06.07.2015 16:04
ateraefectus 69 59626 Источник
image
Недавно ВКонтакте началось активное продвижение по всем фронтам нового антивируса.
Я всё же заинтересовался им, и решил посмотреть в действии эффективность этой программы (а именно одного из продуктов компании — «антивирусного сканера Cezurity») против нескольких вирусов.

Итак, что у нас есть:
  • Виртуальная машина с чистой Windows XP SP3 и парой установленных программ
  • Антивирусный сканер Cezurity


Теперь попробуем протестировать пару вирусов. Источником послужит сайт vxer.org (бывший vx.netlux.org)

Метод тестирования следующий:
Скачиваем, распаковываем zip, запускаем сканирование компьютера. Запускаем экзешник. И (если возможно)
снова сканирование компьютера. После виртуалка восстанавливается в начальное состояние.

Удобства ради результаты в виде таблицы:
Название Показатель выявления VirusTotal Выявление Cezurity
Virus.Win32.Sality 51/57 Нет
Trojan.Win32.Agent 44/55 Нет
Virus.Win32.Zevity 40/57 Нет
Worm.Win32.PornRun 44/50 Нет
Worm.Win32.Torun 44/51 Нет
Trojan.Win32.Bum 45/57 Нет

Собственно, это всё, что вам нужно знать про антивирус Cezurity. No comments.

Комментарии (69)


  1. tegArt
    06.07.2015 19:21
    #8488755
    +82

    *sarcasm* Просто на вашем компьютере не было подозрительной активности!


    1. foxin
      06.07.2015 19:26
      #8488767
      +14

      Нужно построить установить агент мейл ру…


    1. AndrewNikolaevich
      06.07.2015 22:01
      #8488911
      +7

      Вообще просиживание своей жизни в социальных сетях и есть «подозрительная активность», хотя стоп, нет, это «подозрительная ПАССИВНОСТЬ». Ваш кеп.


    1. NahashSVB
      07.07.2015 12:05
      #8489375
      +1

      В точку сказано! Обратите внимание на конец предложения от службы поддержки:


  1. zorgrhrd
    06.07.2015 19:25
    #8488763
    +39

    Требую повторить тест и перед запуском exeшника начать подозрительную активность, иначе ваш тест не имеет смысла.


    1. ateraefectus Автор
      06.07.2015 19:27
      #8488769
      +48

      Каюсь, каюсь.
      Прошу подозрительных активистов-профессионалов помочь мне с выбором подозрительной активности для теста.


      1. paran01k
        06.07.2015 20:56
        #8488853
        +33

        Выключить свет, занавесить окно…


        1. mukizu
          07.07.2015 17:54
          #8489839
          +1

          Предварительно переместиться на кухню.


  1. BuriK666
    06.07.2015 19:32
    #8488773
    +6

    а попробуйте в /etc/hosts %SystemRoot%\system32\drivers\etc\hosts добавить что-нибудь странное связанное с vk.com


    1. ateraefectus Автор
      06.07.2015 19:38
      #8488777
      +5

      8.8.8.8 vk.com

      Угроз не обнаружено!


    1. ateraefectus Автор
      06.07.2015 20:04
      #8488807
      +24

      Ан нет, прошу прощения. «Полное сканирование» определило всё-таки.


      1. Akvel
        08.07.2015 11:33
        #8490705

        Определило подозрительную активность?


        1. priv8v
          08.07.2015 12:52
          #8490863

          определило заражение hosts


  1. dom1n1k
    06.07.2015 19:39
    #8488779
    +28

    > это всё, что вам нужно знать
    Нет, ещё надо просниффить его трафик и понять, что он делает в действительности :)


    1. ateraefectus Автор
      06.07.2015 20:14
      #8488817
      +4

      Я не про в сниффинге, единственное, что удалось понять — программа в процессе скана обменивается данными с mustang.cezurity.com по https.


      1. StrangerInRed
        06.07.2015 21:46
        #8488901
        +3

        Сбор и обработка персональных данных, попробуйте ssl-strip на сессию и что выйдет в открытом тексте. 100% user-agent, OS, и прочие плюшки привязанные к контактному логинчику


        1. ateraefectus Автор
          07.07.2015 10:29
          #8489209

          К вечеру попробую. Интересно, что всё-таки они делают, и почему ставят ударение на необходимость наличия соединения с интернетом.


