Cylance против Sality
Всем привет. В преддверии старта курса «Реверс-инжиниринг 2.0» подготовили еще один интересный перевод.
Sality терроризирует пользователей компьютеров с 2003 года, когда персональные цифровые помощники (PDA или КПК) делали заголовки технических изданий, а офисные ПК работали под управлением Windows XP. За прошедшие годы пользователи успели обменять свои КПК на смартфоны, а настольные компьютеры перешли на новые операционные системы и цифровые решения для рабочих мест. Sality, однако, пережил бешеный темп технологических инноваций и продолжает угрожать организациям по сей день.
Вирус Sality заражает локальные исполняемые файлы, сменные носители и удаленно используемые диски. Он создает одноранговый(P2P) ботнет, который облегчает загрузку и выполнение других вредоносных программ. Sality может выполнять внедрение вредоносного кода и изменять свою точку входа для принудительного выполнения кода. Это вредоносное ПО остается жизнеспособным, перенимая успешные стратегии других угроз, включая такие методы, как руткит/бэкдор, кейлоггинг и червеподобное распространение.
Анализ цепочки атаки
Анализ Sality
Наш анализ начинается со скриншота файла службы Защитника Windows, зараженного вредоносным кодом. Обратите внимание на вредоносный код, внедренный в последний раздел этого файла (рисунок 1):
Рисунок 1: В последней строке показан исполняемый файл чтения/записи
Sality создает три копии себя. Первая копия сохраняется в папке %AppData%\local\temp\ (рисунок 2) и внедряется в процесс проводника (рисунок 3):
Рисунок 2: Первая копия Sality сохраняется в папке %temp% с именем xelag.exe
Рисунок 3: В процесс проводника внедряется вредоносный процесс ( xelag.exe )
Вторая копия этой вредоносной программы сохраняется в папке %AppData%\local\temp\%random_folder_name%\ с именем WinDefender.exe (рисунок 4):
Рисунок 4. Вторая копия Sality с именем WinDefender.exe
Третья копия Sality сохраняется в виртуальной памяти удаленного процесса в папке %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Download_Manager.exe (Рисунок 5):
Для обеспечения устойчивости Sality изменяет системный реестр (рисунок 6):
Рисунок 6: Sality записывается в системный реестр.
Затем вирус пытается установить P2P подключение для загрузки дополнительных вредоносных программ (Рисунок 7):
Рисунок 7: Sality обращается к подозрительным IP для получения большего количества вредоносного ПО
Когда жертва перезагружает компьютер, все три копии вредоносного ПО внедряются в explorer.exe (рисунок 8):
Рисунок 8: Все три копии Sality внедряются в процесс проводника.
Почему Sality важен и почему я должен быть обеспокоен?
Sality дебютировал в том же году, когда Apple открыла магазин iTunes, а кинотеатры собрали кассу на «Возвращении короля». Он остается угрозой и сегодня. Только одна долговечность вируса Sality является свидетельством его эффективности, модернизируемости и адаптируемости. Любое вредоносное ПО, все еще жизнеспособное через полтора десятилетия после его первоначального обнаружения, не должно быть вне поля зрения пользователей и специалистов по безопасности.
По сравнению с Nemucod, Sality является более полнофункциональным и зрелым примером вредоносного ПО. Он имеет длинную историю изменений, которые указывают на разнообразный набор вариантов использования с возможностью развертывания Sality в зависимости от целей и сложности атаки. Сопоставляя возможности Sality с категориями тактики MITER ATT & CK, эта вредоносная программа способна играть роль на каждом внутреннем этапе цепочки атак после выполнения, а это означает, что Sality требуется метод доставки в среду, прежде чем он сможет приступить к работе.
При необходимости Sality может выступать в качестве основного операционного агента, предоставляя злоумышленнику основной набор функций для выполнения различных действий над целью, ориентированных на сохранение и расширение доступа. Он также имеет возможность модульной загрузки дополнительных функций по мере необходимости злоумышленника. Гибкость, предлагаемая этим базовым набором функций, делает Sality подходящим для широкого спектра наступательных кампаний.
