Amiti Antivirus - program ciekawostka, nic więcej

Kilka dni temu odebrałem telefon z zapytaniem, czy znam produkt Amiti Antivirus słowackiej firmy NETGATE Technologies trudniącej się dostarczaniem płatnych usług bezpieczeństwa dla swoich klientów. Odpowiedziałem, że nie, i że przyjrzę się temu programowi bliżej. Nie marnując czasu uruchomiłem przeglądarkę w poszukiwaniu informacji.

Pierwszą stroną jaka wpadła mi „pod rękę” był portal dobre programy. Zapoznałem się z komentarzami, które w większości nie pozostawiały suchej nitki na sofcie, a te, które były pozytywne, pozostawiam bez komentarza. Dlaczego?

Chcąc dowiedzieć się czegoś konkretnego o Amiti Antivirus postanowiłem przeszukać zasoby na stronie producenta. Niestety, jedyna wzmianka o programie znajduje się tutaj. Brak jakiejkolwiek dokumentacji, plików pomocy, wykorzystywanych technologii do ochrony… Program za to znajduje się do pobrania na platformie sourceforg -, każdy kto chciałby dalej go rozwijac, może pobrać kod źródłowy.

Ochrona

Amiti Antivirus opiera swoją ochronę na silniku antywirusowym ClamAV 0.98.0.0, który w tym przypadku przeznaczony jest pod Windows. Warto dodać, że ClamAV jest polskim tworem zaprojektowanym przez Tomasza Kojma, absolwenta Uniwersytetu Mikołaja Kopernika w Toruniu i jest używany przez takich gigantów jak:

  • Google (skanowanie plików we wszystkich usługach - GMail, Drive, itp.),
  • Facebook (skanowanie wszystkich obiektów uploadowanych do serwisu),
  • Apple (tu ciekawostka: każdy OS X ma konto 'clamav' w /etc/passwd),
  • Cisco (obecny właściciel praw licencyjnych do ClamAV - używa go zarówno w sporej gammie rozwiązań hardwarowych, jak i software'owych, np. Cisco Security Agent).

Wykorzystują go także państwa, które nie mogą pozwolić sobie na stosowanie "zamkniętych" rozwiązań (ze względu np. na ryzyko backdoorów). Po ataku Stuxneta, Iran na szeroką skalę wdrożył ochronę opartą na ClamAV, gdzie dodatkowo stosuje własne sygnatury; Cała rozmowa z Tomkiem Kojmem

Amiti Antivirus jest niezwykle ubogi w opcje z pomocą których użytkownik mógłby spersonalizować program „dla siebie”. W głównym oknie po lewej stronie znajdziemy wiele zakładek, które nie zawierają żadnych funkcjonalności wpływających na poziom ochrony: skanowanie, kwarantanna, ubogie ustawienia skanera i inne zakładki, które nawet nie warto wymieniać.

Jeśli chodzi o ochronę, Amiti opiera się wyłącznie na silniku ClamAV (jego skuteczność w Windowsie jest dużo niższa niż w web usługach), program nie chroni użytkownika podczas surfowania po sieci, nie ma firewalla, antyspamu, itd.

Testy

Uznałem, że nie ma sensu dużo rozpisywać się przy tym programie, wyniki powinny powiedzieć o nim wszystko:

1. Pierwszy test był tradycyjny - skanowanie z prawokliku próbek, których ilość wynosiła 529 i obejmowały: robaki, trojany, backdoory, ransomware, exploity, rootkity. Wszystkie probki pochodziły z ostatnich dwóch dni, a więc bardzo "świeże".

Program po wykryciu wirusów zachowywał się niestabilnie, dwukrotnie kończył swoje działanie, co skutkowało powtórzeniem testu.

Wynik: usuniętych 262 próbek /529, co daje ~49,5% wykrywalności.

2. Drugi test sprawdził ochronę Amiti w czasie rzeczywistym. Wybrałem 40 linków prowadzących do zainfekowanych plików wykonywalnych. W pierwszej fazie ochrony na poziomie HTTP Amiti nie zablokował żadnego z nich (co jest oczywiste w przypadku braku ochrony www). W drugiej fazie ochrony, po zapisaniu wirusa na dysk, Amiti zatrzymał 2 próbki na 40, w trzeciej fazie ochrony (uruchamianie zainfekowanych plików) Amiti nie zablokował już żadnej z pozostałych 38 próbek.

Aktywne szkodliwe procesy po uruchomieniu kilku malware.

Wynik: 2/40 = 5% skuteczności ochrony w czasie rzeczywistym

Antywirus ten znalazł się na liście „dobrych programów”, jednak nie wiem dlaczego. Nasze podsumowanie może być tylko jedno:

Użytkowniku, jeśli zainstalowałeś Amiti i sądzisz, że będzie chronił Twój komputer przed współczesnym spektrum zagrożeń – chyba nigdy bardziej się nie pomyliłeś. Amiti Antivirus należy traktować tylko jako ciekawostkę, niż dobry program do ochrony. 



Dodaj komentarz

Treść tego pola jest prywatna i nie będzie udostępniana publicznie.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej