Зайцев Олег
29.11.2005, 09:56
Тест сделан по просьбе Tra1toR.
Начало тестов - в ходе инсталляции мне очень непонравилось три факта:
1. объем инсталляции 11.6 мб - для антиспайвера объем более 3-5 мб как правило нонсенс.
2. После установки антишпион проявил качества шпиона - полез в Инет, проверил соединение запросом к
filename=test-inet-conn.exe&path=test-inet-conn.exe и затем стал передавать какие-то данные о изучаемом ПК, например:
POST http://data.tenebril.com/ldb2/registration.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: SCX registration
Host: data.tenebril.com
Content-Length: 156
Pragma: no-cache
firstName=aa& (firstName=aa&lastName=bbb&productFamily=SpyCatcher&numberOfComputers=0&oem=SCX&[email protected]&isWillingToBeContacted=1&isEnterprise=0&productVersion=4.0.4HTTP/1.0)
lastName=bbb&
productFamily=SpyCatcher&
numberOfComputers=0&
oem=SCX&
[email protected]&
isWillingToBeContacted=1&
isEnterprise=0&
productVersion=4.0.4HTTP/1.0 200 OK
Date: Tue, 29 Nov 2005 07:01:08 GMT
Server: Apache/1.3.27 (Unix) (Red-Hat/Linux) mod_fastcgi/2.2.10 mod_jk/1.2.0 mod_perl/1.24_01 PHP/4.2.2 FrontPage/5.0.2 mod_ssl/2.8.12 OpenSSL/0.9.6b
X-Powered-By: PHP/4.2.2
Content-Type: text/html
X-Cache: MISS from mail.smolen.ru
Proxy-Connection: close
Result:SUCCESS:new registration inserted
Я ввел имя aa, last-name = bbb и email = [email protected] , но что-то не припомню, чтобы я просил передать эти данные в ходе перезагрузки.
Далее еще интереснее - обмен вида:
POST http://proclist.tenebril.com/tools/mplissafe-vt.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: SpyCatcher Signature Check
Host: proclist.tenebril.com
Content-Length: 52
Pragma: no-cache
filename=smss.exe&path=\SystemRoot\System32\smss.exeHTTP/1.0 200 OK
Date: Tue, 29 Nov 2005 07:01:59 GMT
Server: Apache/2.0.40 (Red Hat Linux)
Accept-Ranges: bytes
X-Powered-By: PHP/4.2.2
Content-Type: text/plain; charset=ISO-8859-1
X-Cache: MISS from mail.smolen.ru
Proxy-Connection: close
RESULT: Clean
Опять-же вопрос - я не просил что-то куда-то передавать, это передалось в ходе первой перезагрузки само. Таких POST прошло штук 5, не менее того. Далее такой обмен шел с завидной регулярностью - скажу сразу, я очень нелюблю программы, которые что-то там без спроса кому-то передают.
3. Сурпризы на этом не завершились - оказалось, в продукт встроен UserMode RootKit. Зачем руткит антиспайверу (тем более столь примитивный) - загадка, но конфликт с руткитом от Sony показал, к чему приводит установка "легальных" руткитов.
Объем базы сканера - 89604 сигнатуры. Комплект состоит из сканера с бортовыми утилитами, монитора и шедуллера.
Сканирование тестовой коллекции (по которой летом гонялись другие антиспайверы) - скорость сканирования около 1000 файлов в минуту, вот результат по промахам:
AdvWare 967
Adware 2
Backdoor 433
Constructor 1
Dialer 444
Downloader 1
Email-Flooder 1
Email-Worm 31
Exploit 12
HackTool 2
Hoax 1
IM-Worm 6
Net-Worm 25
P2P-Worm 3
Porn-Dialer 2
Porn-Downloader 1
PornWare 0
PSWTool 1
RiskWare 3
Spy 341
Trojan 208
Trojan-Clicker 64
Trojan-Downloader 813
Trojan-Dropper 85
Trojan-Proxy 38
Trojan-PSW 32
Trojan-Spy 500
Virus 22
Worm 3
Общее число файлов: 4042
------------
Т.е. из 4528 он пропустил 4042, поймал таким образом 486 файлов, что составило 10.7%. Пропуски равномерно распределены по всей коллекции ...
При том, что тот-же DrWeb CureIt на сей момент выбивает близко к 90% от данной коллекции (при размере в три раза меньще и отсутствии инсталляции) вывод очивиден ....
