Exploit test. 14 antywirusów. (15.09.2012 - 16.09.2012)
#1
Test dla tych co mają własne strony, blogi i dla tych co przeglądają neta...

Exploit - Program lub technika, która wykorzystuje luki w systemie operacyjnym, przeglądarkach (np. niezałatane wtyczki do przeglądarki), bądź popularnych aplikacjach. Tak więc większa ilość wtyczek niekoniecznie oznacza większe bezpieczeństwo.

Twórcy szkodliwego oprogramowania korzystają z wielu zaawansowanych technik, aby ukryć swoje działania. Od kodowania do szyfrowania, po auto-generowanie losowych domen, przekierowań i wielu innych ciekawych metod.
Wielu ludzi myśli np. że jak prowadzą nieznaną stroną to ona jest bezpieczna i nie będzie atakowana przez hakerów. W końcu kto by chciał jakąś małą stronkę zarażać. Automatycznie tak samo sądzą ludzie, którzy wchodzą na taką stroną. Jest to bardzo złe myślenie.
Tak więc, nawet jeśli witryna jest niewielka, to wciąż można zostać zarażonym. To nie są celowe ataki w Twoją stronę, po prostu bierzesz udział w ramach dużej kampanii malware.

To naprawdę, to nie ma znaczenia dla hakerów. Najpopularniejsze szkodliwe programy (i spam) ataki na stronach internetowych są są zautomatyzowane. Hakerzy indeksują tysiące witryn i sprawdzają, czy są one dziurawe / przestarzałe i próbują przejąć je.

Exploit może znajdować się w np. w Google Adsense (dodany złośliwy kod)
Najczęściej jednak ,,czarni hakerzy'''' łamią popularne, o dużym natężeniu ruchu, legalne strony internetowe i przekierowują użytkowników do złośliwych stron internetowych bez wiedzy ofiary. W ten sposób rozpoczyna się proces infekcji.

Z tego co się dowiedziałem istnieje ponad 100 różnych rodzai exploitów .

Często zagrożenia na stronach internetowych (exploity) są bagatelizowane, a to duży błąd.
Szczególnie jest to ważne dla ludzi, którzy prowadzą własne strony www, blogi. Dodatkowy dopisany złośliwy kod może wykraść hasła do np. FTP.

Dziękuje też McALEX za to, że pomógł mi zdecydować się jak ten test przeprowadzić.

Jak dochodzi do zainfekowania?

Aby infekcja z wykorzystaniem podatnego oprogramowania powiodła się, użytkownik musi zostać
zwabiony na szkodliwą stronę internetową (lub na legalną stronę, do której podpięto złośliwy moduł np. serwisy
społecznościowe, strona banku, sklepy internetowe czy z pozoru zaufane strony) lub pobrać
i uruchomić specjalnie spreparowany dokument (plik pakietu Office, PDF lub nawet obrazek, który wydaje się być
totalnie nieszkodliwy).

Strona, która podczas wczorajszych odwiedzin była "czysta", dzisiaj może być już zainfekowana!
Złośliwe odsyłacze do zainfekowanych stron internetowych lub plików mogą być
rozpowszechniane za pośrednictwem poczty elektronicznej, komunikatorów internetowych isieci
społecznościowych, a czasem pojawiają się nawet w wynikach wyszukiwania popularnych wyszukiwarek
internetowych. Typowe ataki ukierunkowane rozpoczynają się często w momencie, gdy użytkownik otworzy
specjalnie spreparowany załącznik e-mail, który często na pierwszy rzut oka wygląda zupełnie normalnie.

Określone typy exploitów, zwłaszcza te używane w atakach drive-by download (sytuacja, w której exploit
zostaje uruchomionyw trakcie odwiedzania złośliwej strony internetowej), przechwytują ładunek z podejrzanych
stron internetowych przed jego uruchomieniem
Niektóre exploity spakowane są w jeden i wtedy następuje atakowanie użytkownika, który odwiedził taką stronę przez kilka exploitów jednocześnie. Exploity te wykorzystują różne luki w zabezpieczeniach.

