Перейти к содержанию

Sandynist — мой блог

  • записей
    76
  • комментариев
    417
  • просмотр
    469 301

Kaspersky Free vs RAA или дарёному коню в копыта не заглядывают :)


Sandynist

20 851 просмотр

Добрый вечер!

 

Эта заметка посвящается всем тем пользователям, у которых не хватило денег на покупку лицензии для антивируса и они решили воспользоваться бесплатным антивирусным решением.

 

Предыстория такова: больше недели тому назад один из попавшихся мне на глаза опасных по моему мнению скриптов (шифровальщик RAA) я дважды безуспешно отправил в Лабораторию Касперского на исследования через почту newvirus@kaspersky.com

 

Оба раза пришёл стандартный ответ авторобота, о том, что файл будет передан на исследование в антивирусную лабораторию. Никакого эффекта это не дало, скрипт, несмотря на свои вредоносные действия, вообще никак не детектировался продуктами Лаборатории Касперского, это было проверено на KTS и на KES10. Естественно срабатывали правила контроля активности, скрипт помещался в слабые ограничения или недоверенные, соответственно никакого шифрования файлов не происходило.

 

Не удовлетворившись результатом, я обратился на Фейсбуке к одному из сотрудников KL с просьбой проверить номера запросов — [KLAN-4733379059] и [KLAN-4726601605]. После этого свершилось чудо :) Через день скрипт стал детектироваться как троян дженерик в KTS и на KES он тоже стал удаляться каким-то из компонентов.

 

В итоге я решил проверить — а как же реагирует на него бесплатная версия Kaspersky Free, а также решил попутно проверить нескольких его антивирусных аналогов, которые распространяются бесплатно.

 

Итак тестовая среда: Win XP SP3 на VMware Workstation, все антивирусы скачивались, устанавливались и обновлялись, затем была перезагрузка системы, создание точки отката и после этого проверка на противодействие шифровальщику.

 

1) Kaspersky Free: никакого сопротивления не оказал, файлы оказались зашифрованы.
0_12670e_78b29821_S.jpg

 

2) Аваст Free категорически отказался запускаться на виртуальной машине, видимо придётся проводить дополнительное тестирование в реальных условиях
0_1267e7_9c38aaac_S.jpg

 

3) Avira Free: никакой реакции на шифровальщика, все файлы зашифрованы.
0_1267e8_82228afb_S.jpg

 

4) Comodo Free: запускает скрипт в песочнице, никакого шифрования файлов не происходит (естественно у пользователя есть возможность не поверить антивирусу и в следующий раз запустить скрипт без песочницы, но это действие уже оставим на совести пользователя).
0_1267ea_36abcb06_S.jpg 0_1267e9_f23a0ecc_S.jpg

 

Если мне не изменяет мой склероз, то Лаборатория Касперского 3—5 лет тому назад отказалась от технологии песочницы как от слишком затратной и ресурсоёмкой процедуры. Как видим у конкурентов всё работает, причём в бесплатных версиях продуктов.

 

5) 360 Total Security: скрипт не запустился и ничего не смог зашифровать.
0_1267eb_21ec6e9b_S.jpg

 

6) NANO Антивирус : из всех испытуемых продуктов задетектировал этот скрипт базами,
что не было для меня сюрпризом, так как неделю назад скрипт проверялся на Вирустотале, там у этого антивируса (одного из очень немногих) был отмечен детект скрипта.

 

0_1267ec_d6c90243_S.jpg

 

7) Baidu Antivirus 2015: никакой реакции на шифровальщика, всё как у Авиры и Kaspersky Free.

 

Решил добавить тест на этом антивирусе, хотя не особенно надеялся на какой-то успех — ничем выдающимся Байду не отличился, единственное, что достал всех русскоязычных пользователей своей версией на китайском языке, которая распространяется как при помощи операционной системы (например, если истекла лицензия на текущий антивирус, то Windows 7 первым предлагает загрузить именно Baidu), так и некими злоумышленниками через ссылки и письма.
0_126802_ccd86b40_S.jpg

 

8) Для полноты эксперимента проверил этот же скрипт на KAV 2017 (то есть платном антивирусе от Лаборатории Касперского), отмечается детектирование, поднимается алерт об опасности.
0_1267ed_f22e41c7_S.jpg

 

Теперь меня мучает следующая мысль — насколько оправданно то, что функционал в Kaspersky Free зарезали настолько, что он стал намного хуже, чем его бесплатные конкуренты?

