Tradycyjnie razem z uaktualnieniami pojawiła się kolejna wersja Malicious Software Removal Tool (można też pobrać oddzielnie: Malicious Software Removal Tool). Postanowiłem sprawdzić skuteczność tego narzędzia na swojej kolekcji próbek.
Skuteczność Malicious Software Removal Tool
Na 188 różnych próbek różnego malware MRT zidentyfikowało 109, dla porównania ClamAV zidentyfikował 178 próbek. Wynik MRT może wydawać się słaby, ale trzeba pamiętać, że narzędzie to z założenia nie jest alternatywą dla antywirusa. Trzeba pamiętać też, że MRT skutecznie walczyło już z różnymi botnetami (np. Microsoft takes down a botnet, Microsoft: We took out Storm botnet). W tym miesiącu jest kolejny cel: MSRT February 2009 - Win32/Srizbi.
Próbki, które nie zostały prawidłowo rozpoznane przez MRT to, według ClamAV (bez szczegółów dotyczących przedstawiciela "rodziny"):
- Trojan.Agent
- Trojan.Backdoor.Botnet
- Trojan.Crypt
- Trojan.Delf
- Trojan.Dropper
- Trojan.Eggdrop
- Trojan.IRCBot
- Trojan.Mybot
- Trojan.Packed
- Trojan.Poebot
- Trojan.Proxy
- Trojan.SdBot
- Trojan.Small
- Trojan.Vanbot
- W32.Sality
- W32.Virut
- Worm.Autorun
- Worm.Kolab
- Worm.Kolabc
- Worm.SpyBot
Teraz z kolei wykryte próbki:
- Exploit.DCOM.Gen
- Trojan.Agent
- Trojan.Buzus
- Trojan.Crypt
- Trojan.Downloader.Small
- Trojan.Mybot
- Trojan.Peed
- Trojan.SdBot
- W32.Parite.B
- W32.Sality
- W32.Sality.Q
- W32.Virut
- W32.Virut.A
- W32.Virut.Gen.D
- W32.Virut.ba
- W32.Virut.bi
- W32.Virut.ca
- W32.Virut.ci
- W32.Virut.da
- W32.Virut.di
- W32.Virut.ia
- W32.Virut.ii
- W32.Virut.sa
- W32.Virut.si
- Worm.Korgo.N
- Worm.Padobot.M
Oczywiście (jak łatwo zauważyć) istnieje pewna część wspólna:
- Trojan.Agent
- Trojan.Crypt
- Trojan.Mybot
- Trojan.SdBot
- W32.Sality
- W32.Virut
Dodatkowo okazuje się, że MRT nie zidentyfikował jako wirusa żadnej z próbek, z którą nie poradził sobie ClamAV.
Próbki, które nie zostały znalezione przez ClamAV (wyniki na Virustotal), jeśli ktoś chce zobaczyć jak wykorzystywany przez niego antywirus by się sprawdził:
- b09cf5b28972514bf85ee09d184a2a92
- 78e31db53310ec0dcf5404285fe82d28
- 6e338dc4f73a9957abffa50338e1be4e
- 4a64e1cc644a34a2859d52f61a8f021e
- 501f251977618f1cd1e92ddbbea40749
- 7809c0aad4d7cd7892dc9ade332a0007
- 9f6d05a60b32f287ec31f6a885521153
- 948f5157c6aa50f6e4cc3f8fd7e9e26b
- 9831b83ef0f541b67dc70df5245303f7
- a31b955162ce160c869647e8444bb406
Przypominam, że próbki są zbierane przy pomocy narzędzia Nepenthes.