Тест антивирусов на лечение активного заражения IV (результаты)

[Hiss 110]

Чтобы вылечить систему, нужно привести зараженный драйвер в оригинальный вид.

Руткит так заражает файлы драйвера, что можно восстановить их исходное состояние без восстановления файла из бекапа?

[strat 275]

Сделаю попытку объяснить смысл теста, поскольку, как я вижу, многие не понимают смысла данного тестирования:

1. Процент вылеченных семплов из числа отобранных неправильно отображать как результат "в целом". Процент в результатах лишь отображает кол-во вылеченных из числа отобранных. То есть, если у кого-то был бы 100% результат - это бы не означало, что данный антивирус вылечит любые вредоносные программы какие только существуют. Это будет будет значить, что антивирус имеет такой результат на конкретных этих семплах.

что-то я не понимаю, разъясните пожалуйста, кто прав???

цитата отсюда

Отбирались типичные представители семейств. Если в семействе были наиболее сильные, то выбирали их. Каждый семпл - это новый метод заражения, соответвенно новый метод лечения. Возьмите любой другой вредонос и он все равно попадет в какой-то из 16 семейств, которые уже проверены. Другими словами, есть сташная зараза ааа.ббб.1. Сделали лечение ее. Вышла зараза ааа.ббб.2. На ее лечение не нужно тратить столько сил, как на 1, т.к. это тоже семейство, тот же алоритм. 16 выбранных представителей покрывают собой ~100% существующих на тот момент методов заражения.

[sww 486]

Руткит так заражает файлы драйвера, что можно восстановить их исходное состояние без восстановления файла из бекапа?

Да, зараженные драйвера можно вылечить, а не восстанавливать их из бэкапа.

[priv8v 960]

Да, зараженные драйвера можно вылечить, а не восстанавливать их из бэкапа.

sww, а как чаще антивирусы решают проблему лечения заражения драйверов - просто заменяют их на чистый файл или все-таки лечат зараженный файл?

Почему?

[vaber 350]

что-то я не понимаю, разъясните пожалуйста, кто прав???

100%-ную гарантию не дает даже презерватив...

Касаемо трактовки результатов - я целый текст написал.там все доступно расписано.

[strat 275]

Касаемо трактовки результатов - я целый текст написал.там все доступно расписано.

да вот собственно именно поэтому текст и вызвал вопросы , по ссылке что я дал, Umnik и Danilka говорят другое, а именно что 16 семейств и охват ~100% и тоже расписывают вот и хочется ясности от всех перечисленных лиц.

[Сергей Ильин 1538]

да вот собственно именно поэтому текст и вызвал вопросы sad.gif, по ссылке что я дал, Umnik и Danilka говорят другое, а именно что 16 семейств и охват ~100% и тоже расписывают вот и хочется ясности от всех перечисленных лиц.

Смотрите в чем тут дело. Согласно методологии теста выбранные самплы покрывают основные методы, используемые вредоносами для сокрытия своего присутствия в системе. Таким образом, если антивирус Х умеет лечить все самплы в тесте, то этот результат можно экстраполировать на другие самплы, где используются такие же методы. Но как написал выше Василий, гарантии абсолютной в такой экстраполяции нет. Во-первых, вредоносы постоянно совершенствуются. Мы в тесте это видим на примере Sinowal, Rustok, Scano (в прошлый раз лечились, сейчас нет). Во-вторых могут элементарно глючить сами антивирусы. Если посмотреть подробный отчет о тесте, то там видно, что вылечено должно было быть гораздо больше, но что-то подводило каждый раз.

Выводы к тесту сделаны правильные - это качественное исследование. Оно показывает, какие вендоры уделяют внимание этому аспекту защиты и какие антивирусы в принципе способны лечить.

[sww 486]

sww, а как чаще антивирусы решают проблему лечения заражения драйверов - просто заменяют их на чистый файл или все-таки лечат зараженный файл?

Почему?

Большинство рекомендует отформатировать c:. Шучу

Я не могу говорить за всех, но ЛК и ДрВеб лечат зараженные файлы сами, если это возможно. Почему? Ну, причина основная одна - кто сказал, что файл из какого-то абстрактного "бэкапа" чистый, а не заражен? А еще лучше, удален вредоносным кодом вообще, на всякий случай.

[Danilka 678]

да вот собственно именно поэтому текст и вызвал вопросы , по ссылке что я дал, Umnik и Danilka говорят другое, а именно что 16 семейств и охват ~100% и тоже расписывают вот и хочется ясности от всех перечисленных лиц.

Уважаемый - Вы внимательно бы перечитали о чем лично я говорил в том топике... Про семплы с моей стороны там вообще речь не шла. Там шла речь о качестве защиты KIS - что с помощью снятия одной галки она становится ~100%. А за 2 действия она становится абсолютно 100%. Трактуйте хоть правильно свои ссылки...

P.S. Чтобы исключить сразу лишние вопросы:

http://forum.kasperskyclub.ru/index.php?sh...st&p=211059

Вот эти самые настройки...

[strat 275]

Уважаемый - Вы внимательно бы перечитали о чем лично я говорил в том топике... Про семплы с моей стороны там вообще речь не шла.

Извините, я воспринял вот эту последовательность постов именно про семплы. Т.е. Mark D. Pearlstone сообщил о сомнениях по поводу покрытия образцами всей коллекции, Вы сказали что это бред, предложили почитать ему методологию, он понял что-то и Umnik разъяснил всем что образцы покрывают 100% всех встречающихся вирусов. Вы этому не возразили и т.к. изначально говороили о семплах то я посчитал что Вы согласны с Umnik. Но если я понял неправильно то вопрос только к Umnik.

Я говорил в том смысле, что другие могут взять образцы вирусов, активное заражение которыми Веб лечит большее количество, чем на тесте Anti-Malware.

Mark D. Pearlstone

Бред пишите ей богу...

Danilka, Umnik,

Тогда где можно это методологию почитать?

Цитата(Danilka @ 09.02.2010, 21:13)

Mark D. Pearlstone

http://www.anti-malware.ru/node/2213

Спасибо, очень интересно. С этим тестом всё понятно.

Раз ты понял, то поясню для других.

Отбирались типичные представители семейств. Если в семействе были наиболее сильные, то выбирали их. Каждый семпл - это новый метод заражения, соответвенно новый метод лечения. Возьмите любой другой вредонос и он все равно попадет в какой-то из 16 семейств, которые уже проверены. Другими словами, есть сташная зараза ааа.ббб.1. Сделали лечение ее. Вышла зараза ааа.ббб.2. На ее лечение не нужно тратить столько сил, как на 1, т.к. это тоже семейство, тот же алоритм. 16 выбранных представителей покрывают собой ~100% существующих на тот момент методов заражения.

[Umnik 997]

16 выбранных представителей покрывают собой ~100%

~100 ~. У меня на клавиатуре нет двойной тильды, а искать ее в таблице не было желания.

[strat 275]

~100% это и воспринимается как "близко к 100%" и двойная тильда или одинарная уже без разницы. Ну и остается разъяснить одно, если известно 10 миллионов (я просто грубо т.к от чего-нибудь оттолкнуться надо) вирусов, были взяты 16 представителей семейств охватывающих приблизительно 100% "методов заражения" и в результате были вылечены 13 штук. То сколько же вирусов будет вылечено из 10 миллионов.

а) я понимаю что из 10м есть куча несопротивляющихся вирусов, файловых, червей и еще куча других которые просто лечатся не так, могут быть неактивными и т.д.

б) я думаю что активных, сопротивляющихся, лечение которых сложное, будет насчитываться скажем 1 миллион, и вот из них как раз можно сказать что выбраны все семейства охватывающие именно этот миллион т.е. ~100%.

Это так?

[vaber 350]

Ну и остается разъяснить одно, если известно 10 миллионов (я просто грубо т.к от чего-нибудь оттолкнуться надо) вирусов, были взяты 16 представителей семейств охватывающих приблизительно 100% "методов заражения" и в результате были вылечены 13 штук. То сколько же вирусов будет вылечено из 10 миллионов.

Вы применяете математику там, где ее нет

Семплы отбирались на основе знаний и опыта вирусных аналитиков. На основе общих методов защиты от обнаружения/удаления.

Грубо говоря можно представить себе такую картину:

Есть 10 млн семплов. Эти 10 млн семплов есть 100 семейств ВП с одинаковым принципом работы (то есть одна и та же вредоносная программа, просто обработанная разными пакерами и потому имеющие различную контрольную сумму). В не зависимости как и чем она обработана - принцип работы ее одинаков. Из этих 100 семейств 50 семейств различны по функционалу, методу инсталляции, но имеют в целом схожие механизмы защиты, например открытие файла с монопольным доступом и пересоздание своего ключа в случае удаления антивирусом. (один регистрируется в Run, другой, например,в userinit). Еще 30 семейств блокируют возможность полноценной работы с ПК, убивают ПК, файловые вирусы, завершают процессы антивирусов и проч. Остается еще 20, которые не нарушают работу ПК, не блокируют АВ, а принципиально обходят возможность своего обнаружения/удаления антивирусом. 16 из них очень распространены, а остальные 4 попадались в единичных экземплярах. Вот если мы возмем по 1 образцу ВП из этих 16 семейств, мы получим возможность провести подобный тест. Как-то так

[Zyx 45]

тильда или одинарная уже без разницы. Ну и остается разъяснить одно, если известно 10 миллионов (я просто грубо т.к от чего-нибудь оттолкнуться надо) вирусов, были взяты 16 представителей семейств охватывающих приблизительно 100% "методов заражения" и в результате были вылечены 13 штук. То сколько же вирусов будет вылечено из 10 миллионов.

а) я понимаю что из 10м есть куча несопротивляющихся вирусов, файловы

Миллион семплов вообще понятие очень растяжимое, по сути это миллион бинарных тушек с разными md5, но давайте посмотрим, что же там под капотом.

Есть например 16 постоянно развивающихся семейств. Т.е. исходники постоянно дописываются, допиливаются, внедряются новые методы противодействию лечению, правятся и пишутся новые баги . Т.е. как и в любом полноценном продукте (да-да вредоносные программы уже давно полноценный поддерживаемый продукт) постоянно выходят обновления. После этого эти бинарные тушки пакуются разными полиморфными(или не очень) пакерами, которые в свою очередь имеют какие-то свои особенности, набор багов и т.д. + При этом бинарно семпл каждый раз разный. После того, как семплы начали распространять, они могут побывать еще в куче разных мест и попасть там под какое-то искажение (у пользователя, в коллекции у тестера). Возможно еще раз будет пакован сверху чтобы сбить появивщийся детект... и т.д.

Вот таким вот способом из 16 семплов и вышел миллион разных бинарных тушек, при этом некоторые из которых имеют свои особенности и т.д.

Так вот антивирус может вполне справлятся с 16 изначальными семплами в плане лечения активного заражения (и тест был направлен на исследование именно этой составляющей). Т.е. технологически детект ~ 100%

Но в этой каше из миллиона появившихся бинарных тушек вполне могут найтись такие представители которые не пролечатся по разным причинам: баг в самом семпле, баг в пакере, какая-либо несовместимость, баг в продукте проявляющийся только при определенных условиях и эти условия возникают только на 5 семплах из миллиона, недетект какой-либо кампоненты малвары и т.д.

Конечно я описал все очень обще, и вообще вопрос был не мне, но возможно общее представление вы получите о том, что я хотел сказать.

[Razboynik 105]

Вот если мы возмем по 1 образцу ВП из этих 16 семейств

Очень интересно. Около 20% из общего числа всех протестированных - это TDSS. Вот оно как оказывается, все TDSS - это разные семейства

Тест проводился на следующих вредоносных программах, которые были выбраны в соответствии с определенными требованиями:

1. AdWare.Virtumonde (Vundo)
2. Rustock (NewRest)
3. Sinowal (Mebroot)
4. Email-Worm.Scano (Areses)
5. TDL (TDSS, Alureon, Tidserv)
6. TDL2 (TDSS, Alureon, Tidserv)
7. Srizbi
8. Rootkit.Podnuha (Boaxxe)
9. Rootkit.Pakes (synsenddrv)
10. Rootkit.Protector (Cutwail, Pandex, Pushdo)
11. Virus.Protector (Kobcka, Neprodoor)
12. Xorpix (Eterok)
13. Trojan-Spy.Zbot
14. Win32/Glaze
15. SubSys (Trojan.Okuks)
16. TDL3 v.3.17 (TDSS, Alureon, Tidserv)

[vaber 350]

Очень интересно. Около 20% из общего числа всех протестированных - это TDSS. Вот оно как оказывается, все TDSS - это разные семейства smile.gif

Ну название одинаковое и что? Предлагаю Вам посмотреть отчет о тестировании - там есть описание каждого образца, того, как он работает. Все эти три TDSS - одно семейство, но с принципиальным различием в маскировки.

З.Ы. Просьба ко всем: прежде чем писать тут свои вопросы, проверьте, нет ли ответов на них в этой теме или же в отчете/методологии. Ибо очень накладно писать одно и тоже по нескольку раз.

[strat 275]

Конечно я описал все очень обще, и вообще вопрос был не мне, но возможно общее представление вы получите о том, что я хотел сказать.

спасибо, теперь все понятно, я получил ответ на свой вопрос

[Андрей-001 1099]

Ибо очень накладно писать одно и тоже по нескольку раз.

Скорее даже утомительно. И писать и читать.

[teo 30]

А вот у меня вопрос, ежели АВ детектит сэмпл винлока (Get Access, к примеру). А вот на перепакованный совершенно не реагирует. Что тогда?...Первый сэмпл то входит в 10 млн., а второй? Или это уже другой зловред, входящий во вторую десятку миллионов? И "это не считается"

Просто действительно интересно, как 16!!! зловредов покрыли всё их количество? Мало того, где российская действительность - винлоки, а?

[Umnik 997]

teo

Метод лечения будет один и тот же (в идеале, если это реально переупакованный).

[priv8v 960]

Почему такое плохое лечение EmailWorm.Win32.Scano ? Ведь ничего зеро-дей он не использует. Даже возможность нагадить системе при простом его удалении везде приводил в пример vaber (а он вслух никогда никакой технологии хоть даже чуть-чуть секретной не скажет).

И почему Каспер зависает при его обнаружении? Ведь по описанию это просто файл, который просто лежит, никаких хитростей в кернел-моде.

[vaber 350]

Просьба к модераторам:

перенесите, плиз, сообщения касаемо винлоков в соответствующую тему, т.к. то глубокий оффтоп.

Касаемо отсутствия таковых в тестировании -читаем методику и предыдущие страницы этой темы - там все ответы.

[Сергей Ильин 1538]

Вообщения по поводу Trojan.Winlock перенесены сюда

http://www.anti-malware.ru/forum/index.php?showtopic=12057

[Razboynik 105]

Интересно мнение спецов: Как лечит ГДата, и вообще - может ли она лечить?

Два движка - один из них Аваст, который неплох в тестах на лечение (БитДефендер тоже кое что вылечил).

А ГДата сможет вылечить хоть что нибудь? Движки используются только для детекта или для лечения тоже?

[Сергей Ильин 1538]

А ГДата сможет вылечить хоть что нибудь? Движки используются только для детекта или для лечения тоже?

Вот это совсем не факт. В данном случае 1+1 не дает 2. Надо отдельно тестировать и проверять.

Посмотрите на тот же F-Secure, там движок Касперского, но какие разные результаты по лечению ...