Тест антивирусов на лечение активного заражения IV (результаты)

[A. 875]

Посмотрите на тот же F-Secure, там движок Касперского, но какие разные результаты по лечению ...

нэту

[GReY 35]

Вот это совсем не факт. В данном случае 1+1 не дает 2. Надо отдельно тестировать и проверять.

Посмотрите на тот же F-Secure, там движок Касперского, но какие разные результаты по лечению ...

нет, у него уже год как движок от BitDefender+собственный

в связи с чем непонятно полное фиаско BD в вашем тесте лечения. у тех же AV-comparatives они показали абсолютно идентичные результаты. а у PC Mag F-Secure даже чуть отстал, но там была бета-версия.

[sww 486]

в связи с чем непонятно полное фиаско BD в вашем тесте лечения. у тех же AV-comparatives они показали абсолютно идентичные результаты.

Что конкретно непонятно? Почему F-Secure выше чем BD? Так потому что у F-Secure есть хоть какой-то анти-руткит.

А если посмотреть то, что тестируется AVC внимательно, то становится понятно почему результат одинаковый. Потому что AVC не умеют тестировать лечение активного заражения и не понимают что за сэмплы они берут в тесты.

[senyak 330]

sda

Люди жмут на аллертах HIPS - то, что считают по их мнению нужно - в итоге зловред попадает в слабые ограничения. Да много факторов на самом деле.

К сожалению, не могу сказать, что 100% виновата домохозяйка. Плохо, когда антивирус не предназначен для полных домохозяек, и пугает их алертами

[Сергей Ильин 1538]

нэту

нет, у него уже год как движок от BitDefender+собственный

Ну вот, уже я стал путаться в чехарде движков. В любом случае смысл сказанного выше не меняется. Если один и тот же движок используется, то совсем не факт, что способности лечения и детектирования будут идентичные.

Вот если речь идет о продаже продукта полностью под своим брендом, как в случае Acronis Internet Security (копия BitDefender), то результат должен быть одинаковый.

[GReY 35]

Никакой чехарды нет: Касперский потерял всех (или почти всех) своих клиентов, которые дружно перешли не БитДефендер.

В случае с движком BD я наблюдаю следующие закономерности:

1) чем более ранние семплы используются в тестах, тем сильнее чистый BD опережает своих отпрысков в детекте

2) когда семплы не сильно свежие, G Data/F-Secure/eScan начинают опережать BD

Но вот закономерности по руткитам в вашем тесте лечния я не вижу. Например, F-Secure даже не обнаружил Srizbi, а BD его полностью вылечил. Eterok же не руткит, а BD его не нашёл. Подчистка хвостов также сильно различается, а у AV-C даже по следам и обломкам полный паритет.

Вопрос к авторам теста: предпринималось ли лечение в Windows Safe Mode? У AV-C многое вылечилось в safe mode, многие BSOD-ы закончились успешным исцелением и даже Касперский мочканул Rustock.

[Umnik 997]

Никакой чехарды нет: Касперский потерял всех (или почти всех) своих клиентов, которые дружно перешли не БитДефендер.

Так может ЛК просто не продает новый движок?

Вопрос к авторам теста: предпринималось ли лечение в Windows Safe Mode? У AV-C многое вылечилось в safe mode, многие BSOD-ы закончились успешным исцелением и даже Касперский мочканул Rustock.

Нет. Согласно методологии, антивирус должен сделать все сам. Условно говоря, если бы он перезагружал для лечения ОС в безопасный режим и там стартовал и лечил, это бы считалось. Но сам тестировщик в безопасный не должен загружать.

[Danilka 678]

Плохо, когда антивирус не предназначен для полных домохозяек, и пугает их алертами

Плохо когда АВ не пугает аллертами и пропускает заразу....

[A. 875]

Так может ЛК просто не продает новый движок?

Так не может, а именно - не продает.

Какой смысл и логика может быть в том, чтобы давать прямым конкурентам свое же конкурентное преимущество ?

Это когда f-secure и g-data были больше, чем лк, то да - за счет их росли во многом. а как обогнали - все, надо сбрасывать.

ничего личного, просто бизнес.

[GReY 35]

Нет. Согласно методологии, антивирус должен сделать все сам. Условно говоря, если бы он перезагружал для лечения ОС в безопасный режим и там стартовал и лечил, это бы считалось. Но сам тестировщик в безопасный не должен загружать.

глупость какая. во-первых, винда загрузится в безопасный только с согласия пользователя. во-вторых, даже ежу понятно, что вирусы лучше всего лечить в безопасном режиме

[Umnik 997]

глупость какая. во-первых, винда загрузится в безопасный только с согласия пользователя. во-вторых, даже ежу понятно, что вирусы лучше всего лечить в безопасном режиме

Конечно глупость. Непонятно, зачем Вы эту глупость предложили. Вы, конечно, ознакомились с методологией тестирования и, конечно, понимаете, что 90-95% пользователей - это не гики и они не знаю, как лучше лечить. Они знаю, что антивирус должен их защищать и не должен их трогать.

[GReY 35]

Скажите пожалуйста, какая связь между защищать и лечить? Или касперский позволяет тому же рустоку установиться в системе?

[Umnik 997]

GReY, Вы ознакомились с методикой тестирования? Далее подобные вопросы я буду молча прибивать.

