Перейти к содержанию
Сергей Ильин

Тест антивирусов на лечение активного заражения VI (результаты)

Recommended Posts

K_Mikhail
Для того чтобы узнать, необходимо что-то предложить взамен. Как вариант слить суммы хешей малвари, которая использовалась при тестировании взамен на эти сэмплы.

Сильно подозреваю, вплоть до уверенности, что подобный "обмен" оказался бы односторонним.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Да что же вам всем так это сокращение в последнее время нравится? smile.gif

Мне можно писать про APT. Я знаю, что это такое. Изучал специально :)

Валер, причем тут APT? В методологии должно быть сказано, что берутся именно распространенные семейства, удовлетворяющие требованием теста.

Тогда это существенный момент. Т.е. нужно не просто дать сэмпл, а доказать, что он распространён. Чтобы не был очередным неуловимым Джо :)

Минимальная степень распространённости не регламентируется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Да, существуют.

ммм...что за семейство? :)

Начнем с того, что никто никому ничем не обязан. Возможно у них есть такие сэмплы, а возможно нету. Мы с Вами этого не знаем. Для того чтобы узнать, необходимо что-то предложить взамен. Как вариант слить суммы хешей малвари, которая использовалась при тестировании взамен на эти сэмплы.

Что значит "возможно"? Конечно есть. В контексте данного тестирования не имеет смысл получать хеши - достаточно взять любой семпл этого семейства. Поскольку все семейства были/есть распространенные,то они есть у любого вендора. Описание есть в доке с именами, наиболее ходовыми. Более того, люди, которые занимаются именно сложными угрозами (имею ввиду независимые эксперты, вирусные аналитики и т.п.) - они в курсе всех этих семейств. Поэтому, чтобы проверить корректность результатов у АМ даже не нужно семплы просить. В этом прелесть данного теста от многих дургихи даже подобных.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сильно подозреваю, вплоть до уверенности, что подобный "обмен" оказался бы односторонним.

Мы меняться самплами или расширенной информацией по тесту не против, но не в одностороннем порядке. В конечном итоге, мы тратили на отбор время и деньги, поэтому не обязаны отдавать результат кому-либо просто так.

Описание есть в доке с именами, наиболее ходовыми. Более того, люди, которые занимаются именно сложными угрозами (имею ввиду независимые эксперты, вирусные аналитики и т.п.) - они в курсе всех этих семейств. Поэтому что проверить корректность результатов у АМ дажене нужно семплы просить. В этом прелесть данного теста от многих дургихи даже подобных.

Полностью согласен. А использовать наших тестеров как бесплатный аутсорсинг для разбора багов и докрутки чьих-то продуктов, которые продаются за деньги кстати, как-то странно по меньшей мере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
Если смотреть из контекста теста и его методики, то да, на момент теста это был, вероятно, 100% результат. Сейчас я лично этого сказать не могу, т.к. есть одно семейство, которое обновилсоь не так давно и добавила нам головной боли, нужно думать как его лечить.

Что за семейство ? Если не секрет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
Что за семейство ? Если не секрет :)

Alureon.FV

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Alureon.FV

Это TDL4, TDL4 каспер лечит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Alureon.FV

Ой, я Вас умоляю)) Не доверяйте Вы так всем на kernelmode.info))) нет никакого sst.c, который инфектит vbr. Там приложили vbr самого буткита. Привиденное семейство в тесте на АМ, кстати, есть - PRAGMA/SST. И именно в случае, как в тесте, с созданием еще одного раздела (если таблица разделов в mbr не заполнена), он делает его активным. Загрузчик в mbr (стандартный) передает управление как раз на Vbr буткита, его новго раздела. Вот его там и выложили. То, что мы его не детектитм (vbr) вовсе не означает, что не лечим. Мы прекрасно лечим его) В том числе и в случае, если он заразит загрузчик в Mbr.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
Ой, я Вас умоляю)) Не доверяйте Вы так всем на kernelmode.info))) нет никакого sst.c, который инфектит vbr. Там приложили vbr самого буткита. Привиденное семейство в тесте на АМ, кстати, есть - PRAGMA/SST. И именно в случае, как в тесте, с созданием еще одного раздела (если таблица разделов в mbr не заполнена), он делает его активным. Загрузчик в mbr (стандартный) передает управление как раз на Vbr буткита, его новго раздела. Вот его там и выложили. То, что мы его не детектитм (vbr) вовсе не означает, что не лечим. Мы прекрасно лечим его) В том числе и в случае, если он заразит загрузчик в Mbr.

Там про лечение ничего не сказано. Ну а то, что Вы написали, мне известно. Я всего лишь высказала свое предположение.

Пока же Dr.Web находится на другой позиции, которая Вам известна.

Мне не известна позиция компании Dr.Web.

Сильно подозреваю, вплоть до уверенности, что подобный "обмен" оказался бы односторонним.

Возможно, Вы правы. Если ничего не получится, то что-нибудь придумаем. Валерий мои контакты знает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Мне не известна позиция компании Dr.Web.

