Обзоры Emsisoft Mamutu

[Vladimir S.]

Анализатор поведения. В режиме реального времени отслеживает все подозрительные действия в системе. Обнаруживает как известные, так и неизвестные угрозы без потребности в ежедневном обновлении баз.

• Отслеживает все активные программы на компьютере
Как только обнаруживается подозрительное поведение какого-либо процесса, появляется предупреждение, и вы можете отреагировать соответствующим образом. Mamutu блокирует вредоносные программы, прежде чем они нанесут вред, используя уникальную технологию поведенческого анализа a-squared behavior analysis.

• Потребляет минимум ресурсов компьютера
Это делает программу идеальной для тех кому нужна максимальная производительность, например для графики, видео-приложений и, особенно, для игр.

• Всегда отправляет подозрительные приложения в карантин, прежде чем удалить их
Подозрительное поведение может быть и у безопасных программ. Mamutu позволяет вам самим решить, что делать с подозрительными программами.

• Легкий в использовании
Независимо от того, эксперт вы или новичок в компьютерах, Emsisoft Mamutu поможет быстро и эффективно принимать решения. Не надо быть специалистом, чтобы обезопасить свой компьютер от вредоносных программ.

Mamutu обнаруживает и уведомляет о следующих типах поведения:

Активность Backdoor программ
Активность шпионского ПО
Активность HiJacker
Активность червей
Активность программ автодозвона
Активность кейлоггеров
Интернет-активность троянов
Внедрение чужого кода в программы
Изменение программ (пропатчивание)
Тихая установка программ
Скрытые процессы руткитов
Установка служб или драйверов
Создание данных автозапуска
Изменение hosts файла
Изменение настроек браузера
Установка отладчиков системы
Симулирование деятельности мыши и клавиатуры
Прямой доступ к диску
Изменение групповых политик

Скачать

 

[Severnyj]

Небольшой обзор и тест от @onthar:​

Mamutu — это поведенческий анализатор из комплекта Anti-Malware производителя Emsisoft. Продукт платный, но стоит для своей функциональности совершенно не дорого — около 10 долларов в год за идин ПК для российских покупателей.
Да, как уже можно было понять — это HIPS, антивирусная программа, определяющая вредоносные программы не по базам, а непосредственно по поведению. Имеет свой рейтинг файлов — при запуске любой программы mamutu отправляет запрос в облако, собирая информацию из базы, которая составляется автоматически в следствии анализа и сбора информации с систем, на которых уже установлен этот продукт. Ботнет, типа) Русский интерфейс присутствует, перевод сделан вполне качественно. интерфейс вообще радует своей простотой, но при этом очень неплохой информативностью.

Для более опытных пользователей существуют расширенные настройки правил для приложений, которые мне напомнили чем-то настройки Comodo.
Так же имеется два вида блокировки вредоносной активности:

• Частичная. Запрет потенциально опасных действий подозрительного приложения.
• Полная. Подозрительная программа будет закрыта.

И, соответственно, два режима для одобренных приложений:

• Разрешение конкретного действия
• Добавление в белой спиксок (последующая активность до изменения файла не учитывается)

Перечень охватываемых защитой областей:

• Активность Backdoor программ
• Активность шпионского ПО
• Активность HiJacker
• Активность червей
• Активность программ автодозвона
• Активность кейлоггеров
• Интернет-активность троянов
• Внедрение чужого кода в программы
• Изменение программ (пропатчивание)
• Тихая установка программ
• Скрытые процессы руткитов
• Установка служб или драйверов
• Создание данных автозапуска
• Изменение hosts файла
• Изменение настроек браузера
• Установка отладчиков системы
• Симулирование деятельности мыши и клавиатуры
• Прямой доступ к диску
• Изменение групповых политик

Тестирование​

Проверка тестовым набором Matousec показала крайне слабую защищенность программы от атак вирусов. Mamutu неплохо защищает систему, но себя защитить не в состоянии — практически все тесты, связанные с повреждением работы программы, не были пройдены. Так же отсутствует толковый сетевой экран.
Окончательного вердикта нету, потому что после каждого запущенного теста приходилось восстанавливать работу программы откатом виртуалки. Но процент на matousec будет крайне низким.
Однако, с реальными зловредами Mamutu справляется значительно лучше.
Ниже я приведу небольшую статистику — список вредоносных программ, запущенных в системе, и результат проверки на предмет заражения этим вредоносом.
Методология — был подготовлен архив сэмплов, запускались все файлы вручную, на запрос действий пользователя выбирался вариант полной блокировки приложения. настройки по умолчанию, ничего не менялось.
«Успешно» — защита сработала.
«Провалено» — защита провалилась.
Спорно — нет точного вердикта из-за вариативности или других помех, не зависящих напрямую от программы.

