Маленький тест «антивируса» Cezurity

    image
    Недавно ВКонтакте началось активное продвижение по всем фронтам нового антивируса.
    Я всё же заинтересовался им, и решил посмотреть в действии эффективность этой программы (а именно одного из продуктов компании — «антивирусного сканера Cezurity») против нескольких вирусов.

    Итак, что у нас есть:
    • Виртуальная машина с чистой Windows XP SP3 и парой установленных программ
    • Антивирусный сканер Cezurity


    Теперь попробуем протестировать пару вирусов. Источником послужит сайт vxer.org (бывший vx.netlux.org)

    Метод тестирования следующий:
    Скачиваем, распаковываем zip, запускаем сканирование компьютера. Запускаем экзешник. И (если возможно)
    снова сканирование компьютера. После виртуалка восстанавливается в начальное состояние.

    Удобства ради результаты в виде таблицы:
    Название Показатель выявления VirusTotal Выявление Cezurity
    Virus.Win32.Sality 51/57 Нет
    Trojan.Win32.Agent 44/55 Нет
    Virus.Win32.Zevity 40/57 Нет
    Worm.Win32.PornRun 44/50 Нет
    Worm.Win32.Torun 44/51 Нет
    Trojan.Win32.Bum 45/57 Нет

    Собственно, это всё, что вам нужно знать про антивирус Cezurity. No comments.
    Метки:
    Поделиться публикацией
    Похожие публикации
    Комментарии 73
    • +82
      *sarcasm* Просто на вашем компьютере не было подозрительной активности!
      • +14
        Нужно построить установить агент мейл ру…
        • +7
          Вообще просиживание своей жизни в социальных сетях и есть «подозрительная активность», хотя стоп, нет, это «подозрительная ПАССИВНОСТЬ». Ваш кеп.
          • +1
            В точку сказано! Обратите внимание на конец предложения от службы поддержки:

          • +39
            Требую повторить тест и перед запуском exeшника начать подозрительную активность, иначе ваш тест не имеет смысла.
            • +48
              Каюсь, каюсь.
              Прошу подозрительных активистов-профессионалов помочь мне с выбором подозрительной активности для теста.
              • +33
                Выключить свет, занавесить окно…
                • +1
                  Предварительно переместиться на кухню.
            • +6
              а попробуйте в /etc/hosts %SystemRoot%\system32\drivers\etc\hosts добавить что-нибудь странное связанное с vk.com
              • +5
                8.8.8.8 vk.com

                Угроз не обнаружено!
                • +24
                  Ан нет, прошу прощения. «Полное сканирование» определило всё-таки.
                  • 0
                    Определило подозрительную активность?
                    • 0
                      определило заражение hosts
                • +28
                  > это всё, что вам нужно знать
                  Нет, ещё надо просниффить его трафик и понять, что он делает в действительности :)
                  • +4
                    Я не про в сниффинге, единственное, что удалось понять — программа в процессе скана обменивается данными с mustang.cezurity.com по https.
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        К вечеру попробую. Интересно, что всё-таки они делают, и почему ставят ударение на необходимость наличия соединения с интернетом.
                        • 0
                          Взял из FAQ:
                          9. Требуется ли обновлять Антивирусный Сканер Cezurity?

