作者YuQilin (神兽)
看板AntiVirus
标题Re: [情报] WanaCrypt0r勒索病毒:19款防毒主防测试
时间Thu May 18 08:47:02 2017
http://weblog.av-comparatives.org/proactive-protection-wannacry-ransomware/
http://tinyurl.com/lbz658q
AV-C也做了21款防毒的测试,
防毒程式和病毒资料库的版本锁在5/12日,WannaCry出现之前,
也就是各家防毒的资料库尚未有WannaCry的病毒定义,
仅靠特徵分析等主动式防御来抵御未知的病毒威胁.
在虚拟机里断网直接执行WannaCry的样本测试,
但是未公布各家防毒的详细设定.
测试结果:
Adaware Pro Security Protected
Avast Free Antivirus Protected
AVG Free Antivirus Protected
AVIRA Antivirus Pro Protected
Bitdefender Internet Security Protected
BullGuard Internet Security Protected
CrowdStrike Falcon Prevent Protected
Emsisoft Anti-Malware Protected
eScan Corporate 360 Protected
ESET Internet Security Not protected
F-Secure SAFE Protected
Fortinet FortiClient Not protected
Kaspersky Internet Security Protected
McAfee Internet Security Not protected
Microsoft Security Essentials Not protected
Panda Free Antivirus Protected
Seqrite Endpoint Security Protected
Tencent PC Manager Protected
Symantec Norton Security Protected
Trend Micro Internet Security Protected
VIPRE Advanced Security for HomeProtected
如上所述,这个测试是直接执行样本测试,
没有测试防火墙是否能够抵御SMB的漏洞入侵
(没有SMB的漏洞入侵,就不会发生後续主动的WannaCry感染),
同时後来WannaCry有多个变种,本测试也没有说明对变种的抵御效果.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.219.36.91
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1495068429.A.9AC.html
1F:→ cys070: BD也没在拿免费版测试,免费版防护就不全 05/18 09:01
2F:推 Radiomir: 伊莉和这次都没中的免费防毒软体:Avast、Avira、Panda 05/18 09:17
3F:→ sorrycar: 有漏洞 病毒进来 那天红伞free完全没反应 加密GG 05/18 09:19
4F:→ cys070: 不要指望小红伞免费版..... 05/18 09:22
5F:→ cys070: 免费版只要功能阉掉太多都不推荐,因为真的也是看运气了.. 05/18 09:24
6F:→ Radiomir: 再仔细看了一下, 这次Avira测的是付费pro版而不是free版 05/18 09:25
7F:→ Radiomir: 那免费就剩Avast和Panda了...我2010年用Avira,也中过毒. 05/18 09:25
8F:→ Radiomir: 自从那次中毒後才改用Avast, 到目前为止都没有中过毒... 05/18 09:26
9F:→ cys070: Panda Free其实对勒索很无力,查得到也是可能被加密 05/18 09:50
10F:→ chiu0938: Panda弱很久了 05/18 09:54
11F:→ waterblue85: 现在还在用小红伞喔?可以更新一下了吗? 05/18 10:21
12F:→ kuc6811: 对ESET很失望 我还买了3年授权orz 05/18 10:48
13F:→ sorrycar: 果断买卡巴 不过用了这麽多年红伞free 没啥大问题 05/18 10:54
14F:→ sorrycar: 哪知道这次对於已有漏洞 主动攻击 我反应还比防毒快 冏 05/18 10:55
15F:→ gwofeng: avast付费版跟免费版有甚麽差? 05/18 11:34
16F:→ gwofeng: avast!免费板我实测是毫无反应 只是一条死鱼 05/18 11:34
17F:→ waterblue85: 请问Malwarebytes的测试结果如何呢 05/18 12:13
20F:→ Radiomir: 楼上的测试只说明5/12日前的防毒软体没抓到, 05/18 12:31
21F:→ Radiomir: 原po的测试是说明5/12日後的防毒软体有抓到. 05/18 12:31
22F:→ Radiomir: 也就是病毒实际发作後可以拦到的防毒软体,比较有参考性. 05/18 12:32
23F:→ Radiomir: 其实真有兴趣, 可以找卡巴 2010 前的主防, 看是否抓的到 05/18 12:33
24F:→ Radiomir: 然後就可以打广告说, 主防领先其他同类产品7年以上技术~ 05/18 12:33
25F:推 gwofeng: 黑人问号.jpg 05/18 12:43
26F:→ YuQilin: @Radiomir AV-C的测试是5/12日之前的防毒程式版本和病毒 05/18 13:22
27F:→ YuQilin: 库 WannaCry出现之前的库 我第一段已经有强调说明过了 05/18 13:23
28F:→ YuQilin: gwofeng测试的是3/28的版本 也许还不够新 05/18 13:23
29F:→ YuQilin: 所以和AV-C的结果不同 或者是免费版和付费版的差异 05/18 13:24
30F:推 aegis43210: AVAST四月有大更新哦,3/28还是算旧版的 05/18 13:24