Начало тестов - в ходе инсталляции мне очень непонравилось три факта:
1. объем инсталляции 11.6 мб - для антиспайвера объем более 3-5 мб как правило нонсенс.
2. После установки антишпион проявил качества шпиона - полез в Инет, проверил соединение запросом к
filename=test-inet-conn.exe&path=test-inet-conn.exe и затем стал передавать какие-то данные о изучаемом ПК, например:
POST http://data.tenebril.com/ldb2/registration.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: SCX registration
Host: data.tenebril.com
Content-Length: 156
Pragma: no-cache
firstName=aa& (firstName=aa&lastName=bbb&productFamily=SpyCatcher&numberOfComputers=0&oem=SCX&[email protected]&isWillingToBeContacted=1&isEnterprise=0&productVersion=4.0.4HTTP/1.0)
lastName=bbb&
productFamily=SpyCatcher&
numberOfComputers=0&
oem=SCX&
[email protected]&
isWillingToBeContacted=1&
isEnterprise=0&
productVersion=4.0.4HTTP/1.0 200 OK
Date: Tue, 29 Nov 2005 07:01:08 GMT
Server: Apache/1.3.27 (Unix) (Red-Hat/Linux) mod_fastcgi/2.2.10 mod_jk/1.2.0 mod_perl/1.24_01 PHP/4.2.2 FrontPage/5.0.2 mod_ssl/2.8.12 OpenSSL/0.9.6b
X-Powered-By: PHP/4.2.2
Content-Type: text/html
X-Cache: MISS from mail.smolen.ru
Proxy-Connection: close
Result:SUCCESS:new registration inserted
Я ввел имя aa, last-name = bbb и email = [email protected] , но что-то не припомню, чтобы я просил передать эти данные в ходе перезагрузки.
Далее еще интереснее - обмен вида:
POST http://proclist.tenebril.com/tools/mplissafe-vt.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: SpyCatcher Signature Check
Host: proclist.tenebril.com
Content-Length: 52
Pragma: no-cache
filename=smss.exe&path=\SystemRoot\System32\smss.exeHTTP/1.0 200 OK
Date: Tue, 29 Nov 2005 07:01:59 GMT
Server: Apache/2.0.40 (Red Hat Linux)
Accept-Ranges: bytes
X-Powered-By: PHP/4.2.2
Content-Type: text/plain; charset=ISO-8859-1
X-Cache: MISS from mail.smolen.ru
Proxy-Connection: close
RESULT: Clean
Опять-же вопрос - я не просил что-то куда-то передавать, это передалось в ходе первой перезагрузки само. Таких POST прошло штук 5, не менее того. Далее такой обмен шел с завидной регулярностью - скажу сразу, я очень нелюблю программы, которые что-то там без спроса кому-то передают.
3. Сурпризы на этом не завершились - оказалось, в продукт встроен UserMode RootKit. Зачем руткит антиспайверу (тем более столь примитивный) - загадка, но конфликт с руткитом от Sony показал, к чему приводит установка "легальных" руткитов.
Объем базы сканера - 89604 сигнатуры. Комплект состоит из сканера с бортовыми утилитами, монитора и шедуллера.
Сканирование тестовой коллекции (по которой летом гонялись другие антиспайверы) - скорость сканирования около 1000 файлов в минуту, вот результат по промахам:
AdvWare 967
Adware 2
Backdoor 433
Constructor 1
Dialer 444
Downloader 1
Email-Flooder 1
Email-Worm 31
Exploit 12
HackTool 2
Hoax 1
IM-Worm 6
Net-Worm 25
P2P-Worm 3
Porn-Dialer 2
Porn-Downloader 1
PornWare 0
PSWTool 1
RiskWare 3
Spy 341
Trojan 208
Trojan-Clicker 64
Trojan-Downloader 813
Trojan-Dropper 85
Trojan-Proxy 38
Trojan-PSW 32
Trojan-Spy 500
Virus 22
Worm 3
Общее число файлов: 4042
------------
Т.е. из 4528 он пропустил 4042, поймал таким образом 486 файлов, что составило 10.7%. Пропуски равномерно распределены по всей коллекции ...
При том, что тот-же DrWeb CureIt на сей момент выбивает близко к 90% от данной коллекции (при размере в три раза меньще и отсутствии инсталляции) вывод очивиден ....