Как я пользовался ESET Smart Security. , Небольшой обзор

RSS
ESET Smart Security 4.2 давно у меня был объектом интереса. На реальной машине стояли KIS 2011, AIS 6, BDIS 2011 и сейчас стоит Symantec NIS 11. На реальной машине я не мог проверить их в битве :D с руткитами TDL4(Olmarik), ZeroAccess, Rustock.с(у меня попросту не было сэмплов да и операционку жалко). Но читая журнал "хакер" за 2007(или 2008, не помню)год я натолкнулся на статью Криса Касперски по реверсу руткита Rustock.c. И там была ссылка на сайт с сэмплами которые выкладывают там(сайт легальный и на главной странице есть предупреждение о том что большинство сэмплов живые),я не буду рассказывать о рустоке, а сразу к делу :)
На виртуалку(VirtualBox) я скачал сэмплы и Smart Security и заразил тестовую систему руткитами предварительно проверив на вирустотале на наличие детекта в не активном виде. После того как система была заражена я поставил Smart security и результат меня очень сильно удивил.
Вот результат(руткиты в активном виде):
TDL4 - не обнаружен, хотя в неактивном виде детект на него присутствует.
ZeroAccess - не дал себя просканировать отправив систему в синий экран и после перезагрузки выведя из строя нод.
Rustock.c обнаружен, но удалить его нод не в состоянии.
Итог:ни один из представленных двух руткитов(TDL4 and Rustock.C, ZeroAccess в счет не входит так как выводит из строя и блокирует практически все антивирусы и антивирусные утилиты) не были удалены обычным антивирусом
А теперь о ESET Smart Security не заглядывая во внутрености.
Очень хороший в плане скорости и детекта в неактивном состоянии мальвари.
На 30% быстрее Norton'a(хотя нортон с его очень высоким уровнем детекта считается одним из самых быстрых).
Базы обновляются меньше чем за 5 минут. Не перегруженный интерфейс и отсутствие проблем ЛК.  :)  :)
Моя оценка 8 из 10.

Ответы

Цитата
2011.10.04 03:07
2011.10.03 23:07 (UTC)
--------------------------------------------------------
SeDebug привилегии получены
SeRestore привилегии получены
SeBackup привилегии получены
SeShutdown привилегии получены
SeTakeOwnership привилегии получены
SeLoadDriver привилегии получены
SeManageVolume привилегии получены
SeSecurity привилегии получены
SeTcb привилегии получены
SeImpersonate привилегии получены
SeAssignPrimaryToken привилегии получены
SeCreateTokenPrivilege привилегии получены
SeIncreaseQuotaPrivilege привилегии получены
--------------------------------------------------------
Сигнатур в базе: 0
Загружено поисковых критериев: 0
--------------------------------------------------------
uVS v3.71: Windows Vista ™ Ultimate x64 (NT v6.0) build 6002 Service Pack 2 [C:\WINDOWS]
Свободно физической памяти 6232Mb из 8189Mb
Свободно на системном диске: 117,1GB
Boot: Normal
--------------------------------------------------------
Internet Explorer v9.0.8112.16421
--------------------------------------------------------
Текущий пользователь: VITALIKEAV-ПК\VITALIKEAV
uVS запущен под пользователем: NT AUTHORITY\SYSTEM
Имя компьютера: VITALIKEAV-ПК
--------------------------------------------------------
HOSTS:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
127.0.0.1 localhost
Всего: 1
--------------------------------------------------------
Persistent routes:
Всего: 0
--------------------------------------------------------
Загружено реестров пользователей: 2
Построение списка процессов и модулей...
Анализ автозапуска...
Построение списка системных модулей и драйверов...
VBR NTFS [C:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
MBR#0 [298,1GB]: Неизвестный загрузчик SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
Анализ файлов в списке...
Файл не найден: C:\WINDOWS\SYSWOW64\COMPMGMTLAUNCHER.EXE
Не удалось открыть файл: C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\\ASPNET_ISAPI.DLL
Не удалось открыть файл: C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\\ASPNET_ISAPI.DLL
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPATA.SYS
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPFVE.SYS
Анализ завершен.
Список готов.
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
(!) Обнаружены защищенные процессы (!)
Активирую ASA...
C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EGUI.EXE
Первый этап провалился
--------------------------------------------------------
Не удалось выгрузить C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EGUI.EXE [pid=4240]
:)
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
Цитата
EVE N пишет:
Не удалось выгрузить C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EGUI.EXE