 

Ведь многие пользователи доверяют бренду Kaspersky Lab, но на самом деле такая «защита» не защищает от самых современных угроз. Пока этот вопрос чисто риторический, я понимаю — программисты хотят есть и кормить свою семью, руководство стремится увеличить прибыли компании, но насколько всё это оправдывает выпуск беззубых антивирусных продуктов?

 

Update: 31.07.2016

 

Провёл дополнительное тестирование вредоносного файла на устаревшем продукте для корпоративных пользователей — WKS 6 MP4 (версия 6.0.4.1611). Несмотря на какие-то попытки продукта отреагировать на заражение, все файлы в итоге зашифрованы.
0_1268ff_33c4c491_S.jpg 0_126900_c52b5ab1_S.jpg 0_126926_5a82b97e_S.jpg

 

Update: 03.08.2016
Пришла рассылка от партнёра Лаборатории Касперского, как раз в тему:

 

0_126cfc_6a398bd2_S.jpg

 

Ещё немаловажное уточнение — в вирлабе Лаборатории Касперского наконец-то провели работу над ошибками, теперь скрипт-шифровальщик на WKS MP4 сразу же блокируется при запуске с вердиктом Trojan-Ransom.JS.RaaCrypt.e.
0_126d6c_8837d21_S.jpg

 

Kaspersky Free теперь тоже не даёт запустить этот скрипт, вердикт правда не успел рассмотреть при запуске, поэтому пришлось потом лезть искать в отчётах данное событие.

 

0_126d6d_eb307915_S.jpg 0_126d6e_c90983ba_S.jpg

  • Спасибо (+1) 8
  • Улыбнуло 1
  • Согласен 7

26 Комментариев


Рекомендуемые комментарии



меня больше смущает что КИС детектит шифровальщик как трояна

такие вещи нужно рубить на корню

 

ты настоящий тестер, проделал огромную работу, от меня респект и уважуха!

  • Согласен 2
Ссылка на комментарий

Sandynist настройки по умолчанию не пробовал поменять?

Включить обнаружение других угроз: http://support.kaspe...ersky.ru/12407 и включить максимальную защиту?

пользователь не должен ковыряться в настройках

поставил и должно всё отлавливать по умолчанию

Ссылка на комментарий

Pomka. это зависит от пользователя, хочет поймать шифровальщика и зашифровать все документы, то да, можно ничего не настраивать, не хочет-- меняет настройки под себя.
 

Ссылка на комментарий

Sandynist перепроверь файл, он должен детектироваться иначе: Trojan-Ransom.JS.Agent.bq

Ссылка на комментарий

Проверить где? Если на Вирустотале, то вчера проверил, и ссылка приведена выше, если на KAV 2017, то он детектирует этот скрипт как PDM:Trojan.Win32.Badur.a , кстати тоже проверено вчера. И смысл перепроверки в чём?

Ссылка на комментарий

Sandynist 

обнови, пожалуйста, антивирусные базы и перепроверь повторно файл, так как изначально у тебя детектирование идет компонентом, а не базами.

Выше написал как должен детектироваться файл в базах и в VirusTotal, после чего его должен детектировать и Free версия.

 

Ссылка на комментарий

Ты видимо невнимательно читал условия тестирования —  все антивирусы устанавливались, затем обновлялись, после этого перезагружалась система, делалась точка отката, после чего проводился тест.

Ссылка на комментарий

Sandynist 

Я все прочитал. Мне нужен результат как сейчас детектируется файл,а не как он раньше детектировался.

Нужно просто обновить антивирусные базы повторно и проверить файл или загрузить его повторно на Virustotal и предоставить результат с новой проверкой.

Ссылка на комментарий

И как это повлияет на результаты вчерашнего теста? :)

забей на тролля)) у него пользователь должен изучать и настраивать антивирус, 

после этого уже можно завязывать обсуждение

Ссылка на комментарий

Sandynist

Хм, очень странно. Должно было быть так: Trojan-Ransom.JS.Agent.bq , а как продукт детектит?

Ссылка на комментарий

"Вчера я отправил скрипт в DrWeb, результат не замедлил себя ждать, добавили детектирование оперативно."

 

Думаю добавление присланных зловредов у DrWeb работает так же, как добавление зловредов у ЕСЕТ, сначала они все подозрительное добавляют в детект, а уже через 1-3 недели досконально проверяют и или вытаскивают файл из детекта или оставляют, так кстати работаю почти все производители защитных продуктов. 

Ссылка на комментарий

Не знаю, что лучше — добавлять как DrWeb все подряд присланные вредоносные файлы, или тупо игнорить все присланные вредоносные файлы, как это делает вирлаб Лаборатории Касперского? :)

 

Обновил запись, добавил тестирование зверушки на устаревшем корпоративном антивирусе WKS6 MP4, результаты этого дополнительного тестирования всё же говорят, что вариант вирлаба компании DrWeb предпочтительнее.

