Перейти к содержанию
Сергей Ильин

Тест антивирусов на лечение активного заражения I (подготовка)

Recommended Posts

Сергей Ильин

Есть идея уже давно провести тест антивирусов на лечение активного заражения. Очень много говорится про то, как не допустить заражения, тестируются разные проактивные технологии, детект и т.д., но заражения все равно происходят :-) Причем заражались хотя бы раз все пользователи.

Так что делать, когда беда пришла?

Что делать если штатный антивирус уже выведен из строя?

Какой продукт лучше справится с задачей восстановления работоспособности компьютера?

Собственно результаты теста смогут ответить на эти вопросы. В результате такого теста, на мой взгляд, мы можем выяснить следующее:

- способность того или иного антивируса устанавливаться на уже зараженный ранее компьютер;

- эффективность лечения уже зараженного компьютера;

- удаление последствий заражения (все, что выходит за рамки банального удаления тела вируса).

Хотелось бы перед тем, как что-то делать выработать методлогию теста и ответить на следующие вопросы:

Какие вирусы мы берем для теста?

(вероятно те, которые тяжело лечатся или активно противостоят лечению).

Какие антивирусы стоит тестировать?

(есть подозрение, что некоторые продукты даже не стоит в этот тест включать).

И самое важное: Как сравнивать результаты? Какие будут критерии оценки эффективности?

В перспективе было бы здорово провести такой тест на стенде - модели небольшой сети с несколькими машинами, чтобы посмотреть какие антвирусы лучше справляются с активными заражениями в масштабах корпоративных сетей.

Буду рад любым комментарием по будущему тесту.

Если есть желающие поучаствовать непосредственно в тесте, тоже пишите :!:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Включать стоит, думаю, если не всех, то большинство. Сразу станет видно, у кого есть драйвера, у кого нет... У кого есть самозащита, у кого нет... Победит-то, конечно, Каспер, особенно если успеет выйти первый пакет обновлений (после него можно будет KAV вообще не тестировать :D )

Критерии я лично вижу простые: сумеет ли антивирус установиться на зараженную машину, отразить атаки на себя и вычистить вирус. Условие, естественно, что антивирус должен вирус знать.

Самая простая схема могла бы быть из трех очков: очко за успешность установки, очко за самозащиту после нее и очко за успешное вычищение вируса. Это самое грубое. :)

Вирусы берем по следующим критериям, полагаю:

-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

-способность самовосстанавливаться в случае, если не все файлы удалены

(все это, естественно, IMHO)

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

А как учесть неуловимого Джо?

Пользование очень популярными антивирусами небезопасно само по себе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Мысль ваша ясна, но формулировка неверна в корне :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Может быть.

Но я имею возможность выбора, в отличие от подавляющего большинства. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

ОК, давайте конкретизировать по вирусам.

-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

-способность самовосстанавливаться в случае, если не все файлы удалены

Согласен. А как быть со сроками их появления?

Можно взять совсем свежие, тот же Warezov? Или лучше взять старые добрые, какие-нибудь Klez или Nimda?

Понятно, что результаты будут разные, но если взять совсем свежие, то кто-то я думаю будет потом упрекать, что мол не успели функционал в своих продуктах докрутить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Главная задача - отобрать с десяток ITW образцов, с различными способами своей защиты от удаления и обнаружения. (должны детектиться всеми антивирусами до теста)

Далее просто устанавливается один образец на систему, перезагружаем ся, устанавливаем антивирь.

С атаками на антивирус проблематично, поскольку список процессов (ключей, файлов) принадлежащих антивирусным продуктам находится в теле вируса и в этом списке может не оказаться одного из тестируемых антивирусов.

в качестве примеров Itw может быть Haxdoor, Banker, Feebs, тот же Warezov, Look to me и т.д. ( руткиты, несколько процессов перезапускающие друг друга, переименования при перезагрузки, очистка списка отложенного удаления, золоченные и т.д)

Оценка: установился или нет, удалил или нет, почистил реестр или нет.

Добавлено спустя 30 минут 32 секунды:

Согласен. А как быть со сроками их появления?

Можно взять совсем свежие, тот же Warezov? Или лучше взять старые добрые, какие-нибудь Klez или Nimda?

Понятно, что результаты будут разные, но если взять совсем свежие, то кто-то я думаю будет потом упрекать, что мол не успели функционал в своих продуктах докрутить.

Можно взять и свежие и старые. Сильно старые не нужно, так как методика их защиты от удаления неактуальна. А то кто не успел докрутить функционал - тот опоздал Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Идея неплохая и оригинальная. Предлагаю провесси тест "лечение активного заражения" после проведения теста на "упакованные вирусы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
. Предлагаю провесси тест "лечение активного заражения" после проведения теста на "упакованные вирусы"

Вы имеет в виду второй по счету тест на упакованные вирусы?

