Тест на лечение активного заражения V (результаты)

[Ummitium 40]

Проводите тесты на Windows 7 SP1 со всеми обновлениями с включенным UAC, вот тогда будет интересно.

А так тест ниочем. Я не верю, что на любую зараженную машину можно устанавливать антивирусное решение и продвинутая вредоносная программа при этом не препятствует установке и запуску антивируса.

Наверное образцы таким образом и отбирались, чтоб не блокировали установку распространенных антивирусных решений.

[Сергей Ильин 1538]

Проводите тесты на Windows 7 SP1 со всеми обновлениями с включенным UAC, вот тогда будет интересно.

Много самплов отвечающих критериям отбора и при этом рабочих наберете под эту ось? Там есть такой один у нас в тесте - TDL4, смотрели его как раз на Windows 7

[GReY 35]

Много самплов отвечающих критериям отбора и при этом рабочих наберете под эту ось? Там есть такой один у нас в тесте - TDL4, смотрели его как раз на Windows 7

под x32 разве вирусы не живут?

Почему в тесте нет антивируса eScan ?

потому что слишком много уже антивирусов на движке BitDefender. результат eScan будет где-то между F-Secure и G Data

Удивил результат G Data

почему удивил-то? G Data никогда нормально не лечил

Или движки - движками, но ещё есть какие-то хитрые вендорские штуки?

по лицензии покупается поисковые технологии и база сигнатур. но найти вирус и вылечить его - две огромные разницы, если вирус активно сопротивляется убиению. антируткитные технологии, судя по всему, тоже не продаются вместе с движком, ибо три продукта на основе BitDefender отличаются по составу необнаруженных заражений

[ALEX(XX) 60]

Смотрите в чём ещё фишка. Поскольку явно просматривается, что многие вендоры считают важным не допустить заражения, но лечение отодвинули на второй план, мы этим тестом показали одну сторону работы АВ - с лечением плохо. Но при этом нельзя однозначно сказать, что АВ, который не справился с лечением - плох. Вполне возможно, что он отлично противостоит заражению.

Мне вот подумалось, что неплохо было бы дать интегральную оценку "качества" АВ по трём критерям:

1. Общий уровень детекта (как много знаем)

2. Умение предотвратить заражение

3. Лечение.

Это моё ИМХО

[AlexxSun 150]

неплохо было бы дать интегральную оценку "качества"

Очень это всё сомнительно. Пользователь ставит антивирус на уже зараженную систему, очень надеется на этот свой антивирус, а потом в этой своей уверенности годами торчит в интернете с надеждой, что он находится под надёжной защитой антивирусного "продукта", при этом являясь участником какой-то новой ботнет сети и одним из звеньев ддос-атак на всевозможные сетевые ресурсы. Так что о какой "интегральной" оценке в таком случае может идти речь?

[Valery Ledovskoy 1082]

нельзя однозначно сказать, что АВ, который не справился с лечением - плох.

На самом деле плох. Пользователь такого антивируса может достаточно долго не подозревать, что заражён, и что необходимо применить соответствующие меры по лечению. При этом пропускают все. Кто-то больше, кто-то меньше, но все. Лечение реализовывать нужно. Да, это сложно. Но, как показывают некоторые вендоры, можно.

[ALEX(XX) 60]

Очень это всё сомнительно. Пользователь ставит антивирус на уже зараженную систему, очень надеется на этот свой антивирус, а потом в этой своей уверенности годами торчит в интернете с надеждой, что он находится под надёжной защитой антивирусного "продукта", при этом являясь участником какой-то новой ботнет сети и одним из звеньев ддос-атак на всевозможные сетевые ресурсы. Так что о какой "интегральной" оценке в таком случае может идти речь?

А если пользователь ставит АВ на чистую систему?

На самом деле плох. Пользователь такого антивируса может достаточно долго не подозревать, что заражён, и что необходимо применить соответствующие меры по лечению.

Это в случае, если АВ не видит активного зверя. А если видит, но сделать ничего не может?

[NOSS 130]

А если пользователь ставит АВ на чистую систему?

Наверное большинство так и делает, либо сами, либо с помощью знающих людей.

