Тест антивирусов на лечение активного заражения VI (результаты)

[KIS_fan 17]

без утилиты касперский просто не устанавливается

Установка антивируса прерывается, запускается скачивание специальной утилиты

Это не означает, что КИС не установился бы.

Смотрите тест за прошлый год, там КИС лечил без утилиты...

[AlexxSun 150]

Тест наглядно показывает тех, кто в антивирусной индустрии работает честно и тех, кто живёт на стыренных детектах.

Украсть детект — ума много не надо, а вот добавить процедуру лечения по детектированной заразе — тут уже нужно самостоятельно потрудится, что большинство вендоров не хочет и(или) не умеет делать.

[CatalystX 25]

А вот добавить процедуру лечения по детектированной заразе — тут уже нужно самостоятельно потрудится, что большинство вендоров не хочет и(или) не умеет делать.

Зачем это делать? Ведь проще сделать крутую проактивку в связке с облаком и вайт-листами. Тогда лечить не придется, а на заразившихся смотреть, как на вкладчиков Мавроди.

[Alex_Goodwin 81]

КИС там всё без утилит лечит. Это что-то вроде подстраховки + халявная и удобная тулза для юзеров и тех.поддержки.

Это бага или фича инсталятора КИС. Продукт просто не ставится при активном заражении - требует проверки КВРТ. Отказ от проверки - завершение работы инсталятора. Даже не так - при согласии закачка и запуск утилиты и откат установки, при отказе - просто откат установки.

[sww 486]

Это бага или фича инсталятора КИС.

Юрик тут подсказывает, что это все-таки фича. Не фича анти-руткита, ну да ладно...

[Alex_Goodwin 81]

Не фича анти-руткита, ну да ладно...

А про анти-руткит никто и не говорил

[Maratka 30]

А про анти-руткит никто и не говорил

А разница то какая?

Скачается тулза, в которой только и отличий, что базы новее.

Тулза то работает на движке обычного KAV, какого-нить там 2010/2011, и если она заражение лечит - значит и (заранее) установленный КAV тем более лечит.

Зачем это делать? Ведь проще сделать крутую проактивку в связке с облаком и вайт-листами. Тогда лечить не придется, а на заразившихся смотреть, как на вкладчиков Мавроди.

Ну как проактивка сможет детектить 100 +10% малвары (доп. 10 - для страховки) - я пожалуй соглашуся.

А покуда до 100% как до Китая на задней передаче - лечиться нужно, ибо альтернативы лечению - только восстановление/переустановка ОС, ну а про то, что ее восстанавливать нужно - тоже кто-то сказать должен.

А т.к. с детектом у некоторых (не всех) вендоров дела не особо лучше чем с лечением - то имеем то что имеем.

[Alex_Goodwin 81]

А разница то какая?

А кто говорил про разницу? По методологии по данному кейсу плюс. Про

(заранее) установленный КAV

тоже никто не спорит.

Требовалось лишь уточнить данный случай в комментарии - что и было сделано.

[Alex_Goodwin 81]

http://forum.drweb.com/index.php?showtopic=311234

[AlexxSun 150]

Зачем это делать?

Просто страшно себе представить что бы было с нами и интернетом, если бы во времена распространения того же Кидо антивирусные вендоры стали в позу а ля: «А нам всё пофиг! Мы детектируем, а лечить вас от этой заразы — не наша головная боль, сами спасайтесь!»

Помню как мой одногруппник бился в истерике после нескольких безуспешных попыток вылечить эту заразу на своём компе Не лечить — это однозначный тупик в развитии антивирусного программного обеспечения.

[Maratka 30]

А кто говорил про разницу? По методологии по данному кейсу плюс. Про тоже никто не спорит.

Требовалось лишь уточнить данный случай в комментарии - что и было сделано.

Разница автоматически подразумевается во фразе:

1. Вендоры стали активно использовать спец. утилиты для лечения. Когда при обнаружении признаков заражения автоматически качается утилита и она уже лечит. Такое было замечено для некоторых продуктов, например, Касперский и Norton. Можете посмотреть в полном отчете на конкретные кейсы, кому интересно.

Однако из этой фразы совершенно непонятны механизмы детекта, и использования утилиты (кстати, какой утилиты?)

После уточнения же вопроса все становится более понятным:

- ЛК "призывает" отдельную утилиту в случае невозможности установки, и только в этом случае.

- тогда как Symantec - в случае детекта малвары, который со свой стороны тоже далеко не всегда производится собственно антируткитом, и зачастую имеет "проактивно-поведенческий" вид.

p.s.

Отдельный вопрос: какую именно утилиту использует Symantec?

Вопрос не празный, т.к. если это вариации на загрузочные CD, то не пролечить систему при загрузки с них - нужно постараться.

Продукты ЛК в этом плане работают по факту в той же среде, что и установленный антивирус, и активная малвара, и потому эта реализация лечения более правильная с точки зрения тестирования "лечения активного заражения".

[KIS_fan 17]

После уточнения же вопроса все становится более понятным:

- ЛК "призывает" отдельную утилиту в случае невозможности установки, и только в этом случае.

Т.е. КИС не установился бы на сараженные TDL и TDL2 машины ?

В прошлом тесте КИС их прекрасно лечил, без каких либо утилит!

[Maratka 30]

Т.е. КИС не установился бы на зараженные TDL и TDL2 машины ?

В прошлом тесте КИС их прекрасно лечил, без каких либо утилит!

