-
SpyCatcher
Тест сделан по просьбе Tra1toR.
Начало тестов - в ходе инсталляции мне очень непонравилось три факта:
1. объем инсталляции 11.6 мб - для антиспайвера объем более 3-5 мб как правило нонсенс.
2. После установки антишпион проявил качества шпиона - полез в Инет, проверил соединение запросом к
filename=test-inet-conn.exe&path=test-inet-conn.exe и затем стал передавать какие-то данные о изучаемом ПК, например:
POST
http://data.tenebril.com/ldb2/registration.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: SCX registration
Host: data.tenebril.com
Content-Length: 156
Pragma: no-cache
firstName=aa&
lastName=bbb&
productFamily=SpyCatcher&
numberOfComputers=0&
oem=SCX&
[email protected]&
isWillingToBeContacted=1&
isEnterprise=0&
productVersion=4.0.4HTTP/1.0 200 OK
Date: Tue, 29 Nov 2005 07:01:08 GMT
Server: Apache/1.3.27 (Unix) (Red-Hat/Linux) mod_fastcgi/2.2.10 mod_jk/1.2.0 mod_perl/1.24_01 PHP/4.2.2 FrontPage/5.0.2 mod_ssl/2.8.12 OpenSSL/0.9.6b
X-Powered-By: PHP/4.2.2
Content-Type: text/html
X-Cache: MISS from mail.smolen.ru
Proxy-Connection: close
Result:SUCCESS:new registration inserted
Я ввел имя aa, last-name = bbb и email = [email protected] , но что-то не припомню, чтобы я просил передать эти данные в ходе перезагрузки.
Далее еще интереснее - обмен вида:
POST
http://proclist.tenebril.com/tools/mplissafe-vt.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: SpyCatcher Signature Check
Host: proclist.tenebril.com
Content-Length: 52
Pragma: no-cache
filename=smss.exe&path=\SystemRoot\System32\smss.e xeHTTP/1.0 200 OK
Date: Tue, 29 Nov 2005 07:01:59 GMT
Server: Apache/2.0.40 (Red Hat Linux)
Accept-Ranges: bytes
X-Powered-By: PHP/4.2.2
Content-Type: text/plain; charset=ISO-8859-1
X-Cache: MISS from mail.smolen.ru
Proxy-Connection: close
RESULT: Clean
Опять-же вопрос - я не просил что-то куда-то передавать, это передалось в ходе первой перезагрузки само. Таких POST прошло штук 5, не менее того. Далее такой обмен шел с завидной регулярностью - скажу сразу, я очень нелюблю программы, которые что-то там без спроса кому-то передают.
3. Сурпризы на этом не завершились - оказалось, в продукт встроен UserMode RootKit. Зачем руткит антиспайверу (тем более столь примитивный) - загадка, но конфликт с руткитом от Sony показал, к чему приводит установка "легальных" руткитов.
Объем базы сканера - 89604 сигнатуры. Комплект состоит из сканера с бортовыми утилитами, монитора и шедуллера.
Сканирование тестовой коллекции (по которой летом гонялись другие антиспайверы) - скорость сканирования около 1000 файлов в минуту, вот результат по промахам:
AdvWare 967
Adware 2
Backdoor 433
Constructor 1
Dialer 444
Downloader 1
Email-Flooder 1
Email-Worm 31
Exploit 12
HackTool 2
Hoax 1
IM-Worm 6
Net-Worm 25
P2P-Worm 3
Porn-Dialer 2
Porn-Downloader 1
PornWare 0
PSWTool 1
RiskWare 3
Spy 341
Trojan 208
Trojan-Clicker 64
Trojan-Downloader 813
Trojan-Dropper 85
Trojan-Proxy 38
Trojan-PSW 32
Trojan-Spy 500
Virus 22
Worm 3
Общее число файлов: 4042
------------
Т.е. из 4528 он пропустил 4042, поймал таким образом 486 файлов, что составило 10.7%. Пропуски равномерно распределены по всей коллекции ...
При том, что тот-же DrWeb CureIt на сей момент выбивает близко к 90% от данной коллекции (при размере в три раза меньще и отсутствии инсталляции) вывод очивиден ....
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Мда. Интересно, а программа платная?
Если да, то неужели есть люди которые за нее еще и платят?
Зайцев Олег, у меня громадная просьба. Если будет время, протестировать Spyware Doctor. Я бы сам это сделал, но коллекции кодов у меня нет. А насчет Spyware Doctor много лестных отзывов ходят, говорят до 95% ловит. Вот и хотелось бы посмотреть на деле.
http://www.pctools.com/spyware-doctor (~5,5Mb)
Заранее спасибо.
-
-
Очень смешно
-
-
я так и думал полное г))
седня вечером сделаю свой тест по AVZ чисто на spyware )
-
-
orvman SC express беслптаный
-
-
Tra1toR Ясно.
Geser http://forum.five.mhost.ru/showthread.php?t=2479
PC Tools Spware Doctor (the winner) achieved 94/88/66 (detection/removal/blocking),
А тестирование проводилось не кем-нибудь, а PC Pro magazine (http://www.pcpro.co.uk/), но это Европа.
Вот и хотелось бы, чтобы Олег реально протестировал. Вот тогда мы и сделаем сами для себя выводы, как это в реальности бывает.
Заметьте, это было бы очень любопытно посмотреть результаты.
-
-
Сообщение от
orvman
Я провел тесты - он практически не умеет ничего ловить ... около 13%. Беда всех подобных тестов (как в PC Pro magazine ) - выбранные наугад 50-100 образцов ... а для целостной картины нужно 4-5 тыс. ITW
-
-
Кстати вот ответ разработчиков, на замечания Олега:
The size of SCX is due to a number of factors, not least of which is our help files, while have lots of screenshots. The product group is aware of the size of our product and helped set requirement on us for the maximum allowable size.
The information you see transferred is not information about the user's PC. It's the registration information that the user entered. I think the user would expect that we'll send ourselves the registration information that we asked him to provide.
The second post you see there is a suspicious file check. As SpyCatcher scans the user's machine, it does more than just compare the files against fingerprints. It applies a set of heuristics to determine whether files for which we have no fingerprints are possibly "suspicious". If it determines that it may have found a suspicious file, SpyCatcher sends some information about the file to a service we run that checks the file against a whitelist and applies another level of heuristics.
Finally, with regard to SC being a rootkit: SC uses some techniques that are used by rootkits. This isn't surprising, given the purpose of and capabilities of SC. This is a risk that has to be managed, and the business group is aware of it. It's different from the Sony incident because the rootkit-ness of SpyCatcher is integral to its function. No one would be surprised (well, maybe not no one) that an anti-spyware or anti-virus tool uses rootkit techniques. However, everyone was surprised that putting an audio CD into your CD-ROM drive installed a rootkit.
-
-
Кстати насчет тестов я склоняюсь что !! нужно производить именно на установленных адваре и именно как они удаляет, а не просто базе, потому что например тотже SC если запустить многие вирусы будет их детктить как suspicious file, тоесть нужно проводить 1. скан по базе как олег 2. скан уже зараженного компа 3. запуск вирей для проверки монитора тоесть объективно оттестить нужно несколько параметров, предлагаю вместе придумать тест и оттестить наиболее популярные adware
-