Funzionamento di prevx2

[Marco P.]

Ciao a tutti!!! Allora io non capisco il funzionamento di prevx2 cioè come fa ad rilevare malware anche solo con la sandbox o con la tecnologia euristica....non riesco a capire come funziona.

Io ho l'exe di un virus che oltre ad modificare la pagina iniziale di internet explorer tenta di chiudere i processi dei software antimalware......allora, questo file è riconosciuto dalla prevx2 su virustotal attraverso euristica:

Heuristic: Suspicious File With Anti-Security Technology

MA quando clicco due volte sull'eseguibile nel pc mi compare la richiesta se eseguirlo o no da prevx2 senza bloccarlo direttamente(perchè??), e POI avviando il virus(dando ok a prev), è vero che prevx2 mi ha rilevato dei tentativi d'acccesso al registro ma ancora una volta non ha riconosciuto il malware attivo che perlopiù tentava di bloccarmi i processi dei software antimalware!!!

In definitiva, un sistema di controllo comportamentale come prevx2 dovrebbe(da quello che ho capito) tener traccia di tutto quello che accade nel computer e maggiormente tener sotto controllo i file non ancora riconosciuti dal database centralizzato come buoni. In questo caso, rilevando, il tentativo di violazione del registro più di una volta e sopratutto il tentativo di terminare i processi degli antimalware, perchè non ha agito BLOCCANDO il virus invece di lasciarlo libero??

Da quello che ho visto ora e in altre situazioni non mi sembra così tanto all'avanguardia e così efficente questo cips anzi!!!!!
Credevo che con tutte le novità implementate nella versione 2.0 fosse molto più potente(7signature, 300 comportamenti rilevabili, eccc.) tutto questo per che cosa?
Ahh un'altra cosa, non blocca l'eicar!!! ho capito che non è un vero è proprio virus ma nel database viene rilevato come nocivo ma quando lo avvio non l'ho blocca, come invece fa con un altro malware!! Aspetto chiarimenti al più presto!! Grazie per la vostra attenzione.

[xcdegasp]

l'eicar non è sicuramente un file eseguibile essendo un file ascii ossia di testo con determinate stringhe, per questo motivo può non venir rriconosciuto da un software comportamentale ma solo da chi scansiona riga per riga il file in cerca di comandi.
infatti in quest'ultima ipotesi anche un file contenente il comando "rm -rf *" dovrebbe venir individuato come grossissima minaccia da un qualsiasi antivirus

apprezzo però la tua richiesta e può essere una notevole risflessione non solo verso prevx e il suo mero funzionamento ma anche verso un vero antivirus

[MrOZ]

Ciao Marco P., passo la palla a Marco G.

...che è la persona + indicata a rispondere alle tue perplessità

[Marco P.]

Intanto xcdegasp ti ringrazio per la tua risposta però non capisco una cosa allora: perchè in una versione precedente mi veniva bloccato???

e comunque il problema più grosso è il non riconoscere il malware quando esegue azioni che potrebbero mettere in serio pericolo il computer......credo che un software di controllo comportamentale debba fare ciò e non lasciarli pieno accesso a qualunque funzione del sistema, se non cosa serve a fare????

mi sembra che venga tanto acclamato questo software ma a me non sembra che sia così ottimo. Questi dovrebbero essere le novità principali della versione 2.0:

Virtualizzazione del malware - Prevx è l'unico prodotto sul mercato in grado di controllare un file sospetto "virtualizzando" la memoria del tuo PC senza metterlo in pericolo. Quando viene eseguita questa virtualizzazione??? nel mio pc il malware si è attivato e come!!!!


Sette livelli di signatures per disattivare i codici maligni - Invece di dare una sola classificazione Prevx identifica la struttura le sequenze del codice ed i comportamenti del file in sette modi diversi per bloccare più velocemente i file sospetti. più di bloccare i processi dei prodotti antimalware e modificare il registro, che dovrebbe fare un virus per essere riconosciuto

Blocco rispetto al comportamento - Prevx 2.0 effettua il monitoraggio di ciascun file che può essere eseguito e lo confronta con più di 300 possibili comportamenti, per una costante protezione. anche qua stesso discorso

Aspetto chiarimenti!! Vi ringrazio per l'attenzione.

[eraser]

Salve,

su VirusTotal è implementata una tecnologia euristica con livello di sensibilità particolarmente alto, che ci permette di prendere nota più velocemente di file sospetti. L'euristica invece presente nel programma è leggermente più "permissiva", il compromesso migliore per l'efficacia senza troppi falsi positivi.

Prevx 2.0 è configurato di default in modalità ABC, cioè settato in maniera tale che non necessiti interventi dell'utente a meno di casi particolari. Se configurato in modalità Pro o Expert, allora avrebbe chiesto all'utente il permesso di modificare il registro ad esempio.

Il fatto che non sia stato individuato attraverso un'analisi comportamentale può significare che ha avuto un comportamento particolare, non individuabile immediatamente. Sto parlando in teoria, perché il sample non ce l'ho sotto mano - anzi sarebbe cosa gradita se riuscissi ad averne una copia.

