Cat-quickheal что за вирус
QuickHeal имеет мощный и оптимизированный механизм сканирования, который выполняет поиск вирусов быстро и просто. Он комбинирует действенные и быстрые технологии, чтобы гарантировать лучшую защиту от сегодняшних вирусов.
-Проверяет и очищает уже зараженный персональный компьютер перед установкой.
-Технология обнаруживает червей срабатывает прежде, чем вирус попадает в антивирусные базы, и также успешно удаляет изменения, сделанные ими.
-Защитите от всех видов опасностей исходящих из Интернета, то есть: порно-сайтов, шпионских программ, хакерских утилит и т.д.
-Сканирует и чистит и приходящие и исходящие почтовые сообщения.
-Быстрый модуль обновления обновляется быстро, и защищает вашу машину от новых вирусов.
-Проверка сжатых файлов и сжатых исполняемых файлов.
-Интегрированная защита для MSOffice 2000/XP.
-Защищает ваш персональный компьютер от вирусов, в то время как Вы ищите информацию в Интернете.
MicroWorld eScan AntiVirus for windows
Пользователь может запланировать проверку по своему усмотрению. Анти-Вирусный Монитор проверяет на вирусы в автоматическом режиме реального времени. Автоматическое ежедневное обновление. Система сетевой защиты NetBIOS. 24 часа 7 дней в неделю бесплатная интерактивная и телефонная поддержка.
Panda Titanium Antivirus 2004
Сравнение антивирусных программ
Таблица содержит расчеты показателя надежности различных антивирусов. В качестве исходных данных были использованы результаты проверки реакции различных антивирусов на вредоносные объекты в период с января 2006 по июль 2007.
Показатели надежности антивирусов
Пропущено вирусов за соответствующий период 2006 - 2007 годов
Пропущено
вирусов из
51 атак
Первое место в данном сравнительном тестировании, занял Антивирус Касперского, итоговые 17 % обнаруженных вирусов заслуживают наивысшей оценки. Кроме того, Kaspersky, AntiVir, Fortinet, занявшие второе, третье и четвертое место соответственно так же имеют неплохой результат детектирования.
Заключение
Самым эффективным способом защиты от компьютерных вирусов является не внесение информации в компьютер извне. Но, к сожалению, на 100% защититься от вирусов практически невозможно (подразумевается, что пользователь меняется дискетами с друзьями и играет в игры, а также получает информацию из других источников, например из сетей).
| Разработчик: | Quick Heal Technologies (Индия) |
| Лицензия: | Пробная версия 30 дней |
| Цена: | |
| Версия: | 18.00 (11.1.1.54) |
| Обновлено: | 2020-04-21 |
| Системы: | Windows 10 / 8.1 / 8 / 7 / Vista / XP (32/64-bit) |
| Интерфейс: | английский |
| Рейтинг: |  |
| Ваша оценка: | |
| Категория: | Антивирусы |
| Размер: | 287 MB / 296 MB (x64) |
Новое в версии 18.00 :
Новые функции
- Защита от шифровальщиков позволяет защитить важные документы от троянов-вымогателей. Поддерживается автоматическое создание и восстановление резервных копий.
- Тихий режим отключает всплывающие оповещения и запланированные задания, когда приложение запускается в полноэкранном режиме
- Увеличена скорость сканирования
Улучшения
- Улучшения интерфейса
- Улучшена эффективность сканера
- Уменьшено количество обращений к диску для повышения производительности
- Ускорена загрузка системы
- На панель управления добавлена ссылка для просмотра подробной информации о лицензии
Windows 10, 8.1, 8, 7
- Процессор: 1GHz и выше
- Оперативная память: 1GB для 32-bit или 2GB для 64-bit
Windows Vista
- Процессор: 1GHz и выше
- Оперативная память: 1GB
Windows XP (SP2 и выше)
- Процессор (CPU): 300 MHz Pentium и выше
- Оперативная память (RAM): 512 MB
- Quick Heal - руководство пользователя (английский, pdf)
- Тестирование SE Labs: Лучшие антивирусы для Windows 10
- Рейтинг антивирусов 2019. Лучшие антивирусы для Windows и macOS
Quick Heal Total Security защищает ноутбуки и настольные ПК от всех видов сетевых и интернет-угроз. После установки, комплексный антивирус Quick Heal действует как надежный щит против вирусов, интернет-червей, троянов, шпионских программ и других угроз. Он также обеспечивает защиту от новых и неизвестных угроз с помощью проактивной технологии Quick Heal DNAScan.
