こんばんは、皆様。
それでは今回の投稿にまいりましょう。
【スポンサーリンク】
ウイルス定義にないマルウェアの検出実験
さて本日の記事はウイルス定義にないマルウェアについて、各セキュリティソフトはどのように検出できるかという検証についてです。
本日の夕方、たまたまfake avの亜種らしい検体が手に入りましたので左記を利用して検証を行いました。以下、検体の概要です。
検体名 system progressive protecion
このfake avはLive Security Platinum の流れを汲む新型のfake avです。感染するとインストールされているアプリケーションの起動等を強く阻害されます。今回の検体についても実行後にaviraが瞬間的に無効化されてしまいました。
さて検体採取時のvirustotalの結果です。
上記のようにほとんどのセキュリティベンダーで対応できていませんでした。今回、検証を行った際もリアルタイムスキャンで検出できたベンダーは皆無でした。そこで検体を実行後に各セキュリティソフトがどの程度阻止できるかを検証しています。
それでは以下に結果を書いていきます。
検証環境 windows 7 32bit
なおセキュリティソフトの設定はデフォルトです。
1、スーパーセキュリティzero ver16
検体を実行後、アクティブウイルスコントロール(振る舞い検知)にて疑わしいファイルとして検出→遮断する。 その後、正式にマルウェアとして検出し削除されました。左記の間、すべて自動で処理され感染することはありませんでした。素晴らしいですね。
2、ウイルスバスター・クラウド
ウイルスバスターについては設定でファイアウォールチューナーを有効化。しかし検体実行後、何も反応なし。そのままあっさりと感染を許しました。一切の警告画面も表示されず…。侵入検知システムついているはずなのに…。なお、今回の検証において何の反応も示さなかったのはウイルスバスターのみです。
3、カスペルスキーインターネットセキュリティ2013
検体実行後、残念ながらマルウェアとして検出することが出来ず。しかしマルウェア本体の起動画面等の感染症状が出現せず。調べてみると検体について自動的にアプリケーションルールを作成し動作・通信を制御していた模様。マルウェアとして検出は出来ないが、感染自体は押さえ込めている。
4、f-secure internet security 2013
検体実行後、検体の挙動をディープガードにて検出成功する。警告画面にて拒否すると感染を防ぐことが出来た。しかし警告画面の表示はユーザへの依存度が高いため、何でも許可してしまう人には向かないですね。左記の点は今後の改善点かもしれません。
5、ウイルスセキュリティzero
検体実行後、即ヒューリスティックにて怪しいファイルとして検出→隔離となる。検出できたことは評価するも、ウイルスセキュリティzeroではヒューリスティックの誤検出も多いので更なる改善を期待しています。
6、alyac internet security free
デフォルト設定のままでは残念ながら検体を実行するとそのまま感染を許してしまいました。そこでファイアウォール設定の送信制限を有効にしたところ、レジストリの一部の改ざんを許すもののマルウェア本体の感染は阻止することが出来ています。そういえばパッケージ版がPCデポでも販売されていましたね。
7、ノートンインターネットセキュリティ2013
検体実行後、ソナー機能(ファイル印サイト)にて検出→削除することが出来ました。左記の間、全て全自動で素晴らしいですね。ユーザ数の多いノートンの強みですね。
以上が結果となります。検出手段についても各セキュリティソフトの特徴が反映されていたのではないでしょうか。なお検証終了後に検体を再度virustotalにかけますとカスペルスキーはすでに対応済みでしたね。マルウェアへの対応スピードが速いのもカスペルスキーの特徴のひとつですね。
【スポンサーリンク】
あとがき
さて今回の投稿は以上となります。
今回の投稿で記載する記事以外のセキュリティソフトの使い方に関連する記事に興味がある方は、ぜひ一度以下のセキュリティソフトの使い方に関連する記事のまとめを参照してください。
<セキュリティソフトの使い方に関連する記事のまとめ>
1、URL
それでは以上です。