Перейти к содержанию
Сергей Ильин

Тест антивирусов на лечение активного заражения IV (результаты)

Recommended Posts

Сергей Ильин
Нет, Слав, все проще. мы изобретаем лечение против руткитов чтобы помогать юзерам. а тесты эти уже побочный эффект. мне лично параллельны.

Какое побочный эффект, побочный к чему, о чем вы?

Вы можете у себя дома, в вирлабе или с пиартрибуны говорить чего угодно, все это будет ваше личное мнение или воплощение маркетингового позиционирования - пустая болтовня, ничем не подкрепленная. Да, для профессионалов, которые каждый день имеют дело с вирьем, расклад сил был очевиден. Обсуждение выше это показывает. О чем это говорит? Это говорит о том, что тест отражает реальную ситуацию. Лечат немногие, хорошо лечат - единицы. Точка.

Но для простых пользователей "кухонные" заявления через подкасты или через пресс-релизы ничего не значат. А сторонние исследования как наши, напротив, имеют вес. Доктор Веб может продолжать придерживаться идеи чучхе, это их проблемы.

Результаты теста уже посмотрели тысячи человек и для меня это главный показатель ценности проделанной работы.

это жаль, не потому что мне не нравятся подкасты (даже наоборот, идея их просто отличная), а потому что тема лечения (это основная задача антивирусов) проходит неким фоном и не вызвала бурных обсуждений, которых я ждал...

Да пусть говорят себе, все равно нам трафик нагоняют. ;)

Уже ни раз говорил, что паршивая у них ситуация, в которую сами себя загнали. Признать результаты не могут, а что-то весомое против сказать нечего.

а это получается проблема портала, если у многих пользователей есть больше желания обсуждать проблемы не тут, а в другом месте.

А вы уверены, что это реальные пользователи там пишут? Я лично в этом совсем не уверен ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
С выводами согласен.

С какими выводами? Я тут не то что выводов, даже мысли не вижу :)

Ты же погляди, половина семплов уже от 2-4 года используется - чего же никто лечение не сделал? :) То, что я написал, какие семейства буду брать - абсолютно ни на что не влияет. Вендоры либо уделяют внимание сложным угрозам - тогда и будет результат, или не уделяют - что видно на большинстве уже 4 год.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Я именно эту его мысль хотел донести. А в остальном не буду комментировать.

Сделаю попытку объяснить смысл теста, поскольку, как я вижу, многие не понимают смысла данного тестирования:

1. Процент вылеченных семплов из числа отобранных неправильно отображать как результат "в целом". Процент в результатах лишь отображает кол-во вылеченных из числа отобранных. То есть, если у кого-то был бы 100% результат - это бы не означало, что данный антивирус вылечит любые вредоносные программы какие только существуют. Это будет будет значить, что антивирус имеет такой результат на конкретных этих семплах.

2. касаемо примеров зараженных машин на VirusInfo

а) В реальной ситуации на машинах пользователей стоят не последние версии антивирусных продуктов. Мы тестируем самые свежие версии на момент начала теста.

б) В реальной ситуации антивирус часто является необновленным.

в) В реальной ситуации не все компоненты вредоносной программы могут детектироваться сигнатурно/эвристиком. Может, например, детектироваться только dll-ка трояна, которую постоянно создает некий exe-файл. В итоге - каждый раз как троян создает dll-ку антивирус будет детектировать ее и удалять. Со стороны кажется, что антивирус просто не способен вылечить заражение, но это не так. Просто антивирус не знает все компоненты вредоносной программы (exe-файл).

г) В реальной ситуации антивирус может вообще не детектировать вредоносный код, т.к. просто нет необходимой записи в базе об конкретном трояне.

д) В реальной ситуации троян может просто не давать работать за ПК (пример - те же винлоки. Выскочит баннер на весь экран, заблокирует доступ в сеть, попортит реестр и проч) как пользователю, так и антивирусу. И проблема вовсе не в том, что вредоносная программа эта такая навороченная, использующая некие "крутые" техники - она банально не дает работать за ПК.

е) В реальной ситуации вредоносная программа может прибивать антивирус. Тут, к сожалению, никакая самозащита не поможет. работая под Администратором можно лишь защититься от наиболее простых, распространенных способов. Всегда найдутся способы как завершить уже работающий процесс или же просто не дать ему стартовать.