Fakeav:
Security Defender	Успешно!
Security Shield	Успешно!
Security Sphere 2012 FakeAV	Успешно!
Winlocker:
около 20 сэмплов разных семейств	Спорно
DDoS, IRC bots:
Armageddon	Успешно!
Dirt jumper	Успешно!
G-bot	Успешно!
Optima	Успешно!
Dedal	Провалено!
Bararcuda	Успешно!
SnapReloaded	Успешно!
NgrBot	Успешно!
Skonk worm	Успешно!
Noisebot	Провалено!
Loaders:
Dloader	Успешно!
Elite	Успешно!
2k8	Успешно!
Smoke	Успешно!
Umbra	Успешно!
vertexnet	Успешно!
Rootkits:
Zaccess	Спорно
Zaccess.0A.h	Успешно!
TDSS/Alureon.FE	Успешно!
TDSS/Alureon.CT	Успешно!
Mayachok aka Cidox	Успешно!
Trojan.Mayachok.1	Успешно!
Win32.Zimuse.A	Успешно!
Keyloggers:
Detectve Keylogger	Успешно!
MKL	Провалено!
Polimorphic Keylogger	Успешно!
Ardamax	Успешно!
Reallogger	Успешно!
Black Keylogger	Успешно!
Elusive Keylogger	Успешно!
Chiki Logger	Успешно!
Keqlogger-name.pro	Успешно!
Bankers, stealers
Carberp	Успешно!
SpyEye	Успешно!
Zeus	Успешно!
UFR Stealer	Успешно!
Trojan.PWS.Spy.11887	Успешно!
Trojan.Packed.21305	Провалено!
Trojan.PWS.Panda.483	Успешно!
BackDoor.Siggen.25749	Успешно!
Trojan.Siggen.65067	Успешно!
Trojan.Fakealert.18828	Успешно!
Trojan.Siggen3.20750	Успешно!
Trojan.DownLoader5.9822	Провалено!
BackDoor.Comet.14	Успешно!
BACKDOOR.Trojan	Успешно!
Trojan.DownLoader5.2061	Успешно!
Win32.HLLW.Siggen.87	Провалено!
Win32.Sector.18	Успешно!
Trojan.VkBase.102	Успешно!
Trojan.DownLoad2.13788	Успешно!

Касательно винлокеров, ситуация такая — файл вымогателя запускался, но все попытки записи в автозагрузку пресекались, то есть после перезагрузки система была чистая. Но некоторые образцы все таки сумели записаться в автозагрузку. Современные винлокеры полностью блокируются программой, проблемы возникали со старыми образцами.

Тест сугубо субъективный, т.к. многое зависит от настроек. К тому же при запуске вредоносных образцов пачками, программа просто не успевала срабатывать, отлавливая только первых нескольких троянцев, пропускала остальных. В повседневном использовании такого случаться не должно.

Выводы​

Проверка на зараженных сайтах показала, что против распространенных эксплоитов и формграбберов, а это сейчас встречается более, чем часто, продукт вполне способен выстоять, но всеже, как самостоятельный HIPS программа Mamutu слабовата:

• Легко выгружается процесс и служба
• Бессильна против активного заражения
• Для повышения надежности работы необходима донастройка параметров. Настроек по умолчанию не хватает.

Но есть и достоинства

• Легковесна, не требует обновления сигнатурных баз
• Понятный и удобный интерфейс
• Весьма неплохие результаты тестирования
• Возможность создания правил для каждого файла/приложения
• Низкая стоимость
• Поддержка x64 систем.

Не стоит забывать, что это всего лишь компонент системы защиты Emsisoft Internet Security Pack, в который входят еще и полноценный фаерволл + Классический сигнатурный антивирус. Возможно, весь комплект сможет дать гораздо более высокий уровень защиты.