[GReY 35]

Мне чудится, или получается разговор слепого с глухим? Кажется я именно методику и пытаюсь обсудить

[Deja_Vu 366]

Мне чудится, или получается разговор слепого с глухим? Кажется я именно методику и пытаюсь обсудить

Поверьте, Умник вам дело говорит, почитайте методологию, там всё написано.

К тому же, он пытается до вас донести тот факт, что среднестатистический пользователь ставит Антивирус для ЗАЩИТЫ и при этом они ничего не знают о том, как лучше и правильнее лечить систему. ПОЭТОМУ в тесте и не проводится лечение в безопасном режиме

[Прохожий 0]

Небольшой offtop на тему лечения активного заражения. Имеется следующий зверь: BackDoor.Bulknet.448 (по классификации DrWeb), он же Trojan-Dropper.Win32.Agent.boui (по Касперскому).

CureIt успешно лечит файл:

В итоге имеем вылеченный драйвер:

Касперский же утверждает, что файл неизлечим, и с чистой совестью грохает его:

В реальной системе заражённый файл лежит в drivers и dllcache. В результате при лечении DrWeb получаем здоровую систему, после лечения Касперским юзер будет долго думать, почему у него вдруг отвалились все CD и DVD дисководы )))

В связи с этим возник такой вопрос: возможно ли проведение исследования, насколько адекватно в различных продуктах реализовано лечение? Т.е. совсем не обязательно брать сложные малвары, использующие разные техники сокрытия, а просто посмотреть, как реализовано лечение в сигнатурах. Просто удалили файл, удалили, но оставили ключи в реестре, всё корректно вылечили. У кого сигнатуры в основном добавляет робот, а кто более тщательно анализирует сэмплы.))) При лечении каким антивирусом больше шансов получить неработоспособную систему. Т.е. это будет не проверка возможностей и технологической продвинутости антивируса, а скорее проверка работы вирлабов у разных вендоров. ИМХО было бы интересно. Хотя как отбирать сэмплы, и сколько их должно быть, не совсем понятно. Такая вот мысль...

[sww 486]

В связи с этим возник такой вопрос: возможно ли проведение исследования, насколько адекватно в различных продуктах реализовано лечение?

Есть тест на лечение полиморфных вирусов, проводился этим порталом. Сейчас не так много файловых инфекторов на самом деле. Чуть-чуть тех, кто заражает приложения и совсем чуть-чуть тех, кто заражает системные компоненты и драйвера, но мне кажется, что в этом году количество их увеличится.

Насчет удаления зараженного сэмпла - косяк, пришлите сэмпл на newvirus@kaspersky.com и укажите в письме, что это файловый вирус.

[Юрий Паршин 330]

Небольшой offtop на тему лечения активного заражения. Имеется следующий зверь: BackDoor.Bulknet.448 (по классификации DrWeb), он же Trojan-Dropper.Win32.Agent.boui (по Касперскому).

<пропущено>

Спасибо. В скором времени будет добавлено лечение.

[Razboynik 105]

Касперский же утверждает, что файл неизлечим, и с чистой совестью грохает его

Смотрю на скрине - Kaspersky Anti-Virus 6.0. А последняя версия - Каспер 2010 тоже грохает?

[Umnik 997]

Razboynik

Это WKS MP4. Он тоже последней версии. Юрий сообщил, что проблема будет решена в ближайшее время.

[bigbrain 0]

Сори за офтоп, а где можно взять вирусы, участвовавшие в тестировании?

Я бы хотел сам повторить тест

Приму в дар любые вирусы для комплексного тестирования.

[Сергей Ильин 1538]

Я бы хотел сам повторить тест rolleyes.gif

А какова цель?

[Лев 0]

Сергей!

Я только что ознакомился с результатами теста.

Если можно, ответьте, пожалуйста, на пару вопросов:

1. Почему не взяли на тестирование антивирусный компонент ZoneAlarm Extreme Security 2010 - заведомо плохой функционал и т.п.?

2. И вообще: Ваша оценка этого продукта как Firewall, антивирус, антишпион и т.д. (т.е. в плане обеспечения информационной безопасности).

3. Ваш совет в плане ПО, осуществляющего комплексную защиту (для обычного пользователя).

Заранее благодарю.

Лев

[Сергей Ильин 1538]

1. Почему не взяли на тестирование антивирусный компонент ZoneAlarm Extreme Security 2010 - заведомо плохой функционал и т.п.?

Не взяли в силу количественного ограничения участников, не можем пока тестировать слишком много продуктов. Кроме того, ZoneAlarm Extreme Security - это комплексный продукт, а в тест мы брали по возможности простые антивирусы, но на результатах в лечении в данном случае это не влияет.

Что касается оценки ZoneAlarm Extreme Security 2010 в целом, то я бы рекомендовал открыть для этого отдельную тему. Если говорять кратко - продукт очень приличный, антивирусная компонента от Лаборатории Касперского, но отличается, насколько мне известно, от той, что стоит в Kaspersky Internet Security 2010.

Для российского рынка ZoneAlarm Extreme Security несколько экзотичен. Если хотите максимум защиты, то я бы рекомендовал присмотреться к Norton 360 или будущему Kaspersky Crystal (Pure).

[GReY 35]

к слову, PCMag протестировал Agnitum Suite, который вроде как использует антивирус BitDefender, однако он почему-то уступил BD Total Security по всем статьям