31F:推 oh78wei: 病毒都发作了还抓不到的是废物吧 05/18 13:33
33F:→ Arashiptt: 所以目前avast的风向到底是如何 05/18 13:45
34F:推 APM99: 可以直接客观的东西 不需看风向 05/18 13:53
35F:→ Radiomir: 用删去法...病毒5/12发作後还抓不到的防毒软体,直接无视 05/18 13:55
37F:→ gwofeng: Avira Free 15.0.26.48 5/4 05/18 14:03
38F:推 abyz: 现在一线二线厂入库的速度都快 病毒发作後没多久大多能拦 05/18 14:04
39F:→ abyz: 但等wannacry入病毒库才能抓早来不及了 所以测发作後能拦的 05/18 14:04
40F:→ abyz: 防毒没太大意义吧 大多能拦 而比较慢的三线厂你一般也不用吧 05/18 14:05
41F:→ gwofeng: 3A兄弟挥棒落空,接下来换测...门铃响了,我去开门 05/18 14:06
42F:→ Radiomir: 比较出名的:ESET NOD32、McAfee、Microsoft这次都摃龟. 05/18 14:12
43F:推 mcho1831: 之前才从Avast跳ESET,现在一路看下来心情真的很= = 05/18 15:00
44F:→ APM99: 楼上直接改跳微软MSE阿 05/18 15:06
45F:→ tsai82118: 可以测360TSE啊 05/18 15:27
46F:→ tsai82118: 还有COMODO啊 05/18 15:29
47F:→ YuQilin: comodo没什麽好测的 就是自动入沙 然後就没有然後了 05/18 15:42
48F:推 shinkiro: 还是Comodo咖安心(可疑通通下去领沙盒) 05/18 16:09
能够100%对抗目前所见的勒索病毒
就虚拟机、沙盒、加载内核驱动锁权限的资料保护
如果不用这三个功能 例如不用应用程式控制保护资料夹的卡巴
仍然有被加密成功且无法回滚的例子
所以测试其实没什麽意思 不管再强的防毒不开上面那三个功能
都不会有100%防护
※ 编辑: YuQilin (61.219.36.121), 05/18/2017 16:22:18
49F:推 hototogisu: 想跳COMODO,可需要连线安装,想请问离线安装档如何下载 05/18 16:50
50F:→ hototogisu: 还有想请教,COMODO也有防毒,他的扫描压缩档功力如何? 05/18 16:51
51F:推 notea: ESET QQ 05/18 17:50
52F:推 aegis43210: 所以AVAST free被破啦 05/18 22:20
53F:推 rainxo6p: ESET居然挡不住...还好没买下去 05/18 22:46
54F:推 DID5566: 麦咖啡真是笑死了 05/18 23:01
56F:推 abram: 请教一下 大家推荐Comodo的Antivirus还是internet security 05/19 07:56
只推荐Internet Security或者Firewall
Antivirus没有防火墙 Comodo的防毒效果并不好
能够档下所有病毒的原因是因为自动沙盒和防火墙
没有防火墙就不需要用Comodo
安装时会附带安装GeekBuddy和Dragon浏览器
可能没什麽用处 可以取消不要安装这二个元件
CCAV也不推荐 因为它的自动沙盒没有完全虚拟化功能
防御效果比较差
安装後的预设值的保护效果还是有限 建议按照下面这个影片设定
https://www.youtube.com/watch?v=FoIu3Z2ImO8
让未知程式全部进入沙盒运行
这样设定一开始会造成很多平常使用的程式都自动入沙
可能会觉得很麻烦 但手动加入信任排除入沙 使用一段时间後
只有新的未知程式才会自动入沙 慢慢的就会变得比较上手好用
Comodo还有一个大问题是在一些系统上 经常会遗失自订的规则
所以有些使用者用一用受不了最後还是放弃
虽然它真的很好用 但是因为这些原因所以不建议新手使用
※ 编辑: YuQilin (61.219.36.91), 05/19/2017 13:14:15
Avira官方表示 他们的云端监识功能
二个月前就可以经由病毒的特徵拦截下WannaCry病毒
可是很多人测试 不论免费的Free版还是付费的Pro版
都没有挡下WannaCry
Free
https://www.youtube.com/watch?v=BjCasJOghnE
Pro
https://www.youtube.com/watch?v=2rhpUGx3JFo
另一个Free测试
https://www.youtube.com/watch?v=t9DsD7tjtOg
由於WannaCry有很多变种 不知道Avira官方拦截的是哪一个
AV-C的测试也没有说明使用的WannaCry样本
可能是造成每个测试的结果不一样的原因
※ 编辑: YuQilin (61.219.36.91), 05/19/2017 13:27:38
57F:→ gwofeng: AV-C上的报表ESET被移除,厂商关切一下就搓掉了 05/19 13:35
58F:→ gwofeng: 这样的测试机构有什麽好信的 05/19 13:36
应该是被ESET关切了
移除ESET的理由是 它的防火墙从4月25日开始
就可以阻挡SMB的漏洞入侵
所以5月才爆发的WannaCry根本无法主动从漏洞进来
所以它的使用者是不会受到这次的攻击而感染的
因此将ESET从测试列表中移除
不过这次测试的标题就是「主动防御对抗WannaCry(非测试漏洞)」
有特别强调不是在测试漏洞 而是直接执行WannaCry的结果
所以因为可以阻挡漏洞而移除掉ESET的理由也很奇怪
其实是因为这类的测试容易误导读者 以为测试的结果就是真实使用的情况
以为测试没过的防毒就会中毒 以为测试有过的防毒就不会中其他变种
因为这类测试的影响力(误导)很大 所以厂商才急着用大人的力量搓掉吧
59F:推 abramtw: 谢谢YU大的解释和见解 学到一课 05/19 14:08
※ 编辑: YuQilin (61.219.36.91), 05/19/2017 14:46:12
60F:推 stfang925: 推 05/19 21:21
61F:推 JKGOOD: 有人觉得ESET ESS比EIS好用吗? 05/20 01:55