System Progressive Protection ノートン2012全部検知不可

タイトルのまんま。

サブのPCでPCTools Internet Security 2012を使ってますが、これシマンテックの定義をそのまま使ってるんですよね。

使ってて思ったんだけど、最近のシマンテックはQuorumだとかインサイトだとかに傾倒しすぎて、定義作りをしっかりしていない感が強い。

そのツケが回ってきたのかも。

 

本当は数万種類のユニークなハッシュを持つ検体を使ってもっと信憑性の高い記事を書くこともできたのだけど、文章書くのがめんどくさいので割愛。

(割愛って、本当は「惜しいものを手放す」って意味なんだけど、もはや間違いが常識になっちゃってるので別の表現が思い浮かばないw)

それに、そもそも個人のブログごときに信憑性を求めるやつのほうが間違ってると思ってる。阿*の極み。

その代わり、変化の激しいマルウェアの代表例として今月に入ってから拡散しまくってるSystem Progressive ProtectionなるFakeAVを用意。

VirusTotalに一度もアップロードされたことのない本当にホヤホヤのできたて生まれたて。

で、これをノートン2012でスキャンしてみた結果がこれ。

キャプチャ

キャプチャ2

 

この後、実際に実行してみたけどSONARも完全スルーでデスクトップが花盛りになった後、ブルースクリーンを吐いてお亡くなりに。

別にこの一件に限ったことじゃなくて、ほかのマルウェアを使っても同様のことがいえる。

定義作成が追いつかなくなってきたからって、定義をまったく作らなくなると結局は品質が低下する。

 

クラウド保護を搭載していない企業向けエディション「Symantec Endpoint Protection 11」を使ってみれば、純粋なシグネチャ検知の性能がわかるよん。

泣きたくなることうけあい。

 

という寝言でした。

・・・近日中に有志と立ち上げた新しいプロジェクトが始動します。詳細はお楽しみに。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google フォト

Google アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中