Гибкость, предоставляемая в таких распространенных вредоносных программах, как Sality, предлагает более искусным злоумышленникам возможность скрыть активность и намерения целенаправленной атаки под видом широкой, неизбирательной кампании. Атакующий может использовать возможности Sality в первой волне целевой атаки, устанавливая точку опоры в окружающей среде. Благодаря такому доступу злоумышленник может открыть более изощренное или губительное вредоносное ПО после того, как он оценит операционный риск на основе защитной позиции цели.
Cylance останавливает Sality
Пользователи CylancePROTECT будут рады узнать, что мы обнаруживаем и предотвращаем Sality до его запуска. Предотвращая запуск Sality, мы защищаем наших клиентов от этой мастистой вредоносной программы и множества других угроз, которые она стремится развернуть. Sality может и является долгожителем, но он не выживет на машинах, защищенных CylancePROTECT.
Cylance выпускает продукт будущего для борьбы с вредоносным кодом
Нечасто случается увидеть нечто новое в области безопасности. Большинство новых продуктов, упоминаемых в собранных мною пресс-релизах, представляют собой вариации уже имевшегося ранее. Иногда появляются важные усовершенствования, иногда — новые интересные названия, но в большинстве случаев речь идет о незначительных улучшениях, не более того.
Поэтому я был настроен довольно скептически, наблюдая, как журналисты ведут допрос с пристрастием главного технолога компании Cylance во время основного заседания конференции Global Cloud Innovation Summit, проходившего 23 апреля в фешенебельном районе яхт-клуба Corinthian в г. Тибурон, шт. Калифорния. Гленн Чисхолм рассказывал о необходимости обеспечения подлинной безопасности оконечных точек в облачной среде. Хакеры, говорил он, могут добраться до облачного сервиса компании только через ее оконечные точки. Иными словами, через ее компьютеры. Поэтому, объяснял он, необходимо защищать оконечные точки.
Проблема защиты оконечных точек отнюдь не нова, хотя большинство организаций не слишком задумывается об этом. Но, возможно, следовало бы. Между тем главная особенность продукта компании Cylance, получившего название Protect, заключается не в том, что он защищает оконечные точки, а в том, как он это делает. По словам Чисхолма, компания строит математическую модель, как должно работать ПО, а затем не позволяет запускать ничего другого. Результатом является защищающая от вирусов и вредоносного кода программа, которой необходимо лишь 30 Мб дискового пространства и которая не нуждается в частых обновлениях. Нет огромной базы данных сигнатур вирусов для сверки и ничего такого, что может устареть.
«Мы предоставляем возможность решать, какое ПО оконечная точка исполняет, а какое нет, — сказал Чисхолм в последовавшей беседе. — Программа принимает решение, и если встречается что-то сомнительное, она не позволит это запустить».
Как же ПО Cylance Protect принимает решение? Отчасти формирует его на основе математической модели, отчасти использует машинное обучение, чтобы определять, что надлежит запускать, а что нет. Чисхолм сказал, что Cylance производит обновления, но только когда модель совершенствуется с целью повышения производительности.
Производительность, похоже, очень важна для инженеров Cylance. Вместо создания большой нагрузки на процессор при использовании антивируса (все мы сталкиваемся с этим) ПО Cylance не влияет на производительность оконечной точки. Обновления нужны в основном для того, чтобы ПО работало еще лучше.
В этом месте я должен добавить, что представление Cylance об оконечной точке несколько отличается от общепринятого. Для Cylance оконечная точка это практически любой компьютер в сети, включая рабочие станции и серверы.
Работа ПО заключается в изучении кода, в отношении которого предпринимаются попытки его запуска на компьютере (не важно, предпринимается такая попытка напрямую с компьютера или после загрузки кода из Интернета). ПО анализирует внутреннюю работу кода и проверяет, как он себя представляет. Это значит, по словам руководителя службы маркетинга Грега Фитцджеральда, что документ Word не должен содержать исполняемый код, что код, представляющий себя в качестве приложения, должен иметь интерфейс пользователя, а драйверы не должны быть исполняемыми файлами. «Если нечто имеет иконку, говорящую, что это файл Word, то это и должен быть файл Word», — сказал он.
