Norton IS vs Kaspersky Live CD
Ostatnio przedstawiłem obraz zwykłego użytkownika. Niektórzy próbowali się ocenić według tego wpisu, czy są ZU czy też nie - nie o to chodziło, ale niektórych boli fakt (jak widać), że są/mogą być w pewnej dziedzinie przeciętni... i tak: każdy z nas jest najlepszym kierowcą i mechanikiem zarazem, ekspertem w temacie kraks lotniczych i każdy z nas najlepiej potrafi obsłużyć sprzęt komputerowy oraz dobrać do niego odpowiednie oprogramowanie - muszę przyznać, że w Polsce jest strasznie wysoko zawieszona poprzeczka i w związku z tym trudno się przebić w jakiejkolwiek dziedzinie. Podejrzewam, że podobnie jest z tematem programów antywirusowych i każdy tu zna się najlepiej, ale mimo wszystko powiem swoje zdanie - oczywiście jak zwykle poparte doświadczeniem...
Nie jestem zwolennikiem ani symanteka, ani kasperskiego, więc to co czeka nas tu dalej, to garść suchych faktów. Ukryć się nie da, że producenci antywirusów robią wszystko, aby ich produkty wyglądały jak najbardziej profesjonalnie i zachęcały do zakupu. Tak też musiało się stać w przypadku pewnego ZU, którego komputer miałem okazję naprawiać. Oryginalny system wraz z zainstalowaną kupą crapware'u, a między crap'em 30‑dniowa wersja NIS. Scenariusz już każdy zna i każdy pewnie już wie co się stało po owych 30 dniach: zakończyła się darmowa ochrona - proszę zakupić licencję (najlepiej na 100 lat w przód). Co zrobił użytkownik? Pewnie wszedł na stronę i przeczytał to:
Technologia Insight identyfikuje bezpieczne i niebezpieczne pliki oraz aplikacje na podstawie informacji przekazywanych przez ponad 175 mln użytkowników programów Norton™.
Usługa Norton Community Watch umożliwia śledzenie wszystkich plików w Internecie na potrzeby kompleksowego monitorowania zagrożeń.
Po odpaleniu komputera wydawało mi się, że system (windows 7) nie ma żadnej ochrony. W trzech zainstalowanych przeglądarkach same toolbary, searchbary - komputer pracuje jak muł, 100% procka permanentnie pochłonięte, tajemnicze procesy - co jest? Patrzę, jest Norton Internet Security. Subskrypcja wygasa za 143 dni - ok, więc aktualizacja baz, pełne skanowanie. Skaner nic nie wykrył, za to monitor połączenia sieciowego NIS cały czas krzyczy, że jakiś podejrzany ruch został zablokowany. Pobrałem AdwCleaner (bardzo dobry), ale ten uporał się jedynie z mało szkodliwym, aczkolwiek uciążliwym adwarem (babylon, delta serach, itp). Nie będę sobie dokładał roboty i odinstalowywał NIS, żeby zeskanować czymś innym, a potem na powrót go zainstalować - bo tak chce właściciel (bo za niego zapłacił). 100% procka nadal zajęte, lipne procesy - widzę, że coś jednak jest nie tak... Odpaliłem więc Kasperskiego Live CD: aktualizacja baz, skanowanie dysków. Oto efekt, log po skanowaniu:
[code=Plain Text]Status: Detected (events: 14) [/code]
[code=Plain Text]11/27/13 5:59 AM Detected adware not‑a-virus:AdWare.Win32.Lyckriks.ci C:/AdwCleaner/Quarantine/C/Program Files (x86)/Lyrmix/chrome.manifest.vir Medium [/code]