Улучшенная функция Антифишинг гарантирует, что вы не попадете на фишинговые сайты при просмотре веб-ресурсов. Родительский контроль позволяет контролировать доступ в Интернет для ваших детей, а его предварительно настроенные ограничения не позволят детям посетить сайты для взрослых. Инструмент оптимизациии PCTuner улучшает общую эффективность вашей системы, а функция мобильного сканера PC2Mobile Scan обнаруживает и удаляет вредоносное ПО с вашего мобильного телефона.
Quick Heal Total Security использует минимум системных ресурсов, тем самым, обеспечивая полную защиту для вашей системы, не замедляя работу компьютера.
- Антивирус и антишпион
- Проактивная защита DNAScan
- Веб-защита
- Защита от кражи данных
- Защита электронной почты
- Защита USB-носителей
- Сканер PC2Mobile
- Усиленная самозащита
- Песочница для браузера
- Родительский контроль
- Защита приватности
- Оптимизация ПК
- Защита в безопасном режиме
- Игровой режим
Базовая защита. Глубокое сканирование системы с помощью антивируса, антишпиона, антивредоносного сканера, антируткита, тихого фаервола и систем обнаружения и предотвращения вторжений IDS/IPS обеспечивает полную защиту компьютера и информации на всех уровнях.
- Антивирус - проверка системы и удаление вирусов, интернет-червей, троянских программ и других угроз, которые могут проникнуть в вашу систему через съемные диски, вложения электронной почты или интернет-загрузки.
- Антишпион - обнаружение, блокировка и очищение системы от шпионских программ, автоматически предотвращая кражу личных данных.
- Антивредоносный движок (AntiMalware) - сканирование реестра, файлов и папок с молниеносной скоростью, обнаружения и очистка от шпионского и рекламного ПО, мошеннических программ, номеронабирателей, потенциально опасных приложений и других потенциальных угроз.
- Антируткит - проактивное обнаружение и удаление руткитов, с помощью глубокого сканирования системы.
- Фаервол - работает в фоновом режиме и контролирует сетевую активность вирусов, шпионских программ и других вредоносных агентов. Он использует систему обнаружения вторжений (IDS) с целью выявления вредоносной деятельности сети и систему предотвращения вторжений (IPS), чтобы предотвратить вредоносную сетевую активность.
- Самозащита - защита компонентов антивируса Quick Heal: файлов, папок, конфигураций и записей реестра от подмены вредоносным ПО.
Веб-защита. Облачная в реальном времени веб-защита Quick Heal Total Security ограничивает доступ к вредоносным, зараженным, мошенническим и фишинговым веб-сайтам. Предотвращает заражения от угроз, передаваемых через размещение вредоносного кода на веб-страницах, во время перехода по интернет-ресурсам.
- Защита веб-браузера - защита компьютера от угроз, передаваемых через вредоносные веб-сайты.
- Антифишинг - автоматически сканирует все доступные веб-страницы на наличие мошеннической деятельности и защищает от любых фишинг-атак.
- Обеспечивает защиту "нулевого дня" от зараженных веб-сайтов и вредоносных программ, которые могут заразить ваш компьютер через доступ к вредоносным веб-сайтам.
Защита электронной почты. Основанная на облаке защита электронной почты в Quick Heal Total Security обеспечивает, чтобы входящая почта была чистой от спама, фишинга и зараженных сообщений.
- Антиспам - блокирует спам, фишинг-атаки электронной почты, нежелательные и порно сообщения, прежде чем они попадут в почтовый ящик.
