-
Malwarebytes Anti-Malware
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Rene-gad
Посетил сайт и загрузил с download.com - ссылка на сайте производителя идёт к majorgeeks, но там сервер был перегружен. Расскажу преимущественно в картинках; так более понятно будет:
Загрузка маленькая - радует:
Инсталл без проблем - радует:
Потом что-то не то пошло - ненавижу когда стоят настройки Интернет Эксплорера для обновление и их менять нельзя в самой программе. Сначала спрашивает: Хочешь апдейтить?
Я, конечно же 'ОК'. Вот что вышло: Так как у меня прокси стоит для IE на удалённый адрес 0.0.0.0, эта программка тоже туда рвётся со следующим результатом:
Ладно... Тогда снять прокси с IE и вручную...
Сканируем систему (полный скан якобы):
Как следовало бы ожидать: система чистая... Защиты в реальном времени нет - для этого надо платить. Я подозреваю, что Windows Defender на порядок лучше на самом деле...
Ещё выдаётся лог скана:
Я, если честно, забыл сделать скриншот Таск Менеджера, но программа не больше ресурсов требует, чем любой другой... До того, как снять это чудо с компа остаётся ещё показать вам картинки остальных окон:
Программка при удалении всё чисто убирает за собой - это тоже радует. Даже при удалении не спрашивали почему я не хотел дальше работать с программой - видимо так поняли.
15 минут она стояла. Это долго очень... На самом деле я не совсем понял, что нового программа предлагает...
Paul
Последний раз редактировалось XP user; 31.03.2008 в 20:42.
-
Имхо, реестр хорошо чистит, вот пример лога:
Код:
Malwarebytes' Anti-Malware 1.09
Database version: 567
Scan type: Full Scan (A:\|C:\|D:\|F:\|G:\|J:\|)
Objects scanned: 121360
Time elapsed: 52 minute(s), 25 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 10
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 4
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{d29dcee0-457b-45a2-a92d-741b95b7723b} (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rfwProxy.exe (Security.Hijack) -> Quarantined and deleted successfully.
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
C:\Documents and Settings\All Users\Start Menu\Programs\RelevantKnowledge (Spyware.Marketscore) -> Quarantined and deleted successfully.
Files Infected:
C:\Documents and Settings\All Users\Start Menu\Programs\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\RelevantKnowledge\About RelevantKnowledge.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\RelevantKnowledge\Support.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\RelevantKnowledge\Uninstall Instructions.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.
-
Сообщение от
Pili
Имхо, реестр хорошо чистит, вот пример лога:
Спасибо за дополнение, Pili. Я не стал заражать свою систему. Это похоже всё Spyware у вас в списке, так? А если что-нибудь посерьёзнее - он тоже справляется?
Paul
-
Сообщение от
p2u
А если что-нибудь посерьёзнее - он тоже справляется?Paul
Логи не мои, MBAM давно уже применяется на geekstogo и др. подобных форумах, наряду с др.утилитами (например Deckard's System Scanner, SmitfraudFix, ComboFix + CFScript ), находит не все, на счет лечения серьезных зловредов не уверен, но м.б. справиться, если в антивир. базе будут, посмотрел/поизучал, MBAM в основном на начальном этапе лечения применяется, а дальше например, с помощью Kaspersky Web Scaner + OtMoveit)
Умеет бороться не только с adware, вот ещё пример лога:
Код:
Malwarebytes' Anti-Malware 1.09
Database version: 521
Scan type: Quick Scan
Objects scanned: 33357
Time elapsed: 33 minute(s), 40 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 1
Registry Keys Infected: 16
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
C:\WINDOWS\system32\wvuurrp.dll (Trojan.Vundo) -> Unloaded module successfully.
Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{e9383002-fc55-4330-b9c9-67e03bc5c840} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e9383002-fc55-4330-b9c9-67e03bc5c840} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvuurrp (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e9383002-fc55-4330-b9c9-67e03bc5c840} (Trojan.Vundo) -> Quarantined and deleted successfully.
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
C:\WINDOWS\system32\wvuurrp.dll (Trojan.Vundo) -> Delete on reboot.
т.е. с троянами борется (по крайней мере, по этим логам, с модификациями vundo, что впрочем VundoFix тоже умеет, в предыдущем логе - Trojan.FakeAlert)
Последний раз редактировалось Pili; 02.04.2008 в 11:34.
-
Дополнительная информация - Malwarebytes' Anti-Malware успешно справляется с руткитами
Код:
Files Infected:
C:\WINDOWS\SYSTEM32\agl23.exe (Worm.Rbot) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\_svchost.exe (Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\SERVICEMGR.EXE (Worm.Passma) -> Quarantined and deleted successfully.
C:\lich.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\DEBUG.DLL (Rootkit.Haxdor) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\C3.SYS (Rootkit.Haxdor) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\kdmqk.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\DRIVERS\ctl_w32.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\DRIVERS\fak32.sys (Trojan.Rootkit) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\DRIVERS\DefLib.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\DRIVERS\Lor46.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\DRIVERS\cdralw.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\Local Settings\Application Data\cftmon.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Local Settings\Temp\dnlsvc.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
-
В одной из тем раздела "Помогите" хелпер Гриша выразился о MBAM так
Нельзя ли узнать, чем вызван такой отзыв о программе? Ведь другие хелперы ничего не имели против ее использования.
-
-
Скоро узнаетевсему свое время...
-
-
Сообщение от
Гриша
Скоро узнаете
всему свое время...
Объяснение простое - утити прошла тесты, был изучен е алгоритм, и оказалось, что у данной утилиты есть три базы (внутри одного файла):
1. Ключи реестра
2. Имена файлов
3. MD5 суммы злоредов. Последние хранятся в текстовом виде и сравниваются с суммами файлов на изучаемом ПК
Если по поводу п.п. 3 нареканий особых нет (ну кроме того, что авторам нужно тщательно изучать файлы перед набивкой базы, ловить фолсы и будет проблема с детектом из-за того, что малейшее изменение файла приведет к изменению MD5 - что сделает базу малоэффективной и здоровенной по размеру), а вот первые два пункта очень опасные. суть проблемы вот в чем:
1. Обнаружив файл с именем, описанным в базе, утилита считает его вирусом. Никаких проверок нет вообще - только имя. Причем детект однозначный, можно вместо файла подсунуть пустой файл (ну какой вред от файла размером в 0 байт !?), любой системный, файлы от самой утилиты - тут же однозначный и бесповоротный детект в качестве зловреда. Я думаю нет надобности объяснять, что признание файла вредителем только на основании имени крайне опасно для системы
2. Аналогично выпонена чистка реестра. Т.е. "обнаружив вирус в реестре" (какие там могут быть вирусы - это же база данных !), т.е. попросту найдя описанный в БД ключ утилита принимает решение о том, что это злобный вирус и предлагает его уничтожить. Никакого анализа не ведется (т.е. ключ может быть пустым, или содержать вложенные ключи и параметры - это не важно). На основании чего делается вывод о том, что тот или иной ключ гарантировано принадлежит зловреду - загадка. Соответственно последствия подобного "лечения реестра" непредсказуемы. Это равносильно, что в универсальную программу кадрового учета заложить проверку вида "если табельный номер сотрудника 12345, то он придурок" мотивируя тем, что в соседней конторе есть сотрудник с таким табельным номером и он точно придурок Аналогия достаточно точная - можно понять скажем поиск характерного CLSID зловреда, извлечение из него полного пути в исполняемому файлу, поиск этого файла, в случае нахождения сравнение его с неким набором критериев (имя, размер, отсутствие в базах чистых файлов и т.п.) и в случае совпадения выдача информации о том, что этот файл подозрителен и стоит обратить на него внимание (причем реакция именно на реальный файл, а не на его CLSID !). Но однозначный детект - это мягко говоря перебор.
Последний раз редактировалось Зайцев Олег; 01.07.2008 в 19:16.
Причина: опечатки ...
-
-
Нахождение зловредов там, где их нет (в частности в реестре), наводит на мысль о коммерческой причине такого действия.
