Все верно - так и должно было быть. Он с кейлоггерами знаком.
Printable View
Все верно - так и должно было быть. Он с кейлоггерами знаком.
del
Копируя, ошибся вкладкой.:)
Сорри.
[B]Stupid keylogger leak-test[/B]
На компьютере Symantec Endpoint Protection 11.0.4014 MR4 MP1 + Norton AntiBot v.1.1.838 (технология SONAR, в SEPe пока еще нет, обещают внедрить, начиная с 12-ой версии, поэтому они друг друга дополняют) 8)...
По тесту SEP промолчал (журнал на момент тестирования чист), Norton AntiBot заметил неладное, скрин:
[URL="http://ipicture.ru/Gallery/Viewfull/16821648.html"][IMG]http://pic.ipicture.ru/uploads/090405/thumbs/MWLH8grRCs.jpg[/IMG][/URL]
KIS 2009 8.0.0.506 (a.b)
Авторежим. Ничего не сказал, лог пишется. Я огорчён :(
Индекс опасности - 4 (малоопасно)
думаю, что это скорее продуманная политика компании, чем недоработка в выставлении индекса опасности в эмуляторе - т.к с кейлоггерами каспер точно знаком - причем очень хорошо.
это можно объяснить тем, что приложение не умеет работать с инетом - поэтому каспер его посчитал админской тулзой. хотя все равно непонятно почему не выдал никакого предупреждения - о таком ведь принято предупреждать.
Кстати, вот на сегодняшний день результаты его проверки на вирустотале:
[url]http://www.virustotal.com/ru/analisis/e401b9636f746b4ec9e98811230c90de[/url]
Детектит эвристиком только McAfee :)
Удивительно - даже хелло_ворлд детектят больше антивирусов)))
[QUOTE]KIS 2009 8.0.0.506 (a.b)
[B][COLOR="Red"]Авторежим[/COLOR][/B][/QUOTE]
[QUOTE]хотя все равно непонятно почему не выдал никакого предупреждения - о таком ведь принято предупреждать.[/QUOTE]
При отключеном автопилоте сообщения есть?
Вот KIS в интерактивном режиме
Нет, в авторежиме никаких сообщений не выдал. Просто запустил и начал писать лог.
[QUOTE]При отключеном автопилоте сообщения есть?[/QUOTE]
не знаю. у меня КИСа нет.
[QUOTE]Нет, в авторежиме никаких сообщений не выдал. Просто запустил и начал писать лог.[/QUOTE]
а при установке КИСа какой режим по умолчанию? интерактивный/авто или еще какой-нибудь?
Нет, автоматический.
KIS 8,0,0,506
У меня на тестовой машине логи не создал, кейлоггер обнаружился, но по умолчанию стоит галочка - не удалять подозрительные объекты, поэтому заполнил лог такими данными:
[QUOTE]05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Обнаружено: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Не завершен: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Обнаружено: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Обнаружено: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Не завершен: Keylogger [/QUOTE]
Кто может протестировать нам NIS 2009, кому не сложно. А то говорят, что он покруче Каспера и HIPS ему не нужен
стоит оговориться о методологии этих лик-тестов:
они годятся для тестирования эмуляторов (кис2009) - там он в чистом виде, или для тестирования поведенческих блокираторов в чистом виде: это кис 7, OSSS, Агнитум тоже, думаю, можно сюда всунуть...
А прогонять эти тесты на чем-то где и нет по заявлениями поведенческих блокираторов - бессмысленно. Какой, к примеру, толк на др.вебе тестировать эти лик-тесты?... Да никакого. Сами по себе они никакой опасности не несут - др.веб их и не детектит. А про опасные действия - это уже у них другая политика...
А если говорить про SONAR в NIS, то я на АМ (анти-малваре.ру) так и не добился ответа на вопрос занимается ли он анализом активности и на какие действия смотрит - как только мне эту информацию сообщат, то я сразу открою редактор и начну кодить или компилить уже сделанное... а пока тестить рано - не ясно какие у них технологии и против чего они направлены. Поэтому сейчас просто брать этот пак тестов и гонять по ним НИС - не нужно.