          1. vodopad
            07.07.2015 11:26
            #8489299

            Взял из FAQ:
            9. Требуется ли обновлять Антивирусный Сканер Cezurity?

            Антивирусный Сканер Cezurity не требует обновления сигнатурных баз. Это связано с тем, что сам по себе анализ данных происходит “в облаке”, сигнатурные базы на локальный компьютер не скачиваются.
            Однако, используемые в Антивирусном Сканере технологии постоянно совершенствуются и некоторые компоненты программы могут обновляться. Актуальность установленной у вас версии Антивирусного Сканера проверяется автоматически.


            1. ateraefectus Автор
              07.07.2015 11:29
              #8489311
              +3

              Я это к тому, что большой процент вирусов блокирует выход в интернет.


  1. shpaker
    06.07.2015 19:44
    #8488787
    +18

    Как тут не вспомнить Бабушкина антивирус) Эта история с этим софтом прямо таки мотивирует удалиться из ВК.


    1. denis_g
      06.07.2015 20:41
      #8488847
      +22

      Только история с антивирусом? ;)


    1. artF
      27.07.2015 21:43
      #8516431

      Друг так и сделал, после этого сообщения о подозрительной активности :)


  1. resetnow
    06.07.2015 19:49
    #8488793

    Что-то мне подсказывает, что на самом деле он собирает информацию о посещенных сайтах, может рекламу вставляет какую. Иначе зачем его делали вообще?


    1. Alexey2005
      06.07.2015 21:17
      #8488867
      +8

      Возможно, его основное предназначение — блокирование любых расширений браузера, взаимодействующих с vk.com. В прошлой теме люди жаловались, что он убивает качалки музыки/видео с vk, аддоны типа greasemonkey и блокирует инсталлированные скрипты *.user.js.


      1. ateraefectus Автор
        06.07.2015 21:39
        #8488889
        +1

        Похоже, что так и есть, но сайт пишет:

        Обнаруживает все типы вредоносных программ, включая вирусы, трояны, шпионское ПО.
        Лечение заражений.


      1. VenomBlood
        07.07.2015 05:57
        #8489065
        +9

        аддоны типа greasemonkey и блокирует инсталлированные скрипты *.user.js.
        И кто еще тут вредоносное ПО после этого?


  1. hiwent
    06.07.2015 20:00
    #8488801
    -4

    Спасибо вамза краткость и информативность статьи. Полезно и наглядно. Единственное, я бы добавил информацию о распространенности описанных вами угроз.


    1. ateraefectus Автор
      06.07.2015 20:18
      #8488825
      +5

      О распространенности, в принципе, говорит показатель VirusTotal. С такими высокими значениями очевидно, что любой уважающий себя антивирус должен их определить.


  1. ragequit
    06.07.2015 21:48
    #8488905
    +12

    Знаете, тут даже добавить нечего. Из категории тех постов, когда краткость — сестра таланта.

    (накиньте +1, дайте человеку инвайт в руки, заслужил :) )


  1. c4simba
    06.07.2015 23:37
    #8488983
    +1

    Думаю это метка что бы потом таргетировать рекламу на пользователей (по данным из соцсетей и историй посещений).


  1. cher11
    07.07.2015 00:01
    #8488997
    +4

    А как так получилось, что у вас в VirusTotal разное количество антивирусов при проверках (44/50, 51/57 и т.п.)?


    1. ateraefectus Автор
      07.07.2015 09:29
      #8489133
      +1

      Честно говоря, понятия не имею. Значения — копипаст с сайта. Как они выдали, так и я вам передаю :)


    1. GAS_85
      07.07.2015 11:05
      #8489263
      +1

      Проверки были произведены в разное время, соответственно не все антивирусы были на VirusTotal. Сам с таким сталкивался когда загружаешь файл, а он уже по хэшу лет Х известен и результат хх/50 (к примеру), нажимаешь проверить заново и данные актуализируются до хх/57+ т.е. современных.


      1. ateraefectus Автор
        07.07.2015 11:07
        #8489269

        Аа, вот оно что. Имеет смысл перепроверить?


        1. priv8v
          07.07.2015 11:11
          #8489279
          +3

          Смотря какая цель. Если у файла всего одна заливка три года назад и пять детектов, то есть смысл перепроверить — вдруг количество детектов выросло, а вот «Virus.Win32.Sality 51/57» перепроверять особого смысла нет — сдвинутся оба числа на одну-две в какую-то сторону, и что с того?


    1. Alexeyslav
      07.07.2015 11:42
      #8489329
      -7

      Думаю, это связано с размером файла передаваемого на проверку, у разных антивирусов свои ограничения на онлайн-проверку(по размеру файла, по ресурсам в данный момент времени), а VirusTotal лишь агрегатор.


      1. vladon
        07.07.2015 19:00
        #8489915

        VirusTotal не отправляет на онлайн-проверку, он проверяет предоставленными антивирусными движками самостоятельно.

        Бывает даже, что VT детектит данным движком, а последняя официальная версия — ещё нет.


  1. ascending
    07.07.2015 00:23
    #8489013
    +15

    Да всё ведь очень просто. ВК живет за счет рекламы, но какая-то часть аудитории заражена всяким говном, которое вместо контактовской рекламы показывает, например, свои баннеры. Денежки-то теряются, вот они и сделали свою вундервафлю (зачем-то через дружескую полулевую фирму, не знаю, зачем точно).

    Чистить компьютеры пользователей от всего тщательно накопленного годами зоопарка им неинтересно и на два порядка сложнее, от этого их денежки не теряются, поэтому чистит оно только от того, что напрямую гадит контактику, и очень странно ожидать другого поведения.


  1. AMDmi3
    07.07.2015 00:31
    #8489017
    +1

    А по какому критерию выбраны вирусы для тестирования?


  1. Taoorus
    07.07.2015 00:33
    #8489021
    +2

    Насколько я понял это не антивирус в широком смысле этого слова а просто утилита п очищающая всякие паразитные экстеншены и софтины, которые нацелены специально на вк.


    1. zapimir
      07.07.2015 00:57
      #8489035
      +1

      Интересно, adblock удаляет? :)


  1. Revertis
    07.07.2015 09:48
    #8489155
    +5

    Почему-то когда вижу слово Cezurity мне кажется, что это Security с ошибками написано…


    1. mammuthus
      07.07.2015 09:53
      #8489165
      +20

      Cenzurity


      1. Sdiwerick
        07.07.2015 12:38
        #8489411

        www.youtube.com/watch?v=t39uhC_TuQQ
        вероятнее всего вот это стало источником имени продукта


  1. priv8v
    07.07.2015 09:57
    #8489169
    +13

    Попробую слегка прояснить ситуацию:

    1. Данный продукт используется саппортом ВК для помощи юзерам у которых «не открывается контакт» — эта тулза смотрит хостс, прокси, тулбары, appinitdll и еще немного — ищет там как по сигнатурам (именам файлов, хешам), так и «эвристически» — «какие-то изменения» в хостс она найдет. В большинстве случаев это помогает и контактик у пользователя начинает работать (доволен юзер, спокоен саппорт, разрабы антивируса покупают своим детям мороженое и те счастливы).
    Но этот продукт для пользователей бесплатен и не является конторообразующим софтом, он для известности, входа на рынок, партнерских связей, портфолио, сбора статистики и любых других байт с компьютеров пользователей.

    2. Фактически вирусы можно подбирать любые — заразить все файлоинфектором, зашифровать пользовательские файлы, поставить парочку биткоин-майнеров и сверху накрыть это винлоком — результат будет такой же (0).

    3. На VT может показываться разное общее число антивирусов по следующим причинам (за раз их может быть несколько):
    + Файлы на VT не заливались, а был осуществлен их поиск с отображением последнего результата сканирования, соответственно если сканирование одного было год назад, а другого позавчера, то будем иметь разное количество антивирусов
    + Какой-то антивирус куда-то «выпал» — такое иногда случается — проверяешь файл сейчас и видишь одно количество антивирусов, проверяешь через десять минут — один из антивирусов куда-то «выпал»


    1. DrPass
      07.07.2015 11:19
      #8489289
      +13

      ОК, не вопрос, в этом нет ничего крамольного. Но тогда пусть они не называют это антивирусом. Пусть называют «программой, которая проверяет и восстанавливает доступ к vk.com», и никто бы и слова плохого не сказал, и в обмане пользователей не заподозрил.


      1. priv8v
        07.07.2015 11:22
        #8489295
        +3

        Вот это-то как раз всех и коробит, ведь если назвался груздем — полезай в кузов.


        1. Vilgelm
          07.07.2015 19:38
          #8489991
          +3

          Они дают ложную надежду пользователю: он установит такой «антивирус» и будет думать, что защищен. Так делать однозначно нельзя.


