Тест антивирусов на лечение активного заражения I (подготовка)

[Николай Головко 70]

Не обязательно. В реальной ситуации пропускает один антивир, и ему ищут замену другим. Вот и посмотрим, кем лучше лечить зараженную машину...

[Сергей Ильин 1538]

Где вы найдёте кренделя, который выгружает, любой

антивирус?

Как можно оценить устойчивость антивируса если он широко не распространен?

Есть очень хитрое malware, которое эффективно противостоит многим антивирусам. Конечно, вирусописатели не будут париться на противодействием всем антвирусам, ограничиваются популярными, это нормально.

Я не вижу тут проблем. Если вирье будет затачиваться под Norton, то это означает, что уровень его защиты слабее, чем если поставить того же Nod32. Пусть даже все технологии у него будут на уровне.

Тест предполагается провести для проверки способности антивирусов удалить вредоносный код из системы ( в идеале еще и почистить после этого). Например известно, что многие современные антивирусы не могут удалить "золоченные" файлы! Т.е. они вообще не обнаруживают присутствия вируса в системе. ( хотя сам файл детектят). Тест проводится именно с этой целью.

З.Ы. В тесте предлагаю использовать вири с разным механизмом от удаления.

Правильно, вот это тоже очень интересно потестировать, будет хоть какая-то аналитика на эту тему, а то сейчас есть только набор субъективных мнений.

Мы можем взять набор реально сложных вредоносов, с разным механизмом противодействия, обязательно с громкими именами.

Это будет показательно, т.к. не нужно будет обосновывать выборку, вирье будет действительно топовым, у всех на слуху. Тот же LdPinch или Warezov пойдут, нужно только подобрать правильные семплы.

Вот тут без помощи вирусных аналитиков не обойтись. Но сначала нам нужно самим найти и записать критерии выбора вирусов.

P.S. Типичная ситуация: стоит на компе антивирус Х, попадает на него вирус, после чего антивирус Х убивается и повторная установка его и попытки лечение ничего не дают, вирус сразу убивает антивирус Х.

Такая проблема ставит в ступор пользователей, купленный ими антивирус бессилен. Что делать?

По совету друзей ставят антивирус Y, более продвинутый в плане самозащиты (или же просто не известный этому конкретному вирусу), с его помощью проблема решается.

Так вот мы сможет понять, какой из антивирусов лучше подходит на роль антивируса Y

[TiX 0]

Ну и что? Ну и я знаю, что будет с антивирусами! Но тест не о том, убъет вирус антивирус Ж)

Тест предполагается провести для проверки способности антивирусов удалить вредоносный код из системы ( в идеале еще и почистить после этого). Например известно, что многие современные антивирусы не могут удалить "золоченные" файлы! Т.е. они вообще не обнаруживают присутствия вируса в системе. ( хотя сам файл детектят). Тест проводится именно с этой целью.

З.Ы. В тесте предлагаю использовать вири с разным механизмом от удаления.

Тут кста касп 6той порвет всех...

Ибо только он при лечении может предотвращать создание новых вредоносных обьектов а не блокировать уже созданные.

Естесно лечение будет эффективно только если АВ известны вредоносные файлы которые активны на ПК.

Тоесть про Drweb Sheild можете не говорить ибо он толком ничего не здалеет против само восстанавливащийся заразы.

Добавлено спустя 2 минуты 7 секунд:

Есть еще по классификации доктора - Trojan.Spambot (arm32.dll) вот его надо потетстить т.к он само восстанавливает свои файлы.

Добавлено спустя 3 минуты 48 секунд:

>Так вот мы сможет понять, какой из антивирусов лучше подходит на роль антивируса Y

DrWeb обычный и (CureIt)

Добавлено спустя 2 минуты 17 секунд:

примерный список

Trojan.Spambot (drweb)

Warezov

Bagle at (c дравером)

Pinch

Adware.NewDotNet

дальше посмотрим...

[vaber 350]

2 tix

Такой вариант уже есть. (Xorpix)

Он создает и открывает arm32.dll с монопольным доступом. (т.е. файл нельзя прочесть и скопировать). При попытке удалить ключ автозагрузки (wimlogon/notify) он тут же востанавливается. Так же запускает скрыто осла и при попытке завершения его процесса он тоже восстанавливается.

Из этого ясно, что антивирус должен обладать спецмеханизмом для удаления такой заразы. Хочу заметить , что таким способом себя защищают много вирусов.

Добавлено спустя 11 минут 43 секунды:

И ещё дабавлю.

Данный тест будет проводится с вредоносами, детектируемыми всеми тестируемыми антивирусами.(неустановленные вирусы).

Канечно, мона написать вирь таким образом, чтобы его не детектил определённый антивирь (не мог удалить) или даже все антивирусы.

Но в нашем случае будут выбираться вирусы, которые используют РАСПРОСТРАНЕННЫЕ способы своей защиты. И тест не ставит перед собой цель проверить убиваемость антивирусов вирусами. Цель:

Способность антивируса удалить из системы вирус, который использует различные методики своей защиты от удаления.

Если антивирь умеет бороться например с "золоченными" вирусами,то он сможет удалить любого зловреда с таким механизмом защиты при наличии соответствующей сигнатуры.

[TiX 0]

>Из этого ясно, что антивирус должен обладать спецмеханизмом для удаления такой заразы. Хочу заметить , что таким способом себя защищают много вирусов.

И такая техника уже создана и внедрена в 6ю линейку каспа. Аналогов на дынный момент нету.

Добавлено спустя 2 минуты 11 секунд:

>Если антивирь умеет бороться например с "золоченными" вирусами,то он сможет удалить любого зловреда с таким механизмом защиты при наличии соответствующей сигнатуры.

Боротся в 2х смыслах.

1. уметь задетектировать ибо если файл не был замечан никакие способы спец удаления непомогут.

2. Уметь удалить.. 99% удаляют при перезагрузке, дрвеб шилд умел удалять без перезагрузки.

[vaber 350]

И такая техника уже создана и внедрена в 6ю линейку каспа. Аналогов на дынный момент нету.

Я знаю Ж)

Но мот ещё кто сможет Ж)

уметь задетектировать ибо если файл не был замечан никакие способы спец удаления непомогут.

Само сабой.

[TiX 0]

>Но мот ещё кто сможет Ж)

По моим данным никто

[Сергей Ильин 1538]

TiX, так есть смысл тогда вообще самозащиту тестить, если все так плохо у остальных?

Если нет, то может сосредоточиться тогда на эффективности лечения и устранении последствий заражения?

[TiX 0]

С само защитой тоже все просто Ж)

У некоторых сканированием занимается чисто драйвер - drweb, nod32, avast у остальных драйвер передает файл на проверку юзер мод процессу.

Из чего следует что если зловред запущен до запуска юзер-мод сервиса то анти-вирус никогда не запустится Ж)

Например кав незапустится больше никогда если запустится багле с драйвером Ж)

Дальше больше.. у когото незапустится только сканнер т.к его будут грохать а у кого то и монитор т.к оба компонента работают засчет одного процесса (который будет убит).

Если багле можно простить т.к он использует драйвер а значит в идеале может пропатчить память другого драйвера чтоб он на вирусы не проверял то юзер-мод вирус который грохает монитор на ранней стадии загрузки это уже хренова Ж)

Добавлено спустя 3 минуты 44 секунды:

>Если нет, то может сосредоточиться тогда на эффективности лечения и устранении последствий заражения?

Тут тоже все просто Ж)

Берем 50 мест автозапуска и прописываем туда eicar

Натравливаем ав на eicar и нажимаем лечить.. после лечения смотрим на то где остались следы ж)

Проверка сомо восстанавливающегося вирья на примере Adware.NewDotNet

99% АВ беспомощны в лечении этого гада т.к он постоянно переименовывает свой файл под другим именем и если его занести в удаление после перезагрузки то нифига не удалится ибо название файла уже будет другое Ж)

[vaber 350]

Вот проведем тест, тогда посмотрим кто сколько кого убил. Возможно, что 100% не будет ни у кого. Пока процесс идет медленно , т.к. нет того на чем тестировать Ж)

[TiX 0]

а какая идеология теста?

Вирус был запущен при анти-вирусе который его не ловил но поймал через час без перезагрузки. Или анти-вирус был отключен (выгружен) и попытка лечения была начата после перезагрузки?

Например дрвеб спайдер может запустится и удалить зараженные файлы при старте системы но он не почистит авто-загрузку и после такого лечения вроде как файлы удалены но либо explorer.exe / svchost.exe не запустится либо интернет пропадет Ж)

[vaber 350]

Предполагается, что тест будет проводится так:

1) На системе нет антивируса - запускается вирус - перезагрузка - установка антивируса и лечение.

2) Отключаем установленный антивирь(выгружаем его или отключаем монитор(и если есть проактивный модуль)) - запускаем вирус - перезагружаемся - лечение

Как-то так.

[SuperBrat 6]

На системе нет антивируса - запускается вирус - перезагрузка - установка антивируса и лечение.

А имеет ли перспективу такой тест? Имхо, 90% антивирусов его просто не перенесут. Они умирают еще на этапе инсталляции, если зловред по-настоящему опасен. Единственный кто может такое пережить DrWeb Cure It, потому что инсталляции не имеет. Корректнее проводить тест прединсталляционных утилит от разработчиков антивирусов.

[TiX 0]

А лечение чем проводить будем?

Сканнерами или Мониторами?

