utorak, 15. travnja 2014.

Malwarebytes Anti-Malware 2.0.1 (Recenzija i Test)

Prije nekoliko dana Malwarebytes nam je predstavio novu verzija svog poznatog i jako korisnog programa u borbi protiv raznih vrsta malware-a.
Nova verzija ima oznaku 2.0.1 i donosi nam dosta novosti u odnosu na stariju verziju 1.75.
U nastavku teksta moći ćete pogledati tri video priloga koja ću vam prethodno ukratko opisati (korisno za one kojima se ne da gledati video).

Instalacija i prvi pogled


Prije početka instalacije MBAM-a (skraćeno od Malwarebytes Anti-Malware) provjeravam s programom BootRacer koliko je potrebno da se Windows-i dignu. BootRacer je izmjerio oko 33 sekunde, a za restart oko 32 sekunde.
Nakon instalacije restart je trajao oko  36 sekunde, a pokretanje od nule za 41 sekundu.
MBAM skidam s njihove stranice http://www.malwarebytes.org/, instalacija je "teška" 16,5MB (prijašnja verzija je bila oko 9MB).
Instalacija je jako jednostavna i bez nepotrebnih pitanja ili postavki, samo nekoliko puta kliknete na NEXT i gotovo (nema skrivenih Bloatware-a).
Prije nego kliknete na FINISH na ekranu će te imati označene dvije stavke:
  • Enable free trial of Malwarebytes Anti-Malware Premium
  • Launch Malwarebytes Anti-Malware
Prva stavka vam omogućuje da koristite MBAM u realnom vremenu ali samo u probnom periodu od 14 dana (ako nemate originalan ključ preporučujem da odčekirate ovu stavku).
Druga stavka znači da će se MBAM odmah pokrenuti.

Sada nas dočekuje MBAM u novom sučelju koje je bitno izmjenjeno u odnosu na prošlu verziju.
MBAM automatski započinje sa skidanjem novih definicija i žutom bojom naglašava da skeniranje na sustavu nije napravljeno i nudi vam da to napravite klikom na FIX NOW.

U opcijama skeniranja imamo tri mogućnosti:
  • Threat Scan
  • Custom Scan
  • Hyper Scan
Threat Scan pretražuje sva poznata mjesta gdje se malware najčešće nalazi.
Custom Scan vam daje mogućnost da sami izabere koji folder želite skenirati.
Hyper Scan (nema ga u FREE verziji) je brzi način skeniranje.

Hyper Scan je u ovom mom slučaju trajao oko 2min, a Threat Scan oko 5min (imajte u vidu da ima svega nekoliko programa instaliranih).

Izgled novog MBAM-a je sada malo pregledniji i ima drugačiji raspored postavki.
Iznad početnog ekrana nalaze se 4 opcije:
  • Dashboard
  • Scan
  • Settings
  • History
Dashboard - je taj početni ekran.
Scan - je ekran na kojem izabirete način skeniranja.
Settings -  tu se nalaze sve opcije.
History - vam pokazuje ako imate nešto u karanteni i dnevnik (Log) svih radnji u MBAM (update, skeniranje...).

Pod Settings se nalaze najzanimljivije stavke.

General Settings - nam nudi regulaciju pop-up prozora, izbor jezika (Hrvatskog zasad nema ali ima jedan trik kojeg je napisao forumaš @Total - KLIK) i mogućnost dodavanja MBAM u meni (kad se klikne desnom tipkom miša na neki folder - Scan With MBAM ).

Malware Exclusions - ako želite dodati neke foldere ili datoteke (za koje ste 100% sigurni da su "čisti") koje ne želite da ih MBAM provjerava.

Web Exclusions - ako želite dodati neku web adresu koju MBAM blokira, a sigurni ste da je stranica dobra.

Detection and Protection - ovdje se nalaze postavke za sve vrste skeniranja i zaštite (Heuristics, Rootkit, PUP, PUM...).

Update - obavještava vas da niste updejtali bazu

History Settings - ovdje se nalaze dnevnici i statistika koja se šalje proizvođaču radi bolje zaštite u budućnosti.

Access Policies - ovdje možete zabraniti/dopustit samo nekim korisnicima (ako ih imate više na računalu) da mogu izvršiti određene promijene u samom programu.

Advanced Settings - opcije za namještanje MBAM da se pokreće sa sustavom, štiti vaše računalo čim se pokrene, štiti vas od internetskih prijetnji, automatski stavlja detektirane fajlove u karantenu i ima mogućnost samozaštite koja je po difoltu isključena (???).

Automated Scheduling - namjestite da MBAM automatski provjerava vase računalo ili vrši updejt u zadano vrijeme.

Pogledom u Control Panel -> Action Centar u Windowsima vidimo da nas Windowsi obavještavaju da nemamo Antivirusni i Antispyware program.
Uvidom u Process Explorer vidim da MBAM ima 3 procesa i zajedno zauzimaju oko 70MB RAM-a.
MBAM se nalazi u C:\Program Files (x86) i tu zauzima oko 46MB, ali i u C:\ProgramData  i tu zauzima oko 8MB.



Sintetički test


U ovom videu testiram MBAM sa sintetičkim programima koji oponašaju način kako rade maliciozne aplikacije.
Testirao sam s sljedećim programima:
  • AntiTest
  • Comodo Leak Test
  • COT
  • LeakTest
  • PC Security Test
  • PCFlank
  • Process Hacker
  • Regtest
  • System Shutdown Simulator
  • Mini Security Test
  • Zemana Keylogger test 
Neki testovi možda nemaju smisla jer MBAM nema firewall ali u svakom slučaju vrijedi pogledati kako se snašao i dobiti jedan uvid/uvod za sljedeći test koji je rađen na Phishig i Malware linkove, a zatim i na folder s svježim malicioznim programima.



