Тест антивирусов на лечение активного заражения VI (результаты) - Страница 4 - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Сергей Ильин

Тест антивирусов на лечение активного заражения VI (результаты)

Recommended Posts

K_Mikhail
Для того чтобы узнать, необходимо что-то предложить взамен. Как вариант слить суммы хешей малвари, которая использовалась при тестировании взамен на эти сэмплы.

Сильно подозреваю, вплоть до уверенности, что подобный "обмен" оказался бы односторонним.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Да что же вам всем так это сокращение в последнее время нравится? smile.gif

Мне можно писать про APT. Я знаю, что это такое. Изучал специально :)

Валер, причем тут APT? В методологии должно быть сказано, что берутся именно распространенные семейства, удовлетворяющие требованием теста.

Тогда это существенный момент. Т.е. нужно не просто дать сэмпл, а доказать, что он распространён. Чтобы не был очередным неуловимым Джо :)

Минимальная степень распространённости не регламентируется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Да, существуют.

ммм...что за семейство? :)

Начнем с того, что никто никому ничем не обязан. Возможно у них есть такие сэмплы, а возможно нету. Мы с Вами этого не знаем. Для того чтобы узнать, необходимо что-то предложить взамен. Как вариант слить суммы хешей малвари, которая использовалась при тестировании взамен на эти сэмплы.

Что значит "возможно"? Конечно есть. В контексте данного тестирования не имеет смысл получать хеши - достаточно взять любой семпл этого семейства. Поскольку все семейства были/есть распространенные,то они есть у любого вендора. Описание есть в доке с именами, наиболее ходовыми. Более того, люди, которые занимаются именно сложными угрозами (имею ввиду независимые эксперты, вирусные аналитики и т.п.) - они в курсе всех этих семейств. Поэтому, чтобы проверить корректность результатов у АМ даже не нужно семплы просить. В этом прелесть данного теста от многих дургихи даже подобных.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сильно подозреваю, вплоть до уверенности, что подобный "обмен" оказался бы односторонним.

Мы меняться самплами или расширенной информацией по тесту не против, но не в одностороннем порядке. В конечном итоге, мы тратили на отбор время и деньги, поэтому не обязаны отдавать результат кому-либо просто так.

Описание есть в доке с именами, наиболее ходовыми. Более того, люди, которые занимаются именно сложными угрозами (имею ввиду независимые эксперты, вирусные аналитики и т.п.) - они в курсе всех этих семейств. Поэтому что проверить корректность результатов у АМ дажене нужно семплы просить. В этом прелесть данного теста от многих дургихи даже подобных.

Полностью согласен. А использовать наших тестеров как бесплатный аутсорсинг для разбора багов и докрутки чьих-то продуктов, которые продаются за деньги кстати, как-то странно по меньшей мере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
Если смотреть из контекста теста и его методики, то да, на момент теста это был, вероятно, 100% результат. Сейчас я лично этого сказать не могу, т.к. есть одно семейство, которое обновилсоь не так давно и добавила нам головной боли, нужно думать как его лечить.

Что за семейство ? Если не секрет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
Что за семейство ? Если не секрет :)

Alureon.FV

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Alureon.FV

Это TDL4, TDL4 каспер лечит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Alureon.FV

Ой, я Вас умоляю)) Не доверяйте Вы так всем на kernelmode.info))) нет никакого sst.c, который инфектит vbr. Там приложили vbr самого буткита. Привиденное семейство в тесте на АМ, кстати, есть - PRAGMA/SST. И именно в случае, как в тесте, с созданием еще одного раздела (если таблица разделов в mbr не заполнена), он делает его активным. Загрузчик в mbr (стандартный) передает управление как раз на Vbr буткита, его новго раздела. Вот его там и выложили. То, что мы его не детектитм (vbr) вовсе не означает, что не лечим. Мы прекрасно лечим его) В том числе и в случае, если он заразит загрузчик в Mbr.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
Ой, я Вас умоляю)) Не доверяйте Вы так всем на kernelmode.info))) нет никакого sst.c, который инфектит vbr. Там приложили vbr самого буткита. Привиденное семейство в тесте на АМ, кстати, есть - PRAGMA/SST. И именно в случае, как в тесте, с созданием еще одного раздела (если таблица разделов в mbr не заполнена), он делает его активным. Загрузчик в mbr (стандартный) передает управление как раз на Vbr буткита, его новго раздела. Вот его там и выложили. То, что мы его не детектитм (vbr) вовсе не означает, что не лечим. Мы прекрасно лечим его) В том числе и в случае, если он заразит загрузчик в Mbr.

Там про лечение ничего не сказано. Ну а то, что Вы написали, мне известно. Я всего лишь высказала свое предположение.

Пока же Dr.Web находится на другой позиции, которая Вам известна.

Мне не известна позиция компании Dr.Web.

Сильно подозреваю, вплоть до уверенности, что подобный "обмен" оказался бы односторонним.

Возможно, Вы правы. Если ничего не получится, то что-нибудь придумаем. Валерий мои контакты знает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Мне не известна позиция компании Dr.Web.

Dr.Web не признаёт никакие тестирования, кроме тех, которые у них в новостях. Например, французское тестирование на "взлом антивирусов на время": http://www.cnews.ru/news/top/index.shtml?2009/11/10/369201

Наверное, такие тестирования считаются более лучшЕе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Dr.Web не признаёт никакие тестирования, кроме тех, которые у них в новостях. Например, французское тестирование на "взлом антивирусов на время": http://www.cnews.ru/news/top/index.shtml?2009/11/10/369201

Да ... было время. Сколько копей сломано было у нас http://www.anti-malware.ru/forum/index.php?showtopic=10168 и сейчас весьма интересно перечитывать.

Но это все оффтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я всего лишь высказала свое предположение.

"Да, существуют" - это не предположение. Это утверждение. Причем категоричное.

Ну иии ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Банкинг

Раздел Introduction, чуть ниже самая первая строчка.

И зачем же вы смешиваете тесты на специфические задачи с тестом на лечение активного заражения.

Матушеку действительно заказали тест для проверки новой технологии защищенных платежей, так как это отличается от его обычных тестов, они разрабатывали кейсы специально для нас. Этот факт честно отражен в отчете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
"Да, существуют" - это не предположение. Это утверждение. Причем категоричное.

Ну иии ?

Да, это утверждение. Только выдернули Вы его из другой части обсуждения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Да, это утверждение. Только выдернули Вы его из другой части обсуждения.

Суть в том, что все ждут, будет ли сэмпл, который достаточно распространённый (или хотя бы немного распространённый), который продукты ЛК не лечат. Если бы Вы дали какую-то информацию, всё было бы проще. Неважно при этом, из какого контекста оно выдернуто. Насколько понимаю, Alureon.FV не кактит. vaber'у в этом вопросе можно доверять. Если других вариантов нет, то говорить, в общем-то, не о чем. Немного даже к сожалению :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Суть в том, что все ждут, будет ли сэмпл, который достаточно распространённый (или хотя бы немного распространённый),

по методологии АМ. В ином случае "продукты" - это и AVPTool, и LiveCD...

Если других вариантов нет, то говорить, в общем-то, не о чем.

Я уж было подумал, что мы имеем дело со спецом и сейчас будет чего ресерчить. А оказалось, что это очередной "слышал звон, да не знаю где он".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Да, это утверждение. Только выдернули Вы его из другой части обсуждения.

На какая, нафиг, другая часть? Речь шла о сампле, который Каспер не лечит. Давай уж, карты на стол

ЗЫ Первая попытка с TDL не удачна

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Примечательно обсуждение у Доктора на форуме. Отбрасываем все теории заговоров и проституции и оставляем лишь мысли чистого разума. Так вот там реально считают, что если винлок сработал и заблокировал рабочий стол, то антивирус уже не поможет, т.к. нет доступа к его интерфейсу. То есть никому в голову даже не пришло, что есть некий антивирус К, который принудительно стартует проверку критичных областей в поисках активной заразы. Без запроса у пользователя. Ведь это так просто.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
если винлок сработал и заблокировал рабочий стол,

то скорей всего антивирус его не видит ;) (если только пользователь сам его не отключал на время заражения), + не забываем о mbr блокерах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Примечательно обсуждение у Доктора на форуме. Отбрасываем все теории заговоров и проституции и оставляем лишь мысли чистого разума. Так вот там реально считают, что если винлок сработал и заблокировал рабочий стол, то антивирус уже не поможет, т.к. нет доступа к его интерфейсу. То есть никому в голову даже не пришло, что есть некий антивирус К, который принудительно стартует проверку критичных областей в поисках активной заразы. Без запроса у пользователя. Ведь это так просто.

Будь уверен, что через некоторое время то же появится и в антивирусе Д, но под видом инновации.

UPD: Из описания Dr.Web 8 beta

Реализована подсистема фонового сканирования и нейтрализации активных угроз (Background Rootkit Scan), использующая ArkAPI.

(Данная подсистема должна постоянно находится в памяти в резидентном состоянии и осуществлять сканирование системы, на предмет активных угроз в различных областях, таких как: объекты автозагрузки, запущенные процессы и модули, эвристик системных объектов, оперативная память, MBR/VBR дисков, системный BIOS компьютера.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Единственный сэмпл, который не лечат продукты ЛК, это bioskit. Но он не попадет под критерии методологии - он не распространен, случаев реального заражения - единицы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Виталий, выложи ка зверька на вирустотал ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Единственный сэмпл, который не лечат продукты ЛК, это bioskit. Но он не попадет под критерии методологии - он не распространен, случаев реального заражения - единицы.

Да, это основная причина отсутствия лечения. Ничего сложного в лечении нет, я его разбирал уж я то знаю. Ну и всем впадлу - это вторая причина :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)

На мой взгляд, лечить подобное опасно, поскольку если в момент лечения комп ребутнётся или выключится, то с биосом можно будет попрощаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
На мой взгляд, лечить подобное опасно, поскольку если в момент лечения комп ребутнётся или выключится, то с биосом можно будет попрощаться.

Кхм, тогда вам всем лучше не знать, что вытворяет анти-руткит в ядре :lol:

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×