Фитцджеральд отметил также, что ПО Cylance Protect может сосуществовать с другими программами для борьбы с вирусами и вредоносным кодом. Во многих случаях политика организации требует другого ПО или оно устанавливается по контракту и не может быть удалено, даже если в нем больше нет необходимости, сказал Фитцджеральд. После установки Protect, добавил он, практически прекращаются звонки в службу технической поддержки по поводу связанных с антивирусами проблем.
К сожалению, при в целом благополучной ситуации здесь есть и свои проблемы. Главная заключается в том, что не каждый может купить Cylance Protect. Фитцджеральд сообщил по электронной почте, что в настоящее время только крупные предприятия могут покупать ПО напрямую у Cylance, тогда как малый и средний бизнес должен обращаться к реселлерам. Частным лицам оно сейчас не продается.
Компания находится в процессе расширения зоны охвата и типов оборудования, на котором работает ее ПО, сказал Фитцджеральд. В настоящее время это оборудование включает компьютеры под управлением Windows и несколько устройств защиты. Но вскоре ПО появится на компьютерах с Apple OS X и Linux. Планируется также поддержка мобильных устройств с Android и Windows, сказал он. Но сейчас нет планов выпуска версии продукта для iOS.
Хорошая новость в том, что купившие ПО организации смогут, как утверждается, быстро и легко его установить. Фитцджеральд сказал, что для установки или управления им не требуется знать ИТ. Он отметил, что Protect предотвратит исполнение вредоносного кода, сопровождающего фишинговые атаки, и что ПО способно распознать такие вещи как вредоносный код Crypto Lock и не допустить его исполнения.
В некоторых отношениях Cylance Protect имеет сходство с другим ПО для борьбы с вредоносным кодом, таким как Malwarebytes, но есть и существенные отличия. В частности, Protect не требует обновления своей базы данных, поскольку не использует таковую. Это делает его идеальным для компьютеров, которые не могут или не должны получать частые обновления. К ним относятся многие машины, содержащие конфиденциальную информацию, риск утраты которой через подключение к Интернету слишком велик.
Но можно ли про данную технологию сказать, что за нею будущее безопасности оконечных точек? Увидим. Я запросил копию ПО, чтобы выяснить это. Тем временем Cylance проводит ряд демонстраций, в ходе которых ее инженеры сознательно загружают вредоносный код, чтобы посмотреть, сможет ли Protect его обнаружить. До сих пор получалось.
Врач объяснил, как расшифровать свои анализы на антитела к COVID-19
С результатами подобных анализов корреспондент «Российской газеты» обратилась к сертифицированному специалисту по физической реабилитации, члену Европейской ассоциации амбулаторной реабилитации Леониду Дьякову.
Антитела: иммунный ответ
Леонид Леонидович, в лаборатории люди получают результаты исследования, естественно, безо всяких комментариев. Их отправляют к врачам. Но к ним сейчас пробиться нелегко, да и не каждый рискует сидеть в очередях. В итоге человек мучительно вглядывается в непонятные обозначения, думает, плохо это или хорошо. Расскажите, что значит: «Антитела обнаружены».
Тест на антитела может показать, сталкивался ли человек с коронавирусом, даже если симптомов COVID-19 у него не было. Если антитела обнаружены, значит, организм среагировал на встреченный вирус. Они могут сохраняться, даже если самого вируса в организме уже нет. Этот тест говорит только о том, что произошел некий иммунный ответ.
Таким образом, выявление антител в крови является информативным свидетельством текущего или прошлого инфекционного процесса и помогает выявить стадию развития инфекции.
Обнаружение IgM указывает на недавнее инфицирование SARS-CoV-2. Они появляются непосредственно после контакта с носителем вируса, на третий-четвертый день. Через семь-десять дней они уже точно присутствуют в крови.
Потом они «стареют»?
