "Повышенный" (который, кстати, "Рекомендуется только для продвинутых пользователей"), а в других настройках выбор можно было не делать - оставить все так, как предлагал инсталлятор, так и было сделано, т.е все настройки были "по умолчанию" для повышенного уровня безопасности.
Все файлы запускались "вручную", т.е без использования GUI.

По результатам тестирования была составлена таблица результатов, которую вы можете увидеть ниже, но следует дать некоторые расшифровки значений:

- / А -- означает: Тест провален. Правила созданы автоматически.
Это означает, что действие было выполнено, запросов на разрешение/блокировку не поступало - правила были созданы автоматически.
- / - -- означает: Тест провален. Никакой реакции при этом от Outpost не было.
Это означает, что действие было выполнено, но ни запросов на разрешение/блокировку, ни автосоздания правил для данной программы не было.
+ / А -- Тест пройден. Правила созданы автоматически.
Этот вариант можно увидеть лишь напротив теста 18 - это означает, что действие было выполнено, но на работу Антивирусного комплекса это не повлияло.

Также особо хочется оговориться о восьмом тесте (о переводе даты) - здесь получилась очень грустная и забавная ситуация - при переводе даты и после перезагрузки защита была отключена, т.к истекла лицензия, а в виду того, что дата переводилась на 2021 год, то очевидно, что это очень серьезная уязвимость в данном продукте, которую необходимо исправить в наикратчайшие сроки.

Таблица результатов:
http://s58.radikal.ru/i160/0903/2d/c151d09d0d43.png

Общий вывод:
Полностью провалены 8 тестов: действия были выполнены, реакции от антивирусного комплекса не было.
Частично провалены 13 тестов: действия были выполнены и правила были автоматически созданы. Это говорит лишь о несовершенстве системы автосоздания правил для приложений.
1 тест был полностью пройден.
1 тест провести не удалось - файл hosts не удалось отредактировать из-за обстоятельств, не связанных с антивирусным комплексом.

На машине стоит AntiVir PersonalEdition Premium 8 (эвристика максимум), и так же Spyware Terminator 2.5.1 (функция HIPS включена). Так же стоит Comodo 2 серии…..(все обновлено на момент теста)
Система работает с правами админа.
При распаковке архива, Авирой были «убиты» 6, 10, 11, 12, 16 файл.
Далее соответственно работал только Spyware Terminator и Comodo
Test 0 : заблокировал, спросил разрешить\нет (показал что файл в «зеленой зоне»).
Test 1: Пройден
Test 2: заблокировал, спросил разрешить\нет (показал что файл в «зеленой зоне»).
Test 3: Пройден
Test 4; 4a; 4б; 4в: Пройден
Test 5: ругнулcя на dll, не является win32...пройден видимо
Test 7; 7а: Comodo выдал предупреждение, запрет соединения, тест провален.
Test 8: Пройден
Test 9: Пройден
Test 13: никто не чего не сказал….видимо да)
Test 14: Пройден
Test 15: Пройден
Test 17: Пройден
Test 18: Пройден
Результат немного шокировал!..

hitman_007, спасибо участие в тестировании.
Предлагаю сделать так: я сейчас задам несколько вопросов на уточнение, Вы на них ответите и после этого Вы сами или с помощью модератора/админа отредактируете свое сообщение - т.е оформим Ваше сообщение так, что бы всем было понятно и это можно было бы считать более-менее официальным тестом комплекса систем.


При распаковке архива, Авирой были «убиты» 6, 10, 11, 12, 16 файл.
сигнатурно? какие окна она выдала? или примерно.


Test 1: Пройден
что это означает? - вариантов может быть два: действие было выполнено (значит тест провален) и действие было заблокировано (тест пройден). (это я для уточнения спросил).


Test 5: ругнулcя на dll, не является win32...
так ругается не антивирусное средство, а система при запуске нового приложение в пространство которой через апп_инит памится длл, которая длл не является, т.е это ругань системы.

И еще - много где указано "пройден" - это означает, что действие было просто молча заблокировано и не было выполнено?..


Test 7; 7а: Comodo выдал предупреждение, запрет соединения, тест провален.
если от антивирусного средства был вопрос о разрешение/запрещении и удалось действие заблокировать - значит тест не провален, а наоборот пройден.
Т.е: мы тестируем не лик-тесты, а антивирусные средства и "пройдено" или "провалено" мы рассматриваем именно с их стороны - если сумели заблокировать или спросили можно ли блокировать - значит тест прошли. Если же действие файла было выполнено - значит антивирусное средство тест провалило.

сигнатурно? какие окна она выдала? или примерно.

Heur/Hijack :>
Но, к примеру, файл petestpdm.exe благополучно ушел в sys32, Авира( уровень эвристики-средний) на него не реагировала, а товарищ KAV 8...506, в дальнейшем, обнаружил этот файл как "троянская программа Heur.Trojan.Generic" и устроил лечение активного заражения;)

Важно:
Для начала приведу несколько цитат с официального российского сайта компании ESEТ, в которых говориться об этом продукте, дабы избежать возможных недоразумений по поводу того есть у ESS хоть что-то связанное с проактивными технологиями или нет.


ESET NOD32 Smart Security проактивно обнаруживает и блокирует более 70% новых вредоносных программ, сигнатуры которых еще не содержатся в вирусных базах.

Программа ESET NOD32 Smart Security представляет собой единое интегрированное решение, обеспечивающее лучшее проактивное обнаружение угроз.



Тестирование Eset Smart Security 3.0.684.0


2 марта 2009 года.
С официального сайта был скачан антивирусный комплекс ESS (Eset NOD32 Smart Security) версии 3.0.684.0.
При установке приложения необходимо было сделать выбор режима детектирования "потенциально нежелательного ПО" (включить режим или не включать). Было выбрано "Включить обнаружение потенциально нежелательного ПО". Остальные настройки остались без изменений. Тестирование проходило при настройках ESS "по умолчанию".
При проведении тестирования все файлы запускались "вручную", т.е без использования GUI.

