Перейти к содержанию
Сергей Ильин

Тест на лечение активного заражения V (результаты)

Recommended Posts

Mr.Belyash
Да, будет обязательно. Уже начали перевод ;)

Перевод первоначальных результатов или конечных?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Тогда бы в отчете была соответствующая пометка об этом ;) Но вообще такое возможно.

Еще как возможно, т.к. в большинстве своем вендоры реализуют детект в памяти (причем он может быть настолько идиотским...), т.к. зачастую добраться до секторов диска мозга не хватает ;)

Я бы разделил все существующие детекты на след. подгруппы:

1) Детект в памяти по какому-нибудь идиотизму, вроде имени mutex'а или симлинка. Шарага-style. Лечение обеспечивается форматом диска C: :lol:

2) Детект в памяти аномалий (перехватов, проверка подозрительных потоков и т.п.). Причем такой подход также может быть шарага-style если, например, проверка выглядит так: "адрес IRP_MJ_SCSI находится не в модуле atapi.sys". Не шарага-style - "получаем оригинальный адрес IRP_MJ_SCSI и сравниваем с системным + еще куча проверок".

3) Честный низкоуровневый доступ к файловой системе, реестру, другим объектам. Достаточно сложен в реализации.

Нормальным считаю переход от п.2 (не шарага-style) к п.3, т.е. сначала делается детект в памяти и лечение, а сразу после команда занимается п.3. Параллельно могут создаваться тулзы, которые могут детектить/лечить/обкатывать новые технологии/ разными другими способами, в том числе и жестко бсодить ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig

Цитата публикации с результатами теста:

Хороший результат показал антивирус Microsoft Security Essentials, успешно вылечив 11 из 17 заражений и получивший награду Silver Malware Treatment Award.

Средние результаты показали антивирусы Microsoft Security Essentials, Avast! Internet Security, F-Secure Internet Security, Norton Internet Security и AVG Internet Security, получившие награду Bronze Malware Treatment Award.

Не до конца откорректировали :)

Аутпост огорчил, конечно. Проваленный тест побудил меня скачать антивирусную утилиту касперского. Проверил компьютер - чисто. Ну, значит не всё так плохо.

Но неприятно всё равно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
только что были скорректированы данные по Microsoft

Будьте добры, поясните пожалуйста, почему "после установки Avast ОС грузится только в безопасном режиме"?

Это результат кривого лечения или безуспешная борьба антивируса с руткитом, который остаётся активным и в безопасном режиме?

Ну а БитДефендеру несправедливо засчитывать поражение, когда "в обычном режиме лечение проходит успешно"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Dmitrig, fixed, спасибо!

Будьте добры, поясните пожалуйста, почему "после установки Avast ОС грузится только в безопасном режиме"?

Это результат кривого лечения или безуспешная борьба антивируса с руткитом, который остаётся активным и в безопасном режиме?

По этому кейсу ответят подробно тестировщики.

Ну а БитДефендеру несправедливо засчитывать поражение, когда "в обычном режиме лечение проходит успешно"

Не согласен. Такая же ситуация была на одном сампле у Avast. Идет в зачет дефолтовый вариант/алгоритм действий, который предлагает продукт. Представьте, вы пользователь. Антивирус спрашивает вас: "Провести проверку при установке?" Вы говорите ОК. И далее ... интернет пропадает. Едва ли вы скипанете предлагаемую проверку и потом запустити спец. режим, это надо знать нюансы заранее ;) Мы делали такие комментарии скорее для понимания, что лечение возможно в принципе. Но здесь по-любому минус должен быть, хотя, признаюсь, мы это обсуждали перед публикацией, как трактовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Перевод первоначальных результатов или конечных?

У нас нет первоначальных или непервоначальных. Есть одни результаты - которые опубликованы здесь http://www.anti-malware.ru/malware_treatment_test_2011 и приложенном файле.

И еще у меня большая просьба, завязывайте спекулировать на корректировке результатов. В том числе и намеренно искажать факты чтобы очернить всех, кто работал на тестом. FYI: по Нортону мы ничего не пересчитывали. И в целом призадумайтесь, стоит ли снова устраивать какие-то разборки и кидаться дерьмом, если все только только стало успокаиваться? Вы понимаете о чем я.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
обавили по 1 баллу у следующих антивирусов: Eset, G Data, PC Tools и ZoneAlarm - это ни на что не повлияло по понятным причинам.

За что баллы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Еще более интересное решение есть:

...

Запустили тестирование на оф. форуме.

Спасибо, интересно. Нужно будет посмотреть.

Мне ещё сегодня вот на это показали: http://www.antiwinlocker.ru/

Кто-нибудь пробовал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergeynmsk

По результатам этого теста можно сделать еще один вывод-Полный разгром платных решений. В принципе новичек ,Microsoft, оставил за собой кучищу товарищей за деньги. Но возможно этот пост не по теме , но все же :D

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED

sergeynmsk, я бы не назвал "бесплатным" продукт MSE, раз требование у MSE, установка на лиц версию виндовс, значит его стоимость уже входит в стоимость самого виндовса, а антивирус скачиваешь как отдельное приложение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergeynmsk
sergeynmsk, я бы не назвал "бесплатным" продукт MSE, раз требование у MSE, установка на лиц версию виндовс, значит его стоимость уже входит в стоимость самого виндовса, а антивирус скачиваешь как отдельное приложение.