- Использует облачную в реальном времени защиту, которая проверяет подозрительные файлы, ограничивая вредоносное ПО прежде, чем оно запустится на компьютере.
Родительский контроль. Планируйте, управляйте и контролируйте использование Интернета вашими детьми с помощью Родительского контроля в Quick Heal Total Security. Настройка родительского контроля сделаны на основе учетных записей Windows.
- Расширенная защита, основанная на ограничении категорий веб-сайтов или определенных пользователем веб-ресурсов. Настройте или отключите категории веб-сайтов (например, порно, преступление и насилие, наркотики и т.д.). Компонент будет полезен родителям, которые хотят убедиться, что дети посещают правильные типы веб-сайтов и не взаимодействуют с неуместным для детей содержанием.
- Разрешение доступ к веб-ресурсу из заблокированной категории веб-сайтов, с помощью добавления его в список исключения.
- Расписание доступа в Интернет - контролируйте активность в Интернете с помощью установки времени доступа.
- Ограничение доступа к определенным веб-сайтам.
- Повышение продуктивности бизнеса - выявление и ограничении нежелательной веб-активности сотрудников, например, использование онлайн-чатов.
Защита конфиденциальных данных. Quick Heal Total Security предотвращает несанкционированное копирование данных с использованием внешних носителей. Безвозвратно удаляет удаляет данные, препятствуя их восстановлению с помощью специальных инструментов.
- Предотвращает несанкционированное копирование данных и информации с вашего компьютера. Блокирует доступ USB-устройствам (флешкам, внешним жестким дискам) к компьютеру, так что данные не могут быть скопированы на съемные носители или внешние устройства.
- Постоянно стирает данные с жесткого диска, используя специальный алгоритм, препятствующий дальнейшему восстановлению информации.
Мобильный сканер PC2Mobile Scan. Проверяет и очищает мобильные телефоны, смартфоны и КПК с вашего компьютера.
- Проверяет наличие вирусов, шпионских программ и другого вредоносного ПО в мобильном телефоне.
- Сканирование ваших мобильных телефонов, смартфонов и КПК через компьютер с помощью USB-кабеля или Bluetooth.
Оптимизация системы. В Quick Heal Total Security доступно ускорение и оптимизация производительности компьютера, путем настройки запуска приложений, служб и очистки ненужных файлов и записей реестра Windows.
- Очистка диска - удаляет все неверные и ненужные файлы (например, неверные ярлыки, временные файлы Интернета, куки и т.д.), которые загромождают ваш системный жесткий диск и влияет на производительность системы. Это позволяет освободить дополнительное дисковое пространство, которое можно использовать для других программ или для улучшения производительности системы.
- Очистка реестра - удаляет недействительные и нежелательные записи системного реестра Windows и повышает производительность системы.
- Поиск дубликатов файлов - удаляет дубликаты заранее определенных категорий файлов, освобождая дисковое пространство.
- Дефграгментатор - повышает производительность системы, дефрагментируя файловую систему и записи реестра.
Дополнительные возможности
- Защита USB-флешек - автоматическое сканирование внешних носителей данных. Защищает USB-устройства от автозапуска вредоносных программ.
- Игровой режим - позволяет пользователям непрерывно играть, смотреть фильмы или презентации, подавляя подсказки и предупреждения от всех модулей Quick Heal и снижая нагрузку на систему, без ущерба для безопасности компьютера.
- Спасательный диск - помогает создавать аварийный загрузочный диск для ПК с Windows, который сканирует и очищает от вирусов все диски, включая NTFS разделы.
- Сканирование во время загрузки - позволяет запланировать сканирование во время загрузки, что позволит проверить и очистить диски компьютера до того, как запустится операционная система и активирует любые устойчивые вирусы, руткиты, специальные трояны и логгеры.
Мне стало интересно, а сколько собственно времени потребуется антивирусным компаниям что-бы узнать об этом вирусе и внести его в свои базы. Более одной недели я терпеливо прогонял один и тот же файл через их базы, смотрел что изменилось, вносил результаты в табличку.