Откуда я знаю?

Я знаю, что TDL2 прячет TDSS-киллер, в случае если его имя файла "TDSSKiller".

Соответсвенно нет файла -нечем и лечиться. Но после переименования тулзы все отлично работает.

Потому могу предположить (но не утверждать), что TDL2 также тем или иным образом препятсвует и установке антивируса, но н AVPTool, т.к. про последний просто не в курсе.

С другой стороны - уже установленный антивирус TDL2 "убить" не может, потому возможную разницу между теперешним тестом и прошлым нужно искать в методике, а именно - заражения "после", или "до" установки антивируса.

Во всяком случае я бы начал именно с этого.

[Alex_Goodwin 81]

Отдельный вопрос: какую именно утилиту использует Symantec?

Вопрос не празный, т.к. если это вариации на загрузочные CD, то не пролечить систему при загрузки с них - нужно постараться.

Спец. утилиту. Это не LiveCD, случаи с LiveCD упомянуты отдельно. (По методологии это минус). См. комментарии в эксельке.

Потому могу предположить (но не утверждать), что TDL2 также тем или иным образом препятсвует и установке антивируса, но н AVPTool, т.к. про последний просто не в курсе.

С другой стороны - уже установленный антивирус TDL2 "убить" не может, потому возможную разницу между теперешним тестом и прошлым нужно искать в методике, а именно - заражение "после", или "до" установки антивируса.

Во всяком случае я бы начал именно с этого.

не препятствует, данное поведение противоречит методологии. См. методологию.

Как уже отмечалось выше установленный АВ вылечит.

[CatalystX 25]

Просто страшно себе представить что бы было с нами и интернетом, если бы во времена распространения того же Кидо антивирусные вендоры стали в позу а ля: «А нам всё пофиг! Мы детектируем, а лечить вас от этой заразы — не наша головная боль, сами спасайтесь!».

Кидо не руткит. Если сравнивать кидо и Sinowal, то это как сравнивать нашего срочника и сержанта американских SEAL, который участвовал не в одном десятке спец.операций.

[Maratka 30]

не препятствует, данное поведение противоречит методологии. См. методологию.

Как уже отмечалось выше установленный АВ вылечит.

Ну и отлично. Значит ответ на вопрос:

Т.е. КИС не установился бы на зараженные TDL и TDL2 машины ?

- установился бы.

[Alex_Goodwin 81]

- установился бы.

Для тех кто в танке. Нет, не установился бы и не установится.

[K_Mikhail 807]

Кидо не руткит. Если сравнивать кидо и Sinowal, то это как сравнивать нашего срочника и сержанта американских SEAL, который участвовал не в одном десятке спец.операций.

> Или еще проще, для одних сэмплы старее мамонтового .овна, а для других свежайшие 0-day.

Тут есть такой небольшой момент (практически незаметный и который выяснился параллельно с тестом), что на более новых семплах SST (Pragma) Dr.Web-у пришлось бы ставить ещё и за него минус, вместо наличествующего в таблице плюса, ибо есть проблемы с его лечением (отсутствует детект в активном)... Но Вас это ни в коем случае не должно смущать.

[Сергей Ильин 1538]

Однако из этой фразы совершенно непонятны механизмы детекта, и использования утилиты (кстати, какой утилиты?)

Механизмы детекта надо разбирать в каждом конкретном случае. Я помню, Norton обнаруживал спец. ключи в реестре и запускал сразу же процедуру лечения. Могут детектироваться перехваты, что-то еще. Что касается тулзы для лечения, так вот они, тут все - Norton Power Eraser http://us.norton.com/support/DIY/

[KIS_fan 17]

Для тех кто в танке. Нет, не установился бы и не установится.

Почему ? В прошлом тесте на КИС 2011 проблем же не было.

[Alex_Goodwin 81]

Почему ? В прошлом тесте на КИС 2011 проблем же не было.

Почему это к ЛК. Где говорится про КИС 2011? Я говорил про тестируемую и актуальные версии.

[Z.E.A. 190]

http://forum.drweb.com/index.php?showtopic=311234

sww слишком тонко попытался троллить.

[Valery Ledovskoy 1082]

Попытался вытащить сэмпл. Не дали

Тему закрыли. Что ж такое. Не получилось потроллить ЛК

[Maratka 30]

> Или еще проще, для одних сэмплы старее мамонтового .овна, а для других свежайшие 0-day.

Тут есть такой небольшой момент (практически незаметный и который выяснился параллельно с тестом), что на более новых семплах SST (Pragma) Dr.Web-у пришлось бы ставить ещё и за него минус, вместо наличествующего в таблице плюса, ибо есть проблемы с его лечением (отсутствует детект в активном)... Но Вас это ни в коем случае не должно смущать.

Мелочь это все...

ЛК тесты сама пишет, как CatalystX утверждает

При этом тесты Матушейка делаются по методологии ЛК, а под av-comparatives KIS/KAV заточен.

CatalystX, а CatalystX, расскажите плиз, как же это ЛК ухитряется дать Матушеку такую методологию, что вынуждена выпускать новую версию антивируса (13.0.2.xxxx), дабы свои собственные тесты пройти?

Попытался вытащить сэмпл. Не дали

Тему закрыли. Что ж такое. Не получилось потроллить ЛК

Беляш с логикой конечно дружит, аж спит в обнимку.

[Z.E.A. 190]

А ещё они там держат Виталика, непонятно зачем.

Как клоун что ли?