Как раз так говорят,вендоры выпускающие платные решения, пытаясь хоть как-то показать, что битва не проиграна. Мы под это дело можем подвести и все обновления Винды, и новые обои на рабочий стол и службу Microsoft answers, все что делает Билли. Но мне почему-то опять показалось , что не в той теме я все это написал. Но против очевидного не попрешь, как не упражняйся в красноречии B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Мне ещё сегодня вот на это показали: http://www.antiwinlocker.ru/

Кто-нибудь пробовал?

Разослал в вирлабы (которые отвечают)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Но против очевидного не попрешь, как не упражняйся в красноречии cool.gif

Например, очевидно, что на первых двух местах с большим отрывом находятся платные антивирусные решения.

Разослал в вирлабы (которые отвечают)

Хм, странно. Я не смотрел, но мне сегодня один из доверенных людей сказал, что использует это решение сейчас постоянно. В чём состоит вредоносная их составляющая?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Хм, странно. Я не смотрел, но мне сегодня один из доверенных людей сказал, что использует это решение сейчас постоянно. В чём состоит вредоносная их составляющая?

Я тоже не смотрел. Подозрительно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
не в той теме я все это написал

не в той и - не в тему. Результаты подкорректировали- это хорошо. А все остальное - типа "как хороши "бесплатные" - плз - в другую тему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergeynmsk
Например, очевидно, что на первых двух местах с большим отрывом находятся платные антивирусные решения.

Но Вы же сами прекрасно понимаете все интригу, а что делать с теми, кто ниже.

И ведь там не E-Scan, будь он не ладен(первый вспомнился)А Norton,McAfee лидеры , самого развитого рынка.И иже с ними

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

а в чем интрига то? Откройте глаза! Пока вижу только восторг от высокого места одного из "бесплатных" продуктов... Я думал, что интрига в том, что большинство продуктов просто лечить не умеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Я тоже не смотрел. Подозрительно.

Хм. Странно. Их LiveCD распространяется бесплатно. В работе проверен (не мной, но должен работать). В чём подозрение - не пойму. ИМХО, для отсыла в вирлаб должны быть более веские основания. Может, потому и не любят Вам отвечать оттуда? :)

Но Вы же сами прекрасно понимаете все интригу, а что делать с теми, кто ниже.

Ничего не делать. Данный тест не показывает все возможности антивирусных продуктов. В других категориях те продукты, которые в этом тесте находятся в топе, могут находиться (и часто находятся) значительно ниже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergeynmsk
Ничего не делать. Данный тест не показывает все возможности антивирусных продуктов. В других категориях те продукты, которые в этом тесте находятся в топе, могут находиться (и часто находятся) значительно ниже.

Тут спорить не буду,так и есть. Но вроде как способность лечения всегда преподносилась , как прерогатива платников.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
В принципе новичек ,Microsoft, оставил за собой кучищу товарищей за деньги.

Мне наоборот, по тесту, из тех что можно использовать бесплатно, больше Avast приглянулся:).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Но вроде как способность лечения всегда преподносилась , как прерогатива платников.

Не только это. Часто слышно ещё о качестве техподдержки, о возможности лечения файлов, заражённых файловыми/скриптовыми/полиморфными вирусами (а не их детект с предложением... закарантинить, в лучшем случае) :) Ну и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
Представьте, вы пользователь. Антивирус спрашивает вас: "Провести проверку при установке?" Вы говорите ОК. И далее ... интернет пропадает.

у меня следующая логика: если я пользователь битдефа, то вряд ли я буду переустанавливать антивирус при подозрении на заражение. если я не его пользователь, то для лечения выберу специализированные утилиты. остаётся один единственный вариант, когда компьютер заражён, но пользователь об этом не знает и зачем-то решает установить битдефендер. но и в этом случае лишь пропадёт интернет, что наверняка не трудно исправить, ведь винда-то осталась в рабочем состоянии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
остаётся один единственный вариант, когда компьютер заражён, но пользователь об этом не знает и зачем-то решает установить битдефендер. но и в этом случае лишь пропадёт интернет, что наверняка не трудно исправить

Ну это совершенно неправильно, откуда он сможет понять, что сломалось и исправить? Это же лечение, все должны нормально лечить без оговорок, тем более, что остальные это могут, значит косяк в данном случае. Аналогия с обычным лечением - грипп, лекарства разных производителей, после принятия одного из них, кроме самого лечения, появляется осложнением скажем в виде сыпи на лице. Безусловно, человек вылечен, но надо идти к врачу и пролечиться от сыпи. И не смертельно, но неприятно и надо тратить еще время на это лечение. При этом, остальные лекарства не дают последствий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Мне ещё сегодня вот на это показали: http://www.antiwinlocker.ru/

Кто-нибудь пробовал?

Это прямое пиратство. Там образ на Windows. За него денежку MS не получает. Валера, ты ведь наверняка знаешь - почему у Dr.Web Live CD на Линуксе, а не на Windows... Только у Symantec их образ на Windows и они платят MS за это - т.е. стоимость этого как бы бесплатного, но только для своих клиентов (так как для работы с ним нужен код активации от продукта Symantec), уже включена в стоимость основных продуктов компании. Бесплатно\нахаляву они его раздавать не смогут, в отличии от Live CD Dr.Web или KL, так как они изначально на "халявной" ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
все должны нормально лечить без оговорок

гы, если стоит выбор между вообще не вылечить и вылечить с пропажей интрнета, то я однозначно выберу второе. по моей шкале оценок этот вариант заслуживает 3 из 5 баллов. как только тестировщики ответят на вопрос про Аваст и про дополнительные баллы у Eset, G Data, PC Tools и ZoneAlarm, выложу сюда рейтинг при пятибальной шкале - там меняется расстановка у бронзовых медалистов

у Symantec их образ на Windows

WinPE? так она бесплантна для ОЕМ-ов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×