Леонид Дьяков: Общий период вероятного выявления антител класса M не превышает двух месяцев. В течение этого времени IgM антитела постепенно полностью сменяются на IgG. Последние начинают формироваться в среднем на 21-й день.
Если еще есть IgM, и уже появились иммуноглобулины класса G, то это означает позднюю инфекцию. Просто IgM еще не сошли на нет.
Получается, наличие IgM не обязательно говорит об активной инфекции?
Леонид Дьяков: Да. Эти антитела могут выявляться и на стадии выздоровления.
Когда в крови выявляются только IgG, это говорит о том, что пациент выздоровел, и у него сформировался иммунитет к SARS-CoV-2. Если уровень IgG достаточно высок, то можно стать донором иммунокомпетентной плазмы. Например, IgG больше 40, а IgM больше 1,5, либо IgG больше 80, а IgM равно нулю.
То есть, если в крови выявлены обе группы антител, это означает, что человек уже выздоравливает?
Леонид Дьяков: Совершенно верно. Еще раз повторю: иммуноглобулины М говорят о том, что человек в данный момент болеет коронавирусом. Это не обязательно тяжелые формы, состояние может быть и бессимптомным. А иммуноглобулины G говорят о том, перенес ли он коронавирусную инфекцию в прошлом.
Далее, в графе «Дополнительная информация», вообще непонятная шифровка. А чем непонятнее, тем ведь страшнее. К примеру, вот передо мной результаты, переданные одним пациентом: «ОПсыв 0,0338; КП 1,45». Что кроется за этим?
От чего зависит количество антител в организме?
Лучше не болеть
Заразен ли человек, чей анализ мы расшифровываем?
Леонид Дьяков: По данному тесту нельзя определить, заразен ли еще человек. В принципе, с такими показателями, которые вы предоставили, пациент не заразен.
Но чтобы достоверно знать это, следует все же сдать еще мазок. Именно он покажет, выделяется ли вирус во внешнюю среду. Если он будет отрицательный, то человек стопроцентно не заразен. Без этой уверенности я бы рекомендовал соблюдение мер социальной дистанции и индивидуальной защиты даже в случае обнаружения только антител класса IgG.
А вы верите в то, что все должны переболеть, и тогда с эпидемией будет покончено?
Леонид Дьяков: В этом, конечно, есть логика. Но проблема в том, что вирус дает достаточно серьезные осложнения. И не все болеют в легкой или бессимптомной форме.
Люди, узнавшие что у них обнаружены антитела, начинают думать, когда же, где подхватили заразу. Вспоминают, когда болели. Может ли данный тест показывать антитела не только на COVID-19, но и на перенесенные другие ОРЗ или ОРВИ?
Леонид Дьяков: Исключено. Это специфичный тест именно на антитела к коронавирусной инфекции.
Человек припомнил, что сильно болел в феврале, ему было очень плохо. Мог тогда быть коронавирус?
Леонид Дьяков: Иммуноглобулин G с тех пор не сохранился бы.
То есть, носители антител могут, в принципе, радоваться, что переболели коронавирусом, практически не заметив этого?
Леонид Дьяков: Те, кто переболел легко или бессимптомно, вырабатывают низкий уровень иммуноглобулина G и могут заболеть повторно.
Чем тяжелее протекает заболевание, тем больше антител произведет иммунная система, и тем дольше они проживут в крови после болезни.
Однако есть информация, что сохраняются так называемые клетки памяти. Организм запоминает, как вырабатывать эти антитела, при каких условиях и в каком количестве. И в случае повторного контакта с вирусом организм начинает синтезировать IgG-антитела значительно быстрее, не за 21 день, а за три. И они способны «смягчать» течение заболевания, препятствовать развитию тяжелых осложнений.
Дышите глубже
Получается, что в принципе сдавать тест на антитела и не совсем нужно. Какая разница, болел человек или нет, если этого особо и не заметил, а никаких таких преимуществ наличие антител не дает. Все так же нужно предохраняться от заражения…
Леонид Дьяков: Мое личное мнение, если человек чувствует себя хорошо, особой надобности в тестировании нет. Ведь с тем же успехом можно поискать у себя вирус герпеса и другие.
