Тест антивирусов на лечение активного заражения I (подготовка)

[SuperBrat 6]

К нему приходит друг, удаляет Нортона и пытается установить другой антивирус, чтобы вылечить систему!

Опять Нортон! Чем он вам не угодил? Почему бы не начать рассказ так: пришел друг удалить глючный-тормозной Каспер 4.0, который ни эвристикой, ни сигнатурами не нашел экзотический вирус. В жизни так чаще бывает.

[Николай Головко 70]

У четвертого Каспера эвристики нет.

[TiX 0]

>На сколько мне известно самозащита КАВ МП1 такое перенести сможет.

У вирусы будет около секудны что-бы грохнуть кав при запуске.. Это много

[vaber 350]

Опять Нортон! Чем он вам не угодил?

Я же написал - к примеру!! На ум первым пришел Ж)

Давайте не будем догадываться кто что может (сможет) а проведем тест. Нужны вирусы.

[Inkogn 0]

Чесно говоря,сомневаюсь,что возможно на заражённую систему с гарантией АВ инсталлировать даже при условии,что там до этого только знакомые этому АВ вирусы,троянцы,руткиты запущены были.При этом эти же самые вирусы и остальные 100%-но бессильны против загрузочных дисков,если я это правильно понял и фирмы про диски не забывают,если там какая разница есть.То есть,техника уже есть действительно с гарантией(?) на известные вирусы.Поэтому я присоединяюсь к запуску вируса при отключенном АВ-мониторе с последующим включением и поиском.При этом,желательно,с учётом запуска на аккоунте с ограниченными правами и то же под админом для сравнения не только самозащиты там и там,но и вообще,что бы иметь числа,на сколько ограниченный повышает безопастность и каким вирусам это всё-равно.

[vaber 350]

я тоже больше склоняюсь к такому варианту. Inkogn если есть подходящие вирусы - присылайте!

[Ego1st 95]

я тоже больше склоняюсь к такому варианту. Inkogn если есть подходящие вирусы - присылайте!

и я склоняюсь к этому варианту, сомневаюсь что нормально кто-то встанет, с тем же нодом уже было пару инцидентов, на моих глазах..

[Сергей Ильин 1538]

При этом,желательно,с учётом запуска на аккоунте с ограниченными правами и то же под админом для сравнения не только самозащиты там и там,но и вообще,что бы иметь числа,на сколько ограниченный повышает безопастность и каким вирусам это всё-равно.

А что это реально даст нам для понимания?

Я не думаю, что из под ограниченного эккаунта кто-то будет ставить антивирус и пробовать лечиться. :?

[vaber 350]

Не заметил! Естественно тест под админом проводить надо !!

[Inkogn 0]

Да точно.Я просто исходил не из варианта:инсталлируем на зараженный комп и лечим,а:отключаем монитор инсталлированного АВ,запускаем вира,имитируя попадание и запуск неизвестного (в т.ч. под обоими аккоунтами),где заодно самозащиту можно проверить (в т.ч. под обоими аккоунтами),включаем монитор,дальше по плану.При инсталлировании на заражённый,естественно,нет смысла.Но при той же базе знаний загрузочный диск всегда выигрывает,если говорить про известные вирусы.

[Сергей Ильин 1538]

отключаем монитор инсталлированного АВ,запускаем вира,имитируя попадание и запуск неизвестного (в т.ч. под обоими аккоунтами),где заодно самозащиту можно проверить

Да, это разумно :idea: Сможем посмотреть, как АВ будет противостоять угрозе в том или ином случае, с разными правами.

[SuperBrat 6]

У четвертого Каспера эвристики нет.

Шутку понял. Но все равно проверил - на версии 4.5 есть такая опция "эвристика".

[VladB 60]

Сергей Ильин

Интересная весьма мысль о таком тесте. Интересно проверять и при отсутствии антивируса на момент заражения и при отключении монитора, так как бывает и то и другое.

[vaber 350]

Завтра все не обходимые вирусы будут.

Кто согласен участвовать в тесте?

З.Ы. Антивирусы для участия в тесте будут подбираться на их способности детектить ITW-образцы вирусов (наличия сигнатуры).

Тест думаю пока будем проводить так: Имитирум осутствие сигнатуры (отключаем монитор (проактивку)), запускаем вирь, перезагружаемя, и смотрим за происходящим. В случае ничего не происходящего, запускаем сканер ( и в случае если с монитором удалить не получается). Настройки все на максимум.

Затем мона и провести тест с установкой антивируса на зараженную тачку.

З.Ы. Жду ответа на поставленный вопрос.

[Сергей Ильин 1538]

Тест думаю пока будем проводить так: Имитирум осутствие сигнатуры (отключаем монитор (проактивку)), запускаем вирь, перезагружаемя, и смотрим за происходящим. В случае ничего не происходящего, запускаем сканер ( и в случае если с монитором удалить не получается). Настройки все на максимум.