По результатам тестирования была составлена таблица результатов, которую вы можете увидеть ниже, но следует дать некоторые расшифровки значений:
- означает, что тест провален: действие было выполнено и запроса на разрешение/блокировку от антивирусного комплекса не поступало.
+ означает, что тест пройден. Такое обозначение можно увидеть напротив восьмого теста - это означает, что смена даты не повлияла на функционирование ESS.
+/- означает, что файловые операции были запрещены, но записи в реестре были созданы. Считается, что тест пройден.

Отдельно хочется оговориться о результатах пятого и восемнадцатого тестов: пятый провести не удалось из-за обстоятельств, не связанных с антивирусным комплексом, а тест 18 был провален, т.к после его запуска и перезагрузки антивирусный комплекс перестал функционировать.

http://s57.radikal.ru/i158/0903/a3/b22c9a7ba2b9.png

Общие выводы:
3 теста пройдено.
19 тестов провалено.

На машине стоит AntiVir PersonalEdition Premium 8 (эвристика максимум), и так же Spyware Terminator 2.5.1 (функция HIPS включена). Так же стоит Comodo 2 серии…..(все обновлено на момент теста)
Система работает с правами админа.
При распаковке архива, Авирой были «убиты» 6 (TR/Agent.6144.30), 10 (TR/FwBypass.A.131), 11 (TR/Regdis.5632.1), 12 (TR/DisableTask.5632), 16 (TR/Hijacker.Gen) файл.
Далее соответственно работал только Spyware Terminator и Comodo
Test 0 : Провален (Spyware Terminator заблокировал, спросил разрешить\нет (показал что файл в «зеленой зоне»).
Test 1: Провален
Test 2: Провален ( Spyware Terminator заблокировал, спросил разрешить\нет (показал что файл в «зеленой зоне»).
Test 3: Провален
Test 4; 4a; 4б; 4в: Провален
Test 5: Провален
Test 7; 7а:Avira - Провален ( Comodo выдал предупреждение, запрет соединения, тест пройден)
Test 8: Пройден
Test 9: Провален
Test 13: Провален
Test 14: Провален
Test 15: Провален
Test 17: Провален
Test 18: Пройден
Результат немного шокировал!..мое мнение, что хороший антивирусник + HIPS + firewall = хорошую защиту....тяжело менять хоть какие-то устои((((

вопрос по тесту 8 и 18: как Вы определили, что они провалены?..

тест пройден, но только Spyware Terminator. Антивирусник то его провалил.
Если подбить общие результаты, выходит 5 тестов пройдено с помощью Avira, и еще 4 с помощью Spyware Terminator и Comodo...слабо вселяет надежду на защиту все же.
Test 8: дата изменилась на 11 год, май месяц вроде.
Test 18: Папка указанная была заблокирована.
Тест делался не на виртуалке, все изменения в принципе хорошо видны.

Test 8: дата изменилась на 11 год, май месяц вроде.
Test 18: Папка указанная была заблокирована.
Поймите меня правильно - мне хочется, что бы Ваше тестирование дошло до своего логического и правильного завершения, поэтому я задаю какие-то вопросы, что бы выяснить все ли Вы правильно делали.
Поэтому:
тест8 - дата должна была поменяться на 21 год (видимо, Вы просто опечатались). но это не главное - почитайте хелп (в архиве есть папка help и там подробные описания каждого теста). Тест8 считается пройденным в двух случаях: или это действие было заблокировано или оно было выполнено, но на антивирус это не оказало никакого воздействия даже после перезагрузки компьютера. Т.е этот тест нацелен на выведение из строя каких-либо модулей антивируса или его целиком - если этого не произошло - тест пройден (а если из-за перевода даты антивирус перестал работать и стал просить продлить лицензию - тест провален).

тест18 - тест также может быть пройденным в двух случаях - или действие было заблокировано или оно не возымело никакого эффекта на антивирусное средство. Т.е разрушать нужно не просто какую-то папку, а папку антивируса - если он будет работать и дальше (и после перезагрузки компьютера) - значит тест пройден. А если антивирус перестанет работать - тест провален.
Читайте выше - я подробно описал влияние теста18 на аутпост и на есет смарт секьюрити. К примеру есет его провалил - после перезагрузки он отказался работать. А аутпост тест прошел - после перезагрузки он все равно работал.

Вы явно не уважаете труд других. И хватит тут оскорблять других. Касперыч не наш, он Евгения Касперского. И не будем спорить, что НОД лучше него. Да и вообще, Вы столько бреда написали, что лучше удалить.

P.S. Помнится мне, Вы уже писали подобный пост и его удалили. Вы что, их сохраняете?

И вообще, если не соображаете, просто не пишите ничего. А если слишком умные, ждем Ваши тесты

Уважаемый, ртфм. Если знаете, как переводиться слово help - найдете.
Фаерволы мы не не тестируем этими тестами. Любой продукт тестится так: ставиться и запускаются по очереди файлы. Т.е НИКАКИЕ настройки не изменяются.
Тест предназначен для ОС ХР


P.S. Помнится мне, Вам уже давали предупреждение, только у Вас был другой аккаунт. Вы себе новый завели?
И вообще, если не соображаете, просто не пишите ничего. А если слишком умные, ждем Ваши тесты

senyak, не нервничайте. Это же виталег - знаменитый клоун сферы ИБ в РФ. Скоро его забанят, а пост удалят.
Наоборот, если бы критика была здравая - я бы ее принял. Возможно критика и здравая, но я не смог ее понять из-за того, что Виталег намеренно пренебрегает правилами русского языка.
Я уж и сам подумал - вдруг я что-то неверно делал при тестировании ESS, но думаю, что делал все верно - косил под новичка и никакие настройки не менял, никуда не лез, ничего не делал - просто запускал файлы.
:)
PS: буду рад любой аргументированной критике и советам.
можно не только на форуме, но и в ЛС.