Например переводом все тогоже спайдера в неоптимальный режим.

[vaber 350]

Возможно имеет больший смысл проводить тест по плану: отключаем монитор - запускаем вирус - перезагрузка - лечение.

На счет лечения: думаю, если после перезагрузки монитор ничего не обнаружит, то запускаем сканер. (настройки монитора на максимуме, т.е. например спайдера на неоптимальный ставим).

З.ы. Народ!! Присылайте вирусы. Ведь наверняка у многих есть возможность! И предлагайте свои идеи по проведению теста.

[Сергей Ильин 1538]

редполагается, что тест будет проводится так:

1) На системе нет антивируса - запускается вирус - перезагрузка - установка антивируса и лечение.

Я лично предполагал, что так будет. Т.е. исходная позиция теста - зараженная машина. Потом ставим антивирус и пробуем лечить.

А лечение чем проводить будем?

Сканнерами или Мониторами?

Хороший вопрос. Думаю если унтивирус выживает после установки вообще, то пробовать лечить нужно сначала монитором (будет свидетельствовать об автоматическом лечении, высший пелотаж :-)), потом сканером. Ну лично у меня есть большие подозрения, что кто-то способен монитором будет что-то сделать.

[TiX 0]

Возможно имеет больший смысл проводить тест по плану: отключаем монитор - запускаем вирус - перезагрузка - лечение.

На счет лечения: думаю, если после перезагрузки монитор ничего не обнаружит, то запускаем сканер. (настройки монитора на максимуме, т.е. например спайдера на неоптимальный ставим).

З.ы. Народ!! Присылайте вирусы. Ведь наверняка у многих есть возможность! И предлагайте свои идеи по проведению теста.

Например в таком виде теста со спайдером окажется что доктор не лечит стартапы...

А сканнер который лечить умеет может незапустится Ж)

Как тут быть?

[Николай Головко 70]

Никак. Мы же оцениваем эффективность лечения..

[TiX 0]

Ны дык что важнее? Удаленный вирус и неработающий и-нет или невозможность удаления вируса вледсвие убийства сканнер (но в теории если бы получилось то и инет бы работал).

Что важнее?

[vaber 350]

Для начала думаю стоит определиться, что мы тестируем:

Способность лечить "сложные" вирусы или устойчивость антивируса к вирусу Ж)

Ведь достаточно сложно найти вирус, который бы в себе содержал список всех тестируемых антивирусов (хотя в бэгле фай он большой Ж))

Идеалогия:

1)На компе небыло антивируса, попал вирус, задача - его удалить установкой антивируса или 2)антивирус был, но вируса в базах не было. Сигнатуры обновились и лечение. Из этого 2 возможных варианта теста (их я указывал) и соответственно их результаты весьма вероятно будут различны Ж)

2 TIX

А сканер мы будем через avz гвард запускать Ж) - шутка!

[Николай Головко 70]

>>>Ны дык что важнее? Удаленный вирус и неработающий и-нет или невозможность удаления вируса вледсвие убийства сканнер (но в теории если бы получилось то и инет бы работал).

Что важнее?

Ну извините. У нас же результаты теста не состоят из двух слов - "зачот" и "не зачот" :mrgreen: В процентиках все и отобразим. "Удалил", "удалил с последствиями", "удалил, но сам погиб"... :mrgreen:

[Михаил Кондрашин 55]

Нужно

1. Отключить резидентный монитор или установить очень старую базу

2. Запустить вирус

3. Запустить резидентный монитор и запустить полное сканирование/лечение

По вирусной энциклопедии убедиться, что никаких следов заражения не осталось. Оценивать нужно с точки зрения трудозатрат конечного пользователя.

[vaber 350]

Нужно

1. Отключить резидентный монитор или установить очень старую базу

2. Запустить вирус

3. Запустить резидентный монитор и запустить полное сканирование/лечение

По вирусной энциклопедии убедиться, что никаких следов заражения не осталось. Оценивать нужно с точки зрения трудозатрат конечного пользователя.

Такой вариант я уже давал. Но он не совсем подходит Ж(

Например допустим, что у пользователя Пупкина был Нортон. Он по не знанию запустил вирус. Через каке-то время он начал замечать работу виря. Но нортон не имеет сигнатуры. К нему приходит друг, удаляет Нортона и пытается установить другой антивирус, чтобы вылечить систему! Поэтому имеет смысл проводить и тест ( см Сергея Ильина), когда антивируса в системе нет, но есть вирус, который может препятствовать установки антивируса в систему.

[Николай Головко 70]

1

[Storm 0]

Единственный кто может такое пережить DrWeb Cure It

Не факт. Он уже научился свои файлы переименовывать случаным образом? :wink:

На сколько мне известно самозащита КАВ МП1 такое перенести сможет.