Тест на лечение активного заражения V (результаты)

[Burbulator 146]

Спасибо за тест.

Душераздирающее зрелище - позор АВ индустрии.

Респект ЛК и Др.Веб

[sceptic 100]

хех. валшебно. )

удивление вызвал только Emsisoft.

спасибо тестерам.

помнится, многим мой пост когда-то не понравился

http://www.anti-malware.ru/forum/index.php...mp;#entry106814

получите.

[Valery Ledovskoy 1082]

некоторые часто пишут про некий SP4 как некий набор секьюрити-патчей, выходивших уже после SP3 и после завершения офф. поддержки XP со стороны Microsoft.

Поддержка вроде бы до 2014-го года.

Тест прошёл, как всегда, на уровне. При этом можно добавить, что методология уточняется раз от разу. И в этот раз были включены те сэмплы, детекта которых не было никаких возможностей добиться.

Увидел, что серьёзных оппонентов после оглашения результатов за сегодняшний день не появилось (людей, не читающих и не понимающих методологию и не имеющих понятия здравого смысла не берём в рассчёт).

То, что Dr.Web не смог вылечить сэмпл, о котором ему известно достаточно длительное время, для меня было откровением. Ибо знаю, как старались этого недопустить раньше. Кидали все ресурсы, чтобы добиться лечения. Ибо было всегда "Dr.Web - лечит". Особенно "сети, когда припекло" Это немного личное, но тоже некоторая веха, которую стоит отметить. Тем не менее, в целом, утилиту Dr.Web CureIt! рекомендовать ещё можно, и ещё как можно. А утилите от ЛК тоже есть куда стремиться, ибо не всегда удобно использовать (размер утилиты, необходимость установки и пр.).

Плюс ещё хотел сказать. Когда речь заходит о лечении, вспоминаю о таких актуальных случаях как ACAD.Pasdoc. Недавно выяснил, что заражённые менюшки и заражённые системные lsp-скрипты AutoCAD детектятся и Авирой, и MSE, и продуктами ЛК тоже, но не разбирался, лечат ли они их, или только калечат, т.е. убивают. К сожалению, методология данного тестирования такие случаи заражений не учитывает. Возможно, это и правильно. Но всё же есть вопросы, на которые ответы данный конкретный тест не даёт, а проблемы с лечением таких специфических, но важных для многих предприятий заражений остаются. Хотелось бы, чтобы такие случаи учитывались хотя бы в каком-нибудь тестировании АМ.

Также стоит добавить про лечение Trojan.Winlock. Мне кажется, что специальный LiveCD от ЛК по этому поводу - это прорыв. Опробовать пока что не пришлось (пользуюсь старыми методами с другими LiveCD), но всё же это выход вперёд против вредоносных программ, которые затмили постсоветское пространство. Жаль, что тест этого тоже не отражает. Но лечением и не занимается основная антивирусная программа, для этого выпустили отдельную утилиту. Так что здесь в результатах всё честно.

В целом, работа проведена немалая. Аналогов таких тестирований я не знаю. И оттого я горд от того, что являюсь экспертом этого портала, в настоящее время независимым. Есть какая-то косвенная незримая причастность к

Поэтому поздравляю с достижением очередной немаловажной вехи в развитии этого ресурса.

[sceptic 100]

есть вопрос к тестерам.

каким образом происходило лечение антивирусом от МС?

там в гуи даже вкладки такой нету.

и ещё. возможно ли вынести результаты по Windows 7 x64 в отдельный график?

[Сергей Ильин 1538]

есть вопрос к тестерам.

каким образом происходило лечение антивирусом от МС?

там в гуи даже вкладки такой нету.

Не совсем понял вопрос, какой вкладки там нет? Там же как все происходит по методологии, если кратко: ставим на зараженную машину антивирус. Далее варианты:

1. вредонос может быть обнаружен сразу же, прямо при установке (если это предусмотрено)

2. вредонос может быть обнаружен при быстром сканировании сразу после установки (если это опять де предусмотрено)

3. вредонос может быть обнаружен при сканировании диска/системы по требованию (это есть у всех)

Так что никаких в принципе спец. вкладок не нужно. Ставим - сканируем, пробуем разные варианты.

и ещё. возможно ли вынести результаты по Windows 7 x64 в отдельный график?

График будет спешной очень - три столбика по среди пустоты

На Windows 7 x64 проверяли только TDL4! Это был эксперимент, чтобы понять, как вендоры справляются с этим на этой ОС, заметно отличной от XP. Как оказалось, если есть лечение на XP, то оно есть и на Windows 7 x64.

Кстати, лечат этого зверька только три антивируса: Касперский, Dr.Web и ... AVG.

[Umnik 997]

необходимость установки

http://juick.com/Umnik/1440071

[Сергей Ильин 1538]

Плюс ещё хотел сказать. Когда речь заходит о лечении, вспоминаю о таких актуальных случаях как ACAD.Pasdoc. Недавно выяснил, что заражённые менюшки и заражённые системные lsp-скрипты AutoCAD детектятся и Авирой, и MSE, и продуктами ЛК тоже, но не разбирался, лечат ли они их, или только калечат, т.е. убивают. К сожалению, методология данного тестирования такие случаи заражений не учитывает. Возможно, это и правильно. Но всё же есть вопросы, на которые ответы данный конкретный тест не даёт, а проблемы с лечением таких специфических, но важных для многих предприятий заражений остаются. Хотелось бы, чтобы такие случаи учитывались хотя бы в каком-нибудь тестировании АМ.

Валер, это надо поднимать тест наподобие того, что мы делали по полиморфным вирусам в свое время. Или, кстати, специально сделать мини-тест на корректность лечения файловых вирусов, кстати интересно было бы. Если найдется инициативная группа, то можно открыть темку и прикинуть что да как

В целом, работа проведена немалая. Аналогов таких тестирований я не знаю. И оттого я горд от того, что являюсь экспертом этого портала, в настоящее время независимым. Есть какая-то косвенная незримая причастность к

Конечно, есть причастность! Все эксперты участвовали, помогали как могли, в меру сил, что сложно переоценить!

[Valery Ledovskoy 1082]

Валер, это надо поднимать тест наподобие того, что мы делали по полиморфным вирусам в свое время. Или, кстати, специально сделать мини-тест на корректность лечения файловых вирусов, кстати интересно было бы. Если найдется инициативная группа, то можно открыть темку и прикинуть что да как wink.gif

Да, хотелось бы что-то, но даже не по полиморфным вирусам, а по просто файловым (полиморфизм - это отдельная тема, но, конечно, в некотором роде, пересекающаяся). Причём обязательно нужно сюда включить такие вот заражения скриптов.

Думается, что это уже тенденция. Вирусы, заражающие менюшки AutoCAD, уже есть. Причём некоторые вендоры даже сделали эвристики на такие вредоносные программы для AutoCAD. При этом далеко не все, по моему опыту, их лечат. А ведь для лечения достаточно всего лишь "выкусить" вредоносный код, а оставить оригинальный, но это же большая проблема... И это не смех, а действительно большая проблема, хотя эти менюшки написаны в plain text, и намётанный глаз сразу увидит наличие заражения. А детектят сейчас обычно исходный вредоносный (сам по себе) скрипт, но не могут вылечить заражённое приложение.

А что, например, мешает, влезть внутрь xpi-дополнения для Firefox, который является по сути zip-архивом, и прописать что-либо туда? И сколько таких вот возможностей прописаться в конфигурашки/скрипты/дополнения для многих популярных (в т.ч. используемых на предприятиях) программ? И как с этим борятся антивирусы?

Насчёт инициативной групппы по таким делам - всегда рад пообсуждать

http://juick.com/Umnik/1440071

ОК, гут

[sceptic 100]

Не совсем понял вопрос, какой вкладки там нет? Там же как все происходит по методологии, если кратко: ставим на зараженную машину антивирус. Далее варианты:

1. вредонос может быть обнаружен сразу же, прямо при установке (если это предусмотрено)

2. вредонос может быть обнаружен при быстром сканировании сразу после установки (если это опять де предусмотрено)

3. вредонос может быть обнаружен при сканировании диска/системы по требованию (это есть у всех)

Так что никаких в принципе спец. вкладок не нужно. Ставим - сканируем, пробуем разные варианты.

нет ни вкладки, ни параметра настройки "лечения"

поэтому мне совершенно не понятно как это происходило на MSE.

вы, ребята, вообще что тестировали??

"лечение" - удаление вредоносного кода из объекта, причём при последующей работоспособности/целостности последнего.

что лечил в тесте MSE, если в дефолте юзер имеет только три варианта:

1. рекомендованное действие

2. удаление

3. карантин

что есть "рекомендованное действие" хелп от МС не раскрывает.

по x64 вопрос снимаю. невнимательно прочёл методологию.

[Сергей Ильин 1538]

поэтому мне совершенно не понятно как это происходило на MSE.

вы, ребята, вообще что тестировали??

"лечение" - удаление вредоносного кода из объекта, причём при последующей работоспособности/целостности последнего.

что лечил в тесте MSE, если в дефолте юзер имеет только три варианта:

1. рекомендованное действие

2. удаление

3. карантин

Так и в чем проблема то? Это не файловые вирусы!

Ну нет там вкладки никакой и действия "лечить" тоже нет - ОК. Зачем это все? Выбираете рекомендованное действие и вперед. Почти в 100% случаев он попробует удалить файл, если не получится закарантинит его. Так действуют и многие другие антивирусы. Это же все автоматические методы лечения, они и тестировались. Это же не антируткиты и не конкурс утилит типа AVZ

Именно поэтому мы имеем у MSE:

Virus.Protector (Kobcka, Neprodoor) - Удаляет зараженный файл. Пропадает сеть - Минус

Worm.Rorpian - Обнаруживает, но не может удалить - Минус

Koutodoor - Обнаруживает, но не может удалить - Минус

[Valery Ledovskoy 1082]

sceptic, зашёл в MSE 2.1 только что. Вкладка Главная. Параметры проверки: Полная. Кнопка "Выполнить проверку". Если полная проверка вылечит заражённую систему (покажет, что заражение есть и вылечит систему от него), то это и означает успех в данном тесте. Что непонятного? (это очень упрощённо, но Вы хотели про вкладку. Вкладка "Главная")

[K_Mikhail 807]

А что, например, мешает, влезть внутрь xpi-дополнения для Firefox, который является по сути zip-архивом, и прописать что-либо туда?

Каким образом?

И сколько таких вот возможностей прописаться в конфигурашки/скрипты/дополнения для многих популярных (в т.ч. используемых на предприятиях) программ? И как с этим борятся антивирусы?

Использовать ревизор ADinf?

[CatalystX 25]

У меня появился вопрос.

Почему здесь у BitDefender 2011 av-test.org один из лучших результатов, а в этом тесте он проваливается?

Или же "Кто больше заплатил тот и победил" здесь работает на все сто?

Вообще задача антивируса предотвратить заражение, а лечением должны заниматься специальные утилиты.

[sceptic 100]

господа, своё мнение я высказал.

а теперь внимательно выслушаю ваше понимание термина "лечение"

Вкладка "Главная")

спасибо Кэп!

[GReY 35]

Спасибо за тест!

С этим вендором обсуждаемых выше проблемы не было

а вы их блог не читали, случайно? остро и весело - молодцы

[Valery Ledovskoy 1082]

а теперь внимательно выслушаю ваше понимание термина "лечение"

Восстановление системы в состояние, которое было до заражения.

Каким образом?

ЛК лечит в архивах. КакойТоВирус гадит в архивах.

Использовать ревизор ADinf? wink.gif

Как теоретический вариант - почему нет. Как практический - не думаю, что в современных условиях, особенно в масштабах предприятия его возможно для таких штук использовать (и удобно).

Кстати, в установленном виде xpi-шки распакованные.

Что вот мешает заглянуть в C:\Users\[Пользователь]\AppData\Roaming\Mozilla\Firefox\Profiles\[Профиль].default\extensions\ и прописаться в каком-нибудь [foxmarks@kei.com] таким образом, чтобы следить за юзером и отправлять инфу о том, что он делает в браузере, кому следует?

[K_Mikhail 807]

ЛК лечит в архивах. КакойТоВирус гадит в архивах.

Ну, в xpi, несмотря на то, что это zip-архив (jar, точнее), так просто не погадишь. Файл-то подложить можно, но нужно ещё сделать так, чтобы сей "довесок" был проинсталлен, а не просто бы валялся куском кода на диске.

Как теоретический вариант - почему нет. Как практический - не думаю, что в современных условиях, особенно в масштабах предприятия его возможно для таких штук использовать (и удобно).

Возьми, да попробуй -- потом напишешь обзор "Использование, казалось бы, потерявших свою актуальность антивирусных ревизоров на предприятии на примере ADinf".

Кстати, в установленном виде xpi-шки распакованные.

Что вот мешает заглянуть в C:\Users\[Пользователь]\AppData\Roaming\Mozilla\Firefox\Profiles\[Профиль].default\extensions\ и прописаться в каком-нибудь [foxmarks@kei.com] таким образом, чтобы следить за юзером и отправлять инфу о том, что он делает в браузере, кому следует?

Посмотри на досуге: https://bugzilla.mozilla.org/show_bug.cgi?id=559809 и https://bugzilla.mozilla.org/show_bug.cgi?id=476430

[sceptic 100]

Восстановление системы в состояние, которое было до заражения.

отлично!

типичная подмена понятий (с)

что будем делать в случае внедрения кода в критически важный файл: services.exe, svchost.exe, например?

кильнём процесс, файл удалим?

где возьмёте чистый файл?

[Valery Ledovskoy 1082]

Файл-то подложить можно, но нужно ещё сделать так, чтобы сей "довесок" был проинсталлен, а не просто бы валялся куском кода на диске.

Речь о том, чтобы прописываться уже в установленные популярные расширения.

Вот я выбрал себе foxmarks-overlay.xul, продублировал в нём сейчас одну из строк. Перезагрузил Fx. Расширение работает, никто никак не просигнализировал. Выходит, так можно и что угодно в эти xul-скрипты дописать?