Тест8 ..а если из-за перевода даты антивирус перестал работать и стал просить продлить лицензию.. - тест пройден - хоть и перевелось время, и ключ лицензии слетел, основное назначение свое антивирусник делает - все по прежнему ловит (но это наверно применимо далеко не ко всем антивирусникам...)
тест18 - тест также может быть пройденным в двух случаях - или действие было заблокировано или оно не возымело никакого эффекта на антивирусное средство. Т.е разрушать нужно не просто какую-то папку, а папку антивируса - если он будет работать и дальше (и после перезагрузки компьютера) - значит тест пройден. А если антивирус перестанет работать - тест провален.
Тест непонятным вышел - папка заблокирована, но это не повлияло на работу в целом, все пашет, сканирует. Но после перезагрузки служба Guard была отключена (хотя без проблем запустилась из самого антивируса). Больше наверно склоняется как провал теста.
Хотел уточнить по тестам 14 и 15 - создались файлы с расширением txt, но в них пусто....так и должно быть?

тест пройден - хоть и перевелось время, и ключ лицензии слетел, основное назначение свое антивирусник делает - все по прежнему ловит (но это наверно применимо далеко не ко всем антивирусникам...)

отредактируйте тогда свое предыдущее сообщение - исправьте на то, что тест пройден.


Хотел уточнить по тестам 14 и 15 - создались файлы с расширением txt, но в них пусто....так и должно быть?
да. один из них просто на всякий случай создает файл - делает видимость, что он нужен ему, а другой создает файл и иногда и если что-то печатать - он будет туда записывать (на английском).

ты чего не доганяещь что в эвристеке реализован тотже пдм и тажа жипс только более умная -анализирует в вертуальной среде без запуска опасного файла на реальной мащине и с точным детектом
эту мысль я понял. :)

Вы лучше скажите в чем неправильность проведения тестирования?
Мы чем-то обделили ЕСЕТ? Мной с офф. сайта была скачана указанная версия указанного числа. Все легально. Затем установил, никаких настроек не трогал. Затем стал запускать по очереди файлы и после написал, что у меня из этого вышло - вот в двух словах методология тестирования.
Я не сказал, что результаты плохие или еще что-то - просто показал как реагируют на данный момент технологии ЕСЕТа на эти файлы.

У нас все участники на равных - и КИС и ЕСЕТ и Агнитум. Я лицо незаинтересованное - я не являюсь сотрудником какой-либо АВ-компании.

PS: естественно все справедливо только для ХР - все писалось для нее родимой.
PS2: ого. вот и говорить более-менее русским языком начали, когда захотели:)
Обоснуйте свою точку зрения - расскажите в чем моя ошибка тестирования ESS этими лик-тестами - если Вы окажетесь правы, то естественно, тестирование будет проведено заново, а старые результаты будут удалены.

2 priv8v
Spasibo za testy i obzor! O4en' poznavatel'no.
P.S. Ne rugajte za translit, piwu s BlackBerry Pearl 8100 (http://www.blackberrypearl.com), a on u menya po-russki tol'ko 4itat' umeet ;-)

Не знаю насколько целесообразно на данный момент писать результаты, но захотелось вот провести еще раз проверку антивируса (конкретно Avira 8.2.0.)…
Теперь при распаковке архива, Авирой были «убиты» файлы:
01 - TR/Drop.Agent.6144
1 - TR/UserStartup.loi
2 - TR/UserStartup.kij
4 - TR/UserStartup.lok
4a - TR/UserGet.B
4b - TR/UserGet.H
4v - TR/UserGet.A
6 - TR/Agent.6144.30
7 - TR/UserGet.D
7a - TR/UserGet.C
8 - TR/UserGet.G
9 - TR/UserGet.F
10 - TR/FwBypass.A.131
11 - TR/Regdis.5632.1
12 - TR/DisableTask.5632
13 - TR/UserGet.E
16 - TR/Hijacker.Gen
17 – TR/Denis.A
Вкратце вывод: после 9 дней, были обезврежены еще 13 угроз…сдвиги канечно порадовали, интересно было бы узнать, подтянулись ли другие участники ))
P.S. Ну и test 8 и 18 вреда не причиняют, так что конкретно Avira с ними справилась….

Вкратце вывод: после 9 дней, были обезврежены еще 13 угроз…сдвиги канечно порадовали, интересно было бы узнать, подтянулись ли другие участники ))
P.S. Ну и test 8 и 18 вреда не причиняют, так что конкретно Avira с ними справилась….
Ничего на самом деле не изменилось - суть в тесте PDM, а тут имеет место просто лобовой детект по сигнатурам ...

Ну специалистам конечно видней, но рядовым пользователям и этого хватит, что бы запретить доступ (удалить)...Все же пускай будут сигнатуры, не повредит дак точно!:)

Ну специалистам конечно видней, но рядовым пользователям и этого хватит, что бы запретить доступ (удалить)...Все же пускай будут сигнатуры, не повредит дак точно!:)
Как раз наоборот :) Эти тестовые семплы не опасны и ничего такого не делают, детектить их все сигнатурно - странное решение :) (причем защищенность ПК от этого совершенно никак не повысится)

детектить их все сигнатурно - странное решение
"не мытьем, так катаньем" :)
ладно, что еще хоть не троянами-даунлоадерами обозвали...

Каюсь, это я "сдал" тестовые файлы в вирлаб Авиры. :) Любопытно было посмотреть на результат. Вот их вердикт:
File ID Filename Size (Byte) Result
25282450 123.zip 42.63 KB OK


A listing of files contained inside archives alongside their results can be found below:File ID Filename Size (Byte) Result
25282451 test17.exe 6 KB MALWARE
25282452 test18.exe 6 KB CLEAN
25282453 test01.exe 6 KB MALWARE
25282454 test1.exe 6 KB MALWARE
25282455 test2.exe 6 KB MALWARE
25282456 test3.exe 5.5 KB MALWARE
25282457 test4.exe 6 KB MALWARE
25282458 test4a.exe 6 KB MALWARE
25282459 test4b.exe 6 KB MALWARE
25282460 test4v.exe 6 KB MALWARE
25282461 test5.exe 5.5 KB MALWARE
25282462 test7.exe 5.5 KB MALWARE
25282463 test7a.exe 5.5 KB MALWARE
25282464 test8.exe 5.5 KB MALWARE
25282465 test9.exe 5.5 KB MALWARE
25282466 test13.exe 5.5 KB MALWARE
25282467 test14.exe 6.5 KB MALWARE
25282468 test15.exe 5.5 KB MALWARE
Ответ получен 10.03.09 в 10:35. Несколько файлов уже детектились до этого.
В связи с этим хотелось бы проверить эвристику Авиры: можно изменить тестовые файлы так, чтобы они выполняли те-же действия и посмотреть, как на них будет реагировать Avira. Может, благодаря этим сигнатурам будут ловиться зловреды, использующие подобные методы работы.
Кстати, новый билд Аутпоста показывает заметно лучшие результаты, чем предыдущий (тестировал оба с максимальными настройками).