                          Антивирусный Сканер Cezurity не требует обновления сигнатурных баз. Это связано с тем, что сам по себе анализ данных происходит “в облаке”, сигнатурные базы на локальный компьютер не скачиваются.
                          Однако, используемые в Антивирусном Сканере технологии постоянно совершенствуются и некоторые компоненты программы могут обновляться. Актуальность установленной у вас версии Антивирусного Сканера проверяется автоматически.
                          • +3
                            Я это к тому, что большой процент вирусов блокирует выход в интернет.
                  • +18
                    Как тут не вспомнить Бабушкина антивирус) Эта история с этим софтом прямо таки мотивирует удалиться из ВК.
                    • +22
                      Только история с антивирусом? ;)
                      • 0
                        Друг так и сделал, после этого сообщения о подозрительной активности :)
                      • 0
                        Что-то мне подсказывает, что на самом деле он собирает информацию о посещенных сайтах, может рекламу вставляет какую. Иначе зачем его делали вообще?
                        • +8
                          Возможно, его основное предназначение — блокирование любых расширений браузера, взаимодействующих с vk.com. В прошлой теме люди жаловались, что он убивает качалки музыки/видео с vk, аддоны типа greasemonkey и блокирует инсталлированные скрипты *.user.js.
                          • +1
                            Похоже, что так и есть, но сайт пишет:
                            Обнаруживает все типы вредоносных программ, включая вирусы, трояны, шпионское ПО.
                            Лечение заражений.
                            • +9
                              аддоны типа greasemonkey и блокирует инсталлированные скрипты *.user.js.
                              И кто еще тут вредоносное ПО после этого?
                          • –4
                            Спасибо вамза краткость и информативность статьи. Полезно и наглядно. Единственное, я бы добавил информацию о распространенности описанных вами угроз.
                            • +5
                              О распространенности, в принципе, говорит показатель VirusTotal. С такими высокими значениями очевидно, что любой уважающий себя антивирус должен их определить.
                            • +12
                              Знаете, тут даже добавить нечего. Из категории тех постов, когда краткость — сестра таланта.

                              (накиньте +1, дайте человеку инвайт в руки, заслужил :) )
                              • +1
                                Думаю это метка что бы потом таргетировать рекламу на пользователей (по данным из соцсетей и историй посещений).
                                • +4
                                  А как так получилось, что у вас в VirusTotal разное количество антивирусов при проверках (44/50, 51/57 и т.п.)?
                                  • +1
                                    Честно говоря, понятия не имею. Значения — копипаст с сайта. Как они выдали, так и я вам передаю :)
                                    • +1
                                      Проверки были произведены в разное время, соответственно не все антивирусы были на VirusTotal. Сам с таким сталкивался когда загружаешь файл, а он уже по хэшу лет Х известен и результат хх/50 (к примеру), нажимаешь проверить заново и данные актуализируются до хх/57+ т.е. современных.
                                      • 0
                                        Аа, вот оно что. Имеет смысл перепроверить?
                                        • +3
                                          Смотря какая цель. Если у файла всего одна заливка три года назад и пять детектов, то есть смысл перепроверить — вдруг количество детектов выросло, а вот «Virus.Win32.Sality 51/57» перепроверять особого смысла нет — сдвинутся оба числа на одну-две в какую-то сторону, и что с того?
                                      • –7
                                        Думаю, это связано с размером файла передаваемого на проверку, у разных антивирусов свои ограничения на онлайн-проверку(по размеру файла, по ресурсам в данный момент времени), а VirusTotal лишь агрегатор.
                                        • 0
                                          VirusTotal не отправляет на онлайн-проверку, он проверяет предоставленными антивирусными движками самостоятельно.

                                          Бывает даже, что VT детектит данным движком, а последняя официальная версия — ещё нет.
                                      • +15
                                        Да всё ведь очень просто. ВК живет за счет рекламы, но какая-то часть аудитории заражена всяким говном, которое вместо контактовской рекламы показывает, например, свои баннеры. Денежки-то теряются, вот они и сделали свою вундервафлю (зачем-то через дружескую полулевую фирму, не знаю, зачем точно).

                                        Чистить компьютеры пользователей от всего тщательно накопленного годами зоопарка им неинтересно и на два порядка сложнее, от этого их денежки не теряются, поэтому чистит оно только от того, что напрямую гадит контактику, и очень странно ожидать другого поведения.
                                        • +1
                                          А по какому критерию выбраны вирусы для тестирования?
                                          • +2
                                            Насколько я понял это не антивирус в широком смысле этого слова а просто утилита п очищающая всякие паразитные экстеншены и софтины, которые нацелены специально на вк.
                                            • +1
                                              Интересно, adblock удаляет? :)
                                            • +5
                                              Почему-то когда вижу слово Cezurity мне кажется, что это Security с ошибками написано…
                                            • +13
                                              Попробую слегка прояснить ситуацию:

                                              1. Данный продукт используется саппортом ВК для помощи юзерам у которых «не открывается контакт» — эта тулза смотрит хостс, прокси, тулбары, appinitdll и еще немного — ищет там как по сигнатурам (именам файлов, хешам), так и «эвристически» — «какие-то изменения» в хостс она найдет. В большинстве случаев это помогает и контактик у пользователя начинает работать (доволен юзер, спокоен саппорт, разрабы антивируса покупают своим детям мороженое и те счастливы).
                                              Но этот продукт для пользователей бесплатен и не является конторообразующим софтом, он для известности, входа на рынок, партнерских связей, портфолио, сбора статистики и любых других байт с компьютеров пользователей.

