Zemana antilogger это своеобразный HIPS с ограниченным, или даже узконаправленным, функционалом. Его цель – шпионское ПО: кейлоггеры, скринлоггеры, шпионы. Сигнатурные базы не используются, работает программа на «голом» поведенческом анализе, не допуская вредоносным программам производить определенные действия. То есть программа отслеживает не все вторжения, а перехваты конкретных функций, будь то захват изображений или видео с экрана, захват звука с системы или микрофона, управление веб-камерой или фиксирование нажатых клавиш. И это не мешает производить мониторинг автозагрузки, то есть и любое другое вредоносное ПО, пытающееся записаться в автозапуск, внедрить шелл-код или установить перехват будет остановлено.
Дистрибутив весит всего 8,5 мб, если округленно. Установка происходит в три клика. Никаких опций или предварительных настроек нет, перезагрузка так же не требуется. Пробная версия позволяет использовать полный функционал в течении 14-ти дней.
Касательно настроек. Изменять их необязательно, разве что можно выставить галочку на пункте проверки цифровой подписи.
Для входа в меню настроек необходимо открыть Zemana Keylogger и кликнуть по пункту «Настройки».
В общем-то все. Никаких плюшек больше нету, в этом достоинство аскетичного интерфейса и скромного функционала программы.
Ресурсов потребляется минимальное количество – около 30 мегабайт оперативной памяти при открытом центре управления.
Для тестирования я использовал свою подборку из актуальных зловредов разных классов (преимущественно кейлоггеры, бэкдоры, ддос-боты и винлокеры) и тестовый набор, предоставляемый организацией matousec, с которого и начнем.
Из всего публичного пакета бинарников zemana смог более менее эффективно блокировать только зловредов классов autoruns, да и то только из первых трех уровней.
Точная статистика, к сожалению потеряна, но общий результат – менее 30%. То есть продукт не в состоянии обеспечить достойной защиты, судя по тестам. Что же на практике?
Затем была взята подборка реальных угроз, в которую входили следующие зловреды:
- Кейлоггеры. Использовались образцы как старых, так и продаваемых ныне представителей класса.
- Винлокеры. Тоже нескольких поколений, включая зарубежные образцы.
- Руткиты и буткиты. Alureon, Tdss, Zaccess, Mayachok, Sinowal.
- Банковские трояны и формграбберы. Zeus, Spyeye, Carberp, Ice9, Pinch, UFR stealer.
- Файловые вирусы. Parite, Sality.
- ДДоС-боты. Optima, G-bot, Zapadlo, Armageddon, dirt jumper, ngrbot.
- Черви. Morto, Radminer, Kolab, Phorpiex, skonk.
- Бэкдоры – xtreme, darkcomet, cybergate, spynet.
Кейлоггеры.
Эффективно отлавливаются Zemana из-за небогатого выбора среди возможной реализации функционала. Перехват клавиш, он и в африке перехват.
Частично бэкдоры.
Вообще с бэкдорами сложная ситуация. Если настройки бэудора предписывали ему записываться в автозагрузку, внедряться в процессы или производить захват нажатых клавиш/снимков с экрана, то продукт Zemana на них реагировал. Если это был просто удаленный доступ к системе, то атака происходила успешно.
так же были пресечены попытки записи в автозапуск у всех винлокеров и ддос-ботов G-bot, Zapadlo, ngrbot.
Боты, устанавливающиеся не через сервисы.
Сработал контроль автозагрузки.
Банковские трояны и винлокеры
Смогли запуститься, но не были записаны в автозагрузку, что тем не менее позволило им нанести вред системе.
Вся проблема в том, что в дикой природе большинство перечисленных зловредов распространяются не в чистом виде, а в зашифрованном. При шифровании одним из атрибутов при запуске является внедрение кода в свой же процесс, что позволяет отловить с помощью Zemana около 70% массово распространяемых вредоносных программ. Однако в чистом виде против тех же образцов программа будет уже бессильна, а такие тоже встречаются, пусть реже.
Вердикт тут может быть только один – программа не способна обеспечить должную защиту в одиночку, ее следует комбинировать с антивирусом.
От чего вообще способна защитить программа:
- Запись в автозапуск через реестр. Используется мониторинг только за «банальными» ветками.
- Внедрение кода в процесс. Да, от публичных методов сокрытия и внедрения вредоносного кода программа защищает в более чем половине случаев.
- Уже указанные выше перехваты клавиатуры картинки, видео и звука. Против кейлоггеров и скрин-логгеров программа действительно работает качественно.
- Установка драйверов ядра Windows. Помогает от 80% старых руткитов и от некоторых образцов современного вирьмейкерства.
От чего программа не в состоянии защитить:
- Изменения в файловой системе.
То есть копирование, удаление, создание – любые изменения файлов программа не отслежиает. Получается, что ни от файлового вируса, ни от других деструктивных зловредов Zemana не поможет.
Отсюда же вытекает и следующий пункт. - Автозагрузка через папку «Автозагрузка» в главном меню пользователя.
- Запуск или завершение процессов. Программа контролирует внедрение, но не манипуляции с процессами. Себя программа тоже частенько не в состоянии обеспечить должным уровнем защищенности – процесс легко закрывается, с применением некоторых трюков.
- Создание служб.
Непозволительная оплошность, ряд файлов, которые блокируются другими откровенно слабыми продуктами преспокойно работают в системе с установленным Zemana antilogger. - Отключение системы. Программа не контролирует комманды на отключение системы, завершение сеанса пользователя или перезагрузку компьютера.
- Удаление данных из реестра.
Данные, попадающие в реестр проверяются только для типичных веток реестра, используемых вредоносными программами, все остальные изменения игнорируются. - Захват контроля над экраном, мышью и клавиатурой.
Это я про винлокеры, программа не даст винлокеру записаться в автозагрузку, но он все равно откроется.
При чем от троянцев, которые отправляют злоумышленнику скриншоты, сделанные в пораженной системе, Zemana защищает. Странно, что винлокеры продукту не по зубам. - Сетевая активность.
Этого и не обещано, но сейчас распространены такие троянские программы, которые воруют конфиденциальные данные. Для пресечения кражи необходимо оперативно блокировать работу с сетью для подозрительных программ.
Вот как-то так. Мое мнение субъективно, но я не поставил бы этот продукт, как основное средство защиты системы от вредоносных программ.
хороший обзор. спасибо!