Обзор и тестирование программы антикейлоггера Zemana AntiLogger

Zemana antilogger это своеобразный HIPS с ограниченным, или даже узконаправленным, функционалом.
Его цель – шпионское ПО: кейлоггеры, скринлоггеры, шпионы. Сигнатурные базы не используются, работает программа на «голом» поведенческом анализе, не допуская вредоносным программам производить определенные действия. То есть программа отслеживает не все вторжения, а перехваты конкретных функций, будь то захват изображений или видео с экрана, захват звука с системы или микрофона, управление веб-камерой или фиксирование нажатых клавиш. И это не мешает производить мониторинг автозагрузки, то есть и любое другое вредоносное ПО, пытающееся записаться в автозапуск, внедрить шелл-код или установить перехват будет остановлено.

Дистрибутив весит всего 8,5 мб, если округленно. Установка происходит в три клика. Никаких опций или предварительных настроек нет, перезагрузка так же не требуется. Пробная версия позволяет использовать полный функционал в течении 14-ти дней.
Касательно настроек. Изменять их необязательно, разве что можно выставить галочку на пункте проверки цифровой подписи.

Для входа в меню настроек необходимо открыть Zemana Keylogger и кликнуть по пункту «Настройки».

В общем-то все. Никаких плюшек больше нету, в этом достоинство аскетичного интерфейса и скромного функционала программы.
Ресурсов потребляется минимальное количество – около 30 мегабайт оперативной памяти при открытом центре управления.

Для тестирования я использовал свою подборку из актуальных зловредов разных классов (преимущественно кейлоггеры, бэкдоры, ддос-боты и винлокеры) и тестовый набор, предоставляемый организацией matousec, с которого и начнем.
Из всего публичного пакета бинарников zemana смог более менее эффективно блокировать только зловредов классов autoruns, да и то только из первых трех уровней.
Точная статистика, к сожалению потеряна, но общий результат – менее 30%. То есть продукт не в состоянии обеспечить достойной защиты, судя по тестам. Что же на практике?

Затем была взята подборка реальных угроз, в которую входили следующие зловреды:

• Кейлоггеры. Использовались образцы как старых, так и продаваемых ныне представителей класса.
• Винлокеры. Тоже нескольких поколений, включая зарубежные образцы.
• Руткиты и буткиты. Alureon, Tdss, Zaccess, Mayachok, Sinowal.
• Банковские трояны и формграбберы. Zeus, Spyeye, Carberp, Ice9, Pinch, UFR stealer.
• Файловые вирусы. Parite, Sality.
• ДДоС-боты. Optima, G-bot, Zapadlo, Armageddon, dirt jumper, ngrbot.
• Черви. Morto, Radminer, Kolab, Phorpiex, skonk.
• Бэкдоры – xtreme, darkcomet, cybergate, spynet.

Красным цветом я отметил те вирусы, чьи попытки увенчались успехом, и система была поражена, а зловред закрепился в системе.
Зеленым – полностью обезвреженную атаку.
Не выделеныцветом спорные случаи.

Подробнее:
Кейлоггеры.
Эффективно отлавливаются Zemana из-за небогатого выбора среди возможной реализации функционала. Перехват клавиш, он и в африке перехват.

Частично бэкдоры.
Вообще с бэкдорами сложная ситуация. Если настройки бэудора предписывали ему записываться в автозагрузку, внедряться в процессы или производить захват нажатых клавиш/снимков с экрана, то продукт Zemana на них реагировал. Если это был просто удаленный доступ к системе, то атака происходила успешно.
так же были пресечены попытки записи в автозапуск у всех винлокеров и ддос-ботов G-bot, Zapadlo, ngrbot.

Боты, устанавливающиеся не через сервисы.
Сработал контроль автозагрузки.

Банковские трояны и винлокеры
Смогли запуститься, но не были записаны в автозагрузку, что тем не менее позволило им нанести вред системе.

Вся проблема в том, что в дикой природе большинство перечисленных зловредов распространяются не в чистом виде, а в зашифрованном. При шифровании одним из атрибутов при запуске является внедрение кода в свой же процесс, что позволяет отловить с помощью Zemana около 70% массово распространяемых вредоносных программ. Однако в чистом виде против тех же образцов программа будет уже бессильна, а такие тоже встречаются, пусть реже.
Вердикт тут может быть только один – программа не способна обеспечить должную защиту в одиночку, ее следует комбинировать с антивирусом.

От чего вообще способна защитить программа:

• Запись в автозапуск через реестр. Используется мониторинг только за «банальными» ветками.
• Внедрение кода в процесс. Да, от публичных методов сокрытия и внедрения вредоносного кода программа защищает в более чем половине случаев.
• Уже указанные выше перехваты клавиатуры картинки, видео и звука. Против кейлоггеров и скрин-логгеров программа действительно работает качественно.
• Установка драйверов ядра Windows. Помогает от 80% старых руткитов и от некоторых образцов современного вирьмейкерства.

От чего программа не в состоянии защитить:

• Изменения в файловой системе.
  То есть копирование, удаление, создание – любые изменения файлов программа не отслежиает. Получается, что ни от файлового вируса, ни от других деструктивных зловредов Zemana не поможет.
  Отсюда же вытекает и следующий пункт.
• Автозагрузка через папку «Автозагрузка» в главном меню пользователя.
• Запуск или завершение процессов. Программа контролирует внедрение, но не манипуляции с процессами. Себя программа тоже частенько не в состоянии обеспечить должным уровнем защищенности – процесс легко закрывается, с применением некоторых трюков.
• Создание служб.
  Непозволительная оплошность, ряд файлов, которые блокируются другими откровенно слабыми продуктами преспокойно работают в системе с установленным Zemana antilogger.
• Отключение системы. Программа не контролирует комманды на отключение системы, завершение сеанса пользователя или перезагрузку компьютера.
• Удаление данных из реестра.
  Данные, попадающие в реестр проверяются только для типичных веток реестра, используемых вредоносными программами, все остальные изменения игнорируются.
• Захват контроля над экраном, мышью и клавиатурой.
  Это я про винлокеры, программа не даст винлокеру записаться в автозагрузку, но он все равно откроется.
  При чем от троянцев, которые отправляют злоумышленнику скриншоты, сделанные в пораженной системе, Zemana защищает. Странно, что винлокеры продукту не по зубам.
• Сетевая активность.
  Этого и не обещано, но сейчас распространены такие троянские программы, которые воруют конфиденциальные данные. Для пресечения кражи необходимо оперативно блокировать работу с сетью для подозрительных программ.

Вот как-то так. Мое мнение субъективно, но я не поставил бы этот продукт, как основное средство защиты системы от вредоносных программ.

Спасибо Onthar за интересный обзор программы Zemana AntiLogger.
http://onthar.in/articles/zemana-antilogger-obzor/
Советую посетить блог onthar.in