В связи с этим хотелось бы проверить эвристику Авиры: можно изменить тестовые файлы так, чтобы они выполняли те-же действия и посмотреть, как на них будет реагировать Avira.
В принципе, можно - но это нужно долго и упорно переписывать каждый файл - смотреть не детектит ли его Авира и браться за следующий, в противном случае переписывать еще раз. Проще сделать по-другому: упаковать по очереди все файлы каким-нибудь хитрым протектором, например, какой-нибудь новенькой версией Themida или другого... - т.е смотреть на поведенческий блокиратор - если он там есть, конечно...


Может, благодаря этим сигнатурам будут ловиться зловреды, использующие подобные методы работы.
благодаря ЭТИМ сигнатурам - точно не будут ловиться другие лучше - т.к эти действия избиты и все их используют - поэтому добавление в БД ЭТИХ сигнатур - капля в море и роли не сыграет никакой.


Кстати, новый билд Аутпоста показывает заметно лучшие результаты, чем предыдущий (тестировал оба с максимальными настройками).
какая версия?..
с какой сравнивали? уже вышла новая версия OSS?

Имел в виду Outpost Firewall Pro 2009 Версия: 6.5.3 (2518.381.0686), дата релиза: 4 марта 2009.
По поводу безопасномсти этих тестов: например трюк с переводом системной даты я не считаю таким уж безобидным, хотя на работе Авиры и Аутпоста он не сказывается критически - эти продукты с просроченой лицензией продолжают полноценно работать, просто не могут обновлять базы.

В принципе, можно - но это нужно долго и упорно переписывать каждый файл - смотреть не детектит ли его Авира и браться за следующий, в противном случае переписывать еще раз. Проще сделать по-другому: упаковать по очереди все файлы каким-нибудь хитрым протектором, например, какой-нибудь новенькой версией Themida или другого... - т.е смотреть на поведенческий блокиратор - если он там есть, конечно...
Можно и так, хотя мне в данном случае интересно было бы посмотреть именно на работу эвристики, поскольку поведенческого блокиратора (в том виде, что есть у ЛК) у Авиры нет, их модуль HIPS пока даже не вышел на стадию бета-тестирования.

По поводу безопасномсти этих тестов: например трюк с переводом системной даты я не считаю таким уж безобидным
про то, что нужно все тесты проводить на вирт машине я написал везде где только можно - разве что у себя на плече такую татуировку не сделал:)

А вот предыдущая версия аутпоста отрубалась и не работала от перевода даты - вообще не работала.
http://virusinfo.info/showpost.php?p=364272&postcount=8

Если не сложно, то опубликуйте результаты тестирования новой версии аутпоста - сравним с предыдущей:)

Система Windows XP SP3, файловая система FAT32, cхема защиты: Avira AntiVir Premium 8 + Outpost Firewall Pro 2009 Версия: 6.5.3 (2518.381.0686) c максимальными настройками (настройки по-умолчанию мне не интересны). Тест проводился под ShadowUser Pro c cохранением изменений после перезагрузки. Авира отключена для исключения влияния сигнатурного детекта. Фактически это тест проактивной защиты файрволла.
Провалены тесты:
Test3 - никакой реакции, авторан и pdmtestfile.exe благополучно появились на диске С и сохранились после перезагрузки. (Толку от этого, правда никакого, поскольку у меня отключен автозапуск с HDD, CD и сменных носителей.)
Test4 и 4а - никакой реакции, но после перезагрузки изменения не сохраняются.
Test8 - никакой реакции, дата меняется на 2021 год.
Test9 - никакой реакции. Окна скрываются.
Test10 - никакой реакции.
Test13 - никакой реакции, но файл не скрыт и легко находится в папке System32 стандартным поиском.
Test16 - Error. Видимо, пройден.
Test17 - никакой реакции.
Test18 - пройден. Аутпост показывает попытку запуска cmd.exe. Даже если разрешить, то содержимое папки не уничтожется (указывал папку Avira) и после перезагрузки антивирус работает в штатном режиме.
Добавлено:
Остальные тесты успешно пройдены.

Test13 - никакой реакции, но файл не скрыт и легко находится в папке System32 стандартным поиском.
какой именно файл? (имя)

то содержимое папки не уничтожется
и не должно. отнимаются просто права.

Файл testpdm.exe был обнаружен поиском в папке System32 после проведения всех тестов, возможно, это не результат теста13.
Провёл отдельно test13 - никакой реакици. AVZ не может найти testpdm.exe в папке WINDOWS, HijackThis: Open the Misc Tool section - Open ADS Spy... - функция не работает с FAT32.
Может этот тест работает только на NTFS?

Может этот тест работает только на NTFS?
да. я просто прохлопал ушами то, что у Вас фат32. альтернативные потоки только в нтфс, поэтому нужно быть аккуратным при копировании данных на флехи - если что-то намеренно положено в стримы может потеряться.

Было бы интересно сравнить тесты 3-й и 4-й версий Eset-овских продуктов.

Было бы интересно сравнить тесты 3-й и 4-й версий Eset-овских продуктов.
на дефолтных настройках различия небольшие - уже тестили бегло, а медленно и со всеми проверками, и оформлением не делали пока - это слишком долго и нудно. Но раз есть интересующиеся - будет время - выложу.