Ссылка на комментарий

Не, ну они не совсем игнорят, просто на проверку уходит какое то время, кстати обычно когда я им посылал на проверку файлы, они мне отвечали достаточно быстро(в течении суток) и что самое смешное, часто от ДрВеб и Касперский приходили противоположные версии, Др отвечал что это точно зловред, а Каспер что файл чистый и честно говоря Касперу в этом плане я верю больше, потому что посланные файлы чаще всего были ложными срабатываниями, из за этого я и посылал, что бы убрали детект, но у многих вендоров заиметь ложный детект легко, а вот снять тяжело, они не любят признавать свои ошибки)

Хотя вот например если написать о ложном срабатывании в Malwarebytes Anti-Malware они стабильно снимают детект за 3-4 часа, другое дело у меня закрадываются сомнения, они реально провели обследование присланного файла или просто поверили мне на слово)

  • Согласен 1
Ссылка на комментарий

На то это и бесплатный антивирус, чтобы не иметь разных полезных плюшек, которые есть в платных версиях. Разработчики тоже кушать хотят все таки.

Ссылка на комментарий

mike 1

Самое интересное почему антивирус и Virustotal детектируют его компонентом, если он уже есть в базах: Trojan-Ransom.JS.Agent.bq.

Sandynist

Можете отправить файл в ЛС с паролем: infected для проверки, который ранее отправляли в [KLAN-4733379059] и [KLAN-4726601605]?

Ссылка на комментарий

На то это и бесплатный антивирус, чтобы не иметь разных полезных плюшек, которые есть в платных версиях. ...

 

Я уже вполне прозрачно намекнул каким образом выйти из этой ситуации на примере Комода. Лаборатория Касперского забросила свою разработку в виде песочницы, которая сейчас была бы как нельзя кстати. Пусть добавят песочницу в Kaspersky Free, как я понимаю такой «полезной плюшки» нет в платных версиях продуктов. Тогда бы и овцы были сыты, и рогами бы волков не забодали.

  • Согласен 2
Ссылка на комментарий
Пусть добавят песочницу в Kaspersky Free, как я понимаю такой «полезной плюшки» нет в платных версиях продуктов. Тогда бы и овцы были сыты, и рогами бы волков не забодали.

 

 

Мне кажется бессмысленно изобретать то, что уже изобретено и проверено временем, нет никакой проблемы с Kaspersky Free установить Комодо фаервол, который добавляет к урезанному касперу именно то что нужно, хороший хипс и песочницу, тем более оба продукта в связке работают очень корректно, сам сидел на такой с пол года)

Ссылка на комментарий

Мне кажется, что изобретать тут вообще ничего не нужно. Лаборатории Касперского просто нужно посмотреть в кладовке (в серверной, в сейфе, который хранит чертежи прошлых разработок) и приделать песочницу для Kaspersky Free. Много труда для этого не понадобится. Не смогут сделать этого лишь по двум причинам:

1) Лень и всем пофиг (профита то всё равно финансового никакого) 2) Претензии к песочнице, разработанной в KL, у какого-либо из «патентных троллей». Если второй вариант и тролль пытается отсудить много бабла за патент, то тогда это будет несбыточной мечтой. Ну а если первый вариант, то есть смысл побороться за продукт, например — составить петицию и собрать подписи ))

Ссылка на комментарий

Сделал сегодня ещё одну проверку файла на Вирустотале — DrWeb удалил шифровальщика из своих антивирусных баз :) https://www.virustotal.com/ru/file/97bdf9115e30457d48bdfaa8d55f1377d60df594bbf2c0df6264bf7778c33f3f/analysis/1470241943/

 

Хотя вроде бы ещё вчера они писали: 

 

Ваш запрос был закрыт Автоматической Системой в связи с тем, что на данный момент найденная Вами угроза уже обнаруживается антивирусом Dr.Web.

 
В Службу вирусного мониторинга компании «Доктор Веб» поступает большое количество запросов от пользователей. Образец угрозы, присланной Вами, был прислан другим пользователем ранее и уже проанализирован вирусными аналитиками «Доктор Веб». Соответствующая запись в вирусной базе Dr.Web уже существует.
 
 
Угроза: Trojan.DownLoader22.13470
 
Ссылка на комментарий

Я же дополнил в статье — теперь все продукты Лаборатории Касперского обнаруживают его с помощью сигнатуры.

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...