Однако тестирование поможет решить проблему в более глобальном масштабе, выработать стратегию борьбы с коронавирусом, поскольку по количеству иммунных людей можно спрогнозировать, когда случится спад эпидемии.
Что делать тем, у кого обнаружены антитела класса IgM?
Леонид Дьяков: Если нет явных признаков заболевания, нужно побольше двигаться, гулять на свежем воздухе, дышать полной грудью, чтобы работали легкие, а кислород циркулировал в крови.
Все материалы сюжета «COVID-19. Мы справимся!» читайте здесь.
Cylance Smart Антивирус Обзор
Cylance Smart Antivirus — это легкое антивирусное решение от Cylance Inc, поставщика средств защиты на основе искусственного интеллекта, недавно приобретенного Blackberry за 1,4 миллиарда долларов.
Пакет не обнаруживает угрозы по сигнатуре файла, вместо этого он использует «механизм искусственного интеллекта» для активной идентификации угроз.
Такой подход значительно снижает любое влияние на производительность вашей системы. Например, Smart Antivirus не нужно регулярно загружать массивные файлы определений или загружать жесткий диск, чтобы выполнить полное сканирование системы. У него даже нет кнопки «Сканировать»: все, что вам нужно сделать, это оставить программу включенной, позволить ей проверять исполняемые файлы по мере их доступа или запуска, и любые угрозы должны быть заблокированы, прежде чем они смогут нанести какой-либо ущерб.
Такой подход значительно снижает любое влияние на производительность вашей системы. Например, Smart Antivirus не нужно регулярно загружать массивные файлы определений или загружать жесткий диск, чтобы выполнить полное сканирование системы. У него даже нет кнопки «Сканировать»: все, что вам нужно сделать, это оставить программу включенной, позволить ей проверять исполняемые файлы по мере их доступа или запуска, и любые угрозы должны быть заблокированы, прежде чем они смогут нанести какой-либо ущерб.
Варианты ценообразования просты: три плана покупки различаются только по количеству устройств, которые они покрывают.
Персональный план покрывает одно устройство (Windows или Mac) и стоит 29 долларов США (22,31 фунтов стерлингов) в течение одного года, 49 долларов США (37,69 фунтов стерлингов) в течение двух лет.
План домашнего хозяйства покрывает до пяти устройств и стоит 69 долларов США (53,07 фунтов стерлингов) на один год, 109 долларов США (83,85 фунтов стерлингов) на двоих.
Семейный план позволяет использовать Smart Antivirus на 10 устройствах за 99 долларов США (76,15 фунтов стерлингов), выплачиваемых ежегодно, или 149 долларов США (114,62 фунтов стерлингов) с возможностью двухлетней оплаты.
Это хорошая ценность, если вы работаете с одним компьютером, не так много, если вы работаете с несколькими устройствами. Bitdefender Antivirus Plus стоит относительно дорого 38,99 долл. США (29,99 фунтов стерлингов) за одно устройство, например, на годовую лицензию, но при значительном снижении дисконтирования это означает, что устройство на десять устройств, двухлетняя лицензия стоит всего 116,99 долл. США (89,99 фунтов стерлингов) и всего 162,49 долл. США (£) 124.99) более трех лет. Это может означать оплату минимум 5,41 доллара в год за устройство.
К сожалению, для Smart Antivirus пробной версии нет. Cylance предлагает 30-дневную гарантию возврата денег, но на странице EULA указано, что это более условно, чем обычно, и вы не обязательно получите свои деньги обратно, если компания не согласится с нарушением ее ограниченной гарантии (« Лицензионное программное обеспечение будет работать в основном в соответствии с Документацией, предоставленной нами в связи с этим Программным обеспечением на момент покупки. «) Мы не знаем, будет ли Cylance всегда использовать этот стандарт при решении вопроса о возврате, но выглядит как они могли, и это легкое беспокойство.