                                              2. Фактически вирусы можно подбирать любые — заразить все файлоинфектором, зашифровать пользовательские файлы, поставить парочку биткоин-майнеров и сверху накрыть это винлоком — результат будет такой же (0).

                                              3. На VT может показываться разное общее число антивирусов по следующим причинам (за раз их может быть несколько):
                                              + Файлы на VT не заливались, а был осуществлен их поиск с отображением последнего результата сканирования, соответственно если сканирование одного было год назад, а другого позавчера, то будем иметь разное количество антивирусов
                                              + Какой-то антивирус куда-то «выпал» — такое иногда случается — проверяешь файл сейчас и видишь одно количество антивирусов, проверяешь через десять минут — один из антивирусов куда-то «выпал»

                                              • +13
                                                ОК, не вопрос, в этом нет ничего крамольного. Но тогда пусть они не называют это антивирусом. Пусть называют «программой, которая проверяет и восстанавливает доступ к vk.com», и никто бы и слова плохого не сказал, и в обмане пользователей не заподозрил.
                                                • +3
                                                  Вот это-то как раз всех и коробит, ведь если назвался груздем — полезай в кузов.
                                                  • +3
                                                    Они дают ложную надежду пользователю: он установит такой «антивирус» и будет думать, что защищен. Так делать однозначно нельзя.
                                              • +34
                                                ВКонтакте я отвечать разработчикам не собираюсь, может, увидят здесь :)
                                                Александр, пост о тесте начинается словами «Недавно ВКонтакте началось активное продвижение по всем фронтам нового антивируса». Мы уже постарались объяснить, что говорить о «продвижении по всем фронтам» неуместно. Появившееся в ВК сообщение — результат тех. сбоя на стороне ВК.

                                                Хороший уход от ответа. В любом случае, сбой это, или нет, плашку увидели миллионы пользователей ВК, и этого достаточно.
                                                Александр, вторая вещь, на которую я хотел бы обратить внимание в связи с этим тестом — это робот. В постинге на Хабре почему-то появился робот, который использовался очень сомнительным антивирусом MacKeeper/PCKeeper (он теперь как-то иначе называется).

                                                Ещё один уход! Больно уж он похож на ваш логотип, захотелось вставить в пост.
                                                Александр, третья вещь по поводу теста. Мы готовы к тестам. Но для того, чтобы их комментировать, нам необходимо знакомство с методикой.В статье на Хабре сказано: Сканер не обнаружил данные вирусы.Мы проверим этот факт. Пока я лишь могу сказать, что, скорее всего, это невозможно.

                                                О методике здесь всё написано :)
                                                Так и хочется ответить словами певца уровня антивируса Цезурити — «Я знаю точно невозможное возможно!»
                                                Александр, к сожалению, это не тест, а очередная попытка, не имея технической экспертизы и понимания, сделать какие-то выводы.

                                                Достаточно посмотреть методологию «тестирования», я ее процитирую: «Метод тестирования следующий: Скачиваем, распаковываем zip, запускаем сканирование компьютера. Запускаем экзешник. И (если возможно) снова сканирование компьютера. После виртуалка восстанавливается в начальное состояние.»

                                                Т.е. сканирование производилось _до_ активного заражения системы. После активного заражения — сканирование не производилось. Более того, по ряду признаков я уверен, что на этой ситеме был заблокирован (отключен) доступ в интернет. Т.е. человек, который проводил это «тестирование» даже не удосужился прочитать документацию к нашему продукту, статьи о его принципах работы и т.д. (Которые есть в нашей группе, в заголовке).