[code=Plain Text]11/27/13 5:59 AM Detected adware not‑a-virus:AdWare.Win32.Lyckriks.ci C:/AdwCleaner/Quarantine/C/Program Files (x86)/Lyrmix/chrome.crx.vir//manifest.json Medium [/code]
[code=Plain Text]11/27/13 6:04 AM Detected adware not‑a-virus:AdWare.Win32.Agent.aeph /mnt/MountedDevices/PD-3C977812-0000000006500000/ProgramData/InstallMate/{984CB64A-0215-4F26-ADCD-4A3743AF94BC}/Custom.dll Medium [/code]
[code=Plain Text]11/27/13 6:07 AM Detected Trojan program HEUR:Trojan.Win32.Generic /mnt/MountedDevices/PD-3C977812-0000000006500000/Users/xxx/sjfbtx.exe High [/code]
[code=Plain Text]11/27/13 6:07 AM Detected Trojan program Trojan-Dropper.Win32.Dorifel.actu /mnt/MountedDevices/PD-3C977812-0000000006500000/Users/xxx/botglyrz.exe High [/code]
[code=Plain Text]11/27/13 6:08 AM Detected adware not‑a-virus:AdWare.Win32.Agent.aeph /mnt/MountedDevices/PD-3C977812-0000000006500000/Users/xxx/AppData/Local/Google/Chrome/User Data/Default/File System/000/t/00/00000000//data0005 Medium [/code]
[code=Plain Text]11/27/13 6:10 AM Detected Trojan program HEUR:Trojan.Win32.StartPage /mnt/MountedDevices/PD-3C977812-0000000006500000/Users/xxx/AppData/Local/VirtualStore/Program Files (x86)/v9Soft/v9idg.exe.Tmp//UPX High [/code]
[code=Plain Text]11/27/13 6:15 AM Detected adware not‑a-virus:AdWare.Win32.Agent.aeph /mnt/MountedDevices/PD-3C977812-0000000006500000/Users/xxx/Downloads/Idealne matki (1).exe//data0005 Medium [/code]
[code=Plain Text]11/27/13 6:53 AM Detected adware not‑a-virus:AdWare.Win32.Agent.aeph C:/ProgramData/InstallMate/{984CB64A-0215-4F26-ADCD-4A3743AF94BC}/Custom.dll Medium [/code]
[code=Plain Text]11/27/13 7:00 AM Detected Trojan program HEUR:Trojan.Win32.Generic C:/Users/xxx/sjfbtx.exe High [/code]
[code=Plain Text]11/27/13 7:00 AM Detected Trojan program Trojan-Dropper.Win32.Dorifel.actu C:/Users/xxx/botglyrz.exe High [/code]
[code=Plain Text]11/27/13 7:01 AM Detected adware not‑a-virus:AdWare.Win32.Agent.aeph C:/Users/xxx/AppData/Local/Google/Chrome/User Data/Default/File System/000/t/00/00000000//data0005 Medium [/code]
[code=Plain Text]11/27/13 7:03 AM Detected Trojan program HEUR:Trojan.Win32.StartPage C:/Users/xxx/AppData/Local/VirtualStore/Program Files (x86)/v9Soft/v9idg.exe.Tmp//UPX High [/code]
[code=Plain Text]11/27/13 7:07 AM Detected adware not‑a-virus:AdWare.Win32.Agent.aeph C:/Users/xxx/Downloads/Idealne matki (1).exe//data0005 Medium [/code]
Wniosek? Kasperski wykrył szkodliwe programy, które nie przeszkadzały pakietowi NIS. Faktycznie, po uruchomieniu komputera wszystko funkcjonowało normalnie, a i wiatrakowi na CPU ulżyło. Czyżby zawiodły wszystkie reklamowe funkcje symanteka? Według mnie (bezsprzecznie w tym przypadku) punkt dla kasperskiego: wykrył i unieszkodliwił (tutaj miał łatwiej, bo uruchomiony poza zarażonym systemem). Jedyne, co pozostało mi zrobić, to pozamieniać strony startowe w przeglądarkach. Warto więc zastanowić się, gdzie i za co przelewamy nasze pieniądze...