Ochrona przed exploitami:

- Przed większością exploitów chronią nas regularne aktualizacje windows oraz oprogramowania.
- Regularnie aktualizowany antywirus z mechanizmem skanowania http
- Dodatek ,,NoScript'''' dobrze odfiltrowuje m.in aplety java, javascript. Chroni też przed atakami XSS

Źródło:

virlist.pl
securityweek.com/
f-secure.com
Sucuri.com
nakedsecurity.sophos.com/
Informacje własne


Platforma testowa oraz metodologia testu:

System: Windows xp, service pack 3,
Przeglądarka: najnowszy dostępny firefox oraz czasem Google chrome, gdy plik nie chciał się zapisać (nie zapisuje mi
historii)

Wszystkie programy w chwili testu w najnowszych dostępnych wersjach, z najnowszymi bazami definicji i skonfigurowane na najwyższą skuteczność. Test polegał na tym, aby sprawdzić jak programy antywirusowe radzą sobie z exploitami. Dlatego były testowane same exploity i jeden link exe. Plików nie uruchamiałem. Wszystkie programy testowane na tych samych linkach w danej turze. Linki, które stały się nieaktywne nie liczyłem do wyników i zastąpiłem innymi. Test został wykonany 15 oraz 16 września 2012 roku.


Test został podzielony na 2 tury.

W pierwszej wzięli udział:

Emsisoft Antimalware 7 beta, AVG Pro Antivirus 2013, BitDefender Traffic Light (pełna wersja), Panda Cloud Pro Antivirus 2,01, Eset NOD 5 antivirus, Kingsoft Antivirius 2012 5,1. Microsoft security Essentials 4.
Linków użytych 31 (w tym jeden exe).Do drugiej tury automatycznie przechodzi zwycięzca pierwszej tury.

W drugiej części udział wzięli:

Kaspersky Antivirus 2013, Avast Pro Antivirus 6, Avira premium Antivirus 2012, Norton 2013 Antivirus, BullGuard 2013 Antivirus, G-data 2013 Antivirus. Eset Nod 5 Antivirus.

Razem zostało przetestowanych 14 programów.

W drugiej części, wszystkie linki są inne niż w pierwszej części. Zostało użytych 35 linków (w tym jeden plik exe i 5 linków z dnia poprzedniego).

Zaznaczam, że nie jestem profesjonalnym testerem i prezentowane pliki wideo są dodatkiem do testu, dla uwiarygodnienia prezentowanych wyników. Żadnych plików przed testem nie wysyłałem do żadnego laboratorium. Linki pochodzą z kilku źródeł i zostały wybrane losowo.


Wyniki 1 tury:

1. Eset NOD Antivirus 5, 19/31
2. BitDefender Traffic Light full version 17/31
3. AVG Antivirus Pro 2013, 16/31
4. Panda Cloud Pro Antivirus 2,1 9/31
5. Microsoft Security Essentials 5/31
6. Emsisoft Antimalware 7,0 beta 4/31
7. Kingsoft Antivirus 2012 5,1, 0/31

Wyniki 2 tury:

1. BullGuard Antivirus 2013, 29/35
1. G-data Antivirus 2013, 29/35
3. Avira Premium Antivirus 2012, 25/35
4. Kaspersky Antivirus 2013, 22/35
5. Avast Antivirus 7 Pro, 20/35
6. Eset Nod 5 Antivirus, 19/35
7. Norton Antivirus 2013, 12/35


Filmy video:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
MSE lepiej niż EAM Facepalm
Odpowiedz
#3
Test potwierdza, który program av sprawdza się w praktyce. GData w ostatnim czasie pokazuje na co ją staćSmile
Odpowiedz
#4
ktośtam napisał(a):MSE lepiej niż EAM Facepalm


W 2 turze Avast lepiej niż Nod i NortonFacepalm
AV: Avast AV 7
Skaner: ArcaVirMicroScan
Odpowiedz
#5
EAM nie ma filtrowania http, tak jak mówi Eugeniusz, pewnie stąd jego taki słaby wynik. Jego bloker hostów nic jednak nie wykrył. Więc słabo blokują te strony:/

Ja wiem, że wiele osób bardzo lubi Emsisoft na tym forum i ja tez lubię. To bardzo dobry program, ale w tym teście nie poszło mu...
Odpowiedz
#6
McAlex napisał(a):Test potwierdza, który program av sprawdza się w praktyce. GData w ostatnim czasie pokazuje na co ją staćSmile