-
-
MBAM проверяет и пути (местоположение файлов), т.е. легитимный файл svchost.exe (к примеру) в c:\windows\system32 MBAM не тронет, а этот же файл, расположенный в c:\windows\ предложит удалить (сам автоматом не удалит, пока не нажмете после проверки "Remove Selected") - тестировалось.
Кстати отчасти так и хелперы делают (ещё до анализа) и AVZ сообщает, не удаляет, имхо, по аналогичному принципу работает combofix и др. подобные утилиты (SDFix Vundofix). Есть подозрение, что явные зловреды MBAM удаляет по имени (может + ещё MD5) независимо от того, где они расположены.
Про реестр и коммерческие причины, можно протестировать, т.е. просканировать комп, не нажимая кн. "Remove Selected", проверить действительно ли в реестре есть те ключи (и проверить за зловредность) о которых MBAM сообщил.
И ещё в защиту, на др. форумах, в т.ч. входящих в ASAP, MBAM, ComboFix, SDFix VundoFix и др. утилиты применяют уже давно и пока не замечал случаев, когда удалялось что-то не то, хотя это не означает, что этого не было или не может быть.
-
Сообщение от
Pili
MBAM проверяет и пути (местоположение файлов) ...
На основании чего выдается вердикт "вирус" ?! Вот в чем вопрос ... как можно сказать, что это скажем Trojan.Zlob только на основании одного имени ? Если бы сообщалось "файл с подозрительным именем, подозрение на ... " - тогда другое дело. С реестром смешнее - речь идет о идеалогии. ну проверю, и найду этот ключ - в реестре он есть, и что дальше ?! А создан он к примеру не зловредом, а программой X, которая без этого ключа жить не может. Речь идет о том, что охотиться нужно на реальные угрозы, а не на вымышленные ... ставился к примеру опыт - создавался в ключе SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\ раздел "multimedia software" -и тут-же детект. Это пустой раздел, он не опасен ничем, да и создан может быть кем угодно и чем угодно ... Еще хороший пример, всплывал на тестах в закрытом разделе:
Код:
C:\WINDOWS\system32\amvo0.dll (Trojan.Agent) -> Quarantined and deleted successfully.
На месте данного файла - пустышка, или текстовый файл. Т.е. это не исполняемый объект и никакой угрозы нести для компьютера он не может. Как можно сделать вывод да еще определить тип, что это Trojan.Agent - неясно.
Последний раз редактировалось Зайцев Олег; 01.07.2008 в 15:32.
-
-
По логам например видно -по имени (и местоположению, если считать опыт копирования легального svchost.exe в др. папку)
C:\WINDOWS\SYSTEM32\_svchost.exe (Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Сомневаюсь что на месте _svchost.exe может оказаться легитимная программа ( с классификацией зловреда конечно проблема)
Сравнивается ли по MD5 или ещё каким-либо образом, это простому пользователю не известно, как впрочем при использовании др. антивирусов, но если нормальные антивирусы точно классифицируют зловред, то MBAM просто относит к какому либо общему классу (на основании каких-то своих алгоритмов и баз), по рез-ту экспертизы (за что вам отдельное большое спасибо!), выяснилось, что база MD5 присутствует и вероятно как-то используется.
Пример с amvo0.dll - пустышкой, удаление никакого вреда причинить не может (если мы вообще затронули тему "не навреди"), c большой вероятностью хелпер скриптом так же удалил бы этот файл (правда в этом случае его не будет в логах AVZ, зато может появится в логах DSS или ComboFix)
MBAM не классический антивирус (на сайте производителя классифицируется всего лишь как anti-malware application), поэтому вряд ли можно выставлять к нему требования такие же как к нормальным антивирусам (лично я считаю, что это почти тот же ComboFix, только с графическим интерфейсом и доп. базами от др. утилит)
зы. На форуме производителя есть раздел False Positives, фолсы есть, но не так уж и много.
Последний раз редактировалось Pili; 01.07.2008 в 16:08.
