Тест антивирусов на лечение активного заражения I (подготовка)

[vaber 350]

Подкорректирую список тестируемых антивирусов(возможно изменение этих версий на более новые, если таковы имеются):

BitDefender Antivirus 10

F-Secure Anti-Virus 2007

Kaspersky Anti-Virus 6.0

Dr.Web Anti-Virus 4.33

Eset NOD32 Antivirus 2.7

AVG Anti-Virus 7.5

Avira AntiVir PE Premium 7.0

CA eTrust EZ Antivirus r7.1

McAfee VirusScan 2007

avast! Professional Edition 4.7

Panda Platinum Internet Security 2007

Sophos Anti-Virus 6.0

Symantec Norton AntiVirus 2007

VBA32 Antivirus 3.11

Trend Micro PC-Cillin 2007

UNA 1.8

а так же утилита AVZ 4.21

[Ego1st 95]

а уверены что стоит брать avast! Professional Edition 4.7 а не home?

[vaber 350]

а уверены что стоит брать avast! Professional Edition 4.7 а не home?

а какая разница? Можно и Home.

[aintrust 0]

to vaber:

На сайте virusinfo.info также обсуждается предстоящее тестирование (см. тут: http://virusinfo.info/showthread.php?t=5952&page=20, с поста #392). В частности, автор утилиты AVZ, который предоставил вам ITW-образцы из своей коллекции, пишет:

Если кто-то из тестируемых AV что-то не детектит, то я полагаю, что авторы теста пошлют образцы в вирлаб соответствующего антивиря - в данном стесте с точки зрения сигнатурного детекта все антивири должны быть на равных.

Авторы теста попросили зверьем помочь, я и помог. Мы в принципе обсудили возможные методики теста - при этом отлов зловредав по сигнатурам предполагается всеми антивирусами в тесте, иначе он просто бессмысленен. Тут как раз идея в том, что антивирь знает зверя по сигнатурам - вот и интересно, насколько хорошо он его увидит и насколько чисто прибъет, особенно когда зверь запущен и защищается.

В связи с этим и вопрос: можно ли быть уверенным в том, что к моменту тестирования сигнатуры всех вирусов, "участвующих" в тесте, будут находиться в а/в базах выбранных вами участников тестирования?

[vaber 350]

А как иначе??

Тот форум я часто пасещаю, и в курсе того обсуждения.

Олегу я хотел отправить сегодня письмо(чтобы ответить именно на этот вопрос), но к сажалению проблема с почтой на mail.ru не дала сделать это

З.Ы. Сигнатуры будут при проведении теста по первому методу, а по второму(при установки антивируса на зараженную машину) сигнатуры мот и не быть Ж) т.к. если дистрибутив выпущен давно и соответственно сигнатуры могут быть старые. Поэтому мы будем пытаться обновить антивирус, а потом лечить.

[Сергей Ильин 1538]

Конечно, все вирусы должны дыть известны тестируемым антивирусам, иначе действительно нет смысла. Как антивирус будут бороться с тем, чего он не знает?

Списко вирусов я считаю до проведение теста не нужно выкладывать здесь, иначе будет не интересно. :wink:

[XL 0]

Ну уж без Look2me, haxdoor, xorpix, adware.betterinternet, newdotnet, warezov и scano точно не обошлось 8)

я б еще plastix в названии дрвэба испробовал, а также oleloa.gen [ESET], непременно.

[aintrust 0]

Конечно, все вирусы должны дыть известны тестируемым антивирусам, иначе действительно нет смысла. Как антивирус будут бороться с тем, чего он не знает?

Неужто совсем никак? А эвристика, а проактивка?

PS. Впрочем, я вас понимаю... тестироваться будет другое.

[RiC 10]

Ну уж без Look2me, haxdoor, xorpix, adware.betterinternet, newdotnet, warezov и scano точно не обошлось 8)

я б еще plastix в названии дрвэба испробовал, а также oleloa.gen [ESET], непременно.

Look2Me не актуален, Plastix 100% - провал по всем тестируемым, потому как на уровне "движка" его никто не лечит, а вот PE386 (по доктору "Spambot"), Hostfix весьма интересно посмотреть.

Могу ещё добавить что настройки антивирусов "по умолчанию" не всегда оптимальные, тот-же Доктор - после закручивания "гаек" Спайдеру способен к примеру убивать Rootkit'ы.

[Сергей Ильин 1538]

Тестирование уже идет, есть уже первые результаты, но раскрывать их пока не буду. :wink:

Я думаю, что нужно уточнить методологию.

Ситуация 1 (тестирование - пункт 2): Зараженая машина. Ставим антивирус, многие вендоры требуют тут же перезарузиться, некоторые - нет. Можно начать сканирование по требованию сразу, не перезагружаясь. Если уйти на перезагрузку есть вероятность, что система такого не переживет (BSOD или вообще черный экран).

Как тут быть?

На мой взгляд, так как по условиям теста мы знаем, что машина заражена, то можно сканироть сразу, т.е. без перезагрузки. Но если антивирус это позволяет, если нет - уходит на перезагрузку автоматом.

