Co jakiś czas otrzymane na maila nie_zdrowe przesyłki przesyłam do serwisu VirusTotal, który analizuje w wielu systemach antywirusowych otrzymany prezent. Idea jest taka, że uruchamiam rano komputer, sprawdzam pocztę i odczytuję wiadomość o nowym zgłoszonym CV, które to po odzipowaniu Resume_document_219.zip staje się a952a30105d747c4337beded87482df4 Resume_document_219.exe. Jeśli się nabiorę i kliknę to jaka jest szansa, że antywirus mnie ochroni? Z badań wynika, że skuteczność na nowe zagrożenia jest zazwyczaj niska ale od badań do rzeczywistości czasami długa droga. Przyjrzyjmy się więc ostatniemu testowi. Warto zaznaczyć, że od otrzymania maila do sprawdzenia zawartości mija zazwyczaj kilka/kilkanaście godzin.
Wynik: 21/41 (51.22%)
Wyniki jak zawsze są zatrważające i potwierdzają smutny fakt. Antywirusa należy posiadać ale pamiętajmy, że nie uchroni nas on od wszelkiego zła. Odnośnik do wyników virustotal.com znajduje się TU.
8 komentarzy do
15 maja, 2010 o godzinie 14:17
Antywirusa można posiadać, a nie należy posiadać.
Należy posiadać dobrze skonfigurowanego firewalla i mózg.
15 maja, 2010 o godzinie 17:06
annttt jakiego Firewall’a polecasz?
Freeware / Płatny
16 maja, 2010 o godzinie 03:25
Pozwolę sobie jednak na zdanie, że należy…
Firewall zupełnie nie ochroni Cię przed atakiem przykładowo na błąd w przeglądarce internetowej /ruch WWW mogę się założyć masz zaakceptowany/, dzięki któremu po uruchomieniu w systemie ofiary trojana, ten automatycznie wyłączy system firewall. A zwykłego użytkownika o wiele lepiej chroni antywirus niż firewall, który chroni wyłącznie przed połączeniami, a skoro podczas ataku nie wykonywane są żadne połączenia ponad te zwyczajowo zaakceptowane / WWW, DNS/. A oczywiście, że jeśli posiadamy dobrze skonfigurowany program antywirusowy i system firewall i sondę HIPSową i dodatkowe zabezpieczenia to jeszcze lepiej. Wszystko tak na prawdę zależy od konkretnego przypadku jednak statystycznie uważam, że antywirus chroni przed większą liczbą problemów niż firewall.
Ale to oczywiście tylko i wyłącznie moje skromne zdanie :]
Pozdrawiam
16 maja, 2010 o godzinie 09:53
Używam Sunbelt Personal Firewall.
Nawet jak przeglądarka pobierze plik z trojanem (obojętnie czy to będzie przez javascript, swf, pdf) to i tak firewall spyta się czy to uruchomić.
Mnie firewall chroni przed uruchamianiem dowolnych programów.
Antywirus ochroniłby, gdyby była aktualna baza sygnatur.
Co z nowymi wirusami? Przechodzą.
Firewall na razie wykrywa u mnie wszystkie próby uruchomienia.
16 maja, 2010 o godzinie 16:17
To niestety mylisz pojęcia. Sprawdź definicję słowa Firewall. Korzystasz z produktu, który w nazwie wykorzystuje słowo firewall dlatego, że jedną z wielu funkcjonalności tego produktu jest ochrona komunikacji ALE posiada on też wiele dodatkowych funkcji – jak choćby ta, o której piszesz – i nie jest to zupełnie funkcjonalność aplikacji firewall.
Warto zajrzeć na stronę produktu:
http://www.sunbeltsoftware.com/home-home-office/sunbelt-personal-firewall/
Application launch control, Network Intrusion Prevention System, Host-based Intrusion Prevention System, Application communication control – to nie są funkcje aplikacji firewall.
Nie mylmy pojęć bo wprowadzimy użytkowników w błąd, a nie o to chodzi :]
Pominę fakt, że jeśli znajomy prześle Ci plik .exe i wiesz, że ten plik masz od Niego otrzymać i że chcesz go uruchomić bo taką masz potrzebę – to jeśli zupełnie nieświadomie on wyśle Ci w tym pliku dodatkowo wirusa /bo ma zainfekowany system/ i Ty w swoim firewallu zaakceptujesz ten plik – to możesz zostać zarażony. A antywirus – oczywiście przy założeniu, że będzie posiadał w sygnaturach informacje na ten temat tudzież wykryje go inny mechanizm heurystyczny – zablokuje go.
Swoją drogą opisywany przez Ciebie produkt także posiada silnik z sygnaturami /moduł IPS i na pewno jeszcze jakiś/ więc de facto masz tutaj podobną sytuację do silników antywirusowych.
17 maja, 2010 o godzinie 17:19
Jak zwał tak zwał.
Jeżeli uruchomię plik od znajomego i tam będzie wirus to przeważnie on uruchamia kolejne i już wtedy widzę, że jest coś nie tak.
W Sunbelt Personall Firewall sam decyduję czy to ma się uruchamiać czy nie.
Antywirusy przepuszczały blastera i sassera, bo nie był znany.
Jeżeli mam być zdany tylko na heurystykę i znane sygnatury to wolę Sunbelta z „Application launch control” itp.
18 maja, 2010 o godzinie 01:18
Jeśli już mamy nie mylić pojęć:
> jedną z wielu funkcjonalności tego produktu jest ochrona komunikacji
jedną z wielu _funkcji_ produktu, nie funkcjonalności. :^)
18 maja, 2010 o godzinie 19:31
Ślubek: Jasne! Śmiesznie wyszła ta funkcjonalność, nawet z moim słowotwórstwem. Widać, że komentarz pisany z użyciem emocji :]
anttt: Ok. To Twój wybór. Równie dobrze, w nowych systemach Windows podobna funkcja także istnieje więc nie będzie Ci potrzebny Sunbelt ;]]
Dochodzimy do wspólnych wniosków, że chronić się należy wszelkimi możliwymi sposobami z uwzględnieniem osobistego zapotrzebowania :]
Jeszcze notka dotycząca sassera i blastera. To były robaki atakujące aktywne usługi sieciowe więc antywirus ani Sunbelt w wersji “Application launch control” by nie pomógł gdyż podatna usługa automatycznie udostępniała trojanowi cały system. Natomiast w tamtych przypadkach pomógłby zwykły system firewall (choćby ten z Sunbelta czy natywny dodany później z Microsoftu), poprawnie skonfigurowany oczywiście :]
Pozdrawiam i dzięki za własne zdanie. Ono się liczy najbardziej, nawet mimo delikatnej odmienności :]