Возможно полученные результаты покажутся тебе %habrauser% интересными.
За подробностями, милости прошу под кат.
Статистика
Всего было проведено 15 проверок в период с 30 мая 16:55 по МСК (В дальнейшем, всё время будет указано по МСК) по 11 июня 00:56. На момент публикации данного топика, вирус обнаруживался 30 из 42 антивирусами (71,4%).
За этот период, вирус стали обнаруживать следующие антивирусы:
AhnLab-V3, Avira AntiVir, Antiy-AVL, Avast, Avast5, AVG, BitDefender, ClamAV, Comodo, DrWeb, F-Secure, Fortinet, Gdata, Ikarus, K7AntiVirus, Kaspersky, McAfee, McAfee-GW-Edition, Microsoft, NOD-32, nProtect, Panda, PCTools, Symantec, TheHacker, ThendMicro, TrendMicro-HouseCall, VBA32, VIPRE, VirusBuster.
Если вы пользуетесь одним из этих антивирусов то это значит что ваш антивирус относительно безопасен для повседневного использования.
Следующие антивирусы так и не начали обнаруживать этот вирус после 10 дней:
CAT-QuickHeal, Commtouch, eSafe, eTrust-Vet, F-Prot, Jiangmin, Norman, Prevx, Rising, Sophos, SUPERAntiSpyware, ViRobot
НО, какая же бы это была статистика если бы не было более подробной статистики.
Таблица ниже говорит сама за себя:
| Дата | Обнаруживает антивирусов | Какие антивирусы добавились | Ссылка на отчёт |
|---|---|---|---|
| 30 Мая, 16:55 | 2 | Panda, Kaspersky | Тыц |
| 30 Мая, 18:20 | 1 (WTF?) | — Kaspersky | Тыц |
| 30 Мая, 18:51 | 2 | + DrWeb | Тыц |
| 30 Мая, 20:20 | 3 | + Kaspersky | Тыц |
| 31 Мая, 00:15 | 5 | + Comodo, NOD32 | Тыц |
| 31 Мая, 02:09 | 6 | + AVG | Тыц |
| 31 Мая, 12:19 | 13 | + AVAST, AVAST5, BitDefender, Emsisoft, F-secure, Gdata, Ikarus | Тыц |
| 31 Мая, 14:20 | 12 (WTF?) | — F-Secure | Тыц |
| 31 Мая, 15:03 | 13 | + Avira AntiVir | Тыц |
| 31 Мая, 17:56 | 15 | + F-Secure, Microsoft, nProtect | Тыц |
| 1 Июня, 10:35 | 17 | + AhnLab-V3, Symantec, Vipre | Тыц |
| 1 Июня, 22:01 | 21 | + ClamAV, PCTools, VirusBuster | Тыц |
| 3 Июня, 16:30 | 25 | + VBA32, Gdata, TheHacker | Тыц |
| 5 Июня, 03:05 | 28 | + Fortinet, K7Antivirus | Тыц |
| 11 Июня, 00:56 | 30 | + TrendMicro, TrendMicro-HouseCall | Тыц |
И миленький график:
Интересным местом является 30 Мая, 18:20 и 31 Мая, 14:20, в этих местах, те антивирусы которые ранее уже обнаруживали этот вирус, вдруг перестали его обнаруживать. С чем это связано я к сожалению так и не понял.
Вы можете найти небольшие несостыковки между количеством антивирусов и списком добавленных антивирусов, например 13+3 != 15, это связано с тем что периодически, Virustotal убирает и добавляет антивирусы (Убирает видимо на тот момент, пока обновляются базы).
Вывод
Получилась, казалось бы довольно логичная картина, что все хоть сколь нибудь популярные антивирусы уже обнаруживает данный зловред, а всякие noname антивирусы могут себе позволить пропустить 1 или 2 вируса.
Прошу не расценивать данный топик как пиар той или иной антивирусной продукции. Только голые факты. Вывод о пользовании тем или иным антивирусом, вам уже стоит сделать самостоятельно.