Мы его планировали на конец года, но боюсь за это время мало что поменялось, может быть имеет смысл сделать его где-то в январе-феврале 2007 года. А раньше провести этот тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Очень интересно узнать насколько усовершенствовано детектирование упакованных вредоносных объектов. Тем более его провести несложно с учетом имеющегося опыта. А к принципиально новому тесту нужно тщательно готовится. :)

Добавлено спустя 4 минуты 51 секунду:

Вы имеет в виду второй по счету тест на упакованные вирусы?

Мы его планировали на конец года, но боюсь за это время мало что поменялось,

О нет! усовершенстовано детектирование упакованных объектов в KAV/KIS (MP1), Dr. Web (недавно обновлен движок и добавлено детектирование новых пакеров), совершенствуется NOD32, VBA32 (вышел новый релиз, если мне не изменяет память) и т.д.

может быть имеет смысл сделать его где-то в январе-феврале 2007 года. А раньше провести этот тест.

Может быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Очень интересно узнать насколько усовершенствовано детектирование упакованных вредоносных объектов. Тем более его провести несложно с учетом имеющегося опыта. А к принципиально новому тесту нужно тщательно готовится. Smile

Да, посмотреть на изменения будет действительно очень интересно.

Потом, действительно, новый тест потребует гораздо больших ресурсов на подготовку. Но в любом случае нам ничего не мешает начать прорабатывать методологию теста на лечение активного заражения уже сейчас. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Да, посмотреть на изменения будет действительно очень интересно.

Потом, действительно, новый тест потребует гораздо больших ресурсов на подготовку. Но в любом случае нам ничего не мешает начать прорабатывать методологию теста на лечение активного заражения уже сейчас. :)

И новый тест интересен. Можно в принципе наччать с него. Предлагаю высказаться по вопросу очередности проведения тестов! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
И новый тест интересен. Можно в принципе наччать с него. Предлагаю высказаться по вопросу очередности проведения тестов! :)

Нужно проводить этот тест первым!!!

Почему?

Первое - он проще (не нужно искать пакеры последних версий да ещё крякнутые (если платный); не нужно паковать и проверять работоспособность)

Второе - не так много антивирусов новых версий появилось да и пакеры все теже восновном.

З.Ы. Vba новая не выходила, а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1 ( может быть в этом напрвлении ничего не поменяется).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1

Забудте эту мысль, у кава поддержка пакеров независит от версии АВ а только от актуальности баз Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
>а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1

Забудте эту мысль, у кава поддержка пакеров независит от версии АВ а только от актуальности баз Ж)

Правильно, но речь идет вот об этом

К аспротекту есть распаковщики ко всем версиям, проблема в сигнатурах. Да, я признаю что проблема есть, и не может быть решена до выхода следующего движка. Но это будет уже скоро, так что мы не волнуемся =)

http://anti-malware.ru/phpbb/viewtopic.php...87&start=45

Понятно, что движок - в основном в базах, но все же, если я правильно понял поддержку новых упаковщиков добавят в выходом MP1. Не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

А это никаким МП не исправят а будет это в 7.0 (2007 год)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Думаю начать данное тестирование необходимо с выбором десятка вирусов с различными способами защиты.

Пастить их мона сюда:

http://anti-malware.ru/phpbb/viewtopic.php...&highlight=

Надеюсь этот десяток на собирается быстро, что позволит раньше начать тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Ребят, не будет такой тест адекватным, по сути своей, так же как и различные греческо-немецкие тесты.

Это будет исключительно лабораторный тест.

Но разница и сходство есть.

Если всякие греко-немцы берут древние, забытые всеми крапы, то в данном случае невозможно учесть множество факторов, которые существуют на данный момент времени, и которые формируют "дикость" зловредов.

Где вы найдёте кренделя, который выгружает, любой

антивирус?

Как можно оценить устойчивость антивируса если он широко не распространен?

Не знаю, может ещё кто-нибудь добавит вопросы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Ребят, не будет такой тест адекватным, по сути своей, так же как и различные греческо-немецкие тесты.

Не успели провести тест, а Вы уже его критикуете. :)

Это будет исключительно лабораторный тест.

Ну и что? Разве лабораторные тесты не могут адекватно отражать истинное положение дел? Я лично против того, что бы опираться на стереотипы, по крайней мере в этом вопросе.

Но разница и сходство есть.

Если всякие греко-немцы берут древние, забытые всеми крапы, то в данном случае невозможно учесть множество факторов, которые существуют на данный момент времени, и которые формируют "дикость" зловредов.

С чего Вы взяли. Знаете давно заметил, что те кто критикует так называемые лабораторные тесты как правило не могут привести ни одного существенного аргумента в обосновании своих возражений.

Где вы найдёте кренделя, который выгружает, любой

антивирус?

А зачем искать такой вирус? Не думаю, что тест целесообразно проводить на всех антивирусах.

Как можно оценить устойчивость антивируса если он широко не распространен?

Не знаю, может ещё кто-нибудь добавит вопросы?

А это вообще нужно делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Я могу без всяких тестов сказать что будет с основными анти-вирусами

nod32, symantec, drweb, kav, mcafee и еще некоторых

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Я могу без всяких тестов сказать что будет с основными анти-вирусами

nod32, symantec, drweb, kav, mcafee и еще некоторых

Спасибо, Tix.

Я тоже.

Но я не об этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Ну и что? Ну и я знаю, что будет с антивирусами! Но тест не о том, убъет вирус антивирус Ж)

Тест предполагается провести для проверки способности антивирусов удалить вредоносный код из системы ( в идеале еще и почистить после этого). Например известно, что многие современные антивирусы не могут удалить "золоченные" файлы! Т.е. они вообще не обнаруживают присутствия вируса в системе. ( хотя сам файл детектят). Тест проводится именно с этой целью.

З.Ы. В тесте предлагаю использовать вири с разным механизмом от удаления.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Хороший вредоносный код автоматом не удаляет никто. :)

Если только персонально не заточить.

Да и то...

Не знаю, короче.

Не нажимайте лучше на exe (удивительная вещь, оказывается, в русской раскладке EXE=УЧУ) лишний раз. :D

Не вижу я пока реально жизненных методик.

И сам не могу придумать.

Только личный опыт. Всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Тут я пожалуй соглашусь с Dexter'ом, если с пакерами ещё реально проводить тесты, то в данном тесте нельзя сказать ничего..

то что он известного зловреда лечит, это ещё не факт что он что-то новое будет нормально лечить.. да и вообще по сути, то что он что-то лечит это показатель того, что антивирус уже что-то пропустил и это уже плохо..

вообщем слишком много НО

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Moraband
      Компьютеры легко защитить антивирусами, а вот как защитить свою страницу в ВК, например, очень мало кто знает. Сам недавно повергался взлому, мало того что потерял страницу, так еще и у друзей мошенники выдурили деньги. Потому, что касается защиты и безопасности далеко не везде она так очевидна и понятна многим пользователям. Что точно знаю, так это то, что защитить аккаунт можно с помощью информации из этой статьи по защите аккаунта  ,  мне очень помогло, теперь хоть могу спать спокойно, что никто уже не взломает, ведь в ВК есть все возможности для защиты, но многие люди не знают об этом. 
    • Moraband
      Лучше бы за взломы в ВК сажали, но увы максимум это блокировка страницы взломщика, а чаще всего вообще никаких санкций нет, при том что владельцы ВК теперь представители мэйл ру, лояльные к правительству. Потому советую людям самим задумываться о своей безопасности в ВК, потому что это сейчас одна из самых актуальных проблем, взломщики активизировались из-за кризиса, деньги всем нужны, потому берут взламывают и клянчат у друзей взломанного пользователя деньги. Всем советую изучить статью по защите от взломов в ВК , чтоб хоть как-то защитить себя . Вот это куда более важное дело, что переживать из-за нецензурной лексики пользователей, но у нас же как всегда борются с тем что не надо, игнорируя важную проблему. 
    • Moraband
      Маил ру, увы, сейчас постепенно захватывает все соц. сети, при этом принося ворох проблем. Последнее время в Вконтакте активизировались мошенники-взломщики, с которыми соц. сеть почему то борется очень слабенько, почти ничего не делая. Если бы блокировали по айпи адресу взломщиков, было бы куда лучше, но увы, этого скорее всего никогда не будет. Потому пользователям надо научиться защищать самостоятельно свой аккаунт и благо способы есть. Мне друг посоветовал статью по защите страницы в ВК от взломов , благодаря которой я могу узнать про различные виды взломов и как им противостоять в этих непростых условиях, всем советую ознакомиться, надеюсь, что сумел кому-то помочь. 
    • Moraband
      А сейчас все чаще практикуют совсем другие взломы, взломы Вконтакте. Вот у меня такое совсем недавно было, взламывали мою страницу. Сейчас еще пошел новый тренд  по мошенническим схемам. Начали просить денег, а друг поверил, что это я и скинул денег. Вообще основная проблема этих взломов, что люди думают, дескать их никогда не взломают, а на деле  это очень даже возможно, особенно если страница достаточно популярна и ее легко найти в поиске. Потому будьте осторожнее и лучше изучите статью, как защитить свой аккаунт Вконтакте   , тут очень хорошо написано, как эффективно бороться с мошенническими схемами, взломщиками и мошенниками, которые уже заполонили просторы ВК. Надеюсь, что взломанных станет хоть чуточку меньше =)
    • Moraband
      Ой, столько мошенников развелось сейчас в интернете, пруд пруди. Недавно столкнулся с новым веянием взломов в Вконтакте и вымогательства денег у друзей пользователя. Сам на такое и попал, а мой друг доверчивый и поверил в бредни, которые рассказывал взломщик, перевел ему 5к руб. От такого никто не застрахован, а причиной большого количества взломов выступает отсутствие знаний у простых пользователей. Потому, вот тут смотрите как защитить свой аккаунт от взлома , это очень полезно и реально даст возможность спать спокойно спать и быть точно уверенным, что в этот момент кто-то не вытягивает последние кровные из ваших друзей. 
×