4 Есет убил Тест1, 2, 6, 11, 12. Остальные выполняются. Мда, дыра ещё та...

Не планирую вставлять в пак вышеприведенных лик-тестов, но это также лик-тест и имеет полное право появиться в этой теме.



Stupid keylogger leak-test

Одним из направлений поведенческих блокираторов и различных систем HIPS является обнаружение и обезвреживание зловредов семейства "монитор" - приложений, следящих за действиями пользователя. Типовым примером может служить обычный кейлоггер. Кейлоггеров много и различаются они как по техническим характеристикам (способами слежения, функциям), так и по назначению (следить за пользователями на собственном ПК или использовать массово как троян).

В описании практически каждого антивирусного комплекса есть слова о том, что продукт защищает от кейлоггеров. Для проверки слов и существуют лик-тесты и реальные запуски ITW-образцов.
В вышеприведенном паке лик-тестов есть 2 аналогичных кейлоггера, но они не могут наглядно отобразить наличие угрозы перехвата данных. Поэтому было решено переработать кейлоггер для того, что бы его поведение было наиболее похожим на поведение реального кейлоггера в системе и для того, что бы пользователю, тестирующему антивирусный продукт были видны все результаты работы кейлоггера.


Поэтому в кейлоггер были включены следующие функции и возможности:
* Слежение за набираемыми на клавиатуре данными и их логирование
* Слежение за текстом в буфере обмена и его логирование при его изменении
* Логирование того в каком окне набирается текст
* Создание удобочитаемого html лога
* Работает без инсталляции в систему

Т.к это лик-тест на него распространяются некоторые ограничения, которые и отличают лик-тест от реального трояна, но эти ограничения не влияют на детектирование его подозрительной деятельности в системе, т.к не имеют к ним никакого отношения:
* Логируются только английские буквы (текст набранный на русском языке и цифры записываться в лог просто не будут)


Работа с кейлоггером:
* Лог создается в текущей директории: файл stupid_keylog_log.htm
* Содержимое буфера обмена находится в строке серого цвета
* Заголовок окна в строке зеленого цвета
* Считанные данные между зелеными строками черным шрифтом
* Что бы завершить работу кейлоггера следует активировать Num Lock и нажать на клавишу 0 (на клавишу ноль не в ряду цифр, а на блоке цифр на клавиатуре справа) или просто завершить работу кейлоггера через Диспетчер задач


Кейлоггер является простым в плане того, что используемые им приемы и функции очень распространены в реальных образцах, хорошо документированы и просты в реализации.


Разная информация:
* Размер 8 Кб
* Портабельно - запускать можно с флешки
* Написан на С++
* Ничем не упакован
* Создан для удобства тестирования детекта кейлоггеров антивирусными продуктами - мало весит, прост в использовании, нагляден, не требует инсталляции, гарантированно не имеет "левых" функций, максимально приближен к реальным образцам malware, использует одну из самых распространенных технологий слежения за клавиатурой


Скачать:
slil.ru/27366634

Аутпост Про при запуске выдаёт предупреждение:
http://i027.radikal.ru/0904/00/a28efdf29bc4.jpg (http://www.radikal.ru)

Все верно - так и должно было быть. Он с кейлоггерами знаком.

del

Копируя, ошибся вкладкой.:)
Сорри.

Stupid keylogger leak-test
На компьютере Symantec Endpoint Protection 11.0.4014 MR4 MP1 + Norton AntiBot v.1.1.838 (технология SONAR, в SEPe пока еще нет, обещают внедрить, начиная с 12-ой версии, поэтому они друг друга дополняют) 8)...
По тесту SEP промолчал (журнал на момент тестирования чист), Norton AntiBot заметил неладное, скрин:
http://pic.ipicture.ru/uploads/090405/thumbs/MWLH8grRCs.jpg (http://ipicture.ru/Gallery/Viewfull/16821648.html)

KIS 2009 8.0.0.506 (a.b)
Авторежим. Ничего не сказал, лог пишется. Я огорчён :(

Индекс опасности - 4 (малоопасно)

думаю, что это скорее продуманная политика компании, чем недоработка в выставлении индекса опасности в эмуляторе - т.к с кейлоггерами каспер точно знаком - причем очень хорошо.
это можно объяснить тем, что приложение не умеет работать с инетом - поэтому каспер его посчитал админской тулзой. хотя все равно непонятно почему не выдал никакого предупреждения - о таком ведь принято предупреждать.

Кстати, вот на сегодняшний день результаты его проверки на вирустотале:
http://www.virustotal.com/ru/analisis/e401b9636f746b4ec9e98811230c90de
Детектит эвристиком только McAfee :)
Удивительно - даже хелло_ворлд детектят больше антивирусов)))

KIS 2009 8.0.0.506 (a.b)
Авторежим


хотя все равно непонятно почему не выдал никакого предупреждения - о таком ведь принято предупреждать.

При отключеном автопилоте сообщения есть?

Вот KIS в интерактивном режиме

Нет, в авторежиме никаких сообщений не выдал. Просто запустил и начал писать лог.

При отключеном автопилоте сообщения есть?
не знаю. у меня КИСа нет.


Нет, в авторежиме никаких сообщений не выдал. Просто запустил и начал писать лог.
а при установке КИСа какой режим по умолчанию? интерактивный/авто или еще какой-нибудь?

Нет, автоматический.

KIS 8,0,0,506
У меня на тестовой машине логи не создал, кейлоггер обнаружился, но по умолчанию стоит галочка - не удалять подозрительные объекты, поэтому заполнил лог такими данными:

05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Обнаружено: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Не завершен: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Обнаружено: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Обнаружено: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Не завершен: Keylogger

Кто может протестировать нам NIS 2009, кому не сложно. А то говорят, что он покруче Каспера и HIPS ему не нужен

стоит оговориться о методологии этих лик-тестов:
они годятся для тестирования эмуляторов (кис2009) - там он в чистом виде, или для тестирования поведенческих блокираторов в чистом виде: это кис 7, OSSS, Агнитум тоже, думаю, можно сюда всунуть...
А прогонять эти тесты на чем-то где и нет по заявлениями поведенческих блокираторов - бессмысленно. Какой, к примеру, толк на др.вебе тестировать эти лик-тесты?... Да никакого. Сами по себе они никакой опасности не несут - др.веб их и не детектит. А про опасные действия - это уже у них другая политика...
А если говорить про SONAR в NIS, то я на АМ (анти-малваре.ру) так и не добился ответа на вопрос занимается ли он анализом активности и на какие действия смотрит - как только мне эту информацию сообщат, то я сразу открою редактор и начну кодить или компилить уже сделанное... а пока тестить рано - не ясно какие у них технологии и против чего они направлены. Поэтому сейчас просто брать этот пак тестов и гонять по ним НИС - не нужно.