Думаю, именно так нужно делать. Только вот стоит ли настрйоки на максимум ставить? Просто подавляющее большинство не меняет настройки по умолчанию, т.е. это было бы более приближено к реальности на мой взгляд.

Затем мона и провести тест с установкой антивируса на зараженную тачку.

Это будет второй этап тестирования - установка на зараженную машину.

[Ego1st 95]

Завтра все не обходимые вирусы будут.

Кто согласен участвовать в тесте?

я бы с удовольствием поучаствовал в тесте но времени совершенно нет..

[vaber 350]

Я думаю, что идея теста - возможность данного антивируса удалить вирус. Задача антивируса найти и обезвредить. Поэтому нужно выставить настройки на максимум. Кто как считает?

[Сергей Ильин 1538]

Подводим итоги обсуждения предстоящего тестирования.

Тест планируется проводить в два этапа:

1. Заражение машины с установленным антивирусом (деактивированным сканером on-access):

- ставим антивирус на чистую машину,

- выключаем on-access,

- запускаем вирус,

- перегружаем машину пару раз,

- включаем on-access,

- пробуем вылечить заражение штатными средствами,

- фиксируем оставшиеся следы заражения системы.

2. Установка антивируса на уже зараженную машину:

- заражаем чистую машину,

- перегружаемся несколько раз,

- пробуем установиться и очистить систему,

- если удается фиксируем оставшиеся следы заражения системы.

Вирусы для тестирования уже собраны усилиями vaber.

Будем тестировать следующие антивирусы:

F-Secure Anti-Virus 2007

Kaspersky Anti-Virus 6.0

Dr.Web Anti-Virus 4.33

Eset NOD32 Antivirus 2.7

AVG Anti-Virus 7.1

Avira AntiVir PE Premium 7.0

CA eTrust EZ Antivirus r7.1

Clam AntiVirus 0.88

McAfee VirusScan 2007

avast! Professional Edition 4.7

Panda Platinum Internet Security 2007

Sophos Anti-Virus 6.0

Symantec Norton AntiVirus 2007

VBA32 Antivirus 3.11

Trend Micro PC-Cillin 2007

UNA 1.8

AVZ 4.21

Осталось только определиться, как выявлять победителя по результатам теста.

Я предлаю ставить оценку Pass/Failed по каждой части отдельно. Не уверен, что имеет смысл суммировать итоги по обоим частям теста.

Потом следы заражения, нужно будет мониторить файловую системы и реестр, чтобы видеть куда вирус записался и что осталось после лечения. Какие утилиты выберем для этой задачи?

[Николай Головко 70]

AVZ не имеет on-access сканера

Можно мониторить утилитами Руссиновича, но там куча лишней для теста инфы. Могу прислать дистрибутив Tiny Firewall - у него качественное логирование только требуемых приложений. Но там потребуется колдовать с правилами, создавать группу только мониторинга и т.д.

[Ego1st 95]

Да AVZ зря приписали, он как дополнительная утилита пойдёт, но ни как полноценный антивирус..

Clam AntiVirus 0.88 - если речь идёт о ClamWin то у него нет постоянной защиты, поиск только по требованию..

[vaber 350]

AVZ будет участвовать в тестировании только по пункту 2. (думаю по понятным причинам). Его тоже необходимо протестировать, чтобы проверить насколько он подходит для удаления вирусов с различными технологиями своей защиты ( в том числе руткит технологии ).

Tiny в тесте лишний.

[Николай Головко 70]

Я его не для тестирования предлагал вообще-то

[SuperBrat 6]

Потом следы заражения, нужно будет мониторить файловую системы и реестр, чтобы видеть куда вирус записался и что осталось после лечения. Какие утилиты выберем для этой задачи?

Можно было бы предложить AVZ. Но она участвует в конкурсе.

Кстати, при лечении компьютера утилитой AVZ будет включаться средство AVZGuard (главная фишка для удаления трудной заразы)?

[vaber 350]

Можно было бы предложить AVZ. Но она участвует в конкурсе.

Кстати, при лечении компьютера утилитой AVZ будет включаться средство AVZGuard (главная фишка для удаления трудной заразы)?

Насчет AVZGuarda - при лечении данной утилитой будут использоваться все возможности данной программы, в том числе и AVZGuard.

[Сергей Ильин 1538]

AVZ не имеет on-access сканера

Как уже написали выше, AVZ будет участвовать по второму пункту теста.

Clam AntiVirus 0.88 - если речь идёт о ClamWin то у него нет постоянной защиты, поиск только по требованию..

Тогда этого мы выбрасываем.

Я забыл BitDefender Antivirus 10, он будет тестироваться.