Malwaretestlab - MBR Rootkit Malware vs Security Software

[Chill-Out]

Elenco dei software testati:

1. Defensewall 2.55
2. GeSWall 2.8.3
3. Sandboxie 3.38
4. BufferZone Pro 3.20-24
5. COMODO DiskShield 1.0.51539.35 BETA
6. RollBack Rx Professional 9.0.2694141964
7. Shadow Defender 1.1.0.278
8. Returnil Virtual System Premium Edition 2.0.1.9002

Modalità di esecuzione del test:

1. Operating system is installed on the virtual machine
2. Operating system is updated (GMT+2 14.04.2009 23:39:43)
3. Security software is installed on the virtual machine
4. Malware file was worked while internet was open.
5. Each malware file was worked for three hours.
6. System was restarted.
7. System was scanned with Gmer, Radix, DrWeb CureIt
8. Result of list was formed according to result of scan.
9. Check list was done. (6-7-8 was run over)

Campioni testati:

1. http://www.virustotal.com/tr/analisi...e28-1244238761
2. http://www.virustotal.com/tr/analisi...035-1244484974
3. http://www.virustotal.com/tr/analisi...156-1244238769
4. http://www.virustotal.com/tr/analisi...ac2-1244238772
5. http://www.virustotal.com/tr/analisi...e78-1244238775

Link al test: http://malwaretestlab.com/more.aspx?entry=25

[riazzituoi]

.

[Chill-Out]

Hanno testato solo se il Malware può infettare o meno il MBR.

[eraser]

Quote:

Originariamente inviato da Chill-Out

Elenco dei software testati:

1. Defensewall 2.55
2. GeSWall 2.8.3
3. Sandboxie 3.38
4. BufferZone Pro 3.20-24
5. COMODO DiskShield 1.0.51539.35 BETA
6. RollBack Rx Professional 9.0.2694141964
7. Shadow Defender 1.1.0.278
8. Returnil Virtual System Premium Edition 2.0.1.9002

Modalità di esecuzione del test:

1. Operating system is installed on the virtual machine
2. Operating system is updated (GMT+2 14.04.2009 23:39:43)
3. Security software is installed on the virtual machine
4. Malware file was worked while internet was open.
5. Each malware file was worked for three hours.
6. System was restarted.
7. System was scanned with Gmer, Radix, DrWeb CureIt
8. Result of list was formed according to result of scan.
9. Check list was done. (6-7-8 was run over)

Campioni testati:

1. http://www.virustotal.com/tr/analisi...e28-1244238761
2. http://www.virustotal.com/tr/analisi...035-1244484974
3. http://www.virustotal.com/tr/analisi...156-1244238769
4. http://www.virustotal.com/tr/analisi...ac2-1244238772
5. http://www.virustotal.com/tr/analisi...e78-1244238775

Link al test: http://malwaretestlab.com/more.aspx?entry=25

Il problema è che purtroppo software quali Returnil, Rollback RX, Eaz-fix hanno delle gravi lacune a livello di design e possono essere bypassati - anche se ad ora non ho visto fortunatamente malware che sfruttino determinate lacune, anche perché non sono di facile utilizzo

[riazzituoi]

.

[nV 25]

Quote:

Originariamente inviato da riazzituoi

...
Quindi data la particolarità di questi software, se un rootkit o altro malware è in grado di alterare e modificare lo stato iniziale del sistema, allora è stato bypassato, anche se l'infezione non è in corso...

TOTALMENTE d'accordo..

L'indagine volta a verificare se un'infezione è attiva o meno, infatti, è solo una parte (pur importantissima..) di un processo più ampio che abbraccia, infatti, numerose altre cose tra cui, appunto, la verifica dell'integrità del sistema (IMO)...


Non a caso, infatti, notavi come l'ultima rel. di Returnil "reagisca diversamente" al medesimo rischio, segno che è necessario affrontare il problema in maniera più "ampia":

Quote:

Originariamente inviato da riazzituoi

Nel caso specifico di Returnil, ad esempio, la versione beta 2009 e la versione Lab, sono immuni all'mbr rotkit, in quanto oltre a proteggere l'mbr non vi è anche nessuna traccia dell'infezione dopo il riavvio.

Ciao a tutti

[GmG]

Test interessante.

Però le ultime varianti sono queste

Virustotal 2/41
Virustotal 1/41
Virustotal 1/41
Virustotal 0/41
Virustotal 1/41

[nV 25]

la faccina arrabbiata immagino si riferisca al n° di AV capaci di identificare le varianti che hai indicato, giusto?

Se la risposta è affermativa, "mi tange il giusto" visto che l'AV lo tengo li' a consumar cicli di CPU solo per abitudine...

[Chill-Out]

Quote:

Originariamente inviato da riazzituoi

Quindi data la particolarità di questi software, se un rootkit o altro malware è in grado di alterare e modificare lo stato iniziale del sistema, allora è stato bypassato, anche se l'infezione non è in corso.

Assolutamente concorde, comunque il test è work in progress... a giorni dovrebbero pubblicare ulterioti dati, per il momento hanno attribuito le 5 stelle ai software che hanno protetto il MBR, indipentemente dall'integrità del sistema.

[nV 25]

ok:
visto che in qualche maniera il test di maymoons ha messo in luce un limite di DefenseWall (=la sua incapacità di filtrare [controllare] meccanismi che spingono al reboot del Pc..), segnalo che con la v3 Ilya implementerà questo filtro al suo software...