Все понял, спасибо. Слов много, а увидеть в деле хочется
мне тоже хочется увидеть СОНАР в деле. нужно только знать в каком, что бы создать это самое дело...
Прогнал тест на Comodo Internet Security (бесплатный) с проактивкой в параноидальном режиме. Пропустил только Keylogger1 и 9-й тест (скрытие окон). Я считаю, вполне достойный вариант.
[QUOTE]параноидальном режиме[/QUOTE]
И удобно вам с параноиком общаться?
Да ничего, сам такой... ;)
Это только для тестирования.
[QUOTE=Vvvyg;412300]Да ничего, сам такой... ;)
Это только для тестирования.[/QUOTE]
В этом и проблема, что тестируют программы часто на "максимальных" настройках, а используют повседневно их обычно на "средних".
В понедельник прогоню в обычном ("безопасном") режиме. Правила я для тестов вроде бы не создавал. Посмотрим...
Кстати, антивирус из комода обругал все файлы теста, кроме оболочки.
Avira Premium 8 ругнулась на 18 при распаковке, на 2 при выполнении, 3 пропущено, это 14-15 кейлогер и 18, не понял что это, вроде - уничтожить файлы в папке
Из хелпа:
[QUOTE]Тест18:
Отнимает права на доступ к указанной папке (указывать папку обязательно без слэша на конце - именно так, как в примере). Антивирусное средство (если у него нет защиты от этого) перестанет работать или в течение минуты или после перезагрузки [/QUOTE]
Докладываю результаты тестирования Comodo Internet Security v.3.9.95478.509, проактивная защита в "безопасном режиме", антивирус отключен. Завален только 9-й тест - "скрыть окна". Keylogger1 я ошибочно отметил, как недетектируемый, просто ловит его не сразу, а через некоторое время - секунд через 10-20. Еще раз выскажусь: комод - неплохой комплексный продукт, файрвол у них давно уже на высоте, проактивка, как оказалось, тоже неплоха, портит общую картину антивирус - куча ложных срабатываний, детектирование кейгенов и не детектирование многих вирусов...
Но для бесплатного продукта, имхо, очень даже достойный продукт.
В справке написано:
[QUOTE][B]Тест5:[/B]
В файл hosts добавляет строку 127.0.0.1 site.com.[/QUOTE]А вот и нет! Добавляет [B]127.0.0.1 msn.com #PDN test[/B]
(пишу по памяти).
А я рассчитываю, что там всего лишь site.com и даже чистить необязательно. Ну-ну! :)
Тип: троянская программа (событий: 2)
19.07.2009 20:00:31 Удалено троянская программа Trojan.Win32.Pasta.fs Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test6.exe
19.07.2009 20:00:31 Удалено троянская программа Trojan.Win32.Agent.clhd Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test4a.exe
Тип: троянская программа (событий: 2)
19.07.2009 20:00:31 Удалено вирус Worm.Win32.AutoRun.gan Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test3.exe
Это КиС рубнул при распаковке
Настроики не менялись.
Вырублю антивирус и потестирую позже.
В четверг на Нортоне2009 прогоню на работе.