Все понял, спасибо. Слов много, а увидеть в деле хочется

мне тоже хочется увидеть СОНАР в деле. нужно только знать в каком, что бы создать это самое дело...

Прогнал тест на Comodo Internet Security (бесплатный) с проактивкой в параноидальном режиме. Пропустил только Keylogger1 и 9-й тест (скрытие окон). Я считаю, вполне достойный вариант.

параноидальном режиме
И удобно вам с параноиком общаться?

Да ничего, сам такой... ;)
Это только для тестирования.

Да ничего, сам такой... ;)
Это только для тестирования.

В этом и проблема, что тестируют программы часто на "максимальных" настройках, а используют повседневно их обычно на "средних".

В понедельник прогоню в обычном ("безопасном") режиме. Правила я для тестов вроде бы не создавал. Посмотрим...
Кстати, антивирус из комода обругал все файлы теста, кроме оболочки.

Avira Premium 8 ругнулась на 18 при распаковке, на 2 при выполнении, 3 пропущено, это 14-15 кейлогер и 18, не понял что это, вроде - уничтожить файлы в папке

Из хелпа:


Тест18:
Отнимает права на доступ к указанной папке (указывать папку обязательно без слэша на конце - именно так, как в примере). Антивирусное средство (если у него нет защиты от этого) перестанет работать или в течение минуты или после перезагрузки

Докладываю результаты тестирования Comodo Internet Security v.3.9.95478.509, проактивная защита в "безопасном режиме", антивирус отключен. Завален только 9-й тест - "скрыть окна". Keylogger1 я ошибочно отметил, как недетектируемый, просто ловит его не сразу, а через некоторое время - секунд через 10-20. Еще раз выскажусь: комод - неплохой комплексный продукт, файрвол у них давно уже на высоте, проактивка, как оказалось, тоже неплоха, портит общую картину антивирус - куча ложных срабатываний, детектирование кейгенов и не детектирование многих вирусов...
Но для бесплатного продукта, имхо, очень даже достойный продукт.

В справке написано:

Тест5:
В файл hosts добавляет строку 127.0.0.1 site.com.А вот и нет! Добавляет 127.0.0.1 msn.com #PDN test
(пишу по памяти).
А я рассчитываю, что там всего лишь site.com и даже чистить необязательно. Ну-ну! :)

Тип: троянская программа (событий: 2)
19.07.2009 20:00:31 Удалено троянская программа Trojan.Win32.Pasta.fs Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test6.exe
19.07.2009 20:00:31 Удалено троянская программа Trojan.Win32.Agent.clhd Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test4a.exe
Тип: троянская программа (событий: 2)
19.07.2009 20:00:31 Удалено вирус Worm.Win32.AutoRun.gan Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test3.exe
Это КиС рубнул при распаковке
Настроики не менялись.
Вырублю антивирус и потестирую позже.
В четверг на Нортоне2009 прогоню на работе.

Добавлено через 30 минут

А это нашлось при полном сканировании:
19.07.2009 21:44:10 Обнаружено троянская программа Trojan.Win32.Pasta.fs Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test6.exe
19.07.2009 21:44:09 Обнаружено троянская программа Trojan.Win32.Agent.clhd Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test4a.exe
19.07.2009 21:44:07 Обнаружено вирус Worm.Win32.AutoRun.gan Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test3.exe
19.07.2009 21:44:29 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test2.exe
19.07.2009 21:44:06 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test2.exe
19.07.2009 21:44:27 Обнаружено вирус HEUR:Trojan.Win32.Invader Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test16.exe
19.07.2009 21:44:18 Обнаружено вирус HEUR:Trojan.Win32.Invader Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test16.exe
19.07.2009 21:44:26 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test12.exe
19.07.2009 21:44:14 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test12.exe
19.07.2009 21:44:25 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test11.exe
19.07.2009 21:44:13 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test11.exe
19.07.2009 21:44:23 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test1.exe
19.07.2009 21:44:04 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test1.exe

А если говорить про SONAR в NIS, то я на АМ (анти-малваре.ру) так и не добился ответа на вопрос занимается ли он анализом активности и на какие действия смотрит - как только мне эту информацию сообщат, то я сразу открою редактор и начну кодить или компилить уже сделанное... а пока тестить рано - не ясно какие у них технологии и против чего они направлены. Поэтому сейчас просто брать этот пак тестов и гонять по ним НИС - не нужно.
Может пригодится*;) этот ответ (http://www.anti-malware.ru/forum/index.php?showtopic=8930&view=findpost&p=76295)

так NIS 2009 16.5.0.135 базы от 29.07.2009. настройки по умолчанию.
ОС Windows XP Pro. SP3 х86 с настройками по умолчанию-работа под админом.
Тест получился не полным,т.к. часть файлов просто была удалена сигнатурным детектом-отключить его также не представлялось возможным,т.к. вместе с ним отключался SONAR.
Тестил что осталось:
Записать файл в автозапуск 01-провал
Через SCRNSAVE 4v-провал
Редактирование файла hosts 5-провал
Запуск браузера с параметрами 7-провал
Запуск IE с параметрами 7а-провал
Изменить дату 8-провал
Скрыть окна 9-провал
Кейлоггер 1 14-провал
Кейлоггер 2 15-провал
Разрушить всё что в папке 18-пройден

