Тестуємо Dr.Web Katana в бойовій обстановці
Ми вирішили протестувати «Катану» в найбільш доброзичливою до зловредів середовищі - чистої Windows 7 SP1 x86 без апдейтів. Для спрощення зараження використовувалася обліковий запис адміністратора, а UAC був відключений. Німецькі аналітики з Clean MX ведуть відкритий список виявлених в мережі шкідливих посилань. Їх першу двадцятку ми і згодували непропатченних IE 8.0 відразу після встановлення та оновлення Dr.Web Katana.
Як і очікувалося, «Катана» не попереджає про переходах на фішингові сайти, навіть коли вони зроблені дуже явно. Пропозиція скачати з одного з них і запустити шкідливий виконуваний файл «Катаної» також не блокується - це не її завдання.
Імітація Dropbox на фішинговому сайті і завантаження трояна.
Dr.Web Katana швидко визначає шкідливу активність завантаженої програми і пропонує заблокувати небезпечні зміни. Проте до цього моменту троянець вже отримав частковий контроль над системою і викликав помилку в роботі «Провідника».
Через кілька секунд робочий стіл був повністю змінений троянцем. З'явилися нові ярлики і активні компоненти нав'язливої реклами. Без нашої участі встановлений і призначений браузером за замовчуванням UC Browser. У систему примусово встановлені два псевдоантівіруса, змінений файл hosts. Спливаючі порнобанер наводити не будемо, нам вони здалися нудними.
Секції автозапуску в реєстрі наповнилися записами про завантаження троянців і adware-модулів. Безліч інших відсутній на цьому скріншоті, так як жоден з сканерів сервісу VirusTotal їх поки не розпізнає. Ці компоненти працюють як системні служби і блокують спроби видалення завантажених шкідливих програм.
Після зараження завантаження антивірусних утиліт з інтернету і їх запуск зі змінних носіїв блокуються активними троянами, список яких розтягнувся на половину диспетчера задач, але це тільки верхівка айсберга. Прихованих компонентів набагато більше.
Для більшості користувачів варіант залишається тільки один - виконувати лікування з завантажувального носія і вручну видаляти ті шкідливі компоненти, які поки не розпізнають антивіруси. Ми ж спробували протистояти в експерименті активному зараження за допомогою додаткових утиліт.
Фрагмент звіту AVZ.
Засоби аналізу системи в безкоштовній програмі AVZ допомагають виявити шкідливі компоненти, а інша freeware утиліта Unlocker дозволяє обійти засоби самозахисту троянів і вивантажувати активні шкідливі процеси, розблокуе контрольовані ними файли. Після вивантаження з пам'яті і видалення декількох десятків троянських модулів вручну нам вдається запустити Dr.Web CureIt!
DrWeb CureIt вдалося запустити в зараженій системі.
Будь крім «Качані» встановлено антивірусний монітор і фаєрвол, зараження напевно вдалося б запобігти в самому початку. Розробники підкреслюють, що Dr.Web Katana - це інтелектуальне додаток, а не самодостатнє рішення і не заміна класичного антивірусу. Використовувані в «Катані» технології лише допомагають боротися з невідомими погрозами. Вони вже впроваджені в комплексні засоби захисту - Dr.Web Security Space і Антивірус Dr.Web v.11.0. Інші виробники використовують в своїх продуктах концептуально схожі проактивні методи, але зазвичай не виділяють їх як самостійні програми.