Rootkit-ul ZeroAccess vs solutiile de securitate. Vezi aici care au picat testul!

De circa 2 luni ati auzit probabil de rootkit-ul ZeroAccess, care face ravagii.

Acest rootkit a fost descoperit de fapt in anul 2009 pentru prima data, sub denumirile de MBR rootkit, TDL2 rootkit, avand capacitatea unica de a opri orice solutie de securitate ruleaza in calculator.

ZeroAccess creaza un nou obiect de tip kernel cu denumirea __max++>, de aici venind denumirea de max++ rootkit, cunoscut si ca ZeroAccess datorita unui rand gasit in codul driverului de kernel (f: \VC5\release\ZeroAccess.pdb).

Ei bine, programele de securitate se lauda cu o protectie eficienta a propriilor procese si servicii in fata dezactivarii lor de catre un malware.

De aceea, am testat care este adevarul: ce solutie de securitate se poate proteja impotriva unui rootkit care doreste sa o dezactiveze ?

Cum am procedat?
Am descarcat si instalat fiecare solutie de securitate (ultima versiune disponibila) in cate o masina virtuala curata. Am utilizat programele de tip “Internet Security”.
Am dezactivat protectia antivirus in timp real, simuland un virus necunoscut pentru a urmari protectia proactiva si a propriilor procese si servicii.
Am rulat apoi fisierul infectat.

Iata mai jos rezultatele (in functie de solicitarile voastre vom testa si alte programe):

  • avast! 6 – dezactivat
  • AVG 2012 – neafectat
  • Avira 2012 – neafectat
  • BitDefender 2012  – neafectat
  • Comodo 5.8 – neafectat
  • ESET 5 – dezactivat
  • F-Secure 2011 – neafectat
  • Kaspersky 2012 – neafectat
  • McAfee 2012 – neafectat
  • Norton 2012 – dezactivat
  • Panda 2012 – neafectat

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

36 responses to “Rootkit-ul ZeroAccess vs solutiile de securitate. Vezi aici care au picat testul!”

  1. Gigi

    Security Shield 😀

  2. bcman

    Comodo 😉

  3. Florin

    Kaspersky? Cum s-ar descurca?

    1. Gigi

      Neafectat.

  4. Nelu B

    Nu stiu cum se face la unele teste pica exact cine nu te astepti,de parca s-au vorbit companiile antivirusale intre ele unele sa pice la un test in timp ce altele nu,iar la urmatorul test altele sa pice,exact cele care au absolvit testul precedent.Si asta nu numai la rootkituri ci si la altele.Nu mai sti ce sa mai crezi

  5. b3st

    un review pentru IObit Malware Fighter si F-Secure 2012 va rog frumos

  6. Nelu B

    Si mai am o intrebare,cum ai testat cu eset:cu Hips-ul in interactive sau automatik mode?

  7. sv

    off topic : de mcafee 2012 ce se mai aude ?! ..ca stiu ca 2011 era doar o schimbare de grafica la 2010 ….ceva imbunatatiri ?

  8. b3st

    un review pentru IObit Malware Fighter si F-Secure 2012 va rog frumos!!!

  9. Paul

    @Radu ti-am spus ca Zeroaccess nu afecteaza BD, is curios ce efect are virusul Ransom (McAfee pica testul).
    Felicitari BD!

    @Florin

    Vor urma si altele in functie de timpul disponibil pe care il are Radu.

    Cu stima,
    Paul

  10. happyday

    K7 si Qihoo. 🙂
    si Bullguard ala caruia mai aveai un pic si-i ridicai statuie, la un moment dat. 😛

  11. Valentin

    Super idee cu testul asta… o schimb si eu eset cu un Bitdefender….vad ca nu mai tine. 😀

  12. Paul

    @Valentin

    trebuia sa il schimbi cu mult timp in urma.

    @Radu intrii 2 minute pe YM te rog:D

  13. John

    Salut, am si eu cateva intrebari despre Avira:
    Aveti idee daca mai trebuie dezactivat si altceva in afara de firewall din Avira Security Suite, pentru a nu intra in conflict cu Comodo?
    Daca nu folosesc programe de genul outlook si imi citesc mailurile din browser, mai am nevoie de mailguard ?
    Licenta de la versiunea full Avira merge oare si pe versiunea premium, cea fara firewall?
    Multumesc 🙂

    1. John

      Nimeni ? 🙁

  14. ocsi

    Daca ne orientam dupa testele realizate si dupa opiniile exprimate aici pe site:
    – Avast, Eset, Panda, McAfee, PC Tools – foarte vulnerabile (chiar daca de peste un an obtin rezultate foarte bune in testele oficiale);

    in schimb tot timpul:

    – Avira, Bitdefender, Norton (asta “palpaie” dupa cum bate vantul), Comodo – excelente (si cand o dau in bara “exista o explicatie”).
    In fine! Oricum de apreciat munca depusa.

    1. happyday

      bine punctat. 😀

  15. Eugen

    Comodo,si-a facut treaba ca de obicei,adica foarte bine.

  16. Florin

    As fi curios si de G-Data.

  17. Paul

    @Radu

    Arunca o privire aici: http://www.avast.com/best-antivirus

    1. ocsi

      Acum ca sa pastrez obiectivitatea si impartialitatea:
      – hai sa n-o dam in proumb, acolo sunt rezultate “trase de par”
      – acolo e plin de iz de subiectivism
      – Avast! este bun, dar nici chiar asa

  18. VladG

    Daca AVG nu a fost afectat , raman la el in continuare 🙂

    @ McAFee , il puteti testa ?

  19. tipo

    – panda (macar cloud)
    – prevx (si cel vechi si webroot)

  20. robert

    Vipre si Trend Micro sau Panda.

  21. daniel

    Chiar daca nu sunt afectate de acest rootkit…sunt afectate de alti virusi.

  22. fan

    Puteți testa și MSI?Eu asta folosesc și sunt super mulțumit de el.

  23. ssss

    Sophos testezi?

  24. Bobby

    @fan
    MSI? poate MSE

    1. virus2009

      omul foloseste MSI , e multumit ce ai cu el , iti e ciuda ca folosesti Asus , Gigabyte ? 😆

  25. Bobby

    si ca sa comentez si ceva la subiect….desigur va dati seama ca niciun antivirus nu este 100% bulletproof. Ceea ce ati demonstrat aici este ca acea varianta de rootkit a fost special creata pt a dezactiva acele programe AV. sunt sigur ca exista si alte variante care sunt special programate sa dezactiveze si avira si bitdefender si cam tot ce vrea autorul. So pt cine vrea sa-si schimbe antivirusul dupa acest “test” il sfatuiesc sa se gandeasca de doua ori.

  26. ian

    Bobby@: Ai dreptate. Mie mi-a fost dezactivata avira de catre un virus luat de pe un site de filme online…iar o cunostinta a patit-o cu KIS.

Leave a Reply