KIS 2009 8.0.0.506(a.b.d) настройки полностью по умолчанию, файловый антивирус выключен,режим работы KIS автоматический.
ОС Windows XP Pro. SP3 х86 с настройками по умолчанию-работа под админом.
01- пройден
1-пройден
2-пройден
3-пройден
4-пройден
4а-пройден
4б-пройден
Через SCRNSAVE 4v-провал
5-пройден
6-пройден
7-пройден
7-а-пройден
Изменить дату 8-провал
Скрыть окна 9-провал
10-пройден
11-пройден
12-пройден
13-пройден
14-пройден
15-пройден
16-пройден
17-пройден
18-пройден

У меня Avira AntiVir Premium Security Suite. При распаковке уже обнаружила этот тест и блокирует его("Содержит сигнатуру дроппера DR/Pasta.FS"). Дал команду пропустить файл PDM_tests_v1.1.exe, идет дальше распаковка, блокирует файлы test01.exe и т.д. Короче все файлы видит))) Сейчас буду тестить.
А вот и тесты, удивлен, что некоторые пропустила(((
0-пройден
1-пройден
2-пройден
3-пройден
4-пройден
4а-пройден
4б-пройден
4в-пройден
5-провален(редактирование файла hosts)
6-пройден
7-пройден
7а-пройден
8-пройден
9-пройден
10-пройден
11-пройден
12-пройден
13-пройден
14-провален(кейлоггер1)
15-провален(кейлоггер2)
16-пройден
17-пройден
18-провален(Разрушить все, что в папке)

Хочу уточнить- что NIS не отключился от теста: Изменить дату-тест 8
Но результат считаю провальным,т.к. мое мнение- продукт должен контролировать и предупреждать пользователя о несанкционированном изменении даты и времени на ПК.

priv8v, как Вы считаете это правильно?

Dark_KRONOS, это тестирование проактивной защиты, а не сигнатурного детекта. И что значит
5-провален(редактирование файла hosts)???
В файле Нosts появляются посторонние записи?
У Авиры PSS есть пункт в настройках "Заблокировать файл Нosts". Он активирован (галочка стоит?) ?

а у меня KIS 2010 ещё при распаковке архива почти всё убил:


Тип: вирус (событий: 14)
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Invader D:\PDM tests v1.1\PDM_tests_v1.1.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test1.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test2.exe
14.08.2009 21:24:11 На карантине вирус Worm.Win32.AutoRun.gan D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test3.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test11.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test12.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Invader D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test16.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\отдельно_файлы_лик-тесты\test1.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\отдельно_файлы_лик-тесты\test11.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\отдельно_файлы_лик-тесты\test12.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Invader D:\PDM tests v1.1\отдельно_файлы_лик-тесты\test16.exe
14.08.2009 21:24:12 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\отдельно_файлы_лик-тесты\test2.exe
Тип: троянская программа (событий: 2)
14.08.2009 21:24:11 На карантине троянская программа Trojan.Win32.Agent.clhd D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test4a.exe
14.08.2009 21:24:11 На карантине троянская программа Trojan.Win32.Pasta.fs D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test6.exe

а у меня KIS 2010 ещё при распаковке архива почти всё убил:
тест для проактивки, а не для эвристика :)

В интернете работаю под ограниченной учетной записью, поэтому тест проводился под пользователем.
Не стала проводить дотошный анализ Комодо - лень было после скачивания файла переключаться на админку (чтобы отключить антивирус).

Так, Symantec Antivirus.
После разархивирования обезопасил от следующих файлов: тест 1, 2, 3, 4, 4а, 4б, 10, 11, 12, 13, 16, 17.

Comodo Firewall. При запуске остальных тестов - все пройдено. Проактивная защита в статусе "безопасный".

Comodo Internet Security 3.10.102363.531, Windows XP SP3.
Антивирус отключил, режим проактивной защиты - "Чистый ПК".
Запуск теста с правами учетной записи администратора.
Тест 9 - "Скрыть окна", очевидно, провален - не было никакого всплывающего окна HIPS, а что там скрывалось не знаю. Остальные тесты пройдены.

Comodo 3.11.108364.552 (фаервол + HIPS) с выключенной Avira free 9.0.0.410 (иначе не давала даже распаковать). 100% провален 9й (сокрытие окон) и 8й стал роковым для Авиры - перевёл ей время на 2021 год. Что означают логи кейлоггеров? keylog_log_test: ''''bod и keylog_log_test2 - пустой (0 Кб).

Вопрос к разработчику: возможно ли модернизировать тест так, чтобы он создавал логи для всех тестов, а не только для кейлоггеров? А то временами не понятно пройдены некоторые тесты или нет.

Связка Outpost Firewall Pro 6.7.1 + KIS 9.0.0.714 IMHO провалила тест, test8.exe повредил базы Касперского и удалил его активацию (KIS при этом даже не сопротивлялся). В общем, сижу и тихо офигеваю. Как систему вычистить от последствий этих тестов?))

Хм... Я неоднократно упоминал о том, что стоит трезво оценивать свои силы...
Иными словами я говорил про виртуалку и про меры предосторожности.

Теперь касательно теста8.ехе - он просто перевел дату и ключ активации тихо отвалился. Что делать в данном случае - вопрос в техподдержку (только желательно будет сказать, что это сделал злобный вирус), а если ключ пробный, то не знаю.

антивирус SEP 11.0.4202.75, клиент, файерволл ставлю Kerio 4.21. При распаковки архива "срубил"-1,2,3,4,4a,4b,6,10,12,13,16,17.
При запуске отдельных тестов Kerio выбросил предупреждения ,а я соответственно "запретил выполнение"-01,4,5,7,7a,8,9,14,15.
При запуске остальных SEP "срубил"-1,2,3,4,4a,4b,6,16,17,10,11,12,13.
После перезагрузки антивирус работает ,время не поменялось. Провалов нет.

Не знаю почему,но мой КИС сказал,что вирусы.Фолсов много?

А где скачать тест на кейлоггер?Ссылка на SLIL не рабочая...:(

Stupid keylogger leak-test

slil.ru/27366634

Из первого поста качайте. Там их аж две штуки.
Только это уже все неактуально.