[vaber 350]

Сергей. Думаю надо выполнять то, что предписывает антивирус. То есть если после своей установки он требует перезагрузки, то её необходимо выполнять. (тест предполагает что простой юзер заподозрил наличие вируса в своей системе, купил антивирь, установил, и безукоснительно выполняет те действия которые ему предлагает антивирус).

З.Ы. Как раз поэтому тестирование все-таки лучше проводить с настройками по умолчанию, поскольку большинство юзеров антивири толком не настраивает, да и что бы потом не было нареканий, что мы взяли настройки ни те.

[Сергей Ильин 1538]

Сергей. Думаю надо выполнять то, что предписывает антивирус. То есть если после своей установки он требует перезагрузки, то её необходимо выполнять. (тест предполагает что простой юзер заподозрил наличие вируса в своей системе, купил антивирь, установил, и безукоснительно выполняет те действия которые ему предлагает антивирус).

З.Ы. Как раз поэтому тестирование все-таки лучше проводить с настройками по умолчанию, поскольку большинство юзеров антивири толком не настраивает, да и что бы потом не было нареканий, что мы взяли настройки ни те.

Согласен, именно так сейчас и делаю. Просто надо будет тогда это прописать это четко в тестке итоговой методологии.

[Сергей Ильин 1538]

Хочу поделиться некоторыми интересными с моей точки зрения результатами, полученными в ходе проведения теста.

Опубликую результаты лечения активного заражение системы вредоносом AdWare.NewDotNet (not-a-virus:AdWare.Win32.NewDotNet).

Согласно методологии тестирования антивирусы устанавливались на зараженную машину.

Вот, что из этого получилось (плюс означает успешное лечение, минус - провал лечения):

avast! Professional Edition 4.7 +

AVG Anti-Virus PE 7.5 +

Avira AntiVir PE Premium 7.0 -

AVZ 4.21 +

BitDefender Antivirus 10 +

CA eTrust EZ Antivirus r8 (оба движка этого АВ не знают такого зверя)

Dr.Web Anti-Virus 4.33 -

Eset NOD32 Antivirus 2.7 -

F-Secure Anti-Virus 2007 -

Kaspersky Anti-Virus 6.0 +

McAfee VirusScan 2007 +

Panda Antivirus 2007 -

Sophos Anti-Virus 6.0 +

Symantec Norton AntiVirus 2007 +

Trend Micro PC-Cillin 2007 +

VBA32 Antivirus 3.11 -

UNA 1.8 не тестировался по банальной причине, есть проблемы с получением Демо версии

AdWare.NewDotNet - непростая вещь, удаляется только после перезагрузки (dll залочена), при неаккуратном удалении без зачистки реестра пропадает доступ в Интернет. Вообщем, можно посочувствовать тем юзерам, кто столкнулся с этой штукой.

Итак, детализация резуальтатов лечения:

avast! Professional Edition 4.7 + Остались следы пребывания Adware в системе: выводится ошибка при старте ОС, исчез доступ в Интернет.

AVG Anti-Virus PE 7.5 + Остались следы пребывания Adware: исчез Интернет.

Avira AntiVir PE Premium 7.0 - Не может удалить файл залоченный newdotnet6_38.dll (в том числе после перезагрузки ОС).

AVZ 4.21 + Остались следы пребывания Adware в системе: выводится ошибка при старте ОС, исчез доступ в Интернет.

BitDefender Antivirus 10 + Остались следы пребывания Adware в системе, исчез доступ в Интернет.

Dr.Web Anti-Virus 4.33 - Ошибка при попытке удаления файла newdotnet6_38.dll после перезагрузки, Spyder Guard не запускается.

Eset NOD32 Antivirus 2.7 - Детектируется только родительский файл.

F-Secure Anti-Virus 2007 - Не может удалить залоченный файл newdotnet6_38.dll, пропал доступ в Интернет.

Kaspersky Anti-Virus 6.0 + Остались следы пребывания Adware в системе.

McAfee VirusScan 2007 +

Panda Antivirus 2007 - Не может удалить залоченный файл newdotnet6_38.dll, который после "уничтожения" появляется вновь и вновь.

Sophos Anti-Virus 6.0 +

Symantec Norton AntiVirus 2007 +

Trend Micro PC-Cillin 2007 +

VBA32 Antivirus 3.11 - Не может удалить залоченный файл newdotnet6_38.dll, пропал доступ в Интернет.

Итого: корректно с AdWare.NewDotNet справились только гранды: Sophos, Symantec, Trend Micro, McAfee.

Понятно, по одному семплу нельзя делать выводы, но тем интерснее будут окончательные результаты :wink:

[TiX 0]

По всем вендорам незнаю но спрошу только по каспу т.к его какраз тестировал на дотНете во время бета тестинга..

1. срабатывала ли задача "Лечения активного заражения"

2. производилась ли перезагрузка ПК после лечения?

Если оба ответа Да -> загубили лечилку Ж) Какой билд?