Надеюсь моё маленькое исследование показалось вам интересным.
Если вы нашли какие-либо ошибки, пожалуйста, дайте мне знать.
Постараюсь ответить на любые возникшние у вас вопросы.
Администрация
Не рекомендуется качать файлы от новичков, не рекомендуется качать файлы людей с отрицательной репутацией, от заблокированных пользователей. Прочитайте комментарии других людей, посмотрите комментарии к репутации человека, сверьте правильна ли ссылка на вирустотал - что именно на тот файл (сверьте md5), что не на архив и т.д. и т.п. Обязательно иметь обновляемый антивирус с файрволом. Если тема закрыта и/или у темы красный/оранжевый префикс - файлы оттуда не качать.
Virustotal это не показатель безопасности, нужно смотреть что программа делает, то есть sandboxing
вот ещё с такой прогой можно запускать на своём компе, если нет виртуалки
| a-squared | 4.5.0.43 | 2009.12.11 | - |
| AhnLab-V3 | 5.0.0.2 | 2009.12.11 | - |
| AntiVir | 7.9.1.108 | 2009.12.11 | PCK/Obsidium |
| Antiy-AVL | 2.0.3.7 | 2009.12.11 | - |
| Authentium | 5.2.0.5 | 2009.12.02 | W32/Heuristic-210!Eldorado |
| Avast | 4.8.1351.0 | 2009.12.11 | - |
| AVG | 8.5.0.427 | 2009.12.11 | - |
| BitDefender | 7.2 | 2009.12.11 | - |
| CAT-QuickHeal | 10.00 | 2009.12.11 | (Suspicious) - DNAScan |
| ClamAV | 0.94.1 | 2009.12.11 | - |
| Comodo | 3206 | 2009.12.11 | Heur.Pck.Obsidium |
| DrWeb | 5.0.0.12182 | 2009.12.11 | - |
| eSafe | 7.0.17.0 | 2009.12.10 | Suspicious File |
| eTrust-Vet | 35.1.7170 | 2009.12.11 | - |
| F-Prot | 4.5.1.85 | 2009.12.10 | W32/Heuristic-210!Eldorado |
| F-Secure | 9.0.15370.0 | 2009.12.11 | - |
| Fortinet | 4.0.14.0 | 2009.12.11 | - |
| GData | 19 | 2009.12.11 | - |
| Ikarus | T3.1.1.74.0 | 2009.12.11 | - |
| Jiangmin | 13.0.900 | 2009.12.11 | - |
| K7AntiVirus | 7.10.918 | 2009.12.11 | - |
| Kaspersky | 7.0.0.125 | 2009.12.11 | - |
| McAfee | 5828 | 2009.12.10 | Packed-01!E309BD61BA92 |
| McAfee+Artemis | 5828 | 2009.12.10 | Packed-01!E309BD61BA92 |
| McAfee-GW-Edition | 6.8.5 | 2009.12.11 | Packer.Obsidium |
| Microsoft | 1.5302 | 2009.12.10 | - |
| NOD32 | 4679 | 2009.12.11 | - |
| Norman | 6.04.03 | 2009.12.11 | - |
| nProtect | 2009.1.8.0 | 2009.12.11 | - |
| Panda | 10.0.2.2 | 2009.12.11 | - |
| PCTools | 7.0.3.5 | 2009.12.11 | - |
| Prevx | 3.0 | 2009.12.11 | - |
| Rising | 22.25.04.07 | 2009.12.11 | - |
| Sophos | 4.48.0 | 2009.12.11 | Sus/ComPack-C |
| Sunbelt | 3.2.1858.2 | 2009.12.11 | - |
| Symantec | 1.4.4.12 | 2009.12.11 | - |
| TheHacker | 6.5.0.2.090 | 2009.12.10 | - |
| TrendMicro | 9.100.0.1001 | 2009.12.11 | - |
| VBA32 | 3.12.12.0 | 2009.12.10 | - |
| ViRobot | 2009.12.11.2083 | 2009.12.11 | - |
| VirusBuster | 5.0.21.0 | 2009.12.10 | - |
| MD5 : e309bd61ba9268cfc8ecfabbaff138a4 |
| SHA1 : 799caabe9ba4a9e31859becda3764c9be8733056 |
| SHA256: 630931107ae584a051e65672803d8a64734aa992577e9a960f199db704f22161 |
Видим, что 10 срабатываний, уже настораживает. Также обратите внимание, что там есть ссылка на более позний анализ того же файла и там уже 23 срабатывания, это уже четко говорит, что файл - вирус. При этом имейте ввиду, что если вирус закриптован хорошим криптером - срабатываний на вирустотале будет 1-2 или вообще 0. Поэтому 0/40 на вирустотале еще не говорит о том, что файл безопасен.