Bullguard ostatnio też jest niezły Wink
Odpowiedz
#7
Nie udostępnili polskiej wersji więc mam na nich focha:-)
Odpowiedz
#8
Fr3shMak3r napisał(a):
ktośtam napisał(a):MSE lepiej niż EAM Facepalm


W 2 turze Avast lepiej niż Nod i NortonFacepalm


Nie rozumiem po co ten facepalm. Avast to naprawdę porządny program
Avast! 
Malwarebytes Anti-Malware
HitmanPro 
Odpowiedz
#9
Twoja stara, zgadzam się.
Silnik BitDefender''a się popisał w drugim teście. Smile
Odpowiedz
#10
Twoja stara napisał(a):Nie rozumiem po co ten facepalm. Avast to naprawdę porządny program


Porządny ale niedosc że darmowy to wyprzedza 2 płatne antywirusy .
AV: Avast AV 7
Skaner: ArcaVirMicroScan
Odpowiedz
#11
Tu akurat Avast był testowany w wersji Pro czyli płatnej, chociaż sądzę, że między tą wersją a wersją darmową nie byłoby żadnych różnic
Avast! 
Malwarebytes Anti-Malware
HitmanPro 
Odpowiedz
#12
ELWIS1, podziwiam Twoj wysilek ale... niestety test ma zerowa wartosc jesli chodzi o detekcje exploitow.
Zeby to przetestowac musialbyc miec system podatny na konkretny exploit (tzn. jesli wchodzisz na strone gdzie serwowany jest exploit przeciwko IE to uzywasz IE, jesli uzyty jest np. SWF to musisz miec SWF playera w wersji podatnej na atak, jesli to PDF - podatna wersje Adobe Readera itd).
Antywirus moze przerwac lancuch infekcji w dowolnym momencie, niekoniecznie blokujac dostep do strony. Co wiecej, jesli strona jest legalna ale ulegla atakowi, to AV ktory nie blokuje dostepu do strony kiedy tam juz infekcji nie ma (zostala usunieta przez admina ) jest lepszy niz ten, ktory blokuje dostep i np. za 2 tygodnie odblokowuje.

Tak wiec wykonales kawal roboty, ale bez zrozumienia problemu to raczej jalowy wysilekNone
ESET NOD32 5 + PC Tools Firewall Plus + Truecrypt
Odpowiedz
#13
Ananael nie zgadzam się z tym, że ma zerową wartośćSmile

Jak sam zauważyłeś, aby w pełni przetestować detekcje exploitów potrzeba oprogramowania podatnego na daną lukę np. PDF, SWF. Szczególnie tyczy się to ostatnio Javy. Więc z tym się z Tobą zgadzam.

Ja jednak testowałem chyba jeden plik SWF i exe, a reszta to zagrożenia HTML, JS itd. Tutaj głównie zagrożenia to Drive-by, które same ,,wskakują'''' do komputera. W tych lukach chodzi o to, aby były jak najbardziej niewykrywalne. Czyli, żebyśmy nie wiedzieli, iż one są. Antywir powinien je wykryć.

Druga sprawa: jak masz stronę internetową czy bloga, to chciałbyś wiedzieć czy jest zainfekowana. I widzisz znowu antywir wkracza do akcji, który powinien wykryć niechcianego osobnika Smile

Zapewne słyszałeś o exploicie na stronie bankowej w Indii, o ile pamiętam. Tutaj żadna luka w naszym wypadku, czyli oprogramowaniu nie musi istnieć. Wystarczy, że bank zawinił i już mamy po kasie.

Ale dzięki za konstruktywną krytykę Smile
Odpowiedz
#14
Twoja stara napisał(a):W 2 turze Avast lepiej niż Nod i NortonFacepalm



Avast lepszy od nortona i Noda, nic dziwnego jak Nod to nie ten nod co kiedyś , a jeżeli chodzi o Nortona to szkoda gadać Wall
WIN11
Ventura
Odpowiedz
#15
fajny test, i bardzo ciekawy opisWink można z niego dużo się dowiedzieć Smile
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości