Тест на лечение активного заражения V (подготовка)

[GReY 35]

удосужитесь почитать описание malware, отобранной в предыдущий тест

что, кроме лени и здравого смысла, мешает расширить спектр отобранной malware?

[strat 275]

Если Вам важны общие цифры, можете попробовать воспользоваться сервисом google - по именам вредоносных программ можно хоть в общим увидеть масштаб распространения.

Да, важны, как самому получить цифры я знаю, хотел получить точные данные от тех же экспертов, обладающих более обширными возможностями. Не вижу смысла отрицать, уточнение по данной методике может существенно изменить расстановку сил АВ в тесте, а причины, чтобы этого не делать: "Портал занимается проведением тестов, а не сбором статистики" недостаточно весомы. Так можно отмести любое дополнение к любому тесту.

[sww 486]

Да, важны, как самому получить цифры я знаю, хотел получить точные данные от тех же экспертов, обладающих более обширными возможностями. Не вижу смысла отрицать, уточнение по данной методике может существенно изменить расстановку сил АВ в тесте, а причины, чтобы этого не делать: "Портал занимается проведением тестов, а не сбором статистики" недостаточно весомы. Так можно отмести любое дополнение к любому тесту.

Информацию можно почерпнуть из открытых источников, поискать оценки экспертов о количестве зараженных компьютеров входящих в конкретный ботнет.

Статистика об обнаруженных заражениях на компьютерах пользователей, например, через KSN показывает только то, что продукт ЛК находит и лечит.

Ну а теперь расскажите как вы получаете цифры, вы же знаете (это вы утверждаете, а не я).

[GReY 35]

уточнение по данной методике может существенно изменить расстановку сил

в этом тесте - не сможет, ведь в последний раз его хорошо прошли лишь два антивируса

[strat 275]

Я попробовал несколько видов поиска, в гугле, яндексе, с разными поисковыми запросами, результаты меня не устроили. После этого решил воспользоваться отчетами КСН на securelist.

1) Поиск по сайту, раздел аналитика, имя Virtumonde. Поиск по разделу описаний вирусов показал, что последние записи были в декабре 2010 т.е. будем считать в настоящее время.

Результаты обескураживающие, вирус попадал в двадцатку последний раз в марте 2008 года

Вывод 1: тест, проведенный в феврале 2010 года на лечение активного заражения от virtumonde ничего не показывает, т.к. угроза была двухлетней давности, в связи с нераспространенностью, реальная опасность для юзеров нелечащих АВ близка к нулю.

2) Rustock - ни одного попадания в двадцатку угроз, появление в 2008 году, давность угрозы минимум 2 года на момент теста. Распространненость нулевая. Интерес представляет как уникальный экземпляр.

Вывод 2: тест, проведенный в феврале 2010 года на лечение активного заражения от rustock говорит только о техническом развитии тех антивирусов которые это реализовали, в связи с нераспространенностью, реальная опасность для юзеров нелечащих АВ близка к нулю.

п.с. к сожалению не могу прикрепить картинки, но каждый сам может зайти сюда http://www.securelist.com/ru/find?words=ru...%CF%EE%E8%F1%EA и сюда http://www.securelist.com/ru/find?words=Vi...%CF%EE%E8%F1%EA и посмотреть

п.с. возможно я ошибаюсь, возможно кто-то предложит другую оценку реальности угрозы, я буду только рад, и тем не менее такая оценка необходима

[GReY 35]

rustock говорит только о техническом развитии тех антивирусов которые это реализовали, в связи с нераспространенностью, реальная опасность для юзеров нелечащих АВ близка к нулю

нельзя забывать о тех бедолагах, которым посчастливилось его "словить", так что в тесте полюбому должны быть все формы сложных заражений, которые встречаются даже изредка. но без наиболее распространённых зловредов такой тест получается слишком уж однобоким и оторванным от прозы жизни

[strat 275]

согласен, тем более, что по tdss например были данные о многочисленности заражений http://www.nobunkum.ru/issue003/tdss-botnet/ и он тут актуален.

[vaber 350]

strat

Знали ли бы Вы, какую ересь несете...

Я не буду отвечать на Ваш текст ибо толку нету (учитывая, что смысл этого теста и его ценность я объяснил на первой странице русскими буквами).

Тонко намекну, почему глупости:

2) Rustock - ни одного попадания в двадцатку угроз, появление в 2008 году, давность угрозы минимум 2 года на момент теста. Распространненость нулевая. Интерес представляет как уникальный экземпляр.

Вывод 2: тест, проведенный в феврале 2010 года на лечение активного заражения от rustock говорит только о техническом развитии тех антивирусов которые это реализовали, в связи с нераспространенностью, реальная опасность для юзеров нелечащих АВ близка к нулю.

1. http://www.symantec.com/connect/blogs/rust...rge-pharma-spam

2. http://www.symantec.com/connect/blogs/spam...-holiday-season

Почитайте, гляньте дату публикации, еще раз почитайте. Попытайтесь осмыслить и сравнить с текстом, написанным Вами же (то, что я процитировал).

Если поймете ошибочность изложенного Вами предположения (Вашими выводами), то попробуйте обобщить на все, что Вы пишите.

[alexgr 556]

Цитата

Для проведения тестирования антивирусов на лечение активного заражения экспертной группой Anti-Malware.ru были отобраны 16 вредоносных программ по следующим критериям:

....

2. распространенность (на текущий момент или ранее);

Т.ч. сама методология обязывает рассказать о распространенности, а уж рассказать, это не просто сказать "Это распространено", а привести цифры.

в тексте нет ни слова про обоснование выбора в смысле обзоров распространенности. Это вы пытаетесь найти аргументы в поддержку своей позиции. Для тестовой лаборатории это несвойственная задача. А вот поучаствовать в обсуждении набора сэмплов с вашей точки зрении - пожалуйста.

п.с. возможно я ошибаюсь, возможно кто-то предложит другую оценку реальности угрозы, я буду только рад, и тем не менее такая оценка необходима

реальность угрозы не всегда связана с разного рода статистикой. Она - по большей части строится на отчетах вирлабов. Однако всегда есть продукты, не отправляющие отчеты в вирлаб, пиратские и процент живущих на устаревших движках (сам видел недавно AVP 4.5 и DrWeb 4.27). Этим продуктам руткиты просто не по зубам....

И что сказать людям, которым "удалось" зацепить такого зверя - как от него избавиться? Почитать статистику, узнать, что угроза неактуальна?

[strat 275]

Почитайте, гляньте дату публикации, еще раз почитайте. Попытайтесь осмыслить и сравнить с текстом, написанным Вами же (то, что я процитировал).

Если поймете ошибочность изложенного Вами предположения (Вашими выводами), то попробуйте обобщить на все, что Вы пишите.

По рустоку я ошибся, признаю, более того, я писал что возможно ошибаюсь, но заметьте, я сделал правильные выводы на основе информации полученной с сайта securelist, я же не написал ересь, что русток сверхботнет на основе того что он был обнаружен в 2008 году. Т.е. разница всего лишь в получении правильной информации, вы её предоставили, хорошо, почему бы не предоставить её по всем программам из списка. А обобщать зачем? По virtumonde например, я не смог найти такой же информации, что он распространен. Может аналогичная ситуация и с остальными программами и обобщать надо вам?

Этим продуктам руткиты просто не по зубам....

И что сказать людям, которым "удалось" зацепить такого зверя - как от него избавиться?

Так ведь тест ведется на современных АВ, всё, что надо сказать - обновите программу, если человек озаботится тем, что прочтет тест, то и программу обновит, а остальным это не поможет - плохой пример.

[alexgr 556]

Может аналогичная ситуация и с остальными программами и обобщать надо вам? smile.gif

факты давайте. А пока вы ничего не сказали по сути. Я уже привел несколько аргументов, почему статистика не аргумент. Кроме того не я сказал про ложь, большую ложь и статистику. Она всегда может быть выкручена по-разному. Я вам написал про устаревшие продукты потому, что в репортах устаревшего продукта вы просто не найдете руткитов, а не про обновления. Так, к слову

[strat 275]

факты давайте.

про virtumonde написал на предыдущей странице, возразите.

Нашел логическую ошибку в своем выводе про virtumonde:

Тест на лечение предполагает в т.ч. что на компьютер устанавливается новый ав, а ранее его не было или был старый и вредонос уже на нем присутствует, т.к. распространенность virtumonde была в 2007 году, то видимо с этих пор он там так и живет, и возможно его много (хотя маловероятно, что миллионы компов сидят с антивирусом 2007 года)

В общем нафиг, не хочу больше пикироваться в обсуждении, где я, а где эксперты

[Сергей Ильин 1538]

Коллеги, не наезжайте на strat. Он на самом деле показал некий недочет в подаче результатов теста. Все таки было бы очень здорово давать в отчете/методолооии данные по распространненности. Так всем будет понятнее выбор малвар. Вопрос, на какой источник лучше ссылаться? ИМХО лучше, чтобы он их о был единый для все, чтобы можно было проводить параллели.

Да, раз уж мы сейчас обсуждаем методологию, то хочу напомнить принципиальный ее момент. Мы берем вредоносы основываясь те только на их распространенности, но и на их уникальности используемых методов сокрытия своего присутствия. Брать в теста 10 самплов разных зверей, использующих одни и те же технологии в таком ключе не имеет смысла.

Я предлагаю также прислушаться в мнения sww, который предложил взять 2 выборки. 1-я будет традиционная (упор на охват технологий сокрытия), 2-я будет формироваться основываясь на данных распространенности. По второй части вопрос какие фильтры мы будем использовать и какую статистику брать. Под фильтрами я подразумеваю то, что нет смысла брать в тест всякие MyDoom, Netsky, Confiker и прочую "попсу", часто висящую в топе

[GReY 35]

нет смысла брать в тест всякие MyDoom, Netsky, Confiker и прочую "попсу"

разве conficker уже лечат все, кому не лень? думаю, ботнеты надо брать однозначно...

