Перейти к содержанию
Fixxxer®

Сравнение скорости реагирования вирлабов на новые угрозы

Recommended Posts

Юрий Паршин
Мне, например, дико, почему из всей линейки продуктов на угрозу отозвался только один

Проверил еще 2010 и 2012 с теми же старыми базами. Все файлы детектируются. Почему не сработал детект у кого-то? Наверное на виртуальной машине тестировали или с какими-то аппаратно/программными проблемами.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Юра! Я не знаю, как тестировал и с какими настройками товарищ с 2010. Я не пользуюсь дома услугами вашей фирмы. А на работе пользуюсь (не по своей инициативе, правда). И на работе WKS. Он не находил. И ты сам это признал.

С КИС 2010 я уже признал косяк, написал об этом страницей раньше - предлагаю не мусолить этот момент. Впредь такие вещи буду делать только сам.

А с КИС 2012 я вообще не связываюсь, поскольку официального релиза в СНГ не было. Тест делался в СНГ. В продаже в СНГ 2012 нет. А потому считаю 2012 в данном тесте неуместным.

Мы будем ещё 10 страниц обсуждать вопрос с КИС 2010-2012 или всё-таки вспомним название и тему обзора?

Мне удивительно обсуждать на АМ методику проведения тестов - получится не реальная ситуация с обывателем, а просто подготовленная площадка для действий. С тем убогим методом снятия детекта, который был (но тем не менее обошёл старый движок в WKS) - боюсь, что все вендоры нормально отработают. А потому нет смысла.

К тому же тест проведён не на площадке АМ - а потому "обычные правила" здесь неуместны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
А с КИС 2012 я вообще не связываюсь, поскольку официального релиза в СНГ не было. Тест делался в СНГ.

можно подумать все остальные продукты\вирлабы из теста - имеют официальные релизы в СНГ, AhnLab например, ггг

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuNetting
не зачем, а для чего!. Лично я например не уверен что это не ложное срабатывание например, да и файлы такие попадают в карантин, а значит я не знаю что это за зловред, что он делает и когда он появился, стал ловиться эвристикой, да и нашему админу по ИБ фраза HEUR:Trojan.Win32.Generic ничего не говорит.

Сигнатурный ложняк возникает не реже. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mvs
Сигнатурный ложняк возникает не реже. :(

у ЛК с ложным детектом по сигнатурам я практически не сталкивался. А вот с ложным детектом pdm и эвристики файлового антивируса - чаще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuNetting
у ЛК с ложным детектом по сигнатурам я практически не сталкивался. А вот с ложным детектом pdm и эвристики файлового антивируса - чаще.

Согласен, но все равно он возникает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
В личку писали с уточнениями от VirusBuster. Сергей из VBA тоже общался в Jabber. То же - относительно Веба. McAfee написали в почту с извинениями и добавлением детекта в дополнительные базы.

А вообще - погуглите, тест засвечен не только тут.

Ну ок.

Юра! Я не знаю, как тестировал и с какими настройками товарищ с 2010. Я не пользуюсь дома услугами вашей фирмы. А на работе пользуюсь (не по своей инициативе, правда). И на работе WKS. Он не находил. И ты сам это признал.

Походу кто то заврался:

По счастью именно Ваш продукт был установлен у меня на одной из систем (KIS 2010 со всеми обновлениями, W7 Ultimate SP1). На момент окончания тестирования он не засекал ни одной угрозы.ь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Нет, не заврался. Но Вы же отметаете виртуалки. Поэтому незачёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Danilka

Он не видит. Забей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

Что не вижу?

Правила форума, Раздел II, пункт 11, правило 12:

Участникам форума запрещается размещать бессмысленные или не несущие существенной смысловой нагрузки сообщения (флуд);

"Модератор ОЛОЛО" - это такая должность, которая правомерно нарушает правила и следит, чтобы другие их не нарушали? ;)

Ладно, ребята, если Вы не считаете результаты теста нормальными - это Ваше право. Я тоже много кого не считаю нормальным. Что и как происходило и к чему привело - оценят остальные участники конференции. Раз вопросов по теме нет - умываю руки. Надоело мне общаться с "ололо" и некомпетентными товарищами (по их же словам). Юрий и Олег, надеюсь, выяснили, что им надо, если возникнут ещё вопросы - они знают, как меня найти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Всего доброго. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

1. . запутанная и сложная методология

2. настолько много текста и он такой, что без пол литра не разобраться

3. при написании статьи придерживайтесь одного стиля (про шампанское и кофе очень сильно глаз резануло)

4. тестить скорость ответа вирлаба бессмысленно, делать нужно акцент на тест скорости добавления в базу, также для #академического# интереса можно сравнить скорость добавления при попадании к ним зловреда с разных каналов, т.е на это делать акцент.

5. предлагаю опытным путем выяснить какой вендор грузит зловреда на вт прежде чем детект наложить

ps: до мыслей по поводу самой методологии пока не дозрел, крайне мало времени...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
5. предлагаю опытным путем выяснить какой вендор грузит зловреда на вт прежде чем детект наложить

предлагаю не тратить время на такую чушь. инлаб мультисканер были (и есть) у всех нормальных вендоров за годы до всяких там вт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

гораздо больше времени было потрачено на еще более сомнительные действия.

А мое предложение позволит выявить:

1. какие аверы используют вт, а какие имеют свои такие сервисы (или вообще не имеют)

2. кто юзает вт чисто для справки, а кто подменяет этим работу вирлабов и тупо тырит чьи то детекты (Е.К такое проверял, но это было давно)

разумеется это все джаст фо лулз :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuNetting

Майкрософт на самом деле отвечают с результатами, а там написано, что не отвечают. Про другие сказать не могу, не пробовал (те, которые там не отвечают)

Отправил главный файл Оперы, скаченной с подозрительного сайта, в Майкрософт.

Через двенадцать минут написали автоматически, что этот файл им известен, а через полчаса после отправки, что он чист. Думаю, анализ производил автомат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Майкрософт на самом деле отвечают с результатами, а там написано, что не отвечают.

Значит нам не повезло :)

У ЛК изменился шаблон ответа на email.

С

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

На

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab . This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order.

Смена шаблона произошла 28 июня... теперь понятнее, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Смена шаблона произошла 28 июня... теперь понятнее, спасибо.

Он поменялся уже несколько месяцев назад, если что...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

если что..... согласен. Нашел сообщение за май... одно из всего массива. Долго внедряете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Многое было сказано, прошёл почти год, а ситуация....

В общем, читаем: http://www.kernelmode.info/forum/viewtopic...;p=14136#p14136 :facepalm:

Ты ж вроде на "проплаченных" форумах не тусуешься? Или чуть-чуть можно? :)

Дальнейшая ситуация может развиваться так:

Kaspersky: Парни, компания занимается расследованием крупных инцидентов, кому нужны ваши кросс-платформенные инфекторы с шеллкодами? Но вы, правда, на всякий пожарный киньте нам хэши, а еще лучше семплы, мы будет время посмотрим.

Доктор: Пошли вы все на х** со своими не itw семплами и всем остальным. А ты, слышь, да да ты кинь нам пару дропперов, мы их посмотрим.

При этом юзеры, ресерчеры и аверы испытвают приблизительно такие чуства [в заданном порядке].

:(

:facepalm:

:D

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
Или чуть-чуть можно? :)

Самую малость ;) До Платинум Мембера мне конечно, далеко ;)

Ну что сказать? В прошлый раз дятел не удосужился месседж отправить, сейчас - не удосужился немного поглубше посмотреть :)

Kaspersky: Парни, компания занимается расследованием крупных инцидентов, кому нужны ваши кросс-платформенные инфекторы с шеллкодами? Но вы, правда, на всякий пожарный киньте нам хэши, а еще лучше семплы, мы будет время посмотрим.

Надо будет парочку флеймов перепаковать и им на проверку закинуть. Ах нет, не получится - я ж лицензию не покупал! Пичалька... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Самую малость ;) До Платинум Мембера мне конечно, далеко ;)

Ха-ха-ха, посмеялся, да. Ну мне ж надо на что-то жить, вот мне и платят :facepalm: Хотя лучше заработка чем работать в VUPEN реверсером конечно не найти.

Ну что сказать? В прошлый раз дятел не удосужился месседж отправить, сейчас - не удосужился немного поглубше посмотреть :)

Зацени AVIRA-style

The file 'services.exe.vir' has been determined to be 'DAMAGED FILE (UNKNOWN)'. In particular this means that this file is damaged and not working properly. We could not find any malicious content. However the heuristic detection module may still detect this particular file even though it is damaged. In that case we will not adjust and remove detection for this damaged file.

Файл-то нужно дампить со всеми атрибутами и шелл-кодом. Вот аверы и пошли лесом.

Скрин файла ты видел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Надо будет парочку флеймов перепаковать и им на проверку закинуть. Ах нет, не получится - я ж лицензию не покупал! Пичалька...

Ты мне шли, я перешлю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

rkhunter, да видел-видел. Автоматика, конечно, сядет, но как-то печально, что ни один аналитик не пошевелился самому посмотреть.

Всё-таки от эпохи бума винлокеров остались неприятные последствия.

Хотя лучше пойду я опять отсюда. Вендоры не посыпают голову пеплом, всякие голды-платинумы налетели, один даже Лицензией Касперского потрясает. Страшно! :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
rkhunter,

Всё-таки от эпохи бума винлокеров остались неприятные последствия.

Они и сейчас остались :rolleyes:

Смешно читать топик, про автоматику, детекты и т.п. увидев очередной фейл вендоров :lol:http://www.mvd.ru/news/show_108453/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×