Dopo TrojanSimulatro contro vari HIPS (o FireWall con Hips) eccoci a vedere come si comportano alcuni software AV o antimalware contro questo simulatore di attività trojan.
AVIRA
L'euristica di Avira è settata al massimo come da guida di Juninho
Il guard di avira avverte appena si tenta di aprire lo ZIP, non è ancora finito di scompattarsi che il guard ci stressa, bene !!
Oltre al Guard viene riconosciuto anche in scansione; una volta in quarantena si provvede all'eliminazione
Minaccia sconfitta.
PREVX 3.0.4.200 RC in inglese
Settaggio Prevx come da guida euristica avanzata alta, program age & program popularity su medio.
Il trojan viene riconosciuto non quando si scompatta il file ma quando lo si avvia, ciò è normale per come ragiona Prevx rispetto ad Avira, l'analisi viene fatta al click sull'eseguibile che comunque fino a nostra decisione resta bloccato. Clicco continua e i file sospetti sono elencati (figura2)
Anche decidessi di far finta di nulla ora al posto dell'euristica mi avvisa Prevx stesso, notate che l'icona è rossa nella tray, provvedo alla rimozione che essendo un malware semplice dira un secondo, terminata la rimozione Prevx esegue una scansione in automatico per accertarsi che il sistema sia pulito
MALWAREBYTES FREE
Veniamo alle dolenti note, MBAM sebbene aggiornato pochi secondi prima, non ha tra le sue firme il finto trojan quindi non lo riconosce. Avendo io a disposizione la sola versione free MBAM non ha il realtime ne il simil hips della versione a pagamento che forse sventerebbero la minaccia. Hanno però
qui indicato che la cosa è voluta, non lo vogliono individuare come malware essendo un test.
IOBIT360
Ho provato anche questa novità del mondo antimalware che millanta anche un controllo realtime nella versione free. Ho detto millanta perchè a più riprese facendo tentativi con diversi malware il realtime non ha mai dato segni di vita. Nel caso di questo trojan di test anche la scansione ondemand non ha dato esito. Bocciato.
Tutto attivato, aggiornato e settato al Max, notate in figura 2 cosa scrivono circa il RealTime, rileva solo le minacce più pericolose, lasciando allo Scan la rimozione di quelle a basso rischio
Ok allora proviamo a vedere lo Scan se trova Trojan Simulator? NO, non lo trova
Vediamo se i ben 2 realtime attivi di cui uno euristico trovano la minaccia allora? NO, non la trovano. il malware si è installato senza allarmi.
Ho segnalato a loro su Wilders il test, forse in futuro l'esito del test rifacendolo sarà differente.
Anche lì qualcuno chiede lumi sul prodotto perchè i dubbi iniziano ad affiorire, io ho messo la pulce nell'orecchio, nessuno ci ha chiarito le nostre perplessità