что будем делать в случае внедрения кода в критически важный файл: services.exe, svchost.exe, например?

кильнём процесс, файл удалим?

Ой, ну сколько раз это всё проговаривалось. Файловые вирусы (которые заражают файлы) в этом тесте не рассматриваются, согласно методологии. Речь в тесте о технологиях лечения системы (т.е. объект лечения - система, а не файл) от вирусов, которые используют технологии воспрепятствования их обнаружения и удаления из системы, как правило, с использованием разнообразных руткит-технологий. Лечение вирусов, заражающих (или подменяющих) системные файлы - не тема данного теста (хотя при этом тема других тестирований).

[K_Mikhail 807]

Речь о том, чтобы прописываться уже в установленные популярные расширения.

Вот я выбрал себе foxmarks-overlay.xul, продублировал в нём сейчас одну из строк. Перезагрузил Fx. Расширение работает, никто никак не просигнализировал. Выходит, так можно и что угодно в эти xul-скрипты дописать?

По сути -- да, читай приведённые ссылки на мозилловскую багзиллу.

[Valery Ledovskoy 1082]

По сути -- да, читай приведённые ссылки на мозилловскую багзиллу.

Да почитал

Т.е. после очередного заражения недетектящимся троянчегом, запакованным новым упаковщиком, может статься так, что какой-нибудь xmarks или NoScript начнёт шпионить за пользователем, хотя призваны совсем для других целей.

И никакая проактивка на это не отреагирует. Или есть уже проактивки, контроллирующие целостность/неизменность расширений для продуктов от Mozilla Co.?

И организовать лечение в случае таких заражений будет ой как непросто.

(Не будем к ночи вспоминать про обфускацию скриптов).

(это всё в качестве примера, примерно так работает ACAD.Pasdoc, "заражая" менюшки AutoCAD, только там и exe-шников никаких не нужно для первоначального заражения, благодаря дырке в архитектуре AutoCAD).

[K_Mikhail 807]

Да почитал

Т.е. после очередного заражения недетектящегося троянчега, запакованного новым упаковщиком, может статься так, что какой-нибудь xmarks или NoScript начнёт шпионить за пользователем, хотя призваны совсем для других целей.

Примерно.

И никакая проактивка на это не отреагирует. Или есть уже проактивки, контроллирующие неизменность расширений продуктов от Mozilla Co.?

И организовать лечение в случае таких заражений будет ой как непросто.

(Не будем к ночи вспоминать про обфускацию скриптов).

А вот здесь возникает, с моей т. зр. абсолютно та же ситуация, которая сейчас царит в мире Android-а, когда в разного рода Market-ах "проусачеваются" приложения, после чего они начинают слать SMS на Андромеду.

P.S. Вспомни, как с Win32.Induc было...

[Valery Ledovskoy 1082]

Ну вот, пока Mozilla не начнёт как-то контроллировать устанавливаемые расширения (или хотя бы не хранить их на компьютере пользователя в открытом виде вообще неприкрыто) - можно делать с ними, что хошь. И это тоже только один из примеров, как незащищённость скриптов приложений может наделать много дел. И антивирусным вендорам в общем случае не так просто этому противодействовать. В движках функции разбора/лечения скриптов далеко не у всех хорошо работают.

Константину Юдину, одному из разработчиков Dr.Web, спасибо за уточнение на форуме Dr.Web. Да, в некоторых сложных случаях заражения (например, TDL3) необходимо не только удалять файлы, но и лечить. Но если бы для лечения вредоносной программы нужно было бы только лечить файлы, и ничего больше, я думаю, эта вредоносная программа в данный тест не попала бы. А лечение заражённых драйверов - это весьма нетривиальный процесс. Тем эта вредоносная программа и интересна (но не только этим) для этого теста.

Кстати, в дискуссии можно участвовать и здесь, а не ссылаться на неё где-то в надежде, что тот, к кому обращаются, не увидит.

[sww 486]

Почему здесь у BitDefender 2011 av-test.org один из лучших результатов, а в этом тесте он проваливается?

Потому что совершенно разные методологии. На АМ - правильная, хоть и со своими минусами.

Или же "Кто больше заплатил тот и победил" здесь работает на все сто?

На все 200%. Я лично подогнал администрации портала колесо от Феррари. Они его поставили в свой замок, на золотой трон, который купили на бешеное бабло от продажных вендоров.

Вообще задача антивируса предотвратить заражение, а лечением должны заниматься специальные утилиты.

Чушь.

[Valery Ledovskoy 1082]

Вообще задача антивируса предотвратить заражение, а лечением должны заниматься специальные утилиты.

В чём тогда смысл периодического сканирования на вирусы, рекомендуемого подавляющим большинством вендоров? Для личного успокоения и поиска дао во время сканирования?