Перейти к содержимому






Фотография

Kaspersky Free vs RAA или дарёному коню в копыта не заглядывают :)

Написано Sandynist , 30 Июль 2016 · 18 066 Просмотров

шифровальщик RAA

Добрый вечер!

 

Эта заметка посвящается всем тем пользователям, у которых не хватило денег на покупку лицензии для антивируса и они решили воспользоваться бесплатным антивирусным решением.

 

Предыстория такова: больше недели тому назад один из попавшихся мне на глаза опасных по моему мнению скриптов (шифровальщик RAA) я дважды безуспешно отправил в Лабораторию Касперского на исследования через почту newvirus@kaspersky.com

 

Оба раза пришёл стандартный ответ авторобота, о том, что файл будет передан на исследование в антивирусную лабораторию. Никакого эффекта это не дало, скрипт, несмотря на свои вредоносные действия, вообще никак не детектировался продуктами Лаборатории Касперского, это было проверено на KTS и на KES10. Естественно срабатывали правила контроля активности, скрипт помещался в слабые ограничения или недоверенные, соответственно никакого шифрования файлов не происходило.

 

Не удовлетворившись результатом, я обратился на Фейсбуке к одному из сотрудников KL с просьбой проверить номера запросов — [KLAN-4733379059] и [KLAN-4726601605]. После этого свершилось чудо :) Через день скрипт стал детектироваться как троян дженерик в KTS и на KES он тоже стал удаляться каким-то из компонентов.

 

В итоге я решил проверить — а как же реагирует на него бесплатная версия Kaspersky Free, а также решил попутно проверить нескольких его антивирусных аналогов, которые распространяются бесплатно.

 

Итак тестовая среда: Win XP SP3 на VMware Workstation, все антивирусы скачивались, устанавливались и обновлялись, затем была перезагрузка системы, создание точки отката и после этого проверка на противодействие шифровальщику.

 

1) Kaspersky Free: никакого сопротивления не оказал, файлы оказались зашифрованы.
Изображение

 

2) Аваст Free категорически отказался запускаться на виртуальной машине, видимо придётся проводить дополнительное тестирование в реальных условиях
Изображение

 

3) Avira Free: никакой реакции на шифровальщика, все файлы зашифрованы.
Изображение

 

4) Comodo Free: запускает скрипт в песочнице, никакого шифрования файлов не происходит (естественно у пользователя есть возможность не поверить антивирусу и в следующий раз запустить скрипт без песочницы, но это действие уже оставим на совести пользователя).
Изображение Изображение

 

Если мне не изменяет мой склероз, то Лаборатория Касперского 3—5 лет тому назад отказалась от технологии песочницы как от слишком затратной и ресурсоёмкой процедуры. Как видим у конкурентов всё работает, причём в бесплатных версиях продуктов.

 

5) 360 Total Security: скрипт не запустился и ничего не смог зашифровать.
Изображение

 

6) NANO Антивирус : из всех испытуемых продуктов задетектировал этот скрипт базами,
что не было для меня сюрпризом, так как неделю назад скрипт проверялся на Вирустотале, там у этого антивируса (одного из очень немногих) был отмечен детект скрипта.

 

Изображение

 

7) Baidu Antivirus 2015: никакой реакции на шифровальщика, всё как у Авиры и Kaspersky Free.

 

Решил добавить тест на этом антивирусе, хотя не особенно надеялся на какой-то успех — ничем выдающимся Байду не отличился, единственное, что достал всех русскоязычных пользователей своей версией на китайском языке, которая распространяется как при помощи операционной системы (например, если истекла лицензия на текущий антивирус, то Windows 7 первым предлагает загрузить именно Baidu), так и некими злоумышленниками через ссылки и письма.
Изображение

 

8) Для полноты эксперимента проверил этот же скрипт на KAV 2017 (то есть платном антивирусе от Лаборатории Касперского), отмечается детектирование, поднимается алерт об опасности.
Изображение

 

Теперь меня мучает следующая мысль — насколько оправданно то, что функционал в Kaspersky Free зарезали настолько, что он стал намного хуже, чем его бесплатные конкуренты?