-
@ Pili:
То, что программа ничего не повредит если удалит пустой текстовый файл с названием amvo0.dll - это ладно - 'не вредить' не единственный параметр по которому надо судить.
Но определить такой файл как Trojan.Agent хотя кода даже нет в этом файле - это недопустимо, так как даёт пользователям ложное ощущение безопасности.
Продукт Х, который знает, что это безопасный текстовый файл, и поэтому его пропускает, кажется хуже в глазах неопытного пользователя. Или вы так не считаете?
Paul
Последний раз редактировалось XP user; 02.07.2008 в 00:03.
-
Продукт Х, который знает, что это безопасный текстовый файл
Это если именно этот текстовый файл добавлен в базу безопасных, иначе вердикт другой - Продукт Х (в случае нормального антивируса), который знает, что это текстовый файл не содержит вредоносного кода (на основании баз сигнатур) и поэтому его пропускает.
В случае с MBAM и про ложное ощущение безопасности, тогда и к combofix и к др. утилитам можно то же самое отнести, посмотрите форумы членов ASAP, geekstogo, SWI например, где MBAM применяется довольно часто. И ещё "ложное ощущение безопасности" - субъективная оценка (и вообще это уже больше философия), кто-то просканирует систему антивирусом, ничего не найдет и скажет "вирусов нет", кому-то этого будет не достаточно и просканирует с помощью др. утилит (AVZ напр.) и может тоже сказать "вирусов нет", если не знает, что логи можно (нужно) анализировать.
Последний раз редактировалось Pili; 02.07.2008 в 09:44.
-
Как ни странно, программы, которые таким образом определяют зловреды (по имени), и пропускают многие настоящие зловреды из-за слабых md5-баз, вносятся автоматом в список rogue anti-spyware, как бы ни успешно они удаляли иногда настоящую гадость. В мире Безопасности у американцев существует сленговая термина для таких программ: 'snake oil' (не могу сказать, как это по-русски звучит). Но не исключаю, конечно, что я что-то не допонимаю...
P.S.: Подчёркиваю, что я не пользуюсь ничем, и что у меня задача не стоит 'завалить' какие-нибудь конкурентые продукты.
Paul
-
Про список rogue anti-spyware известно :) Думаю MBAM туда не попадет, как и combofix, т.к. активно используется членами ASAP, ссылки давать не буду, иначе вдруг рекламой посчитают :)
у меня задача не стоит 'завалить' какие-нибудь конкурентые продукты
Аналогично.
-
Сообщение от
p2u
В мире Безопасности у американцев существует сленговая термина для таких программ: 'snake oil' (не могу сказать, как это по-русски звучит).
Понятие Змеиное масло пришло из сказок Дикого Запада США и подразумевает панацею от всех болезней, которой шаманы лечили, хотя в общем настоящее плацебо. ИМО можно и Малваребайтс так использовать: Пользы никакой, но ощущение проделанной работы налицо
-
-
Сообщение от
Rene-gad
можно и Малваребайтс так использовать: Пользы никакой, но ощущение проделанной работы налицо
Почему же никакой? Специально для вас нашел тему, посмотрите здесь пост 7 (предварительно, по анализу логов DSS, удалили зловреды с помощью OTMoveIt)
Files Infected:
C:\_OTMoveIt\MovedFiles\06282008_204604\Program Files\rhc959j0ep8c\rhc959j0ep8cSkin.dll (Rogue.AntivirusXP200
-> Quarantined and deleted successfully.
C:\Documents and Settings\Me\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.AntivirusXP200
-> Quarantined and deleted successfully.
-
Сообщение от
Pili
Почему же никакой?
Специально для вас нашел тему, посмотрите
здесь пост 7 (предварительно, по анализу логов DSS, удалили зловреды с помощью OTMoveIt)
LNK файл - это ссылка (никакого программного кода в ней нет, опасность нулевая). С каких пор ссылки стали вирусами ? Тем более я могу понять ссылку в папке автозапуска, но ссылки в других местах - странно ... это из раздела "поиска вирусов в реестре" и "поиска вирусов в кукизах"
-