Добавлено спустя 16 минут 9 секунд:

И точно блин неумные люди из КЛ зачем то удалили запись отвечающую за парсинг LSP записей... в текущем startups.ini нету уже.. а раньше было (

[Сергей Ильин 1538]

TiX, да именно так все и делал. Включался режим "лечение активного заражения", все чистилось, newdotnet6_38.dll метился на удаление при перезагрузке, затем машина перезагружалась.

Если оба ответа Да -> загубили лечилку Ж) Какой билд?

Последний, Антивирус Касперского 6.0.1.411 (MP1) тестирую.

И точно блин неумные люди из КЛ зачем то удалили запись отвечающую за парсинг LSP записей...

Зря они это ....

[Ego1st 95]

мда интересные результаты уже, ждём окончания тестирования..

AVZ вообще немного не коректно, сравнивать он не лечит систему, там в 70% случаев всё вручную удаляеться и востанавливаеться..

делалось вот такое в конце?

AVZ меню Сервис -> Менеджер Winsock -> вкладка Поиск ошибок - кнопка Автоматическое исправление найденных ошибок

или можно просто на закладке "параметры поиска" AVZ установить галку "Автоматически исправлять настройки SPI/LSP" и провести лечение..

[vaber 350]

Сергей. А Avira AntiVir хотя бы видел адварю? Или он видел, но удалить не мог? Или вообще в отчете писал, что не может открыть файл?

Интересен результат DrWeb. Почему он не запускался после перезагрузки? Загадочно как-то. Вродь адваря не убивает антивирусы.

Добавлено спустя 20 минут 49 секунд:

мда интересные результаты уже, ждём окончания тестирования..

AVZ вообще немного не коректно, сравнивать он не лечит систему, там в 70% случаев всё вручную удаляеться и востанавливаеться..

делалось вот такое в конце?

AVZ меню Сервис -> Менеджер Winsock -> вкладка Поиск ошибок - кнопка Автоматическое исправление найденных ошибок

или можно просто на закладке "параметры поиска" AVZ установить галку "Автоматически исправлять настройки SPI/LSP" и провести лечение..

Как сказал мне Сергей Ильин, там при удалении использовалась микропрограмма лечения. Видимо lsp не зачистилось Ж(

[Ego1st 95]

Как сказал мне Сергей Ильин, там при удалении использовалась микропрограмма лечения. Видимо lsp не зачистилось Ж(

Эээ лечения чего, там есть микропрограмма лечения именно NewDotNet?

[Николай Головко 70]

Ой-ей. Не предполагал, что эта тварь такая серьезная. Надо будет связаться с клиентом форума, еще раз протокол проверить. Значит, это от нее ошибки транспорта..

[Сергей Ильин 1538]

Сергей. А Avira AntiVir хотя бы видел адварю? Или он видел, но удалить не мог? Или вообще в отчете писал, что не может открыть файл?

Он ее видел, но удалить не мог. Безуспешно и тупо предлагал вылечить или блокировать залоченный файл.

Интересен результат DrWeb. Почему он не запускался после перезагрузки? Загадочно как-то. Вродь адваря не убивает антивирусы.

На счет Доктора, то по хорошему он должен ее лечить. Он находил NewDotNet, предлагал удалить ее после перезагрузки, но этого не происходило, а выводилась ошибка одной из компонент антивируса (скриншот потом могу выложить), после чего Spyder Guard уже не хотел запускаться. Какая-то бага

Эээ лечения чего, там есть микропрограмма лечения именно NewDotNet?

Да, есть специальная микропрограмма для удаления NewDotNet.

[SuperBrat 6]

Итого: корректно с AdWare.NewDotNet справились только гранды: Sophos, Symantec, Trend Micro, McAfee.

Респект и уважуха! (©П. Воля)

[Inkogn 0]

И точно блин неумные люди из КЛ зачем то удалили запись отвечающую за парсинг LSP записей... в текущем startups.ini нету уже.. а раньше было (

Там не только это из старого,проверенного и отлично работающего скосили.Одним словом,если сравнивать по количеству,то антивируса они улучшили.

[Сергей Ильин 1538]

По поводу Антивируса Касперского 6.0 и NewDotNet, по просьбе разработчиков повторил тест. После удаления активного заражения доступ в Интернет не пропадает.

Из признаков присутсвия заражения на компьютере после лечения КАВ 6.0 при старте ОС выводится ошибка запуска удаленного файла от NewDotNet, осталась соответствующая запись в реестре, что не критично.

FYI: Cвое сообщение выше я откорректировал.

[SuperBrat 6]

По поводу Антивируса Касперского 6.0 и NewDotNet, по просьбе разработчиков повторил тест. После удаления активного заражения доступ в Интернет не пропадает.

Сергей Ильин, надеюсь вас не били? :shock:

А если серьезно, что изменилось? Использовали другую версию продукта или разговора было достаточно?

[Сергей Ильин 1538]

Сергей Ильин, надеюсь вас не били? Shocked

А если серьезно, что изменилось? Использовали другую версию продукта или разговора было достаточно?

Нет продукт тот же самый, по условиям теста уже нельзя версии менять и условия. Ошибся, такое иногда бывает