Настроить
Начало работы с Cylance Smart Antivirus начинается с выбора предпочтительного плана и выдачи наличных.
После создания учетной записи Cylance вы можете войти в веб-консоль Smart Antivirus, где расположены большинство функций управления программой.
Добавьте текущее устройство в свою учетную запись, и на веб-сайте появятся клиенты Smart Antivirus для Windows и Mac.
Мы загрузили и установили сборку Windows всего за несколько секунд. По современным стандартам он оказался относительно легким: для Smart Antivirus требовалось менее 180 МБ дискового пространства, а для его двух фоновых процессов обычно требовалось менее 60 МБ ОЗУ.
Конечно, для этого недостатка ресурсов есть веская причина: Smart Antivirus предназначен только для антивирусов, и даже это проще, чем большинство приложений.
Здесь нет фильтрации URL-адресов, например, нет блокировки от спама, нет специальной банковской защиты, нет менеджера паролей, нет файлового шредера или каких-либо других дополнительных функций безопасности, которые вы часто будете видеть в других местах.
Smart Antivirus разработан для того, чтобы быть настоящим инструментом «установил и забыл», и в идеале, после того, как вы его установили, вы больше никогда не будете смотреть на интерфейс программы. Эта философия не всем понравится, но нет сомнений, что она упрощает жизнь, и после установки вы сможете продолжить свою компьютерную жизнь как обычно.
Характеристики
Smart Antivirus обладает удивительно коротким списком функций, как мы уже обсуждали, и существует очень мало способов управления или взаимодействия с пакетом.
Например, программная консоль отображает только основную информацию о состоянии: журнал событий и список любых карантинных угроз. Вы ничего не можете сделать с этими данными, кроме как посмотреть на них, и даже тогда, это не имеет такого большого смысла, как хотелось бы.
Панель «События» изначально отображала журнал значительных открытий и действий, например, как мы и ожидали. Но в тот же день все это исчезло. Мы могли бы взглянуть на вкладку Угрозы, чтобы увидеть список файлов на карантине, но в области «События» не было ничего, что могло бы дать нам какое-либо объяснение или контекст.
Опытные пользователи, возможно, захотят продолжить изучение файла на карантине, но Cylance не предлагает никакой помощи, кроме возможности «Открыть местоположение файла». Щелкните правой кнопкой мыши файл на карантине, и все, что вы увидите, это параметр «Свойства файла», и даже он был постоянно недоступен для нас.
По умолчанию других локальных опций нет. В Smart Antivirus нет кнопки «Сканировать», поскольку он автоматически обнаруживает исполняемые файлы и обрабатывает их по мере обращения к ним. И у него нет локальных настроек, кроме возможности включать или выключать уведомления.
Программа имеет «расширенный режим» с несколькими дополнительными функциями, хотя это очень глубоко скрыто. Вместо того, чтобы иметь что-то вроде пункта меню «Расширенный режим», который вы можете выбрать и отменить, Cylance ожидает, что пользователи перейдут в онлайн, найдут ссылку на руководство по Smart Antivirus, не заметят или не позаботятся о том, что оно на самом деле называется «CylanceProtect Home Edition», найдите информацию о «расширенном режиме», затем измените ярлык Cylance, добавив ключ командной строки «-a», и перезапустите программу.
Любой, кому удастся это сделать, найдет множество новых опций для запуска фонового сканирования или сканирования определенных папок, регистрации дополнительной или другой информации или удаления файлов, помещенных в карантин. Они очень простые и плохо представлены в интерфейсе, они спрятаны в нижней части контекстного меню значка на панели задач, но мы все равно рады их видеть.
Зайдите на веб-панель управления Cylance, и вы найдете несколько других настроек. Помимо возможности включать или выключать автоматическую защиту, интерфейс предполагает, что он может помочь вам управлять файлами, помещенными в карантин, и управлять безопасным списком, где теоретически вы можете вносить в белый список файлы, которые Smart Antivirus может обнаружить, но вы уверены, что безопасный.
Это работает, но более громоздко, чем вы ожидаете от локального клиентского интерфейса.
Например, на странице «Как создать список из файла» вас попросят вручную ввести SHA256 вашего целевого файла в веб-форму. Если, понятно, что пользователь не имеет представления о том, что такое SHA256 (по сути, подпись для файла), на этой странице решительно предлагается временно отключить защиту, чтобы разрешить запуск файла.
Итак, давайте будем ясны. Cylance скрывает полезную функцию на веб-странице; это делает процесс смехотворно сложным; и вместо того, чтобы реализовывать или объяснять способ упростить это (например, вручную копируя SHA256 с локального клиента в буфер обмена), он предлагает пользователям отключать свою собственную защиту каждый раз, когда они хотят запустить программу.
Это не все. Несмотря на то, что страница называется «Как создать список из надежных файлов», это относится к процессу добавления файла в список карантина. На панели инструментов нет возможности вручную добавить файл в список надежных отправителей, как мы пишем. Четырехмесячный пользовательский комментарий на странице объясняет это и добавляет другие разумные идеи, но Cylance, похоже, внесла только одно изменение в ответ: он отключил возможность комментировать кому-либо еще на странице.
Мы подозреваем, что эти принципы проектирования исходят от корпоративных продуктов Cylance, где ограничение того, что пользователи могут делать локально, является очень хорошей идеей, возможность управлять ими из центральной веб-консоли — еще один важный плюс, и администраторы точно знают, что означает SHA256. Однако потребительский мир — это совсем другое место, и, похоже, у Cylance есть много работы, прежде чем он начнет понимать, чего ожидают домашние пользователи.
защита
Важно понять, насколько хорошо любой антивирус защищает от угроз, и обычно мы обращаемся к AV-Comparatives, AV-Test и другим лабораториям тестирования, чтобы помочь нам выяснить это. Но это не вариант здесь, потому что Cylance не тестировалась ни в одной из крупных лабораторий в течение нескольких лет. (Компания обвинила лаборатории в плохой практике, но у нас нет места, чтобы справиться с этим; тестирование Search Cylance для фона.)
Наши собственные мелкомасштабные тесты не могут конкурировать с лучшими лабораториями, но мы оснастили виртуальную машину 20 образцами вредоносных программ и решили выяснить, как будет работать Cylance Smart Antivirus. Результаты были впечатляющими: все 20 были заблокированы до того, как они могли работать (наши реальные образцы вымогателей не смогли зашифровать один файл).
Единственной маленькой проблемой был один ложный положительный результат от нашей собственной программы. Это было неожиданностью, потому что это маленькое простое приложение, не делающее ничего даже немного опасного, и никогда не было помечено каким-либо другим антивирусом, который мы рассмотрели. Но это был единственный файл, в котором у нас возникла проблема, и как только мы восстановили его из карантина, мы могли запустить файл как обычно.
В качестве финального теста мы запустили наш собственный симулятор вымогателей в системе с защитой от Cylance и ждали, что же произойдет. Поскольку это был пользовательский код, Smart Antivirus никогда бы его не увидел, что сделало бы его более интересным тестом поведения. И результаты были немного разочаровывающими, так как наш симулятор позволил запустить его до конца, зашифровав тысячи тестовых файлов.
Хотя это не может сравниться с производительностью продуктов Bitdefender и Kaspersky, которым удалось остановить наш симулятор и восстановить любые зашифрованные файлы, мы не помечаем какой-либо антивирус значительно за его игнорирование. Эта ошибка должна быть небольшой проблемой, но реальность такова, что Smart Antivirus без труда заблокировал все наши настоящие образцы вымогателей, и этот тест важнее всего.
Окончательный вердикт
Cylance Smart Antivirus хорошо показал себя в наших простых тестах на вредоносное ПО, но мы бы хотели, чтобы основные лаборатории проверили его, чтобы получить полное представление о его возможностях. Реконструкция неуклюжего и разочаровывающего интерфейса также будет приветствоваться, хотя, если вы можете с этим смириться, пакет заслуживает более внимательного изучения.