[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]
А это нашлось при полном сканировании:
19.07.2009 21:44:10 Обнаружено троянская программа Trojan.Win32.Pasta.fs Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test6.exe
19.07.2009 21:44:09 Обнаружено троянская программа Trojan.Win32.Agent.clhd Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test4a.exe
19.07.2009 21:44:07 Обнаружено вирус Worm.Win32.AutoRun.gan Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test3.exe
19.07.2009 21:44:29 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test2.exe
19.07.2009 21:44:06 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test2.exe
19.07.2009 21:44:27 Обнаружено вирус HEUR:Trojan.Win32.Invader Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test16.exe
19.07.2009 21:44:18 Обнаружено вирус HEUR:Trojan.Win32.Invader Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test16.exe
19.07.2009 21:44:26 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test12.exe
19.07.2009 21:44:14 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test12.exe
19.07.2009 21:44:25 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test11.exe
19.07.2009 21:44:13 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test11.exe
19.07.2009 21:44:23 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\отдельно_файлы_лик-тесты\ test1.exe
19.07.2009 21:44:04 Обнаружено вирус HEUR:Trojan.Win32.Generic Файл D:\Programs\Elementary PDM tests\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX// test1.exe
[QUOTE=priv8v;389867]
А если говорить про SONAR в NIS, то я на АМ (анти-малваре.ру) так и не добился ответа на вопрос занимается ли он анализом активности и на какие действия смотрит - как только мне эту информацию сообщат, то я сразу открою редактор и начну кодить или компилить уже сделанное... а пока тестить рано - не ясно какие у них технологии и против чего они направлены. Поэтому сейчас просто брать этот пак тестов и гонять по ним НИС - не нужно.[/QUOTE]
Может пригодится*;) этот [URL="http://www.anti-malware.ru/forum/index.php?showtopic=8930&view=findpost&p=76295"]ответ[/URL]
так NIS 2009 16.5.0.135 базы от 29.07.2009. настройки по умолчанию.
ОС Windows XP Pro. SP3 х86 с настройками по умолчанию-работа под админом.
Тест получился не полным,т.к. часть файлов просто была удалена сигнатурным детектом-отключить его также не представлялось возможным,т.к. вместе с ним отключался SONAR.
Тестил что осталось:
Записать файл в автозапуск 01-провал
Через SCRNSAVE 4v-провал
Редактирование файла hosts 5-провал
Запуск браузера с параметрами 7-провал
Запуск IE с параметрами 7а-провал
Изменить дату 8-провал
Скрыть окна 9-провал
Кейлоггер 1 14-провал
Кейлоггер 2 15-провал
Разрушить всё что в папке 18-пройден
KIS 2009 8.0.0.506(a.b.d) настройки полностью по умолчанию, файловый антивирус выключен,режим работы KIS автоматический.
ОС Windows XP Pro. SP3 х86 с настройками по умолчанию-работа под админом.
01- пройден
1-пройден
2-пройден
3-пройден
4-пройден
4а-пройден
4б-пройден
Через SCRNSAVE 4v-провал
5-пройден
6-пройден
7-пройден
7-а-пройден
Изменить дату 8-провал
Скрыть окна 9-провал
10-пройден
11-пройден
12-пройден
13-пройден
14-пройден
15-пройден
16-пройден
17-пройден
18-пройден
У меня Avira AntiVir Premium Security Suite. При распаковке уже обнаружила этот тест и блокирует его("Содержит сигнатуру дроппера DR/Pasta.FS"). Дал команду пропустить файл PDM_tests_v1.1.exe, идет дальше распаковка, блокирует файлы test01.exe и т.д. Короче все файлы видит))) Сейчас буду тестить.
А вот и тесты, удивлен, что некоторые пропустила(((
0-пройден
1-пройден
2-пройден
3-пройден
4-пройден
4а-пройден
4б-пройден
4в-пройден
5-провален(редактирование файла hosts)
6-пройден
7-пройден
7а-пройден
8-пройден
9-пройден
10-пройден
11-пройден
12-пройден
13-пройден
14-провален(кейлоггер1)
15-провален(кейлоггер2)
16-пройден
17-пройден
18-провален(Разрушить все, что в папке)
Хочу уточнить- что NIS не отключился от теста: Изменить дату-тест 8
Но результат считаю провальным,т.к. мое мнение- продукт должен контролировать и предупреждать пользователя о несанкционированном изменении даты и времени на ПК.
[B]priv8v[/B], как Вы считаете это правильно?
[B]Dark_KRONOS[/B], это тестирование проактивной защиты, а не сигнатурного детекта. И что значит [QUOTE]5-провален(редактирование файла hosts)[/QUOTE]???
В файле Нosts появляются посторонние записи?
У Авиры PSS есть пункт в настройках [B]"Заблокировать файл Нosts"[/B]. Он активирован (галочка стоит?) ?