Только это уже все неактуально.

А что на данный момент актуально?

А что на данный момент актуально?
1). На все файлы уже наложен сигнатурный детект
2). Против всех этих методов уже давно разработаны соответствующие щиты у антивирусов.

Core Force
Настройки System Security Level - Medium, на High тесты даже не запускались
Запись файла в автозапуск - пройден
Самокопирование в автозапуск1 - провал
Самокопирование в автозапуск2 - пройден
Через autorun.inf3 - пройден
Через изменённую папку4 - пройден
Самокопирование в папку4а - пройден
Через AppInit_DLLs4б - пройден
Через SCRNSAVE4в - пройден

Редактирование файла hosts - провал
Изменение StartPage в IE - пройден
Запуск браузера с параметрами - пройден
Запуск IE с параметрами - пройден
Изменить дату - провал
Скрыть окна - пройден
Обход системы Firewall - пройден
Заблокировать regedit - пройден
Заблокировать ctr+ald+del - пройден
Скрыть файл на диске - пройден
Кейлоггер1 - пройден
Кейлоггер2 - пройден
Инжект - пройден
Не показывать скрытые файлы - пройден
Разрушить всё, что в папке - пройден

Microsoft Security Essential обозвал данный файл Trojan Dropper:AutoIl\Runner BM а также Троян-сбрасыватель и потребовал его удалить.Система Windows 7 x64

Microsoft Security Essential обозвал данный файл Trojan Dropper:AutoIl\Runner BM а также Троян-сбрасыватель и потребовал его удалить.Система Windows 7 x64
и дальше что?

1). На все файлы уже наложен сигнатурный детект
2). Против всех этих методов уже давно разработаны соответствующие щиты у антивирусов.
1- PC Tools Internet Security 7.0.0.545 - ни архив,ни файлы подозрений не вызвали ;)

test 8 (дата изменилась на 2021,следом сообщение о истекшей лицензии);
test 14 (алерта нет,запустился процесс,создан .txt);
test 15 (алерта нет,запустился процесс,создан .txt);
test 18 (алерта нет...тихо умер после ребута ...):(

Все остальные провокаторы засекались при попытке запуска.

2- Acronis Internet Security Suite 2010 v13.0.18 - в процессе распаковки порубил в капусту всё,кроме :

test 5 (алерта нет,но hosts не редактировался);
test 15 (алерта нет,запустился процесс,создан .txt);
test 18 (алерта нет,но жив-здоров):)

McAfee Total Protection 2010
удалил все кроме test 15(запустил его сам вручную,антивирус не ругался в диспетчере задач процесс появился), так же остался test 18

Смысл не в сигнатурах и удалении.

test 9 (алерта нет,окна скрыты);
test 11 (алерта нет,regedit заблокирован);
test 12 (алерта нет,диспетчер заблокирован);
test 17 (алерта нет,не показывать скрытые файлы ).
:>
Все остальные провокаторы засекались при попытке запуска.

Trend Micro Worry Free Business advanced sp 2 все заплатки на сей момент стоят
20100724 1418 TROJ_GEN.0X2512S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test1.exe
20100724 1418 TROJ_GEN.0Z2011S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test10.exe
20100724 1418 TROJ_GEN.0X0712S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test11.exe
20100724 1418 TROJ_GEN.0X0712S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test12.exe
20100724 1418 TROJ_GEN.0Z2011S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test13.exe
20100724 1418 TROJ_GEN.0Z0913S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test16.exe
20100724 1418 TROJ_GEN.0Z2011S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test17.exe
20100724 1418 TROJ_GEN.0Z2011S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test17.exe
20100724 1418 TROJ_GEN.0Z2011S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test2.exe
20100724 1418 WORM_Generic.DIT D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test3.exe
20100724 1418 TROJ_GEN.0Z2011S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test4.exe
20100724 1418 TROJ_GEN.0Z2011S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test4.exe
20100724 1418 TROJ_GEN.0X2512S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test4a.exe
20100724 1418 TROJ_GEN.0X2512S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test4b.exe
20100724 1418 TROJ_GEN.0Z2011S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test4v.exe
20100724 1418 TROJ_GEN.0Z2011S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test4v.exe
20100724 1418 TROJ_GEN.0Z0413S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test6.exe
20100724 1418 TROJ_GEN.0X2512S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test7.exe
20100724 1418 TROJ_GEN.0X2512S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test7a.exe
20100724 1418 TROJ_GEN.0X2512S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test8.exe
20100724 1418 TROJ_GEN.0Z2011S D:\00\PDM tests v1.1\отдельно_файлы_лик-тесты\test9.exe
20100724 1418 PE_Generic.DIT D:\00\PDM tests v1.1\PDM_tests_v1.1.exe

Добавлено через 2 минуты

tests5 не запускается.
test18 не запускается.

А теперь посмотрите на название темы и прочитайте первый пост.

Это тестирование PDM защиты. На кой хрен вы убиваете файлы сигнатурным детектом? Это не тест, кто больше найдет :)

Стало интересно, попробовал пройти тест...
Avira Premium + Online Armor Free 4.5
У Авиры отключил Guard ( прочитав предыдущий пост)
На любую попытку запуска сразу вылетает окно Армора Разрешить-Запретить с подробным описанием пути файла, после Запрета принудительно закрывается и главное окно теста. Т.е ни один из тестов не смог исполниться.
Ради интереса включил Guard Avira, из папки с тестом были удалены все кроме 15 и 18 тестов. Попробовал запустить 15-й, после появления аллерта от Армора, Авира удалила 15-й тест...

Comodo не дал распаковаться)Как он их только не обзывал...:)
344138

Так отключайте антивирус и онлайн-сканирование.

Классная прога! Выключил нод и ручками всех замочил! Очень хорошая подборка в плане начального обучения и пониманию путей проникновения зловредов! Давно о таком софте мечтал. Автору огромное Спасибо!

Добавлено через 12 минут

microsoft security essentials провалил тесты 5, 7, 8, 15, 18. Вот так вот)