RuJN

тест на детектирование и лечение вирусов для рунета

В этой теме 7 сообщений

Предлагаю провести такой тест.

Для рунета почти не актуальны винлоки с логотипом ФБР США, например. Можно взять русские винлоки, Trojan.Encoder в больших количествах модификаций и проверить уровень их детекта разными вендорами.

Также взятьрзличное русское ПНПО типа установочников тулбаров по партнерке с подписью mail.ru. На счет необходимости детектировать ПНП вопрос спорный, но польхователи должны видеть реальную способность антивируса зазитить от них.

То же самое с русскоязычными вредоносными веб-сайтами и русскоязычным фишингом.

Можно и лечение в активном состоянии проверить хотя бы у части вредоносного ПО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Можно взять русские винлоки

Я предлагаю взять славянские винлоки!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а если серьёзно, то:

1. В одну кучу мешать в -данном- случае малварь и адварь нельзя, нужно два теста - по детекту адвари и малвари.

2. Детект русской малвари - даже если мы все скинемся, то вряд ли выйдет насобирать более 5000 русской разной малвари. Т.к критерий точности по нац.признаку подрежет сильно и надо сделать некий отсев дублей, т.к разный мд5 не означает разную малварь, можно к билдеру винлока прикрутить скрипт, который будет на одну букву менять текст и компилить, тогда за полчаса будем иметь кучу малвари, но тестить по ней аверы - глупость. А вот если такой билд пакнут/криптован, то можно считать другой малварью...

иными словами насобирать достаточного количества репрезентативную кучку малвари не сможем...

3. По адвари.

Набрать за сутки коллекцию в несколько тысяч не проблема, но тест будет показывать лишь одно - политику компании по отношению к конкретной адвари, т.к если авер детектит один файл, то детектит и практически все остальные данного семейства, т.к по сути у них один общий жирный стаб.

Интереснее будет набрать коллекцию штук в 300 по 10 адварей от каждого популярного семейства и просканить это авером с настройками по умолчанию, вот тогда будет видно реальный детект для ендюзера, а не для прохождения тестов. Но позиционировать данный тест как один из тестов антималваре не солидной как то ... это так чисто самим тут на форуме побаловаться и друг дружку потроллить от скуки :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В этом тесте остро встает вопрос выбора семплов, о чем написал сразу priv8v. Я даже не про проблемы сбора тушек зверьков, хотя правильнее тестировать на реальных атаках (динамический теста), а про критерии отбора и прозрачность этого процесса. Как нам обосновать выбор именно этих, предпложим 100 вредоносов? Если их всего может быть миллион или более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Семплами не проспонсирую, их у меня вообще нет(

с тестом на малварь все проще, тут у всех вендоров политика одинаковая же... Где семплы брать не мне знать, но, если брать из публичных мест, то может возникнуть такая проблема, что венжором А это публичное место мониторится, а вендором В - нет. Если так, то брать примерно поровну, но опять нехорошо, потому что из всех существующих вирусных библиотек поровну взять просто невозможно. В конце концов наплевать на это и собрать хотя бы штук 500 семплов посвежее и часть давнишних, результат длжен достатлчно отражающим отношениеивендоров к этому вопросу. Если проводить динамическое тестирование, то много семплов и не надо.

мой знакомый однажды просто разговаривал по скайпу, ни по каким соответствующим сайтам 100% не лазил, вдруг на экране прокручивается порнография, комп. пережагружается и баннер. Он идет в Связной, где продавец за 250 рублей вместо лицензионной заводской висты ставит пиратскую ХР. Сам файл винлока потом находим, он случайно запускается, а баннер удаляется лайв сиди AntiSMS. У меня его семпл в запароленном архиве сохранился где-то, только я пароль не помню, но можно по логике попробовать подобрать.

адварь можно на потом оставить или взять совсем небольшое кол-во отобранных вручную: один семпл loadmoney mail.ru, другой - установочник softportal.com со скрытой функцией установки ч-л от мейлру (он не модификация др. версии адваря, тк в случае с конретно этим порталом программа полностью фирменная и есть своя ЦП), другой установочник тулбара, можно без разделения на национальный признак.

На мой взгляд важнее показать именно политику вендоров к таким типам угроз, т.к. о защите от ПНП говорят многие, но не все етектируют русскоязычное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я не случайно написал про динамический тест. Если мы даже насобираем какой-то количество тушек, то что покажет наш тест? Он покажет, что эти старые, мертвые, отстреленные когда-то тушки сейчас детектятся. С практической точки зрения эти знания ни о чем не говорят. Детект может добавиться, но сама атака отработала и этим вирусом уже заразилась куча людей. С тем же успехом можно собрать российские дос-вирусы и на них протестировать.

В общем без динамики это будет тест на полноту коллекции/детекта файлового антивируса, но не реальный тест на качество защиты. Нужно думать, как сделать правильную методологию такого теста.

Если найти стабильные каналы распространения локкеров, то будет проще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS