Перейти к содержанию
Сергей Ильин

Тест антивирусов на лечение активного заражения I (подготовка)

Recommended Posts

Сергей Ильин

Есть идея уже давно провести тест антивирусов на лечение активного заражения. Очень много говорится про то, как не допустить заражения, тестируются разные проактивные технологии, детект и т.д., но заражения все равно происходят :-) Причем заражались хотя бы раз все пользователи.

Так что делать, когда беда пришла?

Что делать если штатный антивирус уже выведен из строя?

Какой продукт лучше справится с задачей восстановления работоспособности компьютера?

Собственно результаты теста смогут ответить на эти вопросы. В результате такого теста, на мой взгляд, мы можем выяснить следующее:

- способность того или иного антивируса устанавливаться на уже зараженный ранее компьютер;

- эффективность лечения уже зараженного компьютера;

- удаление последствий заражения (все, что выходит за рамки банального удаления тела вируса).

Хотелось бы перед тем, как что-то делать выработать методлогию теста и ответить на следующие вопросы:

Какие вирусы мы берем для теста?

(вероятно те, которые тяжело лечатся или активно противостоят лечению).

Какие антивирусы стоит тестировать?

(есть подозрение, что некоторые продукты даже не стоит в этот тест включать).

И самое важное: Как сравнивать результаты? Какие будут критерии оценки эффективности?

В перспективе было бы здорово провести такой тест на стенде - модели небольшой сети с несколькими машинами, чтобы посмотреть какие антвирусы лучше справляются с активными заражениями в масштабах корпоративных сетей.

Буду рад любым комментарием по будущему тесту.

Если есть желающие поучаствовать непосредственно в тесте, тоже пишите :!:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Включать стоит, думаю, если не всех, то большинство. Сразу станет видно, у кого есть драйвера, у кого нет... У кого есть самозащита, у кого нет... Победит-то, конечно, Каспер, особенно если успеет выйти первый пакет обновлений (после него можно будет KAV вообще не тестировать :D )

Критерии я лично вижу простые: сумеет ли антивирус установиться на зараженную машину, отразить атаки на себя и вычистить вирус. Условие, естественно, что антивирус должен вирус знать.

Самая простая схема могла бы быть из трех очков: очко за успешность установки, очко за самозащиту после нее и очко за успешное вычищение вируса. Это самое грубое. :)

Вирусы берем по следующим критериям, полагаю:

-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

-способность самовосстанавливаться в случае, если не все файлы удалены

(все это, естественно, IMHO)

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

А как учесть неуловимого Джо?

Пользование очень популярными антивирусами небезопасно само по себе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Мысль ваша ясна, но формулировка неверна в корне :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Может быть.

Но я имею возможность выбора, в отличие от подавляющего большинства. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

ОК, давайте конкретизировать по вирусам.

-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

-способность самовосстанавливаться в случае, если не все файлы удалены

Согласен. А как быть со сроками их появления?

Можно взять совсем свежие, тот же Warezov? Или лучше взять старые добрые, какие-нибудь Klez или Nimda?

Понятно, что результаты будут разные, но если взять совсем свежие, то кто-то я думаю будет потом упрекать, что мол не успели функционал в своих продуктах докрутить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Главная задача - отобрать с десяток ITW образцов, с различными способами своей защиты от удаления и обнаружения. (должны детектиться всеми антивирусами до теста)

Далее просто устанавливается один образец на систему, перезагружаем ся, устанавливаем антивирь.

С атаками на антивирус проблематично, поскольку список процессов (ключей, файлов) принадлежащих антивирусным продуктам находится в теле вируса и в этом списке может не оказаться одного из тестируемых антивирусов.

в качестве примеров Itw может быть Haxdoor, Banker, Feebs, тот же Warezov, Look to me и т.д. ( руткиты, несколько процессов перезапускающие друг друга, переименования при перезагрузки, очистка списка отложенного удаления, золоченные и т.д)

Оценка: установился или нет, удалил или нет, почистил реестр или нет.

Добавлено спустя 30 минут 32 секунды:

Согласен. А как быть со сроками их появления?

Можно взять совсем свежие, тот же Warezov? Или лучше взять старые добрые, какие-нибудь Klez или Nimda?

Понятно, что результаты будут разные, но если взять совсем свежие, то кто-то я думаю будет потом упрекать, что мол не успели функционал в своих продуктах докрутить.

Можно взять и свежие и старые. Сильно старые не нужно, так как методика их защиты от удаления неактуальна. А то кто не успел докрутить функционал - тот опоздал Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Идея неплохая и оригинальная. Предлагаю провесси тест "лечение активного заражения" после проведения теста на "упакованные вирусы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
. Предлагаю провесси тест "лечение активного заражения" после проведения теста на "упакованные вирусы"

Вы имеет в виду второй по счету тест на упакованные вирусы?

Мы его планировали на конец года, но боюсь за это время мало что поменялось, может быть имеет смысл сделать его где-то в январе-феврале 2007 года. А раньше провести этот тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Очень интересно узнать насколько усовершенствовано детектирование упакованных вредоносных объектов. Тем более его провести несложно с учетом имеющегося опыта. А к принципиально новому тесту нужно тщательно готовится. :)

Добавлено спустя 4 минуты 51 секунду:

Вы имеет в виду второй по счету тест на упакованные вирусы?

Мы его планировали на конец года, но боюсь за это время мало что поменялось,

О нет! усовершенстовано детектирование упакованных объектов в KAV/KIS (MP1), Dr. Web (недавно обновлен движок и добавлено детектирование новых пакеров), совершенствуется NOD32, VBA32 (вышел новый релиз, если мне не изменяет память) и т.д.

может быть имеет смысл сделать его где-то в январе-феврале 2007 года. А раньше провести этот тест.

Может быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Очень интересно узнать насколько усовершенствовано детектирование упакованных вредоносных объектов. Тем более его провести несложно с учетом имеющегося опыта. А к принципиально новому тесту нужно тщательно готовится. Smile

Да, посмотреть на изменения будет действительно очень интересно.

Потом, действительно, новый тест потребует гораздо больших ресурсов на подготовку. Но в любом случае нам ничего не мешает начать прорабатывать методологию теста на лечение активного заражения уже сейчас. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Да, посмотреть на изменения будет действительно очень интересно.

Потом, действительно, новый тест потребует гораздо больших ресурсов на подготовку. Но в любом случае нам ничего не мешает начать прорабатывать методологию теста на лечение активного заражения уже сейчас. :)

И новый тест интересен. Можно в принципе наччать с него. Предлагаю высказаться по вопросу очередности проведения тестов! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
И новый тест интересен. Можно в принципе наччать с него. Предлагаю высказаться по вопросу очередности проведения тестов! :)

Нужно проводить этот тест первым!!!

Почему?

Первое - он проще (не нужно искать пакеры последних версий да ещё крякнутые (если платный); не нужно паковать и проверять работоспособность)

Второе - не так много антивирусов новых версий появилось да и пакеры все теже восновном.

З.Ы. Vba новая не выходила, а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1 ( может быть в этом напрвлении ничего не поменяется).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1

Забудте эту мысль, у кава поддержка пакеров независит от версии АВ а только от актуальности баз Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
>а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1

Забудте эту мысль, у кава поддержка пакеров независит от версии АВ а только от актуальности баз Ж)

Правильно, но речь идет вот об этом

К аспротекту есть распаковщики ко всем версиям, проблема в сигнатурах. Да, я признаю что проблема есть, и не может быть решена до выхода следующего движка. Но это будет уже скоро, так что мы не волнуемся =)

http://anti-malware.ru/phpbb/viewtopic.php...87&start=45

Понятно, что движок - в основном в базах, но все же, если я правильно понял поддержку новых упаковщиков добавят в выходом MP1. Не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

А это никаким МП не исправят а будет это в 7.0 (2007 год)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Думаю начать данное тестирование необходимо с выбором десятка вирусов с различными способами защиты.

Пастить их мона сюда:

http://anti-malware.ru/phpbb/viewtopic.php...&highlight=

Надеюсь этот десяток на собирается быстро, что позволит раньше начать тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Ребят, не будет такой тест адекватным, по сути своей, так же как и различные греческо-немецкие тесты.

Это будет исключительно лабораторный тест.

Но разница и сходство есть.

Если всякие греко-немцы берут древние, забытые всеми крапы, то в данном случае невозможно учесть множество факторов, которые существуют на данный момент времени, и которые формируют "дикость" зловредов.

Где вы найдёте кренделя, который выгружает, любой

антивирус?

Как можно оценить устойчивость антивируса если он широко не распространен?

Не знаю, может ещё кто-нибудь добавит вопросы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Ребят, не будет такой тест адекватным, по сути своей, так же как и различные греческо-немецкие тесты.

Не успели провести тест, а Вы уже его критикуете. :)

Это будет исключительно лабораторный тест.

Ну и что? Разве лабораторные тесты не могут адекватно отражать истинное положение дел? Я лично против того, что бы опираться на стереотипы, по крайней мере в этом вопросе.

Но разница и сходство есть.

Если всякие греко-немцы берут древние, забытые всеми крапы, то в данном случае невозможно учесть множество факторов, которые существуют на данный момент времени, и которые формируют "дикость" зловредов.

С чего Вы взяли. Знаете давно заметил, что те кто критикует так называемые лабораторные тесты как правило не могут привести ни одного существенного аргумента в обосновании своих возражений.

Где вы найдёте кренделя, который выгружает, любой

антивирус?

А зачем искать такой вирус? Не думаю, что тест целесообразно проводить на всех антивирусах.

Как можно оценить устойчивость антивируса если он широко не распространен?

Не знаю, может ещё кто-нибудь добавит вопросы?

А это вообще нужно делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Я могу без всяких тестов сказать что будет с основными анти-вирусами

nod32, symantec, drweb, kav, mcafee и еще некоторых

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Я могу без всяких тестов сказать что будет с основными анти-вирусами

nod32, symantec, drweb, kav, mcafee и еще некоторых

Спасибо, Tix.

Я тоже.

Но я не об этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Ну и что? Ну и я знаю, что будет с антивирусами! Но тест не о том, убъет вирус антивирус Ж)

Тест предполагается провести для проверки способности антивирусов удалить вредоносный код из системы ( в идеале еще и почистить после этого). Например известно, что многие современные антивирусы не могут удалить "золоченные" файлы! Т.е. они вообще не обнаруживают присутствия вируса в системе. ( хотя сам файл детектят). Тест проводится именно с этой целью.

З.Ы. В тесте предлагаю использовать вири с разным механизмом от удаления.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Хороший вредоносный код автоматом не удаляет никто. :)

Если только персонально не заточить.

Да и то...

Не знаю, короче.

Не нажимайте лучше на exe (удивительная вещь, оказывается, в русской раскладке EXE=УЧУ) лишний раз. :D

Не вижу я пока реально жизненных методик.

И сам не могу придумать.

Только личный опыт. Всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Тут я пожалуй соглашусь с Dexter'ом, если с пакерами ещё реально проводить тесты, то в данном тесте нельзя сказать ничего..

то что он известного зловреда лечит, это ещё не факт что он что-то новое будет нормально лечить.. да и вообще по сути, то что он что-то лечит это показатель того, что антивирус уже что-то пропустил и это уже плохо..

вообщем слишком много НО

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×