Хорошо - значит работает самозащита.  :D
Вышли новые сборки 5.0.94.8 - в чём отличия, кто скажет?---http://www.comss.ru/page.php?id=113
P.S. Кстати, почитайте отзывы на той же странице: тамошние спецы пишут, что по своим тестам и данным Рампанта ESET-5.0 намного лучше той же Авиры! ;)
Изменено: Manul-46 - 09.11.2011 22:49:56
Gaudeamus!
Цитата
Manul-46 пишет:
Вышли новые сборки 5.0.94.8 - в чём отличия, кто скажет?---http://www.comss.ru/page.php?id=113

P.S. Кстати, почитайте отзывы на той же странице: тамошние спецы пишут, что по своим тестам и данным Рампанта ESET-5.0 намного лучше той же Авиры!  
Конечно же ESET лучше Авиры, я компы после Авиры чиню еще как  :D
Она понапропускает вирусов, а потом комп летит, точнее винда )). Авира не нужна  :D
Также говорят, что она выбилась в лидеры лишь из-за того, что тупо воровала детекты у других антивирей(ОГРОМНОЕ кол-во ложных срабатываний говорят об этом)
Теперь про NOD32 5.0.94.8 - 64-битный фаерволл также не хочет регистрировать атаки  :(
Изменено: Digital - 09.11.2011 23:49:35
Windows 7 x64 SP1, Google Chrome, ESET Smart Security 5.2
Цитата
Digital пишет:
Теперь про NOD32 5.0.94.8 - 64-битный фаерволл также не хочет регистрировать атаки
По данному вопросу информацию можно отслеживать здесь: http://forum.esetnod32.ru/forum3/topic2402/
ESET Technical Support
В общем я продолжил тест ESS, только уже не четвертой версии, а пятой. Набор тот же(TDL4, Rustock.C, ZeroAccess). Сэмплы TDL4 и Рустока были те же. Единственное отличие было в сэмпле зероассера. Скажу сразу тестить ESS 5 против ZeroAccess я не хотел, руткит особого интереса не представлял, просто лазя по ссылкам на malwareblacklist.com я скачал и запустил Downloader который уже скачал ZAccess(ZeroAccess).
Ну во общем результат такой:
TDL4- опять не обнаружен в активном виде(скорей всего дело в сэмпле, так что если кому-то из ESET он понадобится, то дроппер с радостью пришлю)
Так же меня удивила реакция HIPS на дроппер. HIPS никак не отреагировал на запись в MBR. HIPS отреагировал только на запуск процесса дроппера и потом уже запись в реестр от службы печати.
Rustock.C - обнаружен и удален.
ZAccess(как тест самозащиты)- после перезапуска системы не стартовал фаерволл с ошибкой:"Сбой инициализации фаервола".
Цитата
Avast 6 пишет:
HIPS отреагировал только на запуск процесса дроппера и потом уже запись в реестр от службы печати.
А в каком режиме работает HIPS?
ESET Technical Support
Цитата
Валентин пишет:

А в каком режиме работает HIPS?
Интерактивный.
Камрады, а как вы относитесь к этим тестам с Ю-Туба, от некоего Рустока?
Avast 6, дружище, у тебя вроде только файервол стартовал с ошибкой - а там показывают, что этот руткит аж оболочку от ядра программы отсоединил? Хотя тут же подчёркивают, что только один вендор из 42-х сразу дал детект на эту заразу...
http://www.youtube.com/watch?v=IGmlMoWKcFI
Изменено: Manul-46 - 24.11.2011 16:53:15
Gaudeamus!
Manul-46, может в сэмплах дело. Русток это админ фан-клуба Симантек и поэтому лично я сомневаюсь в объективности результатов.
Читают тему (гостей: 1)