Тест проактивной антивирусной защиты III (результаты)

[UIT 103]

Неправда ваша. Например, передать md5 на сервер и получить в ответ несколько байт ответа (да или нет) - это не страшно.

....А с персональными вообще париться по поводу загрузки канала не стоит. Вам классический антивирус качает апдейты мегабайтами и так

Страна у нас широка и не везде торжество нанотехнологий осчастливило граждан. У меня вот иногда почтовый клиент не в состоянии принять/отправить маловесное письмо. И для представления о скорости оную уже надо смотреть в бодах. А обновления я могу скачать в любой момент, не получилось сейчас, так может минут через 20... получится.

Нужно менять очень многое, чтобы это заработало на полную, а это годы вложений в инфраструктуру, разработку технологий хранения и обработки накопленных данных + нужно менять конечные продукты тоже. С последним самая запарка, так как даже по комментариям в этой теме видно, что клиенты мягко говоря не готовы. Тот же Trend Micro не отказывается от сигнатур, они продолжают и будут продолжать таскаться с самими продуктами, но базы делаются более компактными и это уже факт.

Как бы оно в итоге не получилось с перекосом. Вот уже сейчас можно встретить, что программа обновляется только путем скачивания целого дистрибутива, старую антивирусную базу одной кнопкой сохранить нельзя и прочие прелести.

[GReY 35]

смена движка ЛК, на технологии BitDefender

это юыло почти год назад, и результаты были похожи на битдефендер, а теперь много хуже стали

[Сергей Ильин 1538]

это юыло почти год назад, и результаты были похожи на битдефендер, а теперь много хуже стали

В прошлом тесте F-Secure был точно на движке Каспера, это вижно по общему детекту после обновления. А сейчас результаты стали совсем другие. Почему так сильно отличаются результаты F-Secure от BitDefender я лично точно не знаю. Может кто из этих вендоров подскажет ...

[Гриша 50]

И я так и не узнал про FP из инсталлеров с download.com. В них могут быть адвари.

FP на адвары не считались, если таковые были, это написано в методологии.

[sww 486]

FP на адвары не считались, если таковые были, это написано в методологии.

Это здорово, но ты можешь дать 100% гарантии, что остальное точно "чистяк"?

[strat 275]

вводные: 3 миллиона компов, сша самые богатые для злоумышленников и наверняка для АВ компаний, сейчас черна сторона зарабатывает на вирусах, чуть позже рекламная кампания в духе "проверь свой комп нашей утилитой и удивись" может резко подвинуть лакомый рынок и у белой стороны

но наверно это все из области черного пиара...

[Гриша 50]

Это здорово, но ты можешь дать 100% гарантии, что остальное точно "чистяк"? smile.gif

Не могу

Я ее не смотрел, за malware ручаюсь, что там нет чистых/битых/не PE- это я все проверял сам, т.к. изначально там было много треша на подобие inf,html,js, пупсов много было и т.д.

[Umnik 997]

кажется, пока даже наоборот - плодит

Все или почти все системные файлы оригинальных Windows и части быдло-сборок проходят по KSN как чистые. Это из того, что мне известно.

[Сергей Ильин 1538]

Кстати на тему фалсов и облаков. 0% - напротив Microsoft впечатляет и понятно, что у компании есть все, чтобы так было. Но хотелось бы точно понять, как они этого добились, ведь свое облако в том виде, как это делают конкуренты, они не создают и по комментариям их боссов (я лично спрашивал) и не планируют.

[wert 60]

Кстати на тему фалсов и облаков. 0% - напротив Microsoft впечатляет и понятно, что у компании есть все, чтобы так было. Но хотелось бы точно понять, как они этого добились.

Фолсов у микрософт вполне хватает, Вам просто дали немного недоделанную библиотеку.

[Сергей Ильин 1538]

Фолсов у микрософт вполне хватает, Вам просто дали немного недоделанную библиотеку. biggrin.gif

Вы их лично видели эти фолсы от Майкрософт или для красивого словца это написали?

