Otestujte si svůj antispyware!
Spycar vznikl v květnu 2006 jako výsledek výzkumného projektu firmy Intelguardians Labs sídlící ve Washingtonu. Na rozdíl od Eicaru (věděli jste, že je jen 68 znaků dlouhý?) nepoužívají pouze jediný vzorek škodlivého kódu, ale testují prostřednictvím použití „vzorců chování“. Jednoduše řečeno sledují, zda váš bezpečnostní software (ať již jde o cokoliv) zareaguje na simulaci některých útoků. Patří mezi ně například pokus o uložení a spuštění neznámého kódu, pokusy o změny v Internet Exploreru či pokus o pharming.
Jak se tedy otestovat? Na stránce Spycar.org sjeďte úplně dolů a po kliknutí na poslední odkaz se přenesete na stránku s klasickou smlouvou ve stylu „Vše děláte dobrovolně, na vlastní nebezpečí a my za nic neručíme“. Další odkaz vás přenese na stránku, kde naleznete celou řadu dílčích odkazů, které již patří samotnému testu.
- Autostart Programs: - odkazy se pokouší stáhnout a spustit kód, který založí nový klíč do různých větví v registry
- IE Config Changes: - odkazy se pokouší změnit některá nastavení v Internet Exploreru (HomePage, SearchPage, odstranit taby v menu Nastavení programu)
- Network Settings: - odkaz se pokouší přidat záznam do c:\windows\system32\drivers\etc\hosts
Je nutno říci, že testovací spyware to nemá vůbec lehké, jelikož se mu staví do cesty kromě antispyware programu samozřejmě i antiviry a samotný prohlížeč, protože odkazy nejsou udělány natolik sofistikovaně, aby obešly dnes již samozřejmé dialogy o pokusu o stažení/spuštění souboru. Pokud tedy skutečně chcete otestovat antispyware a ne prohlížeč, musíte mu vše povolit.
Firefox i IE mě totiž nejdříve nutí soubor uložit (první obrana), pak mě zastavil již po kliknutí na odkaz antivir od Symantecu, který odhalil pokus jako „SecurityRisk.Dropper“ (druhá obrana). Pokud jsem rezident zakázal, spustil se prográmek, který vysvětlil oč jde, založil profil s informacemi („pokus“) o výsledku testu a pak jej zastavil Spyware Terminator jako neznámou aplikaci (třetí obrana). V některých případech se ozval i personální firewall (čtvrtá obrana).
Zkusil jsem také AVG 7.5 a ten zastavil program také, přičemž jej označil jako Trojský kůň Generic5.CXI, pak Spyware.generic.CXI., nebo také jako Not-A-Virus.Test.Spycar. Všechny odkazy/vzorky jsou spustitelné soubory a výše uvedené programy reagují na všechny stejně.
Až si dostatečně vyhrajete, stáhněte si prográmek TowTruck 1.0, který vám udělí skóre a měl by odstranit vylomeniny, pokud Spycar nějaké způsobil. Zajímavé je, že i tento prográmek byl označen antivirem za Security.Risk.Dropper.
Samotný nápad otestovat antispyware pomocí vzorků chování je dobrý, ale bohužel není dotažený. Testy fungují jen pod Windows a ovlivňují jen Internet Explorer. Vzorců chování, které reálný malware skutečně používá, je mnohem více (javascriptové a IFRAME fígly apod.), což vytváří obrovský prostor pro další vylepšování (řekl bych, že i větší automatizaci), ale projekt se zřejmě již dále nevyvíjí.
Poslal jsem ohledně vývoje dotaz autorům a zde je odpověď:
Harry,
thanks for your interest in Spycar. The project itself is not dead. We actually have Spycar 2 and 2.5 ready to roll (we used them in a recent test of endpoint security projects). We will be releasing them soon, but only once we have some time to deal with all of the FUD that comes back from releasing such things.
Again, thanks for your interest,
Mike
Stručný překlad hlavního odstavce:
díky za váš zájem o Spycar. Samotný projekt není mrtvý. Máme právě připraven Spycar 2 a 2.5 (používali jsme je v nedávných testech koncových bezpečnostních projektů). Vydáme je brzy, ale nejdřív se budeme muset vypořádat se vším tím FUDem (zvěsti vzbuzující pochybnosti a nejistotu), který vzniká kolem vydávání podobných věcí.
Zkuste sami a v diskuzi dejte vědět, zda jste nenarazili na nějaký antimalware, který Spycar ještě nezná. A samozřejmě - vše děláte na vlastní riziko! ;-)