                                                Человеку в депутаты надо! Четко и ясно написано, что после заражение сканирование производилось, и даже понескольку раз. Доступ в интернет, естественно, был, и принципы работы я тоже прочитал)
                                                Александр, скорее всего, при проведении теста допущены какие-то технические ошибки. Например, угрозы не были в активном состоянии. Или, если учесть первые две вещи («продвижение по все фронтам» и не-наш робот), тест просто не был объективным и преследовал цель высказать заведомую критику.

                                                Да-да, конечно.
                                                И вообще я всё это выдумал и виртуалки никакой не было.
                                                ALL PRAISE CEZURITY
                                                • +21
                                                  Это что, разработчики Cezurity? Детский сад
                                                  • +3
                                                    Я о чём и говорю.
                                                    Можете зайти в оф. группу, почитать, что они пишут.
                                                    Настроение на целый день!
                                                  • +5
                                                    После вот этого комментария вообще словосочетание «разработчик VK» попахивает говницом
                                                    • +1
                                                      Ефименко не разработчик ВК, а просто кто-то непонятно кто.

                                                      Вот ответ настоящего разработчика ВК:

                                                      image

                                                      линк: vk.com/wall1708231_16390?reply=16403
                                                    • +3
                                                      Т.е. сканирование производилось _до_ активного заражения системы.

                                                      Блин, да нормальный антивирус скушает каку ещё на стадии
                                                      Скачиваем
                                                    • +36
                                                      Все посты на тему вирусов и антивирусов читаются как-то иначе… легче… добрее… сидя в линуксе )
                                                      • +4
                                                        Я удивлен как в самом Cezurity VT ничего не показал).
                                                        • +1
                                                          Загрузите его туда, а мы проголосуем… Ну и ссылочку пожалуйста.
                                                          • 0
                                                            Я загружал, оказалось до меня за час загружали).
                                                            Данный файл уже был проверен в VirusTotal 2015-07-06 23:49:01 UTC (8 часов, 30 минут ago) а самый первый анализ был проведён 2014-05-31 22:41:19 UTC.

                                                            А вот и ссылка
                                                            • +5
                                                              Я даже больше скажу, он уже там год лежит и первые "лайки" от армии анонимусов выглядят как накрутка.
                                                            • 0
                                                              Поддержу.
                                                          • –2
                                                            Взял из FAQ:
                                                            5. У меня на компьютере в папке лежит вредоносная программа. Почему Антивирусный Сканер ее не обнаруживает?

                                                            Антивирусный Сканер предназначен для поиска и обезвреживания вредоносных программ, которые уже заразили систему. Такие программы могут, например, перехватывать нажатия клавиш, копировать и отправлять данные, рассылать спам или просто ожидать специального сигнала от своего “командного центра”.
                                                            При этом важно помнить, что Антивирусный Сканер проверяет не все, а лишь подвергающиеся заражению области. Например, Антивирусный Сканер не обнаружит вредоносную программу, которая не запущена, на нее нет ссылок из автозапуска, и она при этом не находится в критическом месте системы (например, в системном каталоге).
                                                            Это означает, что если на жестком диске в пользовательской директории вы сами просто сохранили (не запуская) вредоносную программу, Антивирусный Сканер ее не обнаружит. Такая программа не может причинить какого-либо вреда, пока вы не запустите ее самостоятельно.

                                                            • +2
                                                              Странноватое поведение для антивируса, это раз, а два, я запускал сканирование и до, и после открытия собственно вируса.
                                                            • +1
                                                              Это еще что… мне как-то Avast снёс пол системы(не смог удалить активные файлы) в процессе «чистки браузера». Видать какой-то добренький троянчик добавил «мусор» в виде ссылки на системную папку С:\Windows\ или какая другая ошибка… и Avast стал методично оттуда все вычищать. На системном уровне, с системными правами… Я еще удивился чего это он мусор так долго чистит. А через минуту-другую после чистки начали сыпаться ошибки…
                                                              Резервная копия системы это просто чудо, всего неделю изменений потерял.
                                                              • +2
                                                                Очевидно, что этот продукт позиционируется как домохозяйский антивирус («проверяет не все, а лишь подвергающиеся заражению области» и т.п.). Посмеялись, и здорово. А если серьёзно, за этим шагом стоит какая-то целенаправленная сила, и я сомневаюсь, что дело в рекламе (деньги и так есть) или фишинге (слишком грязное воровство для такой известной организации). Может ли Cezurity стать «официальной» программой слежения за пользовательским контентом в свете последних инициатив защиты авторских прав и прочей вредной для детей информации? Я не эксперт, но есть ли возможность просмотреть содержимое упомянутого https-трафика?