а у меня KIS 2010 ещё при распаковке архива почти всё убил:
Тип: вирус (событий: 14)
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Invader D:\PDM tests v1.1\PDM_tests_v1.1.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test1.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test2.exe
14.08.2009 21:24:11 На карантине вирус Worm.Win32.AutoRun.gan D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test3.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test11.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test12.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Invader D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test16.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\отдельно_файлы_лик-тесты\test1.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\отдельно_файлы_лик-тесты\test11.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\отдельно_файлы_лик-тесты\test12.exe
14.08.2009 21:24:11 На карантине вирус HEUR:Trojan.Win32.Invader D:\PDM tests v1.1\отдельно_файлы_лик-тесты\test16.exe
14.08.2009 21:24:12 На карантине вирус HEUR:Trojan.Win32.Generic D:\PDM tests v1.1\отдельно_файлы_лик-тесты\test2.exe
Тип: троянская программа (событий: 2)
14.08.2009 21:24:11 На карантине троянская программа Trojan.Win32.Agent.clhd D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test4a.exe
14.08.2009 21:24:11 На карантине троянская программа Trojan.Win32.Pasta.fs D:\PDM tests v1.1\PDM_tests_v1.1.exe//PE_Patch.UPX//UPX//test6.exe
[QUOTE=autocritic;448949]а у меня KIS 2010 ещё при распаковке архива почти всё убил:[/QUOTE]
тест для проактивки, а не для эвристика :)
В интернете работаю под ограниченной учетной записью, поэтому тест проводился под пользователем.
Не стала проводить дотошный анализ Комодо - лень было после скачивания файла переключаться на админку (чтобы отключить антивирус).
Так, Symantec Antivirus.
После разархивирования обезопасил от следующих файлов: тест 1, 2, 3, 4, 4а, 4б, 10, 11, 12, 13, 16, 17.
Comodo Firewall. При запуске остальных тестов - все пройдено. Проактивная защита в статусе "безопасный".
Comodo Internet Security 3.10.102363.531, Windows XP SP3.
Антивирус отключил, режим проактивной защиты - "Чистый ПК".
Запуск теста с правами учетной записи администратора.
Тест 9 - "Скрыть окна", очевидно, провален - не было никакого всплывающего окна HIPS, а что там скрывалось не знаю. Остальные тесты пройдены.
Comodo 3.11.108364.552 (фаервол + HIPS) с выключенной Avira free 9.0.0.410 (иначе не давала даже распаковать). 100% провален 9й (сокрытие окон) и 8й стал роковым для Авиры - перевёл ей время на 2021 год. Что означают логи кейлоггеров? keylog_log_test: ''''bod и keylog_log_test2 - пустой (0 Кб).
Вопрос к разработчику: возможно ли модернизировать тест так, чтобы он создавал логи для всех тестов, а не только для кейлоггеров? А то временами не понятно пройдены некоторые тесты или нет.
Связка Outpost Firewall Pro 6.7.1 + KIS 9.0.0.714 IMHO провалила тест, test8.exe повредил базы Касперского и удалил его активацию (KIS при этом даже не сопротивлялся). В общем, сижу и тихо офигеваю. Как систему вычистить от последствий этих тестов?))
Хм... Я неоднократно упоминал о том, что стоит трезво оценивать свои силы...
Иными словами я говорил про виртуалку и про меры предосторожности.
Теперь касательно теста8.ехе - он просто перевел дату и ключ активации тихо отвалился. Что делать в данном случае - вопрос в техподдержку (только желательно будет сказать, что это сделал злобный вирус), а если ключ пробный, то не знаю.
антивирус SEP 11.0.4202.75, клиент, файерволл ставлю Kerio 4.21. При распаковки архива "срубил"-1,2,3,4,4a,4b,6,10,12,13,16,17.
При запуске отдельных тестов Kerio выбросил предупреждения ,а я соответственно "запретил выполнение"-01,4,5,7,7a,8,9,14,15.
При запуске остальных SEP "срубил"-1,2,3,4,4a,4b,6,16,17,10,11,12,13.
После перезагрузки антивирус работает ,время не поменялось. Провалов нет.
Не знаю почему,но мой КИС сказал,что вирусы.Фолсов много?