Перейти к содержанию
Сергей Ильин

AV-Comparatives.org: Malware Removal Tests (November 2013)

Recommended Posts

Сергей Ильин

AV-Comparatives.org опубликовали результаты свежего теста на лечение. Тестировали лечение уже зараженных машин (т.е. по нашей методологии). Выборка была из 11 вредоносов, которые в неактивном виде всеми детектятся и не являются деструктивными. Самплы выбирались, как утверждатся, случайным образом.

Результаты получились весьма занятные при таком подходе. Вот они, судите сами:

av_comparatives_mr.PNG

av_comparatives_mr1.PNG

http://www.av-comparatives.org/wp-content/...m_201311_en.pdf

Интересно, что тесты у Клименти могут быть разные, но результаты принципиально не отличаются. Всегда есть одни-два явных аутсайдера, а все остальные примерно одинаковые. Ну, да, есть еще группа примерно одинаковых, которые чуть лучше других примерно одинаковых :)

post-4-1385628735_thumb.png

post-4-1385628748_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

Не вижу Dr Web-а в спике. :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Аркалык, его там и не будет. AV-Comparatives не тестируют DrWeb года с 2006, если мне память не изменяет. Доктор был недоволен их тестами и просто перестал платить. А у Клименти все просто: нет денег - нет тестов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Ну как обычно... Что за сэмплы непонятно. Какие там методы сокрытия (и есть ли вообще) непонятно. Это все-равно, что запускать калькуляторы и детектить их, и судя по результатам там и были калькуляторы ITW <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Что за сэмплы непонятно. Какие там методы сокрытия (и есть ли вообще) непонятно.

Как я понял, этот факт вообще не принимался в расчет в методологии. Они брали случайные самплы, которые детектятся и при этом не деструктивные. Т.е. это могли быть самые простые трояны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

там российский винлокер есть))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

С винлокером я не понимаю, как они уложили этот кейс в методологию вообще. Винлокер блокирует ОС, значит нужно было работать с внешними средствами. Например, использовать Rescure Disc.

Да, все верно. Оценка B или С означают как раз такие варианты - это загрузка в SafeMode, использование других встроенных, ручных действий или же использование Rescure Disc.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.7.
    • demkd
      ---------------------------------------------------------
       4.15.7
      ---------------------------------------------------------
       o Исправлена старая ошибка проверки ЭЦП: "Not a cryptographic message or the cryptographic message is not formatted correctly"
         проявляющаяся в некоторых системах.

       o Обновлена база известных файлов.

       
    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
×