Malware i Phishing test


U trećem, vjerujem i vama najzanimljivijem, testu moći ćete vidjeti kako je MBAM odradio posao.
Ukratko ću vam opisati kako je prošao.

Pokrenuo sam 10 phishing linkova i MBAM nije blokirao niti jedan od njih (ostao sam malo iznenađen, očekivao sam da će biti bolji).
Zatim krećem na malware linkove s poznatih stranica.
Sa stranice MDL pokrećem tri linka, za prvi nije ništa javio (radilo se o Phishing stranici) ali je zato druga dva uspješno blokirao i uklonio prijetnju.
Krećem na stranicu MalwareBlacklist, i tu provjeravam 6-7 linkova i nije blokirao ništa, a nekoliko aplikacija sam skinuo na Desktop (MBAM nije ni tada ništa javio) pa ću ih kasnije skenirati.
Odlazim na stranicu CleanMX i tamo ne nalazim dobre linkove pa testiram samo jedan (koji ima 0/43 na Virustotal) na koji MBAM nije reagirao.
I za kraj idem još na Malc0de stranicu, testiram na 5 linkova i MBAM se ne oglašava (!!!) pa ih sve spremam na desktop.
Sada na desktopu imam 9 aplikacija koje sam skinuo i za koje mislim da su maliciozne.
Označavam svih 9 i provodim skeniranje s MBAM (desni klik skeniranje).
MBAM nalazi njih 8 i sprema ih u karantenu, ostaje samo jedna aplikacija s nastavkom .jar (Java aplikacija) koju pomoću VT Hash Chek-a provjeravam na Virustotal i dobivam rezultat od 23/51.

Na red dolazi zipani folder s 151kom svježih malware aplikacija starih 24 sata.
Folder sam odzipao na desktop ali MBAM se nije oglasio pa sam napravio skeniranje na zahtjev (desni klik - Scan with MBAM).
Skeniranje je trajalo oko 15 sekundi i MBAM je pronašao i uklonio 145/151kom (96%!)!
Preostalih 6 aplikacija provjeravam s VT Hash Chek, jedna aplikacija je imala rezultat od 1/51 pa sam je uklonio (mislim da je FP).
Preostalih 5 pokrećem i čekam reakciju MBAM,  dobio sam nekoliko pop-up prozora od MBAM da je uklonio neke prijetnje (Password stealer, Trojan, PUP...) ali mu je jedan promaknuo i ostao u RAM-i.
Provjeravam taj fajl na VirusTotal i rezultat je 5/51.
Zatim skeniram računalo s MBAM, koji nije pronašao ništa i kaže da je sve OK.
Nakon toga skeniram računalo i sa HitmanPro koji pronalzi taj jedan fajl (Trojan) koji je promaknuo MBAM.


 

Zaključak


Sve u svemu MBAM je vrlo uspješno zaštitio računalo od raznih prijetnji, nije se baš iskazao po pitanju Phishing linkova kao i skinutih malware aplikacija na desktop tj. raspakiravanja foldera s 151kom malware-a.
Novi izgled je dosta smislen i lagan za snalaženje (već nakon par minuta), ne usporava pokretanje računala i ima manje zauzeće RAM-a.
Uz ovaj program preporučuje se koristiti i "pravi" antivirusni program (koji ne mora biti neki iz top klasa jer MBAM obavlja jako dobro svoj posao), a dobro bi mu došao i neki firewall.
Ovaj program u plaćenoj verziji košta oko 22€ za 3 PC-a na godinu dana i meni se čini da to nije puno.
Naravno da se ovaj program i dalje može koristiti i u besplatnoj inačici ali onda nema zaštite u realnom vremenu i velika većina postavki je nedostupna.

Broj komentara: 12:

  1. Meni drag program, ali sad izgleda kao fake virus :)

    OdgovoriIzbriši
  2. Kod paljenja kompa pojavljivala mi se greška u "C:\Windoes\Systm32\msupdte.exe". Instalirao sam MB, skenirao i MB kaže da je to "Backdoor.Bot" i stavi ga u karantenu. Sada mi komp više ne prijavljuje grešku kod paljenja! :)

    OdgovoriIzbriši
  3. Da li mogu da ga koristim zajedno sa 360 Ts?

    OdgovoriIzbriši
    Odgovori
    1. Nece doci do nekog sukoba ili da mi neki od njih dvoje malo losije radi?

      Izbriši
  4. Preporuka je da se stavi MBAM Free verzija koja nema real-time zastitu tj. program se koristi samo kao skener onda kad se sumnja da nesto nije u redu s PC-em.

    OdgovoriIzbriši
  5. Ok, hvala puno na odgovoru druze reci mi samo dal bi mu skodilo da se na to sve nabaci neki firewall?

    OdgovoriIzbriši
  6. ok mada ja sam cuo da ne valja da se budzi toliko al kako god.

    OdgovoriIzbriši
    Odgovori
    1. ...šala...
      Dovoljan je samo jedan AV koji radi u realnom vremenu i jos 1-2 skenera koji se koriste povremeno (MBAM, HitmanPro...).
      Firewall se moze ali ne mora stavljat, onaj od Windows-a je dovoljan za kucnu upotrebu.

      Izbriši
  7. Zasto ne mogu nigdje naci hrvatsku verziju?

    OdgovoriIzbriši

Poruka će biti vidljiva nakon provjere.