Aggiungo, per dovere di cronaca, come questo limite in realtà sia più un disagio che non una vulnerabilità dato che l'eventuale malware che utilizzasse questa tecnica più di un reboot indesiderato (e la conseguente perdita di lavoro: lui (maymoons) ad es. porta il caso di uno che lavori su un documento di word..) non potrà produrre ma tant'è...

La v2.56, dunque, a meno di bug, sarà l'ultima release della linea 2...

La "critica" di maymoons:


Il reply di oggi di Ilya:


La futura 2.56 "ultima" della linea,

[riazzituoi]

.

[eraser]

Quote:

Originariamente inviato da nV 25

la faccina arrabbiata immagino si riferisca al n° di AV capaci di identificare le varianti che hai indicato, giusto?

Se la risposta è affermativa, "mi tange il giusto" visto che l'AV lo tengo li' a consumar cicli di CPU solo per abitudine...

Curiosità puramente personale: cosa ti ha spinto a scegliere DefenseWall invece di Sandboxie?

[nV 25]

Quote:

Originariamente inviato da eraser

Curiosità puramente personale: cosa ti ha spinto a scegliere DefenseWall invece di Sandboxie?

si narra che, per campare 100 anni, sia tracciata una certa via...



Parlando seriamente, mi piace in 1° luogo il tipo di rapporto che Ilya costruisce con gli utenti:
un rapporto di ascolto e di disponibilità TOTALE, e già questo da solo vale secondo me il prezzo della licenza...


E' un perfezionista e il suo software riflette pienamente il suo modo di essere, elemento che fà avvicinare il programma al mio modo di percepire il "fenomeno" sicurezza (proattiva)...

Svincola di fatto qualsiasi decisione dall'utente costruendo una sorta di "democrazia" informatica che non vede più lo scaltro in una posizione di vantaggio rispetto al n00b:
entrambe le tipologie di utenza, infatti, sono in grado di registrare di fatto lo stesso livello di sicurezza (ma questo, cmq, non spiegherebbe perchè avrei preferito DW su Sbie dato che, su questo punto, hanno una filosofia + o - analoga...)



Non credo cmq abbia senso star qui a spiegare ad un utente come te i motivi di questa scelta anche perchè, a livello tecnico, sei probabilmente la figura di maggior spessore nell'intero panorama italiano e, come tale, avresti la capacità e la competenza per smontare ogni singolo tassello del mio discorso...
Diciamo che volevo un HIPS che rispondesse allo stesso tempo a 2 tipi di bisogni, robustezza in 1° luogo e semplicità in 2°, e la mia scelta è ricaduta su questo...

Non credo che la mia risposta sia capace di soddisfare appieno la tua curiosità...
Spero tu non me ne voglia anche se resto disponibile ad un ulteriore confronto.


Ti abbraccio,

nV

[nV 25]

Mi era rimasto il tarlo della mancata risposta e ho deciso che era giusto fornirti almeno 2 motivi (di cui almeno 1 serio) che potessero spiegare la scelta dell'uno (DW) a favore dell'altro (Sbie).


Premesso che entrambi sono sul livello di eccellenza (e qui, immagino, potrai solo confermare anche se simpaticamente li assimili alla stregua di giocattoli ), il 1° motivo è legato alla effettività dei programmi "out of the box":
DW ha una larga lista di processi identificati automaticamente come threat gateways (di fatto, tutti quelli che accedono alla rete..), Sbie di contro richiede di intervenire manualmente nell' .ini tramite il suo pannello di controllo per consentire di ottenere il solito risultato (la protezione dei contenuti delle unità ottiche o delle periferiche removibili [USB], allo stesso modo, sono trattate da DW con una semplicità disarmante a 1/2 pressione di un banalissimo pulsante)...

Insomma, oltre che più intuitivo, appare decisamente più flessibile ed elastico della sua SUPERBA alternativa...


In 2° luogo (e qui' avrò avuto sculo io ...), ho visto fallire (percentualmente parlando...) + volte Sbie rispetto a DW (fonte, Wilders)...

De gustibus, cmq:
a me, fondamentalmente, interessa l'EFFETTIVITA' del programma e, anzi, ti inviterei a testarlo al fine di rinvenire eventuali vulnerabilità (che, come puoi immaginare, girerei pari pari allo sviluppatore...) :

i sample e le competenze, infatti, non dovrebbero mancarti.. (ma in caso contrario sentiti libero di farmi 1 fischio... )


Tuo, nV

[eraser]

Come al solito, mi stupisci sempre nelle tue risposte così ben dettagliate e precise

Grazie mille Sei stato molto esauriente. Personalmente ritengo, per quel poco che ho potuto vedere, tecnicamente più robusto Sandboxie che Defensewall, per l'approccio - distribuito su più livelli - utilizzato dal primo.

Tuttavia, come hai gia fatto notare tu, sono entrambi ottimi prodotti e uno vale l'altro

Non mi fido invece dei vari programmi quali Returnil,Rollback RX, DeepFreeze, Eaz-fix etc...etc...ma lì si va su un altro discorso

[riazzituoi]

.

[nV 25]

eraser (che saluto e ringrazio...) resta "stupito" dalle mie risposte, io invece ascolto sempre con piacere riazzi che è veramente una persona preparata e che offre spesso e volentieri interessanti spunti di riflessione...


Al di là delle sviolinate, mi piacerebbe se Marco potesse tira giù 2 rapide riflessioni per aiutarmi a capire meglio i motivi per cui, tecnicamente, Sbie sarebbe > di Dw...

Ciao, ragazzi