[ak_ 395]

Но это хорошо, если видит заражение или хотя бы есть детект исходного файла и возможность недопущения заражения. Но когда вот так:

Судя по зачастую формальным отпискам на анонимные (по условиям методологии теста) просьбы добавить детект, наибольшие сложности у аналитиков возникли с анализом Sinowal (Mebroot), TDL3 (TDSS, Alureon, Tidserv) и TDL4 (TDSS, Alureon, Tidserv). Особенно это относится к таким вендорам как: Agnitum, Avira, Eset, Panda Security, Trend Micro и Symantec.

Это уже настораживает. Получается, что в этом случае АВ не может ни предотвратить заражение, ни вылечить.

Можно узнать номера запросов в вирлаб Avira по данным образцам?

[ALEX(XX) 60]

Можно узнать номера запросов в вирлаб Avira по данным образцам?

А это что-то поменяет? Год назад проводился такой же тест, образцы рассылались. Тогда тоже был почти у всех затык с мебрутом. За год не смогли добавить?

[Valery Ledovskoy 1082]

Это в случае, если АВ не видит активного зверя. А если видит, но сделать ничего не может?

Тогда пользователь хотя бы знает о наличии проблемы. Может обратиться в техподдержку, может воспользоваться утилитами от других вендоров и т.д. Т.е. это лучше, чем совсем не детектить.

[ak_ 395]

А это что-то поменяет? Год назад проводился такой же тест, образцы рассылались.

Одно дело - просто отослать, другое - ткнуть носом в конкретную проблему. Может поможет.

Попробовать стОит. Это поможет не заразиться другим пользователям.

[GReY 35]

Вопрос по авасту:

"После установки антивируса ОС грузится только в безопасном режиме" из-за чего, конфликта между вирусом и авастом? или он всё же убивает вирус?

И по БитДефендеру:

"в обычном режиме, то лечение проходит успешно" можно бы и плюсиком отметить, а не как провал

[Doctor_Petrov 126]

Думается этот тест скорее предназначен специалистам и самим вендорам, чем обычным пользователям.По крайней мере вряд ли он может служить для пользователя ориентиром в выборе АВ.

-Если машина уже заражена то она как минимум работала какое-то время и содержала некоторое защитное ПО.

-Пользователь для лечения скорее воспользуется сторонним диском типа Kaspersky Rescue или сканером типа Dr.Web Cureit!

-Если пользователь ставит АВ на чистый или новый компьютер, ему важнее недопустить его заражение и тут на выбор вообще влияют множество факторов.

Правда стоит заметить что не раз наблюдал как некто заразив компьютер бежит в ближайший павильон с ПО и на просьбу дать что-нибудь получает дистрибутив АВ ... Но это было неск. лет назад и сейчас возможно изменилось что-то.

Поэтому стоит поблагодарить АМ за проведённую работу и принять результаты к сведению

[RuJN 20]

потому что слишком много уже антивирусов на движке BitDefender. результат eScan будет где-то между F-Secure и G Data

Не правда, как ниже сказали, технология лечения не продается, а искен сейчас использует СВОЙ движок, а остатки БитДеф-а - это со времен использования этого движка. Все вирусы из теста уже детектились им самостоятельно.

[Doctor_Petrov 126]

Насколько я помню, представители ЕСКАН писали уже здесь, что сейчас используют свой движок, это ещё прошлой осенью было...

[DiabloNova 175]

Комментировать после официальных заявлений этот синтетический тест не хотелось, но все же.

В ходе простой попытки воспроизведения некоторых тестов выяснилось полное расхождение ваших результатов и того, что мы имеем в качестве результатов у себя.

Мы взяли TDL3, поскольку именно он вызвал наибольшее недоумение и провели собственный тест. Версия руткита 3.273, он с апреля 2010, когда строка версии уже перестала обновляться. Сам образец

[main]

quote=You people voted for Hubert Humphrey, and you killed Jesus

version=3.273

botid=3f1b98c6-07dd-4f7d-a650-30bb6f39b0a3

affid=11794

subid=0

installdate=30.7.2011 18:34:10

builddate=20.4.2010 13:56:18

[injector]

*=tdlcmd.dll

[tdlcmd]

version=3.74

Конфигурация системы - обычный компьютер на базе Intel Core 2 Duo - 6700. Лицензионная Windows XP SP3 (не патченный SP3 релиз), версия Security Essentials: 2.0.657.0, версия клиента: 3.0.8107.0.

Установка TDL3, ребут, проверка внутренними утилитами работоспособности руткита - ОК. Установка MSE - ОК. Быстрый скан сразу же после установки. Ожидаемый детект TDL3.

Лечение.

Перезагрузка по требованию. Повторное сканирование MSE - пусто. Сканирование внутренними утилитами - пусто. Руткита нет. Для пущей уверенности был скачан и запущен TDSSKiller 2.5.13.0. К сожалению, во время сканирования он улетел в BSOD (IRQL_NOT_LESS_OR_EQUAL, минидамп не содержит особо полезной информации, так что прикладывать его я не буду), поэтому для доп. проверки мы использовали иные паблик утилиты, которые показали отсутствие руткита.

Учитывая такое бревно, сдается мне, что при воспроизведении тестов у кого-нибудь еще также могут возникнуть вопросы.

И еще. Снимать баллы или проценты за неудаление ветки реестра при обнаружении и удалении собственного руткита - простите, но это смешно.

[RuJN 20]

DiabloNova

У вас руткит был активным?

[DiabloNova 175]

Разумеется, смотрите скриншоты.

[RuJN 20]

Разумеется, смотрите скриншоты.

Наверное МС исправили ситуацию.

[sbelow 120]

Наверное МС исправили ситуацию.

На следующий день после проведения теста ;-)

А может умел и ранее ...

Запутался я :-)

[DiabloNova 175]

Функционал детекта/лечения TDL3 был добавлен в MSE более года назад, еще во времена 1.х ветки. О чем собственно на профильных ресурсах было сказано не раз. И там же были подтверждения успешного выноса TDL3. Никаких специальных заточек, костылей нет, тем более что для теста выше нами использовалась даже более старая версия MSE, чем та что сейчас доступна. Официальная позиция озвучена Андреем Бешковым см. комментарий (http://www.anti-malware.ru/malware_treatment_test_2011) и к ней добавить нечего. Не хочется никого обвинять, да и мне, по большей части все равно, и в полемику я вступать не намерен, но подобные невоспроизводимые или различные в корне результаты бросают тень на весь тест, включая результаты всех остальных продуктов.

[Сергей Ильин 1538]

А если пользователь ставит АВ на чистую систему?Правда стоит заметить что не раз наблюдал как некто заразив компьютер бежит в ближайший павильон с ПО и на просьбу дать что-нибудь получает дистрибутив АВ ... Но это было неск. лет назад и сейчас возможно изменилось что-то.

Я считаю наш тест полезным для тех пользователей, чкто:

1. Хочет вылечить свой компьютер от заражения с минимумом действий (в автоматическом режиме), при этом его штатная защита не помогает

2. Хочет удостовериться в чистоте системы.

В обоих этих случаях ему могут впарить в магазине какое-то поделье и толку будет ноль. Так что пусть ориентируются хоть на продукты, которые имеют гораздо большие шансы решить задачу.

Установка TDL3, ребут, проверка внутренними утилитами работоспособности руткита - ОК. Установка MSE - ОК. Быстрый скан сразу же после установки. Ожидаемый детект TDL3.

Результаты по MSE мы перепроверяли, так что едва ли там возможна какая-то ошибка. Скорее всего просто докрутили уже. Тем более, берите в расчет то, что тест у нас шел длительное время и вполне можно было что-то докрутить уже

[RuJN 20]

На следующий день после проведения теста ;-)

А может умел и ранее ...

Запутался я :-)

1. Вышла новая версия руткиты

2. Еще давно(!) когда АМ проводили тест они отправили в МС руткиты

3. Детект появился только сейчас, даже может через день после теста (сам тест был давно, очень долго шла верификация результатов)

[Ummitium 40]

Много самплов отвечающих критериям отбора и при этом рабочих наберете под эту ось?

Вот о том и речь, большинство используемых вирусов на Win 7 не запустилось бы.

Но тест этот все равно ниочем. Есть вирусы, которые просто блокируют установку и запуск популярных антивирусов - почему такие 'самплы' не использовались?