Dr.Web не признаёт никакие тестирования, кроме тех, которые у них в новостях. Например, французское тестирование на "взлом антивирусов на время": http://www.cnews.ru/news/top/index.shtml?2009/11/10/369201

Наверное, такие тестирования считаются более лучшЕе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Dr.Web не признаёт никакие тестирования, кроме тех, которые у них в новостях. Например, французское тестирование на "взлом антивирусов на время": http://www.cnews.ru/news/top/index.shtml?2009/11/10/369201

Да ... было время. Сколько копей сломано было у нас http://www.anti-malware.ru/forum/index.php?showtopic=10168 и сейчас весьма интересно перечитывать.

Но это все оффтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я всего лишь высказала свое предположение.

"Да, существуют" - это не предположение. Это утверждение. Причем категоричное.

Ну иии ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Банкинг

Раздел Introduction, чуть ниже самая первая строчка.

И зачем же вы смешиваете тесты на специфические задачи с тестом на лечение активного заражения.

Матушеку действительно заказали тест для проверки новой технологии защищенных платежей, так как это отличается от его обычных тестов, они разрабатывали кейсы специально для нас. Этот факт честно отражен в отчете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
"Да, существуют" - это не предположение. Это утверждение. Причем категоричное.

Ну иии ?

Да, это утверждение. Только выдернули Вы его из другой части обсуждения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Да, это утверждение. Только выдернули Вы его из другой части обсуждения.

Суть в том, что все ждут, будет ли сэмпл, который достаточно распространённый (или хотя бы немного распространённый), который продукты ЛК не лечат. Если бы Вы дали какую-то информацию, всё было бы проще. Неважно при этом, из какого контекста оно выдернуто. Насколько понимаю, Alureon.FV не кактит. vaber'у в этом вопросе можно доверять. Если других вариантов нет, то говорить, в общем-то, не о чем. Немного даже к сожалению :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Суть в том, что все ждут, будет ли сэмпл, который достаточно распространённый (или хотя бы немного распространённый),

по методологии АМ. В ином случае "продукты" - это и AVPTool, и LiveCD...

Если других вариантов нет, то говорить, в общем-то, не о чем.

Я уж было подумал, что мы имеем дело со спецом и сейчас будет чего ресерчить. А оказалось, что это очередной "слышал звон, да не знаю где он".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Да, это утверждение. Только выдернули Вы его из другой части обсуждения.

На какая, нафиг, другая часть? Речь шла о сампле, который Каспер не лечит. Давай уж, карты на стол

ЗЫ Первая попытка с TDL не удачна

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Примечательно обсуждение у Доктора на форуме. Отбрасываем все теории заговоров и проституции и оставляем лишь мысли чистого разума. Так вот там реально считают, что если винлок сработал и заблокировал рабочий стол, то антивирус уже не поможет, т.к. нет доступа к его интерфейсу. То есть никому в голову даже не пришло, что есть некий антивирус К, который принудительно стартует проверку критичных областей в поисках активной заразы. Без запроса у пользователя. Ведь это так просто.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
если винлок сработал и заблокировал рабочий стол,

то скорей всего антивирус его не видит ;) (если только пользователь сам его не отключал на время заражения), + не забываем о mbr блокерах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Примечательно обсуждение у Доктора на форуме. Отбрасываем все теории заговоров и проституции и оставляем лишь мысли чистого разума. Так вот там реально считают, что если винлок сработал и заблокировал рабочий стол, то антивирус уже не поможет, т.к. нет доступа к его интерфейсу. То есть никому в голову даже не пришло, что есть некий антивирус К, который принудительно стартует проверку критичных областей в поисках активной заразы. Без запроса у пользователя. Ведь это так просто.

Будь уверен, что через некоторое время то же появится и в антивирусе Д, но под видом инновации.

UPD: Из описания Dr.Web 8 beta

Реализована подсистема фонового сканирования и нейтрализации активных угроз (Background Rootkit Scan), использующая ArkAPI.

(Данная подсистема должна постоянно находится в памяти в резидентном состоянии и осуществлять сканирование системы, на предмет активных угроз в различных областях, таких как: объекты автозагрузки, запущенные процессы и модули, эвристик системных объектов, оперативная память, MBR/VBR дисков, системный BIOS компьютера.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Единственный сэмпл, который не лечат продукты ЛК, это bioskit. Но он не попадет под критерии методологии - он не распространен, случаев реального заражения - единицы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Виталий, выложи ка зверька на вирустотал ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Единственный сэмпл, который не лечат продукты ЛК, это bioskit. Но он не попадет под критерии методологии - он не распространен, случаев реального заражения - единицы.

Да, это основная причина отсутствия лечения. Ничего сложного в лечении нет, я его разбирал уж я то знаю. Ну и всем впадлу - это вторая причина :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)

На мой взгляд, лечить подобное опасно, поскольку если в момент лечения комп ребутнётся или выключится, то с биосом можно будет попрощаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
На мой взгляд, лечить подобное опасно, поскольку если в момент лечения комп ребутнётся или выключится, то с биосом можно будет попрощаться.

Кхм, тогда вам всем лучше не знать, что вытворяет анти-руткит в ядре :lol:

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×