| Size | 394752 |
| MD5 | e309bd61ba9268cfc8ecfabbaff138a4 |
| SHA1 | 799caabe9ba4a9e31859becda3764c9be8733056 |
| SHA256 | 630931107ae584a051e65672803d8a64734aa992577e9a960f199db704f22161 |
| Process | Active |
• Keys Created• Keys Changed• Keys Deleted• Values Created• Values Changed• Values Deleted• Directories Created• Directories Changed• Directories Deleted• Files Created
| C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe | 394752 | 2009.01.12 15:12:42.000 | 2009.01.12 15:12:49.468 | 2009.01.12 15:12:49.468 | 0x20 |
• Files Changed• Files Deleted• Directories Hidden• Files Hidden• Drivers Loaded• Drivers Unloaded• Processes Created• Processes Terminated• Threads Created
| 0x348 | svchost.exe | 0xf8 | 0x7c810856 | MEM_IMAGE | 0x7c910760 | MEM_IMAGE |
• Modules Loaded• Windows Api Calls• DNS Queries• HTTP Queries• Verdict
Проблему вирусов сложно назвать новой. Каждые 30 минут в мире появляется, по крайней мере, один новый вирус или новая разновидность существующего. К счастью, далеко не все появившиеся могут вызвать эпидемию. Однако пользователям компьютеров на помощь приходит специализированное программное обеспечение, призванное бороться с компьютерной инфекцией - антивирусы.
Каким антивирусом пользуются люди:
- Stop 0,4%
- Panda Antivirus 2,4%
- F-Prot 0,5%
- AVG Anti-Virus 1,1%
- Avast 4,1%
- AntiVIR 2,6%
- UNA 0,1%
- Trojan Remover 0%
- Антивирус Касперского (КАВ) 31,4%
- Dr WEB 23,1%
- Norton AntiVirus 12,4%
- McAfee 1,7%
- Eset NOD32 6,3%
- BitDefender 1,1%
- FortiGate Antivirus 0%
- Trend Micro PC-cillin 0,6%
- eTrust EZ Antivirus 0,4%
- eSafe Antivirus 0,2%
- Sophos Antivirus 1%
- Vba32 1,7%
- Sybari Antivirus 0,1%
- Norman Virus Control 0,2%
- GData Security Antivirus Kit 0,5%
- PC DoorGuard 0%
- VirusBuster 0,1%
- CAT Quick Heal Anti-Virus 0,3%
- AVIRA 0,2%
- Ikarus 0,8%
- ClamAV 0%
- Stocona Antivirus 0%
- Другой 0,2%
- Я не пользуюсь антивирусом 6,5%
Это было небольшое лирическое отступление… Теперь же давайте перейдем непосредственно к нашему исследованию.
Основной упор в тестировании делался на попытку обмануть, одурачить АВП различными способами. Проверялась эвристика и прочее важнейшие компоненты антивируса. Все АВП прошли одинаковое количество проверок, на идентичных вирусных базах, но, дабы не загромождать статью нудными и однотипными описаниями, приведу только самые яркие моменты.
Итак, что же у нас сегодня на операционном столе.
Брандмауэр
Модуль Брандмауэр защищает ваши данные, используя фильтрацию входящего и исходящего трафика, контроль cookies, блокировку вредоносных скриптов и программ типа "XXX-dialer".
