Paczki, malware, złośliwe pliki, linki itp.

[tommyklab]

Coś mnie wzięło na sprawdzenie tej paczki osobiście. Kręcimy

Skład IS:
- KIS v12.0.0.374
- NIS v18.6.0.29
- Avira Premium SS v10.0.0.621
- CIS v5.4.189822.1355
- AIS v6.0.1125
- ESS v4.2.71.2
- FIS
- ArcaVir 2011

Paczka z 10.06.2011. Wszystkie ustawienia standardowe. Pozostawione programy uruchomić z pełnym wykonaniem.
Po zakończeniu uruchomień - restart. Jeśli się uruchomi to full skan programem AV/IS, a potem skan MBAM i Hitman. Podanie wyników.

[yaslaw]

Dasz radę przetestować jeszcze eset 5?

[morphiusz]

Rozumiem, że będziesz uruchamiał tylko te , które program zostawił po skanie?
Czy wszystkie? .

[tommyklab]

Jeszcze Eset ostatni.

No jak mam uruchomić wszystkie? Te co zdetektuje program to usunie.

[bardok206]

paczka z 19 marca. (133pliki)

Nortn beta 2012 v128.
Po rozpakowaniu i skanie pozostało 46 plików.Sporo linków i plików których nie można było uruchomić.
Około 10 plików exe.Po uruchomieniu wszystkich( sonar 0 zgłoszeń ) i restarcie praca i sprawdzenie niemożliwe.3 programy w procesach i stale odnawiający się proces iexplorer.exe na 100%cpu.

Bullguard IS 10
Po rozpakowaniu 133 pliki ( nie podoba mi się że skaner nie wyłapuje). Skan : program znalazł 111 zagrożń(strasznie długio proces czyszczenia; [ ) .Bullguard pozostawił 24 pliki. Podczas uruchamiania tylko 3 monity z firewall.Po restarcie i skanie mbam : 4 wykryte zagrożenia+ 3 elementy w auto starcie i procesach.

[polak900]

sorry, ale dw działa inaczej.
proszę przeczytać sobie opis programu zamieszczonego na forum

[morphiusz]

Uruchamia w piaskownicy przeglądarki i inne programy "ryzyka".. następnie wszelkie pliki uzyskane przez tą aplikacje są uruchamiane w piaskownicy automatycznie.. gdy chcemy tego uniknąć musimy podjąć odpowiednie kroki.. czy dobrze zrozumiałem?

[Piotrex44]

Przyszedł czas na CIS 2011
test standardowo na wczorajszej paczce 85malware.
-miłe zaskoczenie bo przy wypakowywaniu archiwum, CIS w locie usuną zagrożenia nie pozwalając zapisać ich na dysku..
-21 zagrożeń nie zostały wykryte i wypakowane..

[Aby zobaczyć linki, zarejestruj się tutaj]

-czas na uruchamianie 21 zagrożeń..
-rodzaje komunikatów CIS-a:
1.

[Aby zobaczyć linki, zarejestruj się tutaj]

Takie alerty były wybierane na ZEZWÓL mimo że program sugerował sandbox..

2.

[Aby zobaczyć linki, zarejestruj się tutaj]

ZEZWÓL

3.

[Aby zobaczyć linki, zarejestruj się tutaj]

USUŃ

4.

[Aby zobaczyć linki, zarejestruj się tutaj]

POMIŃ

-Innych typów komunikatów nie było a liczba ich była do przyjęcia..
-po uruchomionych wszystkich zagrożeniach tak przedstawiało się okno programu:

[Aby zobaczyć linki, zarejestruj się tutaj]

Co dziwne firewall tak jakby nie był aktywny..
-czas na restart i MBAM
-system wystartował (win 7)
-MBAM 8zagrożeń:

[Aby zobaczyć linki, zarejestruj się tutaj]

Podsumowanie:
-Pakiet dość lekki i nieodczuwalny
-olewanie komunikatów i zezwalanie na wszystko oprócz wykrytego zagrożenia co za tym idzie: obniżyłem możliwości programu oraz własne bezpieczeństwo.
-firewall tak jakby nie był aktywny przez co połączenie z internetem nie było zabezpieczone.
-Program wypadł najlepiej na tle KIS-a i NIS-a (3 krotna mniejsza ilość zagrożeń znalezionych przez MBAM)

PROSZĘ TRAKTOWAĆ TEN TEST CIS-a jako COMODO AV (Defence+) ponieważ firewall nie był aktywny..

[morphiusz]

Wszystko OK, tylko, że to ostatnie zagrożenie znalezione przez MBAM mnie nie pokoi.. chociaż jest to malware.trace czyli ślad po malware a nie realne zagrożenie.
Warto dodać, że pliki znalezione przez MBAM były ograniczane.
Co do firewalla to może po prostu nie były nawiązywane połączenia?

[Piotrex44]

Wszystko OK, tylko, że to ostatnie zagrożenie znalezione przez MBAM mnie nie pokoi.. chociaż jest to malware.trace czyli ślad po malware a nie realne zagrożenie.
Warto dodać, że pliki znalezione przez MBAM były ograniczane.
Co do firewalla to może po prostu nie były nawiązywane połączenia?

chodzi o to że były...
jeszcze zrobię szybki test Avasta i kończę na dzień dzisiejszy testy...

[ktośtam]

jeszcze zrobię szybki test Avasta i kończę na dzień dzisiejszy testy...

No ten test chyba będzie najciekawszy, znaczy jego wyniki.

[ktośtam]

jeszcze zrobię szybki test Avasta i kończę na dzień dzisiejszy testy...

No ten test chyba będzie najciekawszy, znaczy jego wyniki.

[tommyklab]

1 filmik, ma nadzieję, że następne pójdą szybciej, żebym dziś skończył
I na odmianę programy po ENGlish

Avast Internet Security v6.0.1125 1day sample test force run

[Aby zobaczyć linki, zarejestruj się tutaj]

Wykrył - 60/85(71%), reszta uruchomiona bez sandbox, po restarcie full skanowanie - 0 wykrytych.
po nim MBAM - 64
na dobitkę Hitman - 6

Nawet lekki zestawik, dość szybki full scan, dużo zostawił syfu jak widać bez sandboxa

[Piotrex44]

1 filmik, ma nadzieję, że następne pójdą szybciej, żebym dziś skończył

Avast Internet Security v6.0.1125 0day sample test force run

[Aby zobaczyć linki, zarejestruj się tutaj]

Wykrył - 62/85(73%), reszta uruchomiona bez sandbox
po nim MBAM - 64
na dobitkę Hitman - 6

czyli mam rozumieć piaskownica w KIS będzie wyłączona??

[yaslaw]

Nie rozumiem tylko jednej rzeczy w Waszym sposobie testowania. Dlaczego nie zostawiacie domyślnych rekomendowanych akcji (np. w przypadku avasta uruchomienia procesu w sandboxie) ? To miałoby sens, a nie na siłę "wpuszczenie" malwaru.
Moim skromnym zdaniem, tylko takie podejście daje odzwierciedlenie zachowania "normalnego" użytkownika. Trudno mieć pretensję do programu że przepuścił coś o czym nas ostrzegał, a my celowo to ostrzeżenie zignorowaliśmy...

[Piotrex44]

Nie rozumiem tylko jednej rzeczy przy Waszym testowaniu. Dlaczego nie zostawiacie domyślnych rekomendowanych akcji (np. w przypadku avasta uruchomienia procesu w sandboxie) ? To miałoby sens, a nie na siłę "wpuszczenie" malwaru.
Moim skromnym zdaniem, tylko takie podejście daje odzwierciedlenie zachowania "normalnego" użytkownika. Trudno mieć pretensję do programu że przepuścił coś o czym nas ostrzegał, a my celowo to ostrzeżenie zignorowaliśmy...

no i tu się mylisz bo testuję i staram się działać jak zwykły użytkownik...
zresztą zaraz będzie wynik avasta i integracja z mojej strony była tylko poprzez wybór ok bez zmiany wyboru działania...

[tommyklab]

tak, w kis będzie testowany jak pozostałe, a co to jakiś wyjątek?

@yaslaw, są testy i teściki, akurat wymyśliłem sobie taki

[yaslaw]

@Piotrex44
Chyba jednak nie...
Patrzyłem na ekrany komunikatówz commodo które przekleiłeś wraz z sugerowanymi opcjami oraz Twoim wyborem (zezwól etc).
To samo w filmiku powyżejz Avasta. Rekomendowana opcja uruchom w autosandbox a Tommy daje opcję uruchom normalnie.

Będe sie upierał, że cieakwsze jest nie "siłowe" testowanie, a praca na do domyślnych ustawieniach programów. Pamietajcie że większość użytkowników tych programów nic w nich nie zmienia po zainstalowaniu.

Wasze testy są bardzo ciekawe i interesujące - i chwała Wam za to. Też jest ciekawie zobaczyć który program "klęknie" szybciej. Ale takie testy nie odzwierciedlają zachowania u "przeciętnego kowalskiego".
Z tego co widzialem na testach, zarówno w przypadku commodo jak i avasta spora część domyślnie byłaby izolowana.

[morphiusz]

Dobra, tommy bierz się do testów.. od dzisiaj wieczora na tydzień nie będę miał dostępu do interntu i nie wytrzymam .

[Piotrex44]

AVAST ISustawienia standardowe..
-przy wypakowywaniu usuną w locie zdecydowanie najszybciej i bez integracji użytkownika..
-26 plików zostało wypakowanych..
-podczas ich uruchamiania pojawiają się nam alerty Avasta na które klikam tylko OK bez zmiany działania..
-po restarcie system uruchomił się
-skan MBAM 25 zagrożeń

Podsumowanie:
-mimo że uruchomił część aplikacji w środowisku izolowanym to i tak nie poradził sobie..
-w porównaniu do CIS który miał nieaktywny firewall oraz aplikacje były uruchamiane normalnie to Avast wypadł bardzo kiepsko..

Podsumowanie wszystkich testów:
-NIS,KIS,Avast wypadły podobnie..
-CIS mimo ignorowania zalecenia przez program uruchomienia aplikacji w sandbox i tak najlepiej wypadł..
-pamiętajmy również o braku kontroli firewall
-przypuszczam że gdybyśmy czytali komunikaty i działali tak jak program podpowiada to byśmy prawdopodobnie nie wpuścili żadnego zagrożenia, oczywiście z aktywnym firewallem.