[wert 60]

Вы их лично видели эти фолсы от Майкрософт или для красивого словца это написали?

Хм. Вы утверждаете, что у Microsoft в принципе не бывает фолсов? И у других тестеров они тоже абсолютно нефолсивы?

Или все-таки с коллекцией, участвовавшей в тесте, как минимум что то не так?

Пример CC3C202A6244F51BD5986CE0FAF8DFD3

[Сергей Ильин 1538]

Я не готов утверждать, что у Microsoft нет фолсов вовсе и никогда не было. Однако данный тест показывает, что их намного меньше, чем у других вендоров.

[dr_dizel 385]

Пример CC3C202A6244F51BD5986CE0FAF8DFD3

Ну а где сам файл-то?

На вирустотале нашелся один с таким хэшем и PEiD : UPX 2.90 [LZMA]. Похоже на обфускатор. Да и MSE там прямо говорит об этом - Trojan:Win32/Anomaly.gen!D.

Просто upx 2.90 - это бэта и можно ожидать чего угодно. Вот по 2.90 картина у меня с виндовым блокнотом.

[wert 60]

Ну а где сам файл-то?

Статти баюся.

Нифигасе, сам микросом вирусом щитает.

В интернетах все естя.

На вирустотале нашелся один с таким хэшем

Ну почему один?

Можно всяких найти.

http://virscan.org/report/e7ce5816914b5099...916f1c8736.html

http://www.virustotal.com/ru/analisis/20e5...e030-1258104774

http://www.virustotal.com/analisis/20e54a0...e030-1274931717

http://www.virustotal.com/analisis/20e54a0...e030-1276166877

[DiabloNova 175]

В интернетах все естя.

Воистину! Так же как и информация, что это такое тут в куче ссылок - модифицированный UPX от Perm Crack Laboratory.

Детект MSE на нестандартный измененный пакер оправдан и абсолютно корректен.

[wert 60]

Воистину! Так же как и информация, что это такое тут в куче ссылок - модифицированный UPX от Perm Crack Laboratory.

Детект MSE на нестандартный измененный пакер оправдан и абсолютно корректен.

Это, извините, пять. Предлагаю детектить все измененное, особенно, ходящее под GPL.

Всем щастье буит.

[sceptic 100]

Предлагаю детектить все измененное, особенно, ходящее под GPL.

я вас категорически поддерживаю!

недавно MSE не дал мне посмотреть работы с 64k Intro

я был так удивлён, что даже послал им пару файлов с пояснением:

It not the virus, is a work of art!

[dr_dizel 385]

Предлагаю детектить все измененное, особенно, ходящее под GPL.

Это вы про этот кривой файл заставки, которая продаётся за $17.95?

Да и лицензия на upx не GPL, а модификация - UPX License Agreement.

А там написано:

...

The stub which is imbedded in each UPX compressed program is part

of UPX and UCL, and contains code that is under our copyright.

...

You must compress your program with a completely unmodified UPX

version; either with our precompiled version, or (at your option)

with a self compiled version of the unmodified UPX sources as

distributed by us.

...

This also implies that the UPX stub must be completely unmodfied, i.e.

the stub imbedded in your compressed program must be byte-identical

to the stub that is produced by the official unmodified UPX version.

...

The decompressor and any other code from the stub must exclusively get

used by the unmodified UPX stub for decompressing your program at

program startup. No portion of the stub may get read, copied,

called or otherwise get used or accessed by your program.

...

You can use a modified UPX version or modified UPX stub only for

programs that are compatible with the GNU General Public License.

...etc.

Ну и вот что мне автомат выдал на неё (да, я ленив):

Open File: X:\test\GreenFields.scr

Calculating Checksum: SUCCESS (Header's Checksum: 00000000h / Real Checksum: 001A14CEh)

BOF Extra Data From: 00000200h (512)

Length of BOF Extra Data: 00000200h (512) bytes.

EOF Position: 0019E2DDh (1696477)

Warning! Section <PCL!> (0) extends beyond the raw file offset of section <.PCL> (1).

Precompiling Resources...

Error! (Step: Examining Resources)

Errors detected! Opening file in SAFE MODE...

Open File: X:\test\GreenFields.scr

File size: 1696477 bytes.

Using the Plug-in subsystem...

UPX Unpacker Plug-in: Executing...

UPX Unpacker Plug-in: <UPX> Crafty modification to UPX header detected!

UPX Unpacker Plug-in: <UPX> Original UPX header lost! Attempting to recover UPX header...

UPX Unpacker Plug-in: <UPX> Filter ID: 26h

UPX Unpacker Plug-in: <UPX> CTO (for filters 21h .. 29h, 36h, 46h, 49h): 0Eh

UPX Unpacker Plug-in: <UPX> Compression method: NRV2E_LE32

UPX Unpacker Plug-in: <UPX> Uncompressed size: 2807392 bytes

UPX Unpacker Plug-in: <UPX> Compressed size: 1672800 bytes

UPX Unpacker Plug-in: <UPX> File compressed with UPX

UPX Unpacker Plug-in: <UPX> Decompressing...

UPX Unpacker Plug-in: <UPX> File has an original PE header (can be recovered).

UPX Unpacker Plug-in: <UPX> Unfiltering...

UPX Unpacker Plug-in: <UPX> Rebuilding Image...

UPX Unpacker Plug-in: <UPX> Section: .text 293888 bytes

UPX Unpacker Plug-in: <UPX> Section: .data 22528 bytes

UPX Unpacker Plug-in: <UPX> Section: 75264 bytes

UPX Unpacker Plug-in: <UPX> Section: 2560 bytes

UPX Unpacker Plug-in: <UPX> Section: .rsrc 2364928 bytes

UPX Unpacker Plug-in: <UPX> Section: .poly 9216 bytes

UPX Unpacker Plug-in: <UPX> Section: .idata 3584 bytes

UPX Unpacker Plug-in: <UPX> Decompressed file size: 2772992 bytes

UPX Unpacker Plug-in: processed

MS-DOS Header Size: 0040h

MS-DOS Header: OK

Next Header OFFSET: 0080h

PE Signature: OK

Calculating Checksum: SUCCESS (Header's Checksum: 00000000h / Real Checksum: 001A14CEh)

EOF Position: 002A5000h (2772992)

Precompiling Resources...

Warning! Import section follows the Resource section.

Done.

Так что нефиг.

[dr_dizel 385]

недавно MSE не дал мне посмотреть работы с 64k Intro

It not the virus, is a work of art!

Я вот тоже поменял байт в заголовке старого доброго .kkrieger (не влияет на работоспособность) чтобы отвалилась md5, так сразу спасите-помогите-троян-крипт-агент-килл-мбр, но MSE почему-то там нет.

[DiabloNova 175]

Это, извините, пять. Предлагаю детектить все измененное, особенно, ходящее под GPL.

Предложение принято, вам пять. Особенно если кулхацкеры похерели заголовок и нарушили лицензию оригинального UPX, которую вы мало того что не видели, но и еще как оказывается и не читали.

[zzkk 130]

Обратили внимание на Norton, который "на полной мощности" обнаружил лишь чуть больше половины вирусов?

Очень неприятно удивил этот результат.

А вот COMODO удивил в положительном смысле. Антивирус растет быстрыми темпами (как и Агнитум) и угрожает (по совокупности фаер+хипс+антивирус+free) занять лидирующее положение в отрасли.

[A. 875]

А вот COMODO удивил в положительном смысле. Антивирус растет быстрыми темпами (как и Агнитум) и угрожает (по совокупности фаер+хипс+антивирус+free) занять лидирующее положение в отрасли.

клептоманы же

[zzkk 130]

клептоманы же

Разжуйте, пожалуйста, мысль.

[zzkk 130]

Все-таки, настроено ли местное сообщество (вслед за тестом родительских контролей) перевести оставшиеся тесты под Win7 x64? Я за!