Certo, se Prevx fosse stato settato su livelli superiori all'ABC, come già detto, il malware sarebbe stato riconosciuto. Il livello ABC è fatto però proprio per evitare troppe richieste strane fatte ad un utente che non ne vuole sapere niente. È studiato per cercare il miglior compromesso tra la facilità d'uso senza perdere l'efficacia di Prevx 2.0.

Ovvio, se il comportamento non è così limpido ma può lasciar dubbi - vedi che è stato individuato attraverso un livello di euristica quasi "paranoico" - non possiamo prenderci la libertà di individuare automaticamente tutti i programmi che hanno un comportamento simile come nocivi, proprio perché non è così esplicito che si tratti di un malware.

Come gia detto sto parlando in teoria, senza avere il malware sotto mano per poter lavorarci su e vedere.

Per quanto riguarda il funzionamento in generale di Prevx, invece, è in seguente:
le sette signature sono utilissime se già abbiamo sample nel nostro database. In quel caso le signature ci permettono di mettere in correlazione i malware già conosciuti e di produrre signature generiche. Tanto per citare il worm Storm, ultimo tra i tanti e che stiamo vedendo proprio in questi giorni, grazie ad una di queste sette signature siamo riusciti a bloccare e individuare preventivamente oltre 800 varianti polimorfiche del malware.

Se invece il malware è totalmente sconosciuto, prima che il file venga eseguito viene effettuata una scansione preventiva per mezzo di una tecnologia basata su sandbox che ci permette di individuare i principali comportamenti nocivi - per quanto si possa catturare da una analisi dinamica.

Se ancora non risulta niente di troppo evidente, inizia l'analisi comportamentale, che per l'appunto tiene sotto controllo oltre 300 tipi di comportamento. Sempre per citare il worm Storm, l'analisi comportamentale ci ha permesso di bloccarne l'esecuzione nel momento in cui stava iniziando l'epidemia.

Un sample non può né deve permettere di dare un giudizio affrettato sui software.

Saluti

[Marco P.]

Signor Giuliani la ringrazio per la sua esaustiva spiegazione sul prodotto.

Scusi se ho utilizzato un linguaggio forse non troppo consono e provocatorio....

Allora prevx2 è settato in modalità Pro(e con richiesta esecuzione programmi sconosciuti) infatti accesso l'registro è stato rilevato e da me bloccato, però mi sono trovato impossibilitato ad agire nel task manager perchè mi veniva chiuso e ogni tot secondi mi veniva aperto internet explorer e collegato ad una pagina....credevo che questo potesse essere sufficiente a prevx2 per bloccare la minaccia. Comunque è un virus(fornitomi da un utente) semplicistico nel senso non distruttivo ma dimostrativo infatti o risolto riavviando il computer senza nessun problema.

Non ha mai pensato lei e il suo team di implementare anche un sistema, "gestito dall'utente", per bloccare quel file e quel processo insomma quello che sta facendo quel probabile virus nel pc dopo aver erroneamente dato l'ok all'eseguibile sospetto??

Se o reagito così è anche perchè ho sempre trovato difficoltoso contattare l'assistenza in alcuni casi(tempo addietro) non ricevendo proprio alcuna risposta ad esempio per un'infezione che mi continuava a coparire, con lo stesso nome del file ma con codice nocivo diverso.

La ringrazio per la sua attenzione, buona serata!

[Acqui]

Quote:

Originariamente inviato da Marco P.

Signor Giugliani la ringrazio per la sua esaustiva spiegazione sul prodotto.

Scusi se ho utilizzato un linguaggio forse non troppo consono e provocatorio....

Allora prevx2 è settato in modalità Pro(e con richiesta esecuzione programmi sconosciuti) infatti accesso l'registro è stato rilevato e da me bloccato, però mi sono trovato impossibilitato ad agire nel task manager perchè mi veniva chiuso e ogni tot secondi mi veniva aperto internet explorer e collegato ad una pagina....credevo che questo potesse essere sufficiente a prevx2 per bloccare la minaccia. Comunque è un virus(fornitomi da un utente) semplicistico nel senso non distruttivo ma dimostrativo infatti o risolto riavviando il computer senza nessun problema.

Non ha mai pensato lei e il suo team di implementare anche un sistema, "gestito dall'utente", per bloccare quel file e quel processo insomma quello che sta facendo il virus nel pc dopo aver erroneamente dato l'ok all'eseguibile??

Se o reagito così è anche perchè ho sempre trovato difficoltoso contattare l'assistenza in alcuni casi(tempo addietro) non ricevendo proprio alcuna risposta ad esempio per un'infezione che mi continuava a coparire, con lo stesso nome del file ma con codice nocivo diverso.

La ringrazio per la sua attenzione, buona serata!

non sono sicura eh..
ma credo sia Giuliani

[Marco P.]

Grazie Acqui!

Comunque Marco(diamoci pure del tu) potresti spiegarmi i risultati di questi test? Perchè ci sono un pò rimasto. Grazie e ciao!

http://membres.lycos.fr/nicmtests/Un...king_tests.htm

[eraser]

Ciao,

Acqui ha ragione, mi chiamo come ha indicato lei

I risultati di quel test sono già stati ampliamente dicussi qui, dove puoi già trovare mie risposte:

http://www.wilderssecurity.com/showthread.php?t=180969

Ciao,

Marco