                                                                Я помню, как Adobe Reader хотел сканировать все PDF-файлы на моём компьютере на предмет нарушенной DRM-защиты и отправлять результаты в далёкое облако. Не прижился.
                                                                • +1
                                                                  ateraefectus Возьмите c malwr бинарники с детектируемые 30+ антивирусами, запустите их в виртуалке с рабочим Cezurity, для «чистоты эксперимента» так сказать. Не думаю, что ситуация будет сильно отличаться от описанной в статье.
                                                                  • 0
                                                                    Извиняюсь, не совсем внимательно прочёл про запуск экзешника, но в любом случае с malwr можно поднатаскать много исполняемых файлов по различным критериям, например только те, у которых есть сетевая активность, на наличие которой, как особо важного критерия, так упирают разработчики Cezurity
                                                                  • 0
                                                                    А вы пробовали скормить ему EICAR Test File?
                                                                    Это вообще антивирус?
                                                                    • 0
                                                                      Да пробовали уже. Не ест оно EICAR.
                                                                      • 0
                                                                        Детект еикара — жест доброй воли антивирусов (их негласное соглашение), даже на VT не все детектируют этот файл.
                                                                    • +1
                                                                      Слушайте, Cezurity — это же типа продукт бывшей ВЕСЬМА ПРИЛИЧНОЙ команды Online Solutions?
                                                                      Они же делали OSAM, OS Security Suite, что у Матусека вторые места брал почти что деля пальму с Comodo…

                                                                      А потом там появилась какая-то удивительная женщина в руководителях проекта — и вышло вот это вот?
                                                                      Я скачивал и пробовал это Cezurity — и реакцией было сплошное нецензурити.

                                                                      А уж продвижение в ВК — настолько явный пример типичной малварной пирамиды, что просто ваще…
                                                                      • +1
                                                                        Слушайте, Cezurity — это же типа продукт бывшей ВЕСЬМА ПРИЛИЧНОЙ команды Online Solutions?

                                                                        Так и есть. Только в чем вы меряете приличность? Цель софта — приносить прибыль. С той бизнес-моделью они имели глубоко отрицательную прибыль бы, т.к подобного софта на рынке навалом и он никому не нужен (все подобные софтины либо закрылись, либо влились в кого-то и прирастили себе 100500 функций, либо стали бесплатными (фримиум) с платным флагманом. Самостоятельно проверить мои слова можно просто: смотрите тот самый топ Матюшека (на который вы как раз и ссылаетесь) и посмотреть что там с продуктами топа.
                                                                        Напомню только, что у Online Solutions не было в составе ничего кроме горы хуков и вопросительного алерта с отображением перехваченных аргументов функции.

                                                                        А потом там появилась какая-то удивительная женщина в руководителях проекта — и вышло вот это вот?

                                                                        Нет, не это. Это нужно в основном для вот этого:
                                                                        — общая узнаваемость брэнда
                                                                        — простота налаживания связей с клиентами (аля «смотрите, нас даже вк использует!»)
                                                                        — имение своего облака со статистикой
                                                                        — за это вк им еще и денюжку платит!

                                                                        Если понимать, что этот «антивирус» сделан как раз для этих целей, то придется признать, что справляется с ними он на пять с плюсом.

                                                                        Но вообще вышло у них это вот, а вот такая штука: www.anti-malware.ru/news/2015-09-17/16857 К ней они последние годы и шли (и не только к ней).
                                                                        • 0
                                                                          Тоскливая особенность нашего времени: чтобы сделать что-то стоящее и толковое — сперва надо натворить какой-нибудь хрени.

                                                                          Потому что сегодня хрень вознаграждается гораздо лучше, чем что-то стоящее.
                                                                          • +1
                                                                            И да — спасибо, конечно же, за ответ и информацию…

                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.