Тест на лечение активного заражения V (результаты)

[Сергей Ильин 1538]

И еще. Снимать баллы или проценты за неудаление ветки реестра при обнаружении и удалении собственного руткита - простите, но это смешно.

А вот это ошибка в отчете! Сейчас поправим оперативно, там ПЛЮС должен стоять, конечно же. Так что благодарю!

[DiabloNova 175]

Ок, спасибо за ответ.

Никаких накруток там нет потому что я собственноручно тестировал MSE версии ниже 2.1.1116.0, что сейчас приезжает как апдейт (и даже этот апдейт не включает никаких костыль-паков). Точно такие результаты как на скриншотах были и год назад с теми же версиями руткита. Скорее всего здесь: сторонний фактор (железо), конфликт с чем-то на той системе, либо банально ваша бага. Могу навскидку сказать версию в которую был добавлен детект и удаление TDL3 (http://blogs.technet.com/b/enginenotifications/archive/2010/07/09/antimalware-engine-release-for-july-2010.aspx)

Так как ссылку на сайт с образцами малвари, думаю, выкладывать не стоит - цитата

16 Jul 2010, 23:14

Microsoft Security Essentials Version: 1.0.1963.0

Antimalware Client Version: 2.1.6805.0

Engine Version: 1.1.6004.0

Antivirus definitions: 1.87.23.0

Antispyware definitions: 1.87.23.0

Successfully removing latest TDL 3.

[GReY 35]

>представители ЕСКАН писали уже здесь, что сейчас используют свой движок, это ещё прошлой осенью было...

февральский тест http://www.av-comparatives.org/images/stor..._fp_feb2011.pdf

невооружённым взглядом виден движок битдефендера

[Doctor_Petrov 126]

>представители ЕСКАН писали уже здесь, что сейчас используют свой движок, это ещё прошлой осенью было...

февральский тест http://www.av-comparatives.org/images/stor..._fp_feb2011.pdf

невооружённым взглядом виден движок битдефендера

Ну это уже скорее оффтоп, да и вопрос надо задавать производителям ЕСКАН в соответствующей ветке, я не знаю почему они так написали

[Юрий Паршин 330]

Ок, спасибо за ответ.

Никаких накруток там нет потому что я собственноручно тестировал MSE версии ниже 2.1.1116.0, что сейчас приезжает как апдейт (и даже этот апдейт не включает никаких костыль-паков). Точно такие результаты как на скриншотах были и год назад с теми же версиями руткита. Скорее всего здесь: сторонний фактор (железо), конфликт с чем-то на той системе, либо банально ваша бага. Могу навскидку сказать версию в которую был добавлен детект и удаление TDL3 (http://blogs.technet.com/b/enginenotifications/archive/2010/07/09/antimalware-engine-release-for-july-2010.aspx)

Кстати, да - помню, что сам проверял год назад лечение TDL3 с помощью MSE - руткит лечился.

П.С. Поделитесь семплом из теста в личку, может действительно не все модификации MSE покрыл.

[sceptic 100]

Кстати, да - помню, что сам проверял год назад лечение TDL3 с помощью MSE - руткит лечился.

П.С. Поделитесь семплом из теста в личку, может действительно не все модификации MSE покрыл.

делиться не буду, уж простите, но если кому либо будет полезным, то вот результат под вин7 х64:

конкретно тдл3 в этой ОСи даже не стартует. тело копируется в темп и на этом всё.

из темпа он прибивается АВ.

однако, детект на лицо.

[DiabloNova 175]

Это не имеет отношения к этому тесту и выявленным проблемам:

1. Это детект в статике.

2. TDL3 не работает на х64 и тестировать с ним что-то на этой платформе бессмысленно.

[sceptic 100]

Это не имеет отношения к этому тесту и выявленным проблемам:

1. Это детект в статике.

2. TDL3 не работает на х64 и тестировать с ним что-то на этой платформе бессмысленно.

спасибо Кэп!

я просто ответил Юрию на вопрос о "покрытии" сэмплов.

а ещё этот скрин поможет многим неискушённым юзерам спать спокойней.

[DiabloNova 175]

Существует две основные версии TDL3 и порядка 20-30 модификаций и несколько отдельных основанных на коде TDL3 руткитов. В классификации корпорации они все идут как Alureon. Сомнительно, что он спрашивал про чисто сигнатурный детект на годовалой давности образец. Особенно учитывая, что в результатах черным по белому написано 3.273, что резко сужает количество вариантов.

[Юрий Паршин 330]

я просто ответил Юрию на вопрос о "покрытии" сэмплов.

Речь о покрытии детектом в памяти. А того, что называется TDL 3.273, есть много разного - поэтому и интересен семпл.

[Сергей Ильин 1538]

Вот о том и речь, большинство используемых вирусов на Win 7 не запустилось бы.

Но тест этот все равно ниочем. Есть вирусы, которые просто блокируют установку и запуск популярных антивирусов - почему такие 'самплы' не использовались?

Потому что это запрещено методологией. Много раз это обсуждалось, но поясню. Дело в том, что противодействие антивирусу - это совсем другой функционал, что сокрытие своего присутствия в системе. Зловред может и не прятаться, но при этом выносить (или пробовать это делать) процессы типа apv.exe, например. Противодействие вообще - это некоторая активная оборона вредоносной деятельности, а маскировка - пассивная оборона. Мы тестируем эффективность антивирусов против второй из них.

А проверить насколько хорошо антивирусы справляются с противодействием со стороны вредоносных программ ... вы же понимаете, в чью пользу будет тест. Снаряд всегда в таком контексте развивается быстрее, чем броня. Если мы соберем противодействующих вредоносов, то что покажет тест? Он покажет какой антивирус наиболее полулярен среди вирусописалетей И больше ничего Это даже не нужно тест делать. Достаточно собрать статистику. Все будет видно без теста.

Речь о покрытии детектом в памяти. А того, что называется TDL 3.273, есть много разного - поэтому и интересен семпл.

Проверим еще раз, как обстоят дела с нашим семплом.

[Mr. Justice 771]

Сообщения о CureIt выделены в отдельный топик >>>

[Burbulator 146]

На форуме DrWeb идет обсуждение результатов и там показано, что у NIS есть детект TDL4 при активном заражении. (лечить сам правда все равно не может)

Получается, что у NIS нет детекта на ту модификацию TDL4, которая использовалась на АМ и поэтому вопрос: а по каким критериям отбирались модификации TDL, например?

[sww 486]

На форуме DrWeb идет обсуждение результатов и там показано, что у NIS есть детект TDL4 при активном заражении. (лечить сам правда все равно не может)

Получается, что у NIS нет детекта на ту модификацию TDL4, которая использовалась на АМ и поэтому вопрос: а по каким критериям отбирались модификации TDL, например?

Ну вот до чего же лениво людям мозг включать... Все им разжуй, покажи.

Открываем экселевскую табличку и смотрим на Norton. Напротив TDL4 стоит пометка "!", что означает, что добавлять в базы MBR ребята отказались.

[Danilka 678]

Кстати, да - помню, что сам проверял год назад лечение TDL3 с помощью MSE - руткит лечился.

П.С. Поделитесь семплом из теста в личку, может действительно не все модификации MSE покрыл.

http://www.anti-malware.ru/forum/index.php...st&p=120583

3. LiveCD от винлоков от ЛК - весьма интересное решение. Часто наиболее оптимальное для неподготовленных пользователей. Известно, что если человек не решает проблему с винлоком в течение пары часов, он очень часто переустанавливает систему. Данный LiveCD уменьшает процент таких нетерпеливых пользователей.

Еще более интересное решение есть:

Запустили тестирование на оф. форуме.

[CatalystX 25]

У NIS есть детект TDL4 при активном заражении.

Действительно у NIS есть детект, но он не лечит, а пишет: Обнаружена угроза требующая удаления вручную: System infected:Tidserv Activity 2. При нажатии кнопки "Подробнее" он отправляет на сайт Симантек за утилитой TDSS Fix которая уже излечивает от TDL3 и TDL4, а в тесте тестировались возможности лечения именно антивирусом, а не утилитами.

[SDA 750]

Детект TDL4 и блокировка на Norton - 360

В другом тесте при обнаружении/детекте зверька на зараженной системе, предлагается скачать спец.утилиту, качается за несколько секунд и потом убивает TDL4

Тест производился на NIS 2011 18.6.0.29. Собственно в новой версии 2011 стала доступна ранее заявленная опция для 2012:

Интеграция со специализированными инструментами:

В виду развития угроз есть необходимость в использовании специальных утилит для их удаления, как пример, утилита удаления Tidserv которая помогает пользователям удалить этот весьма распространенный руткит. Однако часто пользователи даже не догадываются, что они инфицированы Tidserv и поэтому не знают, что они могли бы воспользоваться данной утилитой. Теперь при сканировании и определении угроз требующих специальных утилит для удаления, будет сообщено пользователю, что у них на ПК обнаружено серьезное заражение для устранения которых необходимо воспользоваться специальной утилитой удаления. Пользователям будет предоставлена ссылка для скачивания этих инструментов. Это закрывает возникший информационный пробел и позволяет обеспечить расширенную защиту.

[Burbulator 146]

Действительно у NIS есть детект, но он не лечит, а пишет: Обнаружена угроза требующая удаления вручную: System infected:Tidserv Activity 2. При нажатии кнопки "Подробнее" он отправляет на сайт Симантек за утилитой TDSS Fix которая уже излечивает от TDL3 и TDL4, а в тесте тестировались возможности лечения именно антивирусом, а не утилитами.

Вопрос сейчас не о лечении, а о детекте активного заражения. В результатах для TDL3/4 написано: "Наличие трояна не обнаружено."

Вот и возник вопрос: так обнаружено, но не лечит или совсем не видит? Имхо это две большие разницы.

[SDA 750]

Вопрос сейчас не о лечении, а о детекте активного заражения. В результатах для TDL3/4 написано: "Наличие трояна не обнаружено."

Вот и возник вопрос: так обнаружено, но не лечит или совсем не видит? Имхо это две большие разницы.

Он его детектил еще несколько месяцев назад, в частности N-360.

[GReY 35]

отправляет на сайт Симантек за утилитой TDSS Fix

у них ещё Power Eraser какой-то есть, якобы лечит всё то, что не могут основные продукты

Напротив TDL4 стоит пометка "!", что означает, что добавлять в базы MBR ребята отказались

но руткит-то детектировался или нет?

Кто-нибудь из авторов теста ответит на http://www.anti-malware.ru/forum/index.php...st&p=135771 ?

[Сергей Ильин 1538]

Мы перепроверили данные по тем замечаниям, которые был описаны выше. В итоге была обнаружена проблема, что часть перепроверенных совсем недавно данных не была учтена в итоговом отчете. Это касается нескольких самплов, в том числе проблема затрону злополучные TDL1-3 у Microsoft и наличие детекта у Norton. В перепроверенных результатах у нас были иные данные.

В итоге только что были скорректированы данные по Microsoft - теперь у него 65% и Серебряная награда.

Поправлены вердикты у Norton (детект есть, лечения нет) - баллы не изменились.

Добавили по 1 баллу у следующих антивирусов: Eset, G Data, PC Tools и ZoneAlarm - это ни на что не повлияло по понятным причинам.

Для нас главное, чтобы результаты теста действительно отражали реальную картину, поэтому большое спасибо sda, DiabloNova и Юрий Паршин за помощь!

[sww 486]

но руткит-то детектировался или нет?

Я не тестировал, но действительно, сейчас подумал о том, что это может быть детект в памяти, без детекта/лечения MBR.

[Сергей Ильин 1538]

Я не тестировал, но действительно, сейчас подумал о том, что это может быть детект в памяти, без детекта/лечения MBR.

Тогда бы в отчете была соответствующая пометка об этом Но вообще такое возможно. Я даже помню такое на личном опыте, что антивирус после детекта какого-то признака включал спец. процедуру лечение. Это может быть детект в памяти или же детект ветки реестра.

[DiabloNova 175]

Ок, спасибо за проделанную работу и устранение выявленных недоразумений. И такой вопрос - английская версия будет?

[Сергей Ильин 1538]

Ок, спасибо за проделанную работу и устранение выявленных недоразумений. И такой вопрос - английская версия будет?

Да, будет обязательно. Уже начали перевод