Тест антивирусов на лечение активного заражения VI (результаты)

[K_Mikhail 807]

Для того чтобы узнать, необходимо что-то предложить взамен. Как вариант слить суммы хешей малвари, которая использовалась при тестировании взамен на эти сэмплы.

Сильно подозреваю, вплоть до уверенности, что подобный "обмен" оказался бы односторонним.

[Valery Ledovskoy 1082]

Да что же вам всем так это сокращение в последнее время нравится? smile.gif

Мне можно писать про APT. Я знаю, что это такое. Изучал специально

Валер, причем тут APT? В методологии должно быть сказано, что берутся именно распространенные семейства, удовлетворяющие требованием теста.

Тогда это существенный момент. Т.е. нужно не просто дать сэмпл, а доказать, что он распространён. Чтобы не был очередным неуловимым Джо

Минимальная степень распространённости не регламентируется?

[vaber 350]

Да, существуют.

ммм...что за семейство?

Начнем с того, что никто никому ничем не обязан. Возможно у них есть такие сэмплы, а возможно нету. Мы с Вами этого не знаем. Для того чтобы узнать, необходимо что-то предложить взамен. Как вариант слить суммы хешей малвари, которая использовалась при тестировании взамен на эти сэмплы.

Что значит "возможно"? Конечно есть. В контексте данного тестирования не имеет смысл получать хеши - достаточно взять любой семпл этого семейства. Поскольку все семейства были/есть распространенные,то они есть у любого вендора. Описание есть в доке с именами, наиболее ходовыми. Более того, люди, которые занимаются именно сложными угрозами (имею ввиду независимые эксперты, вирусные аналитики и т.п.) - они в курсе всех этих семейств. Поэтому, чтобы проверить корректность результатов у АМ даже не нужно семплы просить. В этом прелесть данного теста от многих дургихи даже подобных.

[Сергей Ильин 1538]

Сильно подозреваю, вплоть до уверенности, что подобный "обмен" оказался бы односторонним.

Мы меняться самплами или расширенной информацией по тесту не против, но не в одностороннем порядке. В конечном итоге, мы тратили на отбор время и деньги, поэтому не обязаны отдавать результат кому-либо просто так.

Описание есть в доке с именами, наиболее ходовыми. Более того, люди, которые занимаются именно сложными угрозами (имею ввиду независимые эксперты, вирусные аналитики и т.п.) - они в курсе всех этих семейств. Поэтому что проверить корректность результатов у АМ дажене нужно семплы просить. В этом прелесть данного теста от многих дургихи даже подобных.

Полностью согласен. А использовать наших тестеров как бесплатный аутсорсинг для разбора багов и докрутки чьих-то продуктов, которые продаются за деньги кстати, как-то странно по меньшей мере.

[KIS_fan 17]

Если смотреть из контекста теста и его методики, то да, на момент теста это был, вероятно, 100% результат. Сейчас я лично этого сказать не могу, т.к. есть одно семейство, которое обновилсоь не так давно и добавила нам головной боли, нужно думать как его лечить.

Что за семейство ? Если не секрет

[Aleksandra 10]

Что за семейство ? Если не секрет

Alureon.FV

[CatalystX 25]

Alureon.FV

Это TDL4, TDL4 каспер лечит.

[vaber 350]

Alureon.FV

Ой, я Вас умоляю)) Не доверяйте Вы так всем на kernelmode.info))) нет никакого sst.c, который инфектит vbr. Там приложили vbr самого буткита. Привиденное семейство в тесте на АМ, кстати, есть - PRAGMA/SST. И именно в случае, как в тесте, с созданием еще одного раздела (если таблица разделов в mbr не заполнена), он делает его активным. Загрузчик в mbr (стандартный) передает управление как раз на Vbr буткита, его новго раздела. Вот его там и выложили. То, что мы его не детектитм (vbr) вовсе не означает, что не лечим. Мы прекрасно лечим его) В том числе и в случае, если он заразит загрузчик в Mbr.

[Aleksandra 10]

Ой, я Вас умоляю)) Не доверяйте Вы так всем на kernelmode.info))) нет никакого sst.c, который инфектит vbr. Там приложили vbr самого буткита. Привиденное семейство в тесте на АМ, кстати, есть - PRAGMA/SST. И именно в случае, как в тесте, с созданием еще одного раздела (если таблица разделов в mbr не заполнена), он делает его активным. Загрузчик в mbr (стандартный) передает управление как раз на Vbr буткита, его новго раздела. Вот его там и выложили. То, что мы его не детектитм (vbr) вовсе не означает, что не лечим. Мы прекрасно лечим его) В том числе и в случае, если он заразит загрузчик в Mbr.

Там про лечение ничего не сказано. Ну а то, что Вы написали, мне известно. Я всего лишь высказала свое предположение.

Пока же Dr.Web находится на другой позиции, которая Вам известна.

Мне не известна позиция компании Dr.Web.

Сильно подозреваю, вплоть до уверенности, что подобный "обмен" оказался бы односторонним.

Возможно, Вы правы. Если ничего не получится, то что-нибудь придумаем. Валерий мои контакты знает.

[Valery Ledovskoy 1082]

Мне не известна позиция компании Dr.Web.

Dr.Web не признаёт никакие тестирования, кроме тех, которые у них в новостях. Например, французское тестирование на "взлом антивирусов на время": http://www.cnews.ru/news/top/index.shtml?2009/11/10/369201

Наверное, такие тестирования считаются более лучшЕе.