Итак, антивирус BitDefender. Пожалуй, этот продукт занимает 2 место по скорости реакции на возникновение новых вредоносных кодов, после детища господина Касперского. Хотя базы обновляет не слишком часто: 3-4 раза в неделю. Этот показатель даже хуже чем у
Dr. Web’a. Радует большой размер базы и маленький размер дистрибутива. Размер полноценного универсального пакета безопасности — 15 Мбайт! Не 120, не 90 и даже не 45, а — пятнадцать! Батюшки святы! =)
Entry Point = 0000E017h
Image Base = 00400000h
0x0000E017 + 0x00400000 = 0x0040E017 (0040E017h)
mov eax, 0040E017h ; вот он то нам и понадобился = )))
jmp, eax ; тут же ее исполняем
Пожалуй, с этим АВП все… Подводя итоги, хотелось бы акцентировать ваше внимание вот на каком моменте: безусловно, это антивирусный пакет достоин был тестироваться рядом с КАВ и Вебом. Правда, справедливости ради, хочу сказать, что эти две статьи ни в коем случае нельзя рассматривать отдельно, как разные
- они единое целое. И, конечно же, при подготовке этой статьи я обращался к результатам прошлой, так что читать их нужно вместе! Что касается цены за этот продукт, то максимальная, которую я бы дал за него – так это 20$ за пожизненную лицензию =)
Trend Micro – очень не понравился этот пакет.
Как-то читая ленту новостей, я наткнулся на такое сообщение:
CA eTrust EZ Armor – название, говорит самом за себя. Странное название – странный и сам продукт. Понравился его эмулятор! Не такой как у
Dr. Web’а, но все же (у некоторых его нет в принципе)… Что это означает? А то, что он лезет в стартовую точку, пытается найти там совпадения со своей базой вирусов, если таких нет, тогда начинает эмулировать команды для того, чтобы узнать, не попытка ли это спрятать вирус от антивируса. Когда доходит до команд перехода поступает аналогично
Dr. Web’у. вот только много тупее (например, не рекогнизит регистры если прыгаешь на них и т.п.). Да и поиск по сигнатурам его как-то подкачал… Что до меня, то у меня нет к этому продукту никакого доверия.
eSafe Enterprise – очень и очень любопытный комплекс. Неплохой брандмауэр, а что там с антивирусом?! Смотрим. Было предложено несколько червей, но
опознан, как ни странно, только Iworm.SirCam, то есть более старые черви разработчики в качестве оптимизации выкидывают из базы!
Во-первых, сигнатура для Iworm.SirCam содержится. в. ЗАГОЛОВКЕ _PE_ файла, по-видимому больше сигнатур нет, а во-вторых, в сегмент ресурсов этот антивирусный пакет просто влюблен, все там ищет что-то! Авторы, наверное, думали, что секция ресурсов нежная, поэтому менять ее никто не будет - есть за что уцепиться! Не тут-то было.
Шифруем сегмент ресурсов. И уже для него червячок – простая программа!
Вообще, при анализе антивирусного софта заметил такую тенденцию: чем вирус более распространенный, тем сложнее его спрятать. К примеру,
Iworm.SirCam спрятать намного сложнее нежели, скажем,
psw.GIP, потому что методы поиска их сильно отличаются. Подобное замечание относится не только к
eSafe Enterprise.
Sybari Enterprise Manager – хорошие машины делает эта контора. Зачем они еще решили заняться производством антивирусного софта?? Что им прибыли не хватает?? Ой. это я про другую компанию! 🙂 Мы отвлеклись. Перейдем к сути.
Упаковали MicroJoiner 1.7 (да-да именно, MicroJoiner’ом, пакует эта программа не хуже
UPX’а - за программу скажем все дружно спасибо автору - coban2k). Упаковали, проверили. Результат: молчит как убитый!