на какой источник лучше ссылаться?

если кто-то из Касперского предоставит соответсвующие данные, будет хорошо - KAV/KIS популярны во всём мире, потому и статистика будет всемирная

[Сергей Ильин 1538]

если кто-то из Касперского предоставит соответсвующие данные, будет хорошо - KAV/KIS популярны во всём мире, потому и статистика будет всемирная

Как-то слишком рискованно будет полагаться на статистику ЛК в условиях, что некоторые товарищи упорно распускают слухи якобы нашей какой-то тайной связи

[Danilka 678]

Сергей Ильин

Взять статистику от Dr. Web.

[vaber 350]

Прежде, чем придумывать новую методику нового теста, нужно всегда задаваться вопросом: что мы получим в результате, цель теста.

Вот что скажут нам результаты теста по чьей-то статистике по лечению? Только то, как антивирусы вылечат какие-то отобранные семплы из какой-то статистики какого-то вендора за какой-то промежуток времени.

Далее, если уж пошли в этом направлении, то стоит точно знать, как собирается статистика у выбранного вендора, что она означает и показывает. Затем сравнить эту статистику со статистикой других вендоров. Почесать затылок (т.к. реально мало общего в них будет). Подумать, как доказать (найдется кто-то подобно strat-у который попросит именно доказать цифрами выбранную статистику,так как у другого вендора он найдет другую) правильность этой статистики.

Более того, через месяц она может изменится (а тест с поиском и проведением и добавлением всеми файлов сколько времени займет), то опять же появится вопрос: а что это вы старье тестируете.

В данном тестировании (лечение активного заражения) можно распространить успех в лечении, скажем, семейства,открывающего файл с монопольным доступом, на все другие семейства, использующие эту технику от маскировки от обнаружения антивирусом. В пределах методики (не убивать,не мешать обновлению и т.п.). В независимости от того, сейчас распространяют этого трояна или нет. Мы проверяем технические характеристики AV на самых сложных malware, потому что результат можно обособить на все остальные семейства. И тут в целом работает правило: вылечив сложное, будет вылечено и примитивное.

Просто в других тестах (на детект, эвристик) так нельзя обособлять. Думаю понятно почему.

З.Ы. Если у кого есть предложение изменить методику, просьба все же создавать отдельную тему, там полностью описывать свое предложение, методику, как проводить тест, как давать оценку результатам. Идея теста и трактовка результатов. А не так как сейчас: ляпнуть что-то, а потом требовать объяснения причины, почему не делается так, как предложили. Да еще и с доказательствами и статистикой.

[A. 875]

Сергей Ильин

Взять статистику от Dr. Web.

Нельзя взять то чего нет

[Danilka 678]

Нельзя взять то чего нет

Ну это уже другой вопрос.

[Andrey_007 0]

Доброго времени суток!

А будет ли участвовать MSE? И еще - можно в качестве бонуса протестировать TDSSKiller от Лаборатории Касперского

[Сергей Ильин 1538]

А будет ли участвовать MSE? И еще - можно в качестве бонуса протестировать TDSSKiller от Лаборатории Касперского

MSE будет участвовать точно. Утилиты в тест мы не берем, только полноценные антивирусные продукты. В этот раз будем стараться брать по возможности Internet Security.

[Kopeicev 94]

TDSSKiller от Лаборатории Касперского

А смысл? Их продукт класса Internet Security будет в тесте, он умеет делать то, что делает TDSS killer.

[Andrey_007 0]

Утилиты в тест мы не берем

А смысл? Их продукт класса Internet Security будет в тесте, он умеет делать то, что делает TDSS killer.

Ясно

[Kopeicev 94]

По ОСям пока склоняемся к win 7 x32 + на доп. баллы TDL 4 на win 7 x64.

[Сергей Ильин 1538]

Коллеги, время поджимает. Давайте определяться с вредоносами. Пока что были следующие предложения:

1. AdWare.Virtumonde (Vundo)

2. Rustock (NewRest)

3. Sinowal (Mebroot)

4. Email-Worm.Scano (Areses)

5. TDL (TDSS, Alureon, Tidserv)

6. TDL2 (TDSS, Alureon, Tidserv)

7. Srizbi

8. Rootkit.Podnuha (Boaxxe)

9. Rootkit.Pakes (synsenddrv)

10. Rootkit.Protector (Cutwail, Pandex, Pushdo)

11. Virus.Protector (Kobcka, Neprodoor)

12. Xorpix (Eterok)

13. Trojan-Spy.Zbot

14. Win32/Glaze

15. SubSys (Trojan.Okuks)

16. TDL3 v.3.17 (TDSS, Alureon, Tidserv)

TDL4

SpyEye 1.3

BlackEnergy2+

ZeroAccess

Bohu.A

моды TDL3

Rustock

Sinowal

Rootkit.Podnuha

Rootkit.Protector

SubSys

Нужно сформировать консолидированный список.