 

Ведь многие пользователи доверяют бренду Kaspersky Lab, но на самом деле такая «защита» не защищает от самых современных угроз. Пока этот вопрос чисто риторический, я понимаю — программисты хотят есть и кормить свою семью, руководство стремится увеличить прибыли компании, но насколько всё это оправдывает выпуск беззубых антивирусных продуктов?

 

Update: 31.07.2016

 

Провёл дополнительное тестирование вредоносного файла на устаревшем продукте для корпоративных пользователей — WKS 6 MP4 (версия 6.0.4.1611). Несмотря на какие-то попытки продукта отреагировать на заражение, все файлы в итоге зашифрованы.
Изображение Изображение Изображение

 

Update: 03.08.2016
Пришла рассылка от партнёра Лаборатории Касперского, как раз в тему:

 

Изображение

 

Ещё немаловажное уточнение — в вирлабе Лаборатории Касперского наконец-то провели работу над ошибками, теперь скрипт-шифровальщик на WKS MP4 сразу же блокируется при запуске с вердиктом Trojan-Ransom.JS.RaaCrypt.e.
Изображение

 

Kaspersky Free теперь тоже не даёт запустить этот скрипт, вердикт правда не успел рассмотреть при запуске, поэтому пришлось потом лезть искать в отчётах данное событие.

 

Изображение Изображение

  • Спасибо x 8
  • Улыбнуло x 1
  • Согласен x 1
  • Показать


  • 6



меня больше смущает что КИС детектит шифровальщик как трояна

такие вещи нужно рубить на корню

 

ты настоящий тестер, проделал огромную работу, от меня респект и уважуха!

    • 2

Если уточнить по вирустоталу сейчас, то Trojan-Downloader.Script.Generic  https://www.virustot...sis/1469895481/

    • 0

Sandynist настройки по умолчанию не пробовал поменять?

Включить обнаружение других угроз: http://support.kaspe...ersky.ru/12407 и включить максимальную защиту?

    • 0

Sandynist настройки по умолчанию не пробовал поменять?

Включить обнаружение других угроз: http://support.kaspe...ersky.ru/12407 и включить максимальную защиту?

пользователь не должен ковыряться в настройках

поставил и должно всё отлавливать по умолчанию

    • 0

Pomka. это зависит от пользователя, хочет поймать шифровальщика и зашифровать все документы, то да, можно ничего не настраивать, не хочет-- меняет настройки под себя.
 

    • 0

Sandynist перепроверь файл, он должен детектироваться иначе: Trojan-Ransom.JS.Agent.bq

    • 0

Проверить где? Если на Вирустотале, то вчера проверил, и ссылка приведена выше, если на KAV 2017, то он детектирует этот скрипт как PDM:Trojan.Win32.Badur.a , кстати тоже проверено вчера. И смысл перепроверки в чём?

    • 0

Sandynist 

обнови, пожалуйста, антивирусные базы и перепроверь повторно файл, так как изначально у тебя детектирование идет компонентом, а не базами.

Выше написал как должен детектироваться файл в базах и в VirusTotal, после чего его должен детектировать и Free версия.

 

    • 0

Ты видимо невнимательно читал условия тестирования —  все антивирусы устанавливались, затем обновлялись, после этого перезагружалась система, делалась точка отката, после чего проводился тест.

    • 0

Sandynist 

Я все прочитал. Мне нужен результат как сейчас детектируется файл,а не как он раньше детектировался.

Нужно просто обновить антивирусные базы повторно и проверить файл или загрузить его повторно на Virustotal и предоставить результат с новой проверкой.

    • 0

И как это повлияет на результаты вчерашнего теста? :)

    • 0

И как это повлияет на результаты вчерашнего теста? :)

забей на тролля)) у него пользователь должен изучать и настраивать антивирус, 

после этого уже можно завязывать обсуждение

    • 0

Перепроверил, по просьбам трудящихся )) https://www.virustot...sis/1469954827/

 

Вчера я отправил скрипт в DrWeb, результат не замедлил себя ждать, добавили детектирование оперативно.

    • 1

Sandynist

Хм, очень странно. Должно было быть так: Trojan-Ransom.JS.Agent.bq , а как продукт детектит?

    • 0

"Вчера я отправил скрипт в DrWeb, результат не замедлил себя ждать, добавили детектирование оперативно."

 

Думаю добавление присланных зловредов у DrWeb работает так же, как добавление зловредов у ЕСЕТ, сначала они все подозрительное добавляют в детект, а уже через 1-3 недели досконально проверяют и или вытаскивают файл из детекта или оставляют, так кстати работаю почти все производители защитных продуктов. 

    • 0

Не знаю, что лучше — добавлять как DrWeb все подряд присланные вредоносные файлы, или тупо игнорить все присланные вредоносные файлы, как это делает вирлаб Лаборатории Касперского? :)

 

Обновил запись, добавил тестирование зверушки на устаревшем корпоративном антивирусе WKS6 MP4, результаты этого дополнительного тестирования всё же говорят, что вариант вирлаба компании DrWeb предпочтительнее.

    • 0

Не, ну они не совсем игнорят, просто на проверку уходит какое то время, кстати обычно когда я им посылал на проверку файлы, они мне отвечали достаточно быстро(в течении суток) и что самое смешное, часто от ДрВеб и Касперский приходили противоположные версии, Др отвечал что это точно зловред, а Каспер что файл чистый и честно говоря Касперу в этом плане я верю больше, потому что посланные файлы чаще всего были ложными срабатываниями, из за этого я и посылал, что бы убрали детект, но у многих вендоров заиметь ложный детект легко, а вот снять тяжело, они не любят признавать свои ошибки)

Хотя вот например если написать о ложном срабатывании в Malwarebytes Anti-Malware они стабильно снимают детект за 3-4 часа, другое дело у меня закрадываются сомнения, они реально провели обследование присланного файла или просто поверили мне на слово)

    • 1
На то это и бесплатный антивирус, чтобы не иметь разных полезных плюшек, которые есть в платных версиях. Разработчики тоже кушать хотят все таки.
    • 0

mike 1

Самое интересное почему антивирус и Virustotal детектируют его компонентом, если он уже есть в базах: Trojan-Ransom.JS.Agent.bq.

Sandynist

Можете отправить файл в ЛС с паролем: infected для проверки, который ранее отправляли в [KLAN-4733379059] и [KLAN-4726601605]?

    • 0

На то это и бесплатный антивирус, чтобы не иметь разных полезных плюшек, которые есть в платных версиях. ...

 

Я уже вполне прозрачно намекнул каким образом выйти из этой ситуации на примере Комода. Лаборатория Касперского забросила свою разработку в виде песочницы, которая сейчас была бы как нельзя кстати. Пусть добавят песочницу в Kaspersky Free, как я понимаю такой «полезной плюшки» нет в платных версиях продуктов. Тогда бы и овцы были сыты, и рогами бы волков не забодали.

    • 2

Декабрь 2018

П В С Ч П С В
     12
3456789
10111213141516
17 181920212223
24252627282930
31      

Последние комментарии

пользователей просматривает

0 пользователей, 0 гостей, 0 анонимных

Последние посетители

  • Фотография
    oit
    14 дек. 2018 - 20:25
  • Фотография
    Алексей Игуменов
    14 дек. 2018 - 16:29
  • Фотография
    kmscom
    13 дек. 2018 - 23:33
  • Фотография
    Zelkovski0
    12 дек. 2018 - 18:53
  • Фотография
    Paddington
    11 дек. 2018 - 00:10
  • Фотография
    Plus
    10 дек. 2018 - 17:54
  • Фотография
    79865
    09 дек. 2018 - 20:55
  • Фотография
    Денис-НН
    09 дек. 2018 - 19:42
  • Фотография
    verOK
    09 дек. 2018 - 19:28
  • Фотография
    Happy
    04 дек. 2018 - 22:42

Sandynist