[Сергей Ильин 1538]

Dr.Web не признаёт никакие тестирования, кроме тех, которые у них в новостях. Например, французское тестирование на "взлом антивирусов на время": http://www.cnews.ru/news/top/index.shtml?2009/11/10/369201

Да ... было время. Сколько копей сломано было у нас http://www.anti-malware.ru/forum/index.php?showtopic=10168 и сейчас весьма интересно перечитывать.

Но это все оффтоп.

[A. 876]

Я всего лишь высказала свое предположение.

"Да, существуют" - это не предположение. Это утверждение. Причем категоричное.

Ну иии ?

[OlegAndr 236]

Банкинг

Раздел Introduction, чуть ниже самая первая строчка.

И зачем же вы смешиваете тесты на специфические задачи с тестом на лечение активного заражения.

Матушеку действительно заказали тест для проверки новой технологии защищенных платежей, так как это отличается от его обычных тестов, они разрабатывали кейсы специально для нас. Этот факт честно отражен в отчете.

[Aleksandra 10]

"Да, существуют" - это не предположение. Это утверждение. Причем категоричное.

Ну иии ?

Да, это утверждение. Только выдернули Вы его из другой части обсуждения.

[Valery Ledovskoy 1082]

Да, это утверждение. Только выдернули Вы его из другой части обсуждения.

Суть в том, что все ждут, будет ли сэмпл, который достаточно распространённый (или хотя бы немного распространённый), который продукты ЛК не лечат. Если бы Вы дали какую-то информацию, всё было бы проще. Неважно при этом, из какого контекста оно выдернуто. Насколько понимаю, Alureon.FV не кактит. vaber'у в этом вопросе можно доверять. Если других вариантов нет, то говорить, в общем-то, не о чем. Немного даже к сожалению

[sww 486]

Суть в том, что все ждут, будет ли сэмпл, который достаточно распространённый (или хотя бы немного распространённый),

по методологии АМ. В ином случае "продукты" - это и AVPTool, и LiveCD...

Если других вариантов нет, то говорить, в общем-то, не о чем.

Я уж было подумал, что мы имеем дело со спецом и сейчас будет чего ресерчить. А оказалось, что это очередной "слышал звон, да не знаю где он".

[_Stout 131]

Да, это утверждение. Только выдернули Вы его из другой части обсуждения.

На какая, нафиг, другая часть? Речь шла о сампле, который Каспер не лечит. Давай уж, карты на стол

ЗЫ Первая попытка с TDL не удачна

[Umnik 997]

Примечательно обсуждение у Доктора на форуме. Отбрасываем все теории заговоров и проституции и оставляем лишь мысли чистого разума. Так вот там реально считают, что если винлок сработал и заблокировал рабочий стол, то антивирус уже не поможет, т.к. нет доступа к его интерфейсу. То есть никому в голову даже не пришло, что есть некий антивирус К, который принудительно стартует проверку критичных областей в поисках активной заразы. Без запроса у пользователя. Ведь это так просто.

[alamor 69]

если винлок сработал и заблокировал рабочий стол,

то скорей всего антивирус его не видит (если только пользователь сам его не отключал на время заражения), + не забываем о mbr блокерах.

[K_Mikhail 807]

Примечательно обсуждение у Доктора на форуме. Отбрасываем все теории заговоров и проституции и оставляем лишь мысли чистого разума. Так вот там реально считают, что если винлок сработал и заблокировал рабочий стол, то антивирус уже не поможет, т.к. нет доступа к его интерфейсу. То есть никому в голову даже не пришло, что есть некий антивирус К, который принудительно стартует проверку критичных областей в поисках активной заразы. Без запроса у пользователя. Ведь это так просто.

Будь уверен, что через некоторое время то же появится и в антивирусе Д, но под видом инновации.

UPD: Из описания Dr.Web 8 beta

Реализована подсистема фонового сканирования и нейтрализации активных угроз (Background Rootkit Scan), использующая ArkAPI.

(Данная подсистема должна постоянно находится в памяти в резидентном состоянии и осуществлять сканирование системы, на предмет активных угроз в различных областях, таких как: объекты автозагрузки, запущенные процессы и модули, эвристик системных объектов, оперативная память, MBR/VBR дисков, системный BIOS компьютера.

[Alex_Goodwin 81]

Единственный сэмпл, который не лечат продукты ЛК, это bioskit. Но он не попадет под критерии методологии - он не распространен, случаев реального заражения - единицы.

[Kapral 311]

Виталий, выложи ка зверька на вирустотал

[sww 486]

Единственный сэмпл, который не лечат продукты ЛК, это bioskit. Но он не попадет под критерии методологии - он не распространен, случаев реального заражения - единицы.

Да, это основная причина отсутствия лечения. Ничего сложного в лечении нет, я его разбирал уж я то знаю. Ну и всем впадлу - это вторая причина

[ALEX(XX) 60]

На мой взгляд, лечить подобное опасно, поскольку если в момент лечения комп ребутнётся или выключится, то с биосом можно будет попрощаться.

[sww 486]

На мой взгляд, лечить подобное опасно, поскольку если в момент лечения комп ребутнётся или выключится, то с биосом можно будет попрощаться.

Кхм, тогда вам всем лучше не знать, что вытворяет анти-руткит в ядре