  1. ateraefectus Автор
    07.07.2015 10:12
    #8489187
    +34

    ВКонтакте я отвечать разработчикам не собираюсь, может, увидят здесь :)

    Александр, пост о тесте начинается словами «Недавно ВКонтакте началось активное продвижение по всем фронтам нового антивируса». Мы уже постарались объяснить, что говорить о «продвижении по всем фронтам» неуместно. Появившееся в ВК сообщение — результат тех. сбоя на стороне ВК.

    Хороший уход от ответа. В любом случае, сбой это, или нет, плашку увидели миллионы пользователей ВК, и этого достаточно.
    Александр, вторая вещь, на которую я хотел бы обратить внимание в связи с этим тестом — это робот. В постинге на Хабре почему-то появился робот, который использовался очень сомнительным антивирусом MacKeeper/PCKeeper (он теперь как-то иначе называется).

    Ещё один уход! Больно уж он похож на ваш логотип, захотелось вставить в пост.
    Александр, третья вещь по поводу теста. Мы готовы к тестам. Но для того, чтобы их комментировать, нам необходимо знакомство с методикой.В статье на Хабре сказано: Сканер не обнаружил данные вирусы.Мы проверим этот факт. Пока я лишь могу сказать, что, скорее всего, это невозможно.

    О методике здесь всё написано :)
    Так и хочется ответить словами певца уровня антивируса Цезурити — «Я знаю точно невозможное возможно!»
    Александр, к сожалению, это не тест, а очередная попытка, не имея технической экспертизы и понимания, сделать какие-то выводы.

    Достаточно посмотреть методологию «тестирования», я ее процитирую: «Метод тестирования следующий: Скачиваем, распаковываем zip, запускаем сканирование компьютера. Запускаем экзешник. И (если возможно) снова сканирование компьютера. После виртуалка восстанавливается в начальное состояние.»

    Т.е. сканирование производилось _до_ активного заражения системы. После активного заражения — сканирование не производилось. Более того, по ряду признаков я уверен, что на этой ситеме был заблокирован (отключен) доступ в интернет. Т.е. человек, который проводил это «тестирование» даже не удосужился прочитать документацию к нашему продукту, статьи о его принципах работы и т.д. (Которые есть в нашей группе, в заголовке).

    Человеку в депутаты надо! Четко и ясно написано, что после заражение сканирование производилось, и даже понескольку раз. Доступ в интернет, естественно, был, и принципы работы я тоже прочитал)
    Александр, скорее всего, при проведении теста допущены какие-то технические ошибки. Например, угрозы не были в активном состоянии. Или, если учесть первые две вещи («продвижение по все фронтам» и не-наш робот), тест просто не был объективным и преследовал цель высказать заведомую критику.

    Да-да, конечно.
    И вообще я всё это выдумал и виртуалки никакой не было.
    ALL PRAISE CEZURITY


    1. lifestar
      07.07.2015 10:24
      #8489197
      +21

      Это что, разработчики Cezurity? Детский сад


      1. ateraefectus Автор
        07.07.2015 10:26
        #8489199
        +3

        Я о чём и говорю.
        Можете зайти в оф. группу, почитать, что они пишут.
        Настроение на целый день!


    1. nskforward
      07.07.2015 11:15
      #8489285
      +5

      После вот этого комментария вообще словосочетание «разработчик VK» попахивает говницом


      1. vladon
        07.07.2015 19:06
        #8489931
        +1

        Ефименко не разработчик ВК, а просто кто-то непонятно кто.

        Вот ответ настоящего разработчика ВК:

        image

        линк: vk.com/wall1708231_16390?reply=16403


    1. Ptica79
      07.07.2015 17:43
      #8489829
      +3

      Т.е. сканирование производилось _до_ активного заражения системы.

      Блин, да нормальный антивирус скушает каку ещё на стадии
      Скачиваем


  1. Security_Lab
    07.07.2015 10:43
    #8489229
    +36

    Все посты на тему вирусов и антивирусов читаются как-то иначе… легче… добрее… сидя в линуксе )


  1. KIBIs
    07.07.2015 11:05
    #8489261
    +4

    Я удивлен как в самом Cezurity VT ничего не показал).


    1. GAS_85
      07.07.2015 11:09
      #8489275
      +1

      Загрузите его туда, а мы проголосуем… Ну и ссылочку пожалуйста.


      1. KIBIs
        07.07.2015 11:20
        #8489291

        Я загружал, оказалось до меня за час загружали).

