Virus Testing Machine

[@Sirio@]

Ciao sampei,
scusami, ma in che senso: "Vince quindi la sfida triangolare Avira !!"

Poi un'altra domanda: ma il sample che mi hai inviato è lo stesso?
No, perché quello che ho, ha un nome diverso: 1.40016.exe

P.S. Scusa di nuovo, ma ho visto adesso l'ultima immagine

[sampei.nihira]

Quote:

Originariamente inviato da @Sirio@

Ciao sampei,
scusami, ma in che senso: "Vince quindi la sfida triangolare Avira !!"

Poi un'altra domanda: ma il sample che mi hai inviato è lo stesso?
No, perché quello che ho, ha un nome diverso: 1.40016.exe

P.S. Scusa di nuovo, ma ho visto adesso l'ultima immagine

Il test voleva analizzare le performance di HP 3.5.
Un sw quasi sconosciuto e poco usato qui da noi.
Per far ciò occorreva "paragonarlo" a prodotti noti.
Io ho scelto Prevx e Avira.
La "sfida" era implicita e l'ho scritta nel topic di apertura:

Quote:

....mi piacerebbe vedere qual'è il sw che rileverà prima degli altri la minaccia.....

Come vedi dall'ultima immagine Avira ha riconosciuto il malware prima degli altri 2 prodotti.

p.s. Se sei curioso di come si sono posizionati gli altri "contendenti" sul podio ho messo (ieri sera) 2 screen nel 3D di Prevx.

[Romagnolo1973]

@ Sampei
Per quanto riguarda Ikarus vs Hitman io ho una mia convinzione ovvero che HP si interfaccia con MalAware e che questi dispone solo delle firme di EMSI A2 e non di Ikarus poichè pochi giorni fa avevo un programma potable che Ikarus dava FP (e a2 no, incredible !!!) e che MalAware non indicava;
ora tu col fatto che ikarus vede il virus ma HP no mi fornisci un secondo indizio, come si dice due indizi non sono una prova ma ci vanno vicino
MalAware è un quick scan veloce che usa un DB online ed è quindi l'unico prodotto EMSI che possa essere preso in considerazione da HP e per rendere questo DB fruibile via web credo proprio che usino solo le loro firme magari perchè quelli di Ikarus non gli hanno dato il permesso o perchè è un db bello corposo 80 mega ormai quando aggiorno il mio a2 usb e a quel punto la scansione ne risentirebbe in velocità

[@Sirio@]

Quote:

Originariamente inviato da sampei.nihira

Il test voleva analizzare le performance di HP 3.5.
Un sw quasi sconosciuto e poco usato qui da noi.
Per far ciò occorreva "paragonarlo" a prodotti noti.
Io ho scelto Prevx e Avira.
La "sfida" era implicita e l'ho scritta nel topic di apertura:



Come vedi dall'ultima immagine Avira ha riconosciuto il malware prima degli altri 2 prodotti.

p.s. Se sei curioso di come si sono posizionati gli altri "contendenti" sul podio ho messo (ieri sera) 2 screen nel 3D di Prevx.

Grazie ora è tutto chiaro.

[sampei.nihira]

Quote:

Originariamente inviato da Romagnolo1973

@ Sampei
Per quanto riguarda Ikarus vs Hitman io ho una mia convinzione ovvero che HP si interfaccia con MalAware e che questi dispone solo delle firme di EMSI A2 e non di Ikarus poichè pochi giorni fa avevo un programma potable che Ikarus dava FP (e a2 no, incredible !!!) e che MalAware non indicava;
ora tu col fatto che ikarus vede il virus ma HP no mi fornisci un secondo indizio, come si dice due indizi non sono una prova ma ci vanno vicino
MalAware è un quick scan veloce che usa un DB online ed è quindi l'unico prodotto EMSI che possa essere preso in considerazione da HP e per rendere questo DB fruibile via web credo proprio che usino solo le loro firme magari perchè quelli di Ikarus non gli hanno dato il permesso o perchè è un db bello corposo 80 mega ormai quando aggiorno il mio a2 usb e a quel punto la scansione ne risentirebbe in velocità

Però il team di HP come si vede nell' "immaginina" che ho inserito in alto spcifica proprio "A-Squared",quindi un utente si immagina,presumo, che sia A2+Ikarus.

Avrebbero potuto scrivere "MalAware".

Magari hai ragione tu ed è dovuto a motivi di visibilità cioè scrivere "A-Squared" conosciuto da molti è certamente meglio di scrivere "MalAware".

[sampei.nihira]

Interessante il file oggetto dello scan Virustotal con estensione pdf:



Al momento riconosciuto da solo 8 antivirus come exploit pericoloso.
Dico al momento ma anche ieri la situazione era la stessa,sapete le feste natalizie....

Interessante anche il fatto che il riconoscimento di G-Data manchi in Hitman Pro 3.5 build 84.
Ovviamente per mancato aggiornamento firme.
E ciò mette ancora una volta in evidenza l'importanza degli scan on line.

Avira LABS mi ha comunicato adesso che il file è un malware.
E naturalmente non poteva essere altrimenti.

[sampei.nihira]

Interessante performance di Hitman Pro 3.5 build 84 ad un malware zero-day praticamente sconosciuto ai maggiori antimalware,ecco lo scan al virus total:



Noterete dall'immagine successiva che il malware invisibile allo scan singolo prodotto da Avira è perfettamente riconosciuto da Hitman Pro.



Quindi a parte A-squared in questo momento solo Hitman Pro rileva il malware !!

Ed ancora il malware oggetto dello scan sotto riconosciuto da più antimalware ma sempre invisibile ad Avira:



Ci viene riconosciuto come malware grazie al multiscan di Hitman Pro di Nod32 e Prevx:



p.s. Il primo malware non l'ho evidenziato nell'immagine ma è riconosciuto malware ovviamente da A-Squared.


***********************************************************************************

Ho voluto vedere se qualche altro antispyware rileva i 2 malwares di cui sopra, queste le conclusioni:

a) Spywareterminator = Nessuna minaccia rilevata.
b) SuperantiSpyware= Nessuna minaccia rilevata.
c) Malwaresbytes' Anti-Malwares= Entrambe le minacce riconosciute.

d) Interessante incongruenza di MalAware di cui metto uno screen:



Noterete che i files sono presenti nel desktop ma invisibili allo scan.

[arnyreny]

Quote:

Originariamente inviato da sampei.nihira

Interessante performance di Hitman Pro 3.5 build 84 ad un malware zero-day praticamente sconosciuto ai maggiori antimalware,ecco lo scan al virus total:



Noterete dall'immagine successiva che il malware invisibile allo scan singolo prodotto da Avira è perfettamente riconosciuto da Hitman Pro.



Quindi a parte A-squared in questo momento solo Hitman Pro rileva il malware !!

Ed ancora il malware oggetto dello scan sotto riconosciuto da più antimalware ma sempre invisibile ad Avira:



Ci viene riconosciuto come malware grazie al multiscan di Hitman Pro di Nod32 e Prevx:



p.s. Il primo malware non l'ho evidenziato nell'imagine ma è riconosciuto malware ovviamente da A-Squared.

caio Sampei
2 considerazioni
asquared si conferma ancora un mostro contro queste minacce tendenti piu' ad spyware che virus....antivir delude insieme a prevx

nb ho visto dopo l'altro post
bravi pure prevx

[sampei.nihira]

Quote:

Originariamente inviato da arnyreny

caio Sampei
2 considerazioni
asquared si conferma ancora un mostro contro queste minacce tendenti piu' ad spyware che virus....antivir delude insieme a prevx

Avira come Prevx sono ottimi prodotti.

E quindi io sono meno pessimista di te e non i sento certamente di metterli in croce.

Semmai quanto evidenziato mette in evidenza che gli utenti DEVONO affiancare "un qualcosa in più" a questi prodotti.

[arnyreny]

Quote:

Originariamente inviato da sampei.nihira

Avira come Prevx sono ottimi prodotti.

E quindi io sono meno pessimista di te e non i sento certamente di metterli in croce.

Semmai quanto evidenziato mette in evidenza che gli utenti DEVONO affiancare "un qualcosa in più" a questi prodotti.

si non lo metto in dubbio...
ma come antispy lasciano un po' a desiderare...anche hitman tempo fa era basato su tutti moduli antispyware...
credo che gli spyware a volte sono piu' pericolosi dei virus infatti in alcuni casi aggiscono senza rallentare la macchina e senza che l'utente se ne rendi conto che e' infetto...
ma il commerciale ha cambiato direzione ...infatti antispyware puri non ce ne sono quasi piu'

[sampei.nihira]

Qualche test ulteriore con alcuni antispyware.

*************** Editato il resto ***************

[wjmat]

stavo preparando una "macchina virtuale" per fare qualche test...
da quanto ho letto nel primo post virtual box potrebbe non bastare
ad oggi returnil+VBox sono sufficienti?

cartelle condivise non ce ne devono essere?
ho virtualizzato xp, che software potrei tenere installati per eventuali test?

per eventuali restore della macchina va bene un clone del file VDI o bastano le snapshot di vbox che non ho mai usato...?

grazie

ciao

[cloutz]

Quote:

Originariamente inviato da wjmat

stavo preparando una "macchina virtuale" per fare qualche test...
da quanto ho letto nel primo post virtual box potrebbe non bastare
ad oggi returnil+VBox sono sufficienti?

In generale si, Returnil+VirtualBox sono sufficienti. Preferisco usare in più un buon hips e firewall in realtime sul sistema reale..

Quote:

Originariamente inviato da wjmat

cartelle condivise non ce ne devono essere?

Dipende da te, io per ulteriore sicurezza tendo a non crearne.. ma sinceramente non so se questo possa costituire reale pericolo o se VirtualBox implementi qualche protezione. In teoria basterebbe dare permessi read-only alla cartella condivisa, ma non lo so avendo usato sempre VirtualPC sono un novizio di VirtualBox

Quote:

Originariamente inviato da wjmat

ho virtualizzato xp, che software potrei tenere installati per eventuali test?

Dipende da quello che vuoi osservare.
In generale tengo sempre un buon hips e un firewall installati anche sul sistema virtualizzato..
Per un'analisi più approfondita potresti usare FileMon, RegMon, TCPView, ma poi devi andare a leggerti pagine e pagine di log.
Una comoda alternativa per monitorare è SysInspector, che secondo me è un buon tool..

Con firewall e hips + SysInspector puoi ottenere dei buoni risultati.. FileMon, RegMon e TCPView son più da puristi

Quote:

Originariamente inviato da wjmat

per eventuali restore della macchina va bene un clone del file VDI o bastano le snapshot di vbox che non ho mai usato...?

Van bene le snap, purchè siano pulite (altrimenti rischi di creare incompatibilità con il programma di sicurezza, ottenendo così analisi fasulle del malware)..

Saluti

[wjmat]

Quote:

In generale si, Returnil+VirtualBox sono sufficienti. Preferisco usare in più un buon hips e firewall in realtime sul sistema reale..

per firewall + hips va bene Comodo con hips attivato?

Quote:

Dipende da quello che vuoi osservare.
In generale tengo sempre un buon hips e un firewall installati anche sul sistema virtualizzato..
Per un'analisi più approfondita potresti usare FileMon, RegMon, TCPView, ma poi devi andare a leggerti pagine e pagine di log.
Una comoda alternativa per monitorare è SysInspector, che secondo me è un buon tool..
Con firewall e hips + SysInspector puoi ottenere dei buoni risultati.. FileMon, RegMon e TCPView son più da puristi

con SysInspector intendi creare un log prima e dopo e compararli?

tpcview dovreiu già averlo e ci sono decine di programmi simili

Regmon senza filtri adeguati è un delirio
Regfromapp dici che può essere più sintetico o può darsi che non veda modifiche create poi da altri file lanciati a catena?

FileMon è stato rimpiazzato con Process Monitor a quanto pare

si potrebbe anche usare programmi come questo per le comparazioni no?
http://www.winpenpack.com/main/download.php?view.750

Quote:

Van bene le snap, purchè siano pulite (altrimenti rischi di creare incompatibilità con il programma di sicurezza, ottenendo così analisi fasulle del malware)..

Devo provare a testarle un pò

Quote:

Saluti

Ciao e grazie

[cloutz]

Quote:

Originariamente inviato da wjmat

per firewall + hips va bene Comodo con hips attivato?

ottimo..

Quote:

Originariamente inviato da wjmat

con SysInspector intendi creare un log prima e dopo e compararli?

esatto

Quote:

Originariamente inviato da wjmat

Regmon senza filtri adeguati è un delirio
Regfromapp dici che può essere più sintetico o può darsi che non veda modifiche create poi da altri file lanciati a catena?

non ne ho idea, non conosco tutti i software dovresti provarlo, io se proprio devo fare qualcosa uso SysInspector e un hips, zero sbatta insomma

Quote:

Originariamente inviato da wjmat

si potrebbe anche usare programmi come questo per le comparazioni no?
http://www.winpenpack.com/main/download.php?view.750

sisi, puoi usare quello che vuoi a seconda di quello che vuoi osservare..
io ultimamente preferisco testare come i software rispondono ai malware, non tanto i malware di per sè..
Comuque mi sembra un buon tool, anche se non l'ho mai provato..

[wjmat]

grazie per il momento