Это меня очень расстроило - просто упаковщик и ВСЕ! Была идея, что в лексиконе производителей нет таких слов как
MicroJoiner 1.7. Пробуем ASPack’ом - видит! Значит, попросту в базе АВП нет нашего joiner’a. Все же для того, чтобы удостовериться пробуем еще и
UPX’ом - тоже видит. Да, мы были правы. По большому счету, данный программный продукт сигнатуры ищет в секции кода и смотрит на стартовый адрес периодически (либо вообще не смотрит). Поэтому
MicroJoiner так легко и морочит ему голову. Пробует обработать спуфкой, а затем пакуем
ASPack’ом и UPX’ом. В обоих случаях (а это были 2 разных теста на двух разных троях) АВП молчит.
Где-то читал о том, что данный АВП принят на вооружение во многих корпорациях, включая
Compaq. Дерзайте! =) Тут, мне кажется, даже комментарии не нужны, и так все ясно!
GData Security Antivirus Kit Pro 2005 pro – до этого тестирования не был знаком с этим пакетом. Посоветовал включить его в обзор один мой хороший приятель. По существу, антивирус чуть (на миллиметр) выше среднего.
Знает упаковщики, но когда ему предложили опознать
Pinch 2 обработанный Apex’ом третей версии, сразу же замолчал. Ну ладно. Приватную версию он НЕ знает – это понятно, но почему Public версия ему морочит голову? При всем при том, что
Apex создан специально для одурачивания KAV’a…
CAT Quick Heal Anti-Virus 2005 – если рассматривать эффективность этого антивируса в процентном соотношении, то я бы дал ему ему примерно 73%. Нет, это не с потолка взятая цифра. Давайте смоделируем ситуацию: при проведении тестирования (скажем, обработка спуфером, обработка упаковщиком… и т.д. и т.п.) за каждый проеденный тест АВП получал по 1 баллу, а за
не пройденный – 0. Безусловно, это очень грубо и средне, но все же. Так вот, при таких расчетах эффективность этого антивирусного софта составляет 73%.
Что интересного было подмечено? Антивирус легко определяет упаковщики, спуферы (все public)… Но(!) если немного упаковку подправить, то антивирус бессилен! Упаковываем
UPX’ом версии 1.33. Смотрим – определяет. Затем обрабатываем упакованный файл… Все! Антивирусный пакет ослеп.
ClamAV – совершенно обыкновенный, ничем не выделяющийся антивирусный софт. Слабенькая база, никакущий эмулятор… В общем, советуйте его своим друзьям и вся их конфиденциальная информация ваша =) ШУТКА! 😉
Mantice (непакованный) ClamAV сжевал на ура после спуфера. Что еще раз подтверждает наши выводы об эвристике этого продукта! Где сигнатуры ищет, даже не хотелось смотреть – так расстроил этот АВП. Хотя работает довольно шустро… еще бы толк от него был!
Stocona Antivirus – прошу вас обратить особое внимание на этот антивирусный пакет!
По большому счету, он не вписывается в рамки данного теста, т.к. обеспечивает защиту компьютерных систем от макровирусов и программных закладок в электронных документах и почтовых сообщениях (в форматах
Microsoft Office). Но все же было решено включить его в наш обзор по той простой причине, что в нем реализована любопытнейшая технология. Если большинство антивирусного софта сейчас работает по принципу "поиска сигнатур", то примененное в
Stocona Antivirus ядро искусственного интеллекта принимает решение о вредоносности того или иного кода на основе просчитанного конечного результата от выполнения кода программы. Т.е.
Stocona Antivirus ищет не по базе данных сигнатур, а разбирает код макросов (анализ функций программ без их выполнения), и вычисляет, что же они в конечном итоге делают. Поэтому у этого продукта НЕТ базы сигнатур…
Посмотрим его в деле. Сколько я не пытался одурачить этот антивирусный софт… Все попытки были тщетны. Легко видит, где была попытка внедрения функции с неопасными и бессмысленными аргументами, а где попытка спрятать червячка с помощью внедрения первой процедурой процедуру типа
Sub XXX()
MsgBox “Hellow world”
End Sub
…либо иной безопасной процедуры.
Читайте также: