Dr. Web Security Space 0 vs avg internet Security 5




Скачать 238.62 Kb.
НазваниеDr. Web Security Space 0 vs avg internet Security 5
страница1/3
Дата конвертации17.12.2012
Размер238.62 Kb.
ТипДокументы
  1   2   3

«Доктор Веб»© май 2009 года





Dr.Web Security Space 5.0 vs AVG Internet Security 8.5

Исследовались ознакомительные версии коммерческих продуктов со всеми обновлениями и с полным функционалом, работающие под управлением операционной системы Windows XP Professional с третьим пакетом сервисных обновлений (Service Pack 3).

Данный выбор условий проведения тестов аргументирован тем, что:

  • Windows XP Pro на данный момент - наиболее распространенная ОС у домашних пользователей;

  • AVG Internet Security 8.5 и Dr.Web Security Space 5.0 являются наиболее функциональными версиями антивирусных решений данных вендоров для домашних пользователей.

Защита файлов антивируса

AVG Internet Security 8.5

Защита собственных файлов антивируса не осуществляется. Таким образом, любой пользователь (даже не обладающий правами администратора) умышленно или случайно, а также вредоносные программы могут удалить важные для работы антивируса файлы, приведя его тем самым в нерабочее состояние. Для удаления файлов нет необходимости прибегать к специальным утилитам, использующим низкоуровневый доступ к ресурсам и работающим в kernel-режиме и/или от учетной записи администратора. Для удаления достаточно стандартного Проводника Windows (кроме активных исполняемых файлов и библиотек).

Все файлы антивируса открываются на запись, контроль и ограничение такого доступа в AVG не производится.

На любые файлы антивируса возможна установка хардлинков (hardlink), что уже само по себе подразумевает наличие серьезной уязвимости в системе защиты антивируса. Выставлять подобные связи можно и встроенными средствами Windows.

В связи с тем, что во время обновления антивирус не проверяет целостность и наличие файлов в своем каталоге, подкачка и автоматическое восстановление работоспособности не осуществляется.

High Critical Vulnerability

Dr.Web Security Space 5.0

Защита файлов антивируса выставлена по всем возможным параметрам. Удалить файлы можно либо отключив самозащиту Dr.Web SS, либо используя специальные утилиты, работающие из kernel-режима операционной системы.

Файлы антивируса открываются только с правами на чтение, осуществить в них запись при активной самозащите – невозможно. Доступ на обновление и модификацию содержимого есть только у доверенных (подписанных) процессов самого антивируса.

Установка hardlink-ов на файлы антивируса – заблокирована.

No vulnerability

Защита ключей реестра антивируса

AVG Internet Security 8.5

Защита собственных записей AVG IS в реестре не осуществляется. Удалив или изменив некоторые записи в системном реестре Windows, можно нарушить работу антивируса или даже полностью нейтрализовать его.

Для деактивации антивируса AVG через системный реестр достаточно при помощи встроенной в Windows утилиты regedit.exe удалить часть ключей (или все), содержащие в своем названии или теле параметра комбинацию букв “AVG” (регистр не имеет значения). После перезагрузки антивирус не будет запускаться.

Кроме того, для отмены запуска модуля можно использовать дебажный метод, указав для любого исполняемого файла в “HKLM\Software\Microsoft\Windows NT\Current Version\Image File Execution Option” ключ “debugger” с содержимым “ntsdd”. Запуск такого файла (в данном случае - компонента антивируса) будет невозможен.

Восстановление необходимых записей в реестре не предусмотрено.

High Critical Vulnerability

Dr.Web Security Space 5.0

Все необходимые для штатной работы антивируса ветки и ключи реестра находятся под контролем модуля самозащиты программы. Таким образом, внести в них изменения или удалить можно только отключив DWProt (самозащита), что полностью исключает возможность непреднамеренной или умышленной порчи параметров.

Использовать дебажный метод для нейтрализации антивируса – невозможно, так как используемые в нем параметры также защищены средствами Dr.Web SS.

No vulnerability

Защита окон антивируса

AVG Internet Security 8.5

Защита окон антивируса от модификаций не предусмотрена. С помощью сторонних утилит можно скрывать окна AVG, изменять их отображение, прятать, перемещать, выполнять действия, аналогичные стандартным регулировкам окон Windows (Minimize, Maximize, Close).

Гораздо критичнее оказывается воздействие на окна методом Brute Force Message. Окна AVG (User Interface, Resident Shield, Alerts и другие) аварийно завершают свою работу (нарушается функционирование) и потом уже не могут быть открыты.

Соответственно, все управление антивирусом, получение извещений и предупреждений, полностью блокируются. К примеру, при нарушении работы извещений окна Resident Shield вредоносная программа не выполняется, но антивирус, не получив подтверждения от пользователя, начинает сильно “тормозить” систему. Устранить инфекцию и произвести другие действия становится невозможно.

High Critical Vulnerability

Dr.Web Security Space 5.0

БОльшая часть возможностей по управлению окнами антивируса заблокирована, но функции скрытия и изменения их размеров работают.

Воздействие методом Brute Force Message не принесет никакого результата, так как все поступающие сообщения контролируются и фильтруются, а ненужные - отсеиваются.

Low Critical Vulnerability

Защита процессов антивируса

Завершение процесса антивируса любым способом (даже если модуль потом автоматически перезапустится), при условии отсутствия защиты файлов приводит к тому, что исполняемый файл можно удалить с диска.

Ниже приведены примеры модулей антивируса и методов их завершения. Дальнейшие действия с этими модулями могут оказаться полностью под контролем злоумышленника/вредоносного кода. Мы специально не рассматривали завершение процессов из kernel-режима, потому что использование этого способа возможно лишь теоретически.

AVG Internet Security 8.5

Антивирус AVG имеет множество работающих модулей, в том числе связанных друг с другом, так что нарушение работы одного из компонентов может привести к нарушениям в работе других модулей.

  • Resident Shield Service (avgrsx.exe)

    • Using dll injection



  • Alert Manager (avgam.exe)

    • Using debugger

    • As part of job

    • Resetting memory attributes

    • By instruction pointer modification

    • Using remote thread

    • By terminating all threads

    • Standard process termination



  • E-Mail Scanner (avgemc.exe)

    • Standard process termination

    • By terminating all threads

    • Using remote thread

    • Resetting memory attributes

    • By instruction pointer modification

    • By rewriting critical process data

    • Using debugger

    • As part of job



  • Network Scanner Service (avgnsx.exe)

    • Standard process termination

    • By terminating all threads

    • Resetting memory attributes

    • By rewriting critical process data

    • As part of job

    • Using debugger



  • Tray Monitor (avgtray.exe) – не перезапускается

    • Standard process termination

    • By terminating all threads

    • As part of job

    • Using debugger

    • As task

    • By sending WM_CLOSE

    • By sending WM_SYSCOMMAND

    • Using Windows station message

    • Simulating normal process exit

    • By bruteforce message sending



  • User Interface (avgui.exe) – не перезапускается

    • Standard process termination

    • By terminating all threads

    • Resetting memory attributes

    • By rewriting critical process data

    • As part of job

    • Using debugger

    • As task

    • By sending WM_CLOSE

    • By sending WM_SYSCOMMAND

    • Using Windows station message

    • Simulating normal process exit

    • By bruteforce message sending



  • Watching Service (avgwdsvc.exe)

    • Using debugger

    • As part of job

    • Resetting memory attributes

    • By instruction pointer modification

    • Using remote thread

    • By terminating all threads

    • Standard process termination



  • Scanning Core Module (avgcsrvx.exe)

    • Using remote thread

    • By terminating all threads

    • Standard process termination (не перезагружается)

    • Using debugger

    • As part of job



  • Firewall Service (avgfws8.exe)

    • Нет проблем



  • IDS Agent (avgidsagent.exe) – не перезагружается

    • Standard process termination (защита прекращается)

    • By terminating all threads (защита прекращается)

    • Resetting memory attributes (защита прекращается)

    • As part of job (защита прекращается)



  • IDS Monitor (avgidsmonitor.exe)

    • Standard process termination

    • By terminating all threads

    • Using remote thread

    • Resetting memory attributes

    • By instruction pointer modification

    • By rewriting critical process data

    • Using debugger

    • As part of job

    • Using windows station message



  • IDS User Interface (avgidsui.exe)

    • By bruteforce message sending (не перезагружается, выгружается монитор)

    • Simulating normal process exit (не перезагружается, выгружается монитор)

    • As task (не перезагружается, выгружается монитор)

    • By sending WM_SYSCOMMAND (выгрузился монитор, процесс интерфейса остался, окна рабочего – нет и его никак снова не запустить)

    • By sending WM_CLOSE (выгрузился монитор, процесс интерфейса остался, окна рабочего – нет и его никак снова не запустить)

    • As task (вывелось большое количество окон предупреждения)

    • By resetting memory attributes (подвис процесс, потом и вся ОС)

    • By instruction pointer modification (не перегружается, выгрузился монитор)

    • Using remote thread (не перегружается, выгрузился монитор)



  • IDS Watchdog Service (avgidswatcher.exe) – не перезагружается

    • By terminating all threads (запустить невозможо)

    • Using remote threads (запустить невозможно)

    • As part of job (запустить невозможно)

High Critical Vulnerability

Dr.Web Security Space 5.0

В работе антивируса участвует всего шесть процессов. Некоторые связаны с функционированием dwengine.exe, но завершить его работу не представляется возможным.

  • SpIDer Mail (spiderml.exe)

    • Нет проблем



  • SpIDer Gate (spidergate.exe)

    • By bruteforce message sending



  • SpIDer Agent (spideragent.exe)

    • By bruteforce message sending



  • Scanning Engine (dwengine.exe)

    • Нет проблем



  • SpIDer Guard Service (spidernt.exe)

    • Нет проблем



  • SpIDer Guard User Interface Agent (spiderui.exe)

    • Нет проблем

No vulnerability

Направление исследования: Установка на зараженную машину и лечение активного заражения, влияние настроек по умолчанию на эффективность работы антивируса

Тестовая установка антивируса на инфицированную машину и лечение активного заражения проходили при наличии в системе 23 вирусов, использующих различные методы работы.

Система заражалась (проверялась активность вируса после перезагрузки), после чего устанавливался антивирус, осуществлялась перезагрузка и проводился полный процесс лечения вируса средствами AVG: для rootkit-инфекций запускалась проверка Anti-Rootkit, для остальных вирусов проводилось полное сканирование компьютера. Компьютер снова презагружался и проверялось наличие зараженных объектов в системе.

Для проверки лечения активного заражения средствами Dr.Web использовалась утилита Dr.Web CureIt! в режиме быстрой проверки.

Классификация вирусов дана по терминалогии Dr.Web.

Trojan.PWS.Clever.2

AVG: удалил некоторые инфицированные файлы, процесс руткита остался в памяти компьютера

Dr.Web: вирус нейтрализован

Trojan.PWS.Snap.395

AVG: вирус не обнаружил

Dr.Web: вирус нейтрализован

MULDROP.Trojan

AVG: вирус не обнаружил

Dr.Web: вирус нейтрализован

Trojan.MaosBoot

AVG: вирус не обнаружил

Dr.Web: вирус нейтрализован

Trojan.Msliksur.1

AVG: после нескольких перезагрузок вирус был удален

Dr.Web: вирус нейтрализован

Trojan.Ntldrbot

AVG: вирус не обнаружил

Dr.Web: вирус нейтрализован

Backdoor.tdss.77

AVG: вирус обнаружил, но не вылечил

Dr.Web: вирус нейтрализован

Trojan.SpamBot.3381

AVG: вирус не обнаружил

Dr.Web: вирус нейтрализован

Trojan.MulDrop.5478

AVG: вирус не обнаружил

Dr.Web: вирус нейтрализован

Trojan.MulDrop.6323

AVG: не установился

Dr.Web: вирус нейтрализован

Trojan.SpamBot

AVG: сразу не установился, нейтрализовал вирус после перезагрузки

Dr.Web: вирус нейтрализован

Adware.Look2Me

AVG: вирус нейтрализован

Dr.Web: вирус нейтрализован

Backdoor.Haxdoor.360

AVG: вирус обнаружил, но не смог удалить по причине 100% загрузки системы

Dr.Web: вирус нейтрализован

Backdoor.Uragan

AVG: сложное лечение (потребовалось несколько перезагрузок)

Dr.Web: вирус нейтрализован

Trojan.Siggen.2250

AVG: не смог обновиться, вирус не найден

Dr.Web: вирус нейтрализован

Trojan.PWS.GoldSpy

AVG: установка затруднена, сильная нагрузка на систему. Сложное лечение. Вирус нейтрализован

Dr.Web: вирус нейтрализован

Trojan.PWS.Lich

AVG: обнаружил, не смог удалить из системного файла userinit.exe. Вирус остался в системе

Dr.Web: вирус нейтрализован

Trojan.Proxy.1824

AVG: до перезагрузки не смог установится, потом обновился, нашел и удалил инфицированный файл. Вирус остался в системе

Dr.Web: вирус нейтрализован

Win32.HLLM.Beagle

AVG: сложное лечение (потребовалось несколько перезагрузок)

Dr.Web: вирус нейтрализован

Win32.HLLM.Graz

AVG: вирус нейтрализован

Dr.Web: вирус нейтрализован

Win32.HLLM.Perf

AVG: после установки появилось сообщение системы “защита целостности файлов Windows”; антивирус не мог запуститься

Dr.Web: вирус нейтрализован

Win32.Parite.2

AVG: вирус нейтрализован

Dr.Web: вирус нейтрализован

Win32.Sector

AVG: сложное лечение
  1   2   3

Похожие:

Dr. Web Security Space 0 vs avg internet Security 5 iconDvd лучшая антивирусная защита Антивирус Касперского 2010 eset smart Security 4 №5 май 2010 Dr. Web Security Space Pro  с бесплатной ежемесячной лицензией! Уникальные подборки утилит 200+ страниц • Утилиты для работы с raw
Не знаю как у вас, а мой первый шаг в мир мобильных  общения пользователя и разработчика. Как быстро я могу на
Dr. Web Security Space 0 vs avg internet Security 5 iconSecurity Model в q framework Общее описание
В данной модели есть Security Objects, на которые могут быть назначены права доступа и Security Subjects (пользователи и группы пользователей,...
Dr. Web Security Space 0 vs avg internet Security 5 iconD r. Web Security Space
Пк от интернет-угроз: вирусов, руткитов, почтовых червей, хакерских утилит, спама, фишинговых сообщений, зараженных интернет-страниц...
Dr. Web Security Space 0 vs avg internet Security 5 iconРекомендуется для представления коробочного продукта
Уникальное предложение на одном usb-носителе – антивирус Dr. Web для Mac os X и Dr. Web Security Space Pro — комплексное решение...
Dr. Web Security Space 0 vs avg internet Security 5 iconKaspersky Internet Security 2012 Безопасная среда
Подозрительные объекты, обнаруженные при работе в безопасной среде, помещаются на 
Dr. Web Security Space 0 vs avg internet Security 5 iconKaspersky Security Bulletin  Основная статистика за 2008 г. 
Вредоносные программы в интернете (атаки через Web)  3 
Dr. Web Security Space 0 vs avg internet Security 5 iconKaspersky Internet Security 2012 Родительский контроль
По умолчанию компонент Родительский контроль отключен, но вы можете включить его 
Dr. Web Security Space 0 vs avg internet Security 5 iconKaspersky Internet Security 2012 Безопасный браузер
Безопасный браузер удобно использовать для доступа к сервисам интернет-банкинга и 
Dr. Web Security Space 0 vs avg internet Security 5 iconБезопасность в разработке веб приложений
В частности, организация Open Source Web Application Security Project (owasp) постоянно работает в области безопасности Web-приложений...
Dr. Web Security Space 0 vs avg internet Security 5 iconSmall Office Security 2 Мониторинг сети Kaspersky Small Office Security 2    Содержание    Содержание 
Содержание   1 
Разместите кнопку на своём сайте:
kak.znate.ru


База данных защищена авторским правом ©kak.znate.ru 2012
обратиться к администрации
KakZnate
Главная страница