        Данный файл уже был проверен в VirusTotal 2015-07-06 23:49:01 UTC (8 часов, 30 минут ago) а самый первый анализ был проведён 2014-05-31 22:41:19 UTC.

        А вот и ссылка


        1. GAS_85
          07.07.2015 11:29
          #8489313
          +5

          Я даже больше скажу, он уже там год лежит и первые "лайки" от армии анонимусов выглядят как накрутка.


      1. reff
        07.07.2015 11:49
        #8489343

        Поддержу.


  1. vodopad
    07.07.2015 11:25
    #8489297
    -2

    Взял из FAQ:
    5. У меня на компьютере в папке лежит вредоносная программа. Почему Антивирусный Сканер ее не обнаруживает?

    Антивирусный Сканер предназначен для поиска и обезвреживания вредоносных программ, которые уже заразили систему. Такие программы могут, например, перехватывать нажатия клавиш, копировать и отправлять данные, рассылать спам или просто ожидать специального сигнала от своего “командного центра”.
    При этом важно помнить, что Антивирусный Сканер проверяет не все, а лишь подвергающиеся заражению области. Например, Антивирусный Сканер не обнаружит вредоносную программу, которая не запущена, на нее нет ссылок из автозапуска, и она при этом не находится в критическом месте системы (например, в системном каталоге).
    Это означает, что если на жестком диске в пользовательской директории вы сами просто сохранили (не запуская) вредоносную программу, Антивирусный Сканер ее не обнаружит. Такая программа не может причинить какого-либо вреда, пока вы не запустите ее самостоятельно.


    1. ateraefectus Автор
      07.07.2015 11:27
      #8489303
      +2

      Странноватое поведение для антивируса, это раз, а два, я запускал сканирование и до, и после открытия собственно вируса.


  1. Alexeyslav
    07.07.2015 11:40
    #8489323
    +1

    Это еще что… мне как-то Avast снёс пол системы(не смог удалить активные файлы) в процессе «чистки браузера». Видать какой-то добренький троянчик добавил «мусор» в виде ссылки на системную папку С:\Windows\ или какая другая ошибка… и Avast стал методично оттуда все вычищать. На системном уровне, с системными правами… Я еще удивился чего это он мусор так долго чистит. А через минуту-другую после чистки начали сыпаться ошибки…
    Резервная копия системы это просто чудо, всего неделю изменений потерял.


  1. doozza
    07.07.2015 13:22
    #8489463
    +2

    Очевидно, что этот продукт позиционируется как домохозяйский антивирус («проверяет не все, а лишь подвергающиеся заражению области» и т.п.). Посмеялись, и здорово. А если серьёзно, за этим шагом стоит какая-то целенаправленная сила, и я сомневаюсь, что дело в рекламе (деньги и так есть) или фишинге (слишком грязное воровство для такой известной организации). Может ли Cezurity стать «официальной» программой слежения за пользовательским контентом в свете последних инициатив защиты авторских прав и прочей вредной для детей информации? Я не эксперт, но есть ли возможность просмотреть содержимое упомянутого https-трафика?

    Я помню, как Adobe Reader хотел сканировать все PDF-файлы на моём компьютере на предмет нарушенной DRM-защиты и отправлять результаты в далёкое облако. Не прижился.


  1. Libert
    07.07.2015 13:54
    #8489511
    +1

    ateraefectus Возьмите c malwr бинарники с детектируемые 30+ антивирусами, запустите их в виртуалке с рабочим Cezurity, для «чистоты эксперимента» так сказать. Не думаю, что ситуация будет сильно отличаться от описанной в статье.


    1. Libert
      07.07.2015 14:18
      #8489549

      Извиняюсь, не совсем внимательно прочёл про запуск экзешника, но в любом случае с malwr можно поднатаскать много исполняемых файлов по различным критериям, например только те, у которых есть сетевая активность, на наличие которой, как особо важного критерия, так упирают разработчики Cezurity


  1. namikiri
    25.07.2015 14:15
    #8514915

    А вы пробовали скормить ему EICAR Test File?
    Это вообще антивирус?


    1. DrPass
      25.07.2015 17:17
      #8515015

      Да пробовали уже. Не ест оно EICAR.


      1. priv8v
        27.07.2015 11:22
        #8515891

        Детект еикара — жест доброй воли антивирусов (их негласное соглашение), даже на VT не все детектируют этот файл.