Наш тест - есть идеализированная ситуация, когда мы отбираем именно технически сложные образцы, которые принципиально блокируют возможность себя обнаружить или удалить. Именно в зависимости от идеи используемой во вредоносных программах. Мы как бы ставим антивирусы и вредоносный код в равные условия (только мы даем сначала встать в системе трояну). И идет бой - кто кого обхитрит, кто окажется более совершенным, кто более глубоко интегрируется в систему, кто имеет на борту более сложные и навороченные технологии. Причем отбираем реально распространяемые или ранее широко распространяемые семейства. Из mebroot, Rustock, TDL всех модификации, Cutwail сейчас функционируют огромные ботсети. И они существуют и функционируют во многом благодаря и своей незаметности по отношению к антивирусам как на момент инсталляции, так и в активном состоянии.

Таким образом, идея теста не интерпретация реальной картины на ПК у пользователей, а проверка и демонстрация технической возможности антивирусов лечить зараженные системы. Определить, какой антивирус наиболее приспособлен для борьбы с наиболее сложными malware. Причем, отбирая данные семплы, мы старались охватить весь спектр способов маскировки от обнаружения/удаления антивирусом, используемых на текущий момент вредоносным кодом из числа распространенных в сети Интернет.

З.Ы. Надеюсь теперь вопросов о том, как трактовать результаты не возникнет :).

  • Upvote 15

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
M.Alexander

Вообщем поздравляю победителей!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
2. касаемо примеров зараженных машин на VirusInfo

а) В реальной ситуации на машинах пользователей стоят не последние версии антивирусных продуктов. Мы тестируем самые свежие версии на момент начала теста.

б) В реальной ситуации антивирус часто является необновленным.

в) В реальной ситуации не все компоненты вредоносной программы могут детектироваться сигнатурно/эвристиком. Может, например, детектироваться только dll-ка трояна, которую постоянно создает некий exe-файл. В итоге - каждый раз как троян создает dll-ку антивирус будет детектировать ее и удалять. Со стороны кажется, что антивирус просто не способен вылечить заражение, но это не так. Просто антивирус не знает все компоненты вредоносной программы (exe-файл).

Я не собираюсь трактовать результаты тестов хотя бы по тому, что их проводили мои коллеги VirusInfo :)

но отмечу касаемо зараженных машин на VirusInfo:

1. В реальных ситуациях часто стоят последние версии антивирусов, смотрите раздел "помогите".

2. Бывает и обновлен последними базами, опять же раздел "помогите".

3. Если антивирус не знает все компоненты вредоноса, значит он не может вылечить, поэтому и удаляет, а удаление это не лечение.

А правильный выбор, лично я уже сделал давно. У меня антивирус служит просто сторожем, потому что мне лениво отслеживать системные события. Малейший сигнал опасности с его стороны и сразу же будет сделан бэкап.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
но отмечу касаемо зараженных машин на VirusInfo:

1. В реальных ситуациях часто стоят последние версии антивирусов, смотрите раздел "помогите".

2. Бывает и обновлен последними базами, опять же раздел "помогите".

Бывает, ага, что и последняя версия и обновленная. Что это меняет в целом? :) Остальные пункты никто не отменял.

3. Если антивирус не знает все компоненты вредоноса, значит он не может вылечить, поэтому и удаляет, а удаление это не лечение.

SDA, специально для Вас уточню: слово "лечение" в данном случае означает лечение зараженной системы, а не файла.

А правильный выбор, лично я уже сделал давно. У меня антивирус служит просто сторожем, потому что мне лениво отслеживать системные события. Малейший сигнал опасности с его стороны и сразу же будет сделан бэкап.

И к чему этот Ваш коммент тут? Оффтопик? Ну, пожалуйста, делайте бекап - никто здесь не говорил, что его нельзя делать :). Да и вообще, по бекапам у нас есть отдельная тема ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
SDA, специально для Вас уточню: слово "лечение" в данном случае означает лечение зараженной системы, а не файла.

А заражение системы не состоит из зараженных файлов? одного или нескольких :) А то по смыслу читается зараженный файл это отдельно, зараженная система отдельно

<_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zyx
А заражение системы не состоит из зараженных файлов? одного или нескольких :) А то по смыслу читается зараженный файл это отдельно, зараженная система отдельно

<_<

Ну что за люди! Идите учите для начала мат. часть, а потом уже трольте на форумах.

В контексте данного тестирования слово "лечение" употребляется по отношению к системе. (удаление файлов, чистка реестра и т.д.).

Если бы это был тест на лечение полиморфных вирусов, то под словом "лечение" подразумевалось восстановление файлов в исходный НЕзараженный вид. В этом же тесте ни о каких зараженных файлах речи не идет.

Если вы не понимаете различия между разными тестами и ситуациями, то, пожалуйста, молча читайте, а не пишите всякую чушь - надоело уже читать одни и те же глупости.

  • Upvote 15

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

sda

Количество пострадавших на ВИ - не может служить показателем в отношении того же продукта ЛК- почему- да все просто - люди любят вырубать антивирус, чтобы что то запустить и т.д. Так как он видители ругается. Люди жмут на аллертах HIPS - то, что считают по их мнению нужно - в итоге зловред попадает в слабые ограничения. Да много факторов на самом деле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Ну что за люди! Идите учите для начала мат. часть, а потом уже трольте на форумах.

В контексте данного тестирования слово "лечение" употребляется по отношению к системе. (удаление файлов, чистка реестра и т.д.).

Если бы это был тест на лечение полиморфных вирусов, то под словом "лечение" подразумевалось восстановление файлов в исходный НЕзараженный вид. В этом же тесте ни о каких зараженных файлах речи не идет.

Если вы не понимаете различия между разными тестами и ситуациями, то, пожалуйста, молча читайте, а не пишите всякую чушь - надоело уже читать одни и те же глупости.

Сынок, не учи отца .......свои предложения по мат.части оставь для себя ;)

  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)

Камрады, давайте не будем ссориться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Вы можете у себя дома, в вирлабе или с пиартрибуны говорить чего угодно, все это будет ваше личное мнение или воплощение маркетингового позиционирования - пустая болтовня, ничем не подкрепленная. Да, для профессионалов, которые каждый день имеют дело с вирьем, расклад сил был очевиден. Обсуждение выше это показывает. О чем это говорит? Это говорит о том, что тест отражает реальную ситуацию. Лечат немногие, хорошо лечат - единицы. Точка.

Интересно на этом фоне мнение одного "сисадмина по вызову", обсуждающего с нами тест, и оно местами прямо противоположно:

"(Постоянный) антивирус нужно ставить изначально на чистую машину, а не лечить зараженную. Мне не удалось вылечить систему от заражения новыми вирусами только одного антивируса. Там всегда присутствовали и DrWeb CureIT, и HiJackThis, и утилиты от Касперского, которые направлены лечить именно один вирус..."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Сынок, не учи отца .......свои предложения по мат.части оставь для себя ;)

Когда дорастете до уровня Zyx в ав-индустрии, тогда и будете грубить. Пока что всем ясно кто сынок и не стоит грубить тем, про кого вы ничего не знаете. Совет на будущее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zyx
Сынок, не учи отца .......свои предложения по мат.части оставь для себя wink.gif

Пожалуй, оставлю ваш интеллектуальный уровень без комментариев. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А заражение системы не состоит из зараженных файлов? одного или нескольких

Не всегда. Это может быть и модифицированный сектор загрузчика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Когда дорастете до уровня Zyx в ав-индустрии, тогда и будете грубить. Пока что всем ясно кто сынок и не стоит грубить тем, про кого вы ничего не знаете. Совет на будущее.

Кто бы говорил. Если Ваши высказывания типа "сосо Симантек" характеризуют Ваше понятие о "великом уровне в ав-индустрии", то такие советы можно смело отправлять в помойку. Хороший уровень "эксперта" ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Кто бы говорил. Если Ваши высказывания типа "сосо Симантек" характеризуют Ваше понятие о "великом уровне в ав-индустрии", то такие советы можно смело отправлять в помойку. Хороший уровень "эксперта" ;)

Причем тут "сосо Симантек"? Как это связано с тем, что вы не можете отличить файловое заражение от заражения компьютера?

Не вам судить о моем профессиональном уровне эксперта, я уже много раз это говорил. Как вы там сказали: "сначала дорасти сынок". Оффтоп закончен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Коллеги, поспокойнее! Надеюсь, что теперь всем будет понятно, что заражение системы и заражение файлов - это разные вещи. Мы проверяли способности лечения именно системы.

Кстати, наш тест на обнаружение/лечение полиморфных вирусов тоже хорошо было бы обновить. Вижу, что вопросы есть у людей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Как это связано с тем, что вы не можете отличить файловое заражение от заражения компьютера?

Не могу отличить в вашем воспаленном воображении. Заражение системы это общее понятие, заражена ли она трояном либо файловым вирусом. Лечение применимо только к файловому вирусу, троянов которые были в тесте не лечат, а удаляют (это что к тому, что все говорят о лечении). Оффтоп закончен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
А вот и нет. Вы как раз-таки не можете удалить обнаруженный файл.

А можете сказать какие проблемы возникают? Просто не можем удалить файл или возникают проблемы с обнаружением?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Не могу отличить в вашем воспаленном воображении. Заражение системы это общее понятие, заражена ли она трояном либо файловым вирусом. Лечение применимо только к файловому вирусу, троянов которые были в тесте не лечат, а удаляют (это что к тому, что все говорят о лечении). Оффтоп закончен.

SDA

Я конечно понимаю Ваше рвение спорить о вредоносных программах с вирусными аналитиками, учить их, как правильно что называть...

Но может хватит? Я не вижу вообще смысла в ваших постах, не вижу в них цели. Хочется поговорить о том, какие "глупые" эксперты ЛК и о продажности всех тестов - то Вам на форум "зеленых" ;) Хотя Вы уже там...

З.Ы. касаемо малвар в тестировании, то принцип "удаления" файла не сработает с TDL3 и Neprodoor. Эти руктиты используют системные драйвера для своего старта. Чтобы вылечить систему, нужно привести зараженный драйвер в оригинальный вид. В случае удаления, система или умирает (первый руткит) или остается без сети вообще (второй руткит)

А можете сказать какие проблемы возникают? Просто не можем удалить файл или возникают проблемы с обнаружением?

Обнаружение есть, проблемы с удалением. Сканер сразу удаляет файл с диска - руткит его снова создает. Затем идет задание на dwshd (кажется такое имя было у вашего бут-драйвера) и просится ребут. В ходе загрузки системы бут-драйвер грузится куда позже драйвера руткита - тот успевает себя защитить и удаление файла уже не проходит. Как и ключей. Ключи защищаются DKOH хуками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Я не вижу вообще смысла в ваших постах, не вижу в них цели. Хочется поговорить о том, какие "глупые" эксперты ЛК и о продажности всех тестов - то Вам на форум "зеленых" Хотя Вы уже там...

vaber закрыл офтоп, но специально для Вас поясняю: я не зеленый и не красный и не желтый (могли бы уж давно понять). Тесты я не комментирую, я уже об этом Вам персонально сказал. К сведению, вирусные аналитик ЛК и руководитель проекта давал/дают интервью на VI по разным темам безопасности по моей просьбе. Это мое отношение к специалистам ЛК. Но которые выливают дерьмо на конкурента забывая смотреть за собой, вызывают у меня другое мнение, которое я и высказываю. Как говорится ничего личного. Вообще был о Вас лучшего мнения ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Обнаружение есть, проблемы с удалением.

Можете сказать с каким именем детектируется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber закрыл офтоп, но специально для Вас поясняю: я не зеленый и не красный и не желтый (могли бы уж давно понять). Тесты я не комментирую, я уже об этом Вам персонально сказал. К сведению, вирусные аналитик ЛК и руководитель проекта давал/дают интервью на VI по разным темам безопасности по моей просьбе. Это мое отношение к специалистам ЛК. Но которые выливают дерьмо на конкурента забывая смотреть за собой, вызывают у меня другое мнение, которое я и высказываю. Как говорится ничего личного.

Так высказывайтесь по теме теста, а не провоцируйте кого-то. Посмотрите свои последние 5 сообщений? Они по теме? Вам явно указали, что Вы не понимаете (или делаете вид), что есть заражение системы, для чего проводился тест. Вы же стали грубить.

Вообще был о Вас лучшего мнения wink.gif

Аналогично ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Можете сказать с каким именем детектируется?

Trojan.NtRootKit.5823

З.Ы. Помнится у вас кто-то говорил "Ну про тест лечения активного заражения я даже ничего говорить не буду. До сих пор у нас весь вирлаб потешается над этим тестом. Всем всё понятно." ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×