Тест антивирусов на лечение активного заражения I (результаты)

[Сергей Ильин 1538]

Я высказывался на VInfo - Минус за полуработоспособную систему. Если в реестре остались какие-нибудь глюки не влияющие на функционал, это ещё простительно, но если после лечения чтото явно влазит или не работает это явно - "незачёт".

ОК, убедили, отнимаю баллы.

Если сам предлагает переименовать и переименовывает - это одно, а если нет ....

Там просто другого выбора не бывает часто, удалить не может, в карантин не может ... Переименовывал конечно сам антивирус, а не я руками

Я не знаком к Xorpix. Что за arm32.dll, и почему почти никто её просто не детектирует?

http://www.viruslist.com/ru/viruses/encycl...?virusid=120642

У нее просто атрибут "скрытый" и у папки где она лежит тоже. Некоторые антвирусы просто не видят этот файл, для них его как бы нет :-)

Добавлено спустя 1 минуту 24 секунды:

По поводу результатов замечю что многие слишком много уделют внимания чистому детекту и слишком мало обезвреживанию найденного.

Абсолютно точно, а так как словить заразу пользователь может с любым антивирусом, то лечится рано или позно приходится и тут могут быть большие проблемы ...

Добавлено спустя 3 минуты 6 секунд:

Symantec и Xorpix (Eteroc)

У меня все интересные ходы записаны :wink:

[Dmitry Perets 30]

+ стабильность, управляемость, очень малое к-во ложных срабатываний.

Управляемость - согласен, но только в контексте корпоративной версии. Не упомянул, так как в голове держал домашнюю... А в домашей с управляемостью, пардон, всё совсем плохо. Её просто нет, можно сказать =) Но вы правы, именно управляемостью корпоративки Symantec себе в своё время заработала немало клиентов...

Стабильность - миф. Не знаю, чем НортоныСимантеки стабильнее других. Что, другие чаще падают? Не замечал. Не так часто валятся антивирусы, чтобы это можно было сравнить. Сам Нортон у меня свалился один раз после того, как я несколько раз подряд попытался его убить из обычного task manager'а. Ещё один чувак ушёл с Нортона после BSOD'а в одной игрушке. Короче, обычная стабильность, проблемы тоже бывают...

Очень малое кол-во ложных срабатываний - тоже такая вещь, которую сложно отнести к плюсам продукта, ибо сложно измерить и сравнить. Не так много этих ложных срабатываний, чтобы можно было сравнивать, у кого они часто, а у кого нет.

Короче, не важно. Не про Symantec тема была... Лично мой вывод такой: был бы у них вир.лаб хороший, можно было бы говорить. А так - они не защитой занимаются, а бизнесом. Оттого и управляемость удобная. Но результат теста всё равно приятен: появляется надежда, что не всё так плохо там =)

[vaber 350]

Юзермодный Rootkit, в активном состоянии неплохо маскируется.

Это не руткит. Просто файл его открыт с монопольным доступом, и его нельзя открыть. .

[alexgr 556]

Доброе утро!

Как резюме своего присутствия - большое српасибо всем за ряд ценных мыслей и замечаний, котрые. безусловно, помогут мне в дальнейшей работе.

Отдельное Спасибо Ивану и Сергею Ильину за участие в диалоге, в ходе которого у меня появились мысли относительно новой методологии и подходов к решению оговариваемой проблемы.

Всем остальным - спасибо за терпение и внимание. Некоторым - за исключительную точность и корректность формуировок

с уважением - alexgr

[Сергей Ильин 1538]

alexgr, вам тоже большое спасибо за комментарии, всегда интересно узнать другие точки зрения. Надеюсь, будете еще заходить к нам :wink:

Добавлено спустя 6 минут 10 секунд:

Это не руткит. Просто файл его открыт с монопольным доступом, и его нельзя открыть. .

Ага, именно по этому некоторые антивирусы, например, Nod32 выдают "error opening (File locked) [4]", аналогично Antivir - "The file could not be opened!".

[Иван 290]

если методология созреет, делитесь

[alexgr 556]

если методология созреет, делитесь

да уже, в принципе. Закончу сеять разумное, доброе, вечное и займусь опробованием на полигоне

[Иван 290]

публиковать будете или это исключительно для внутренних целей?

правда тестам "от вендора" доверия еще меньше, чем тем которые мы здесь наблюдаем

[RiC 10]

Юзермодный Rootkit, в активном состоянии неплохо маскируется.

Это не руткит. Просто файл его открыт с монопольным доступом, и его нельзя открыть.

Честно сказать - именно этого таракана не мучал, помню что сканерами не детектился даже при наличии сигнатуры, а в логе AVZ светился, что обычно характерно для юзермодных руткитов фильтрующих доступ к свому "телу", открытие самого себя монопольно кстати тоже способ маскировки

[vaber 350]

открытие самого себя монопольно кстати тоже способ маскировки

Угу, от антивирусов Ж)

[Mr. Justice 771]

Офф-топ. Есть ложь' date=' есть большая ложь, а есть статистика. Есть, правда, еще социология. Таким образом, для того чтобы оценить средний уровень накоплений в России - берем Чукотку вместе с губератором. Население-около 3 млн. С сезонными рабочими и старателями (летом). Сбережения губернатора составляют (пусть примерно, точно не знаю) 12 млрд долл. Сбережения всех прочим будем считать величиной второго порядка малости. Что получаем? 4000 баксов. насколько соответствует? Можно еще Москву взять [/quote ']

alexgr этот пример еще раз подтверждает мой тезис о том, что важно учитывать не только количественную сторону, но и качество выборки.

Как это ни странно, но на протяжении всей дискуссии Вы все время приводите аргументы, подтверждающие обоснованность моей позиции.

Возвращаясь к тесту, хотелось бы еще раз подчеркнуть то, что в данном случае количество не оказывает серьезного влияния на репрезентативность. Еще раз обращаю Ваше внимание на то, что понятия «репрезентативность» и «количество» не являются тождественными.

Хорошо, если у нас с Вами не получается вести дискуссию, опираясь на абстрактные понятия приведу пример, иллюстрирующий суть моей позиции.

Возьмем 1001 вирус для проведения тестового исследования. Разделим указанную «коллекцию» на две группы. В качестве критерия деления примем за основу методы самозащиты против попыток антивируса удалить вирус из системы. Допустим 1000 вирусов из общего количества использует один и тот же метод (группа A), а 1 вирус принципиально иной способ самозащиты (группа .

Проведем два теста. Предположим, в первом тесте участвует 1000 вирусов из группы A, во втором 2 вируса (один – из группы A, другой - из группы .

Обратите внимание, что в первом тесте участвует 1000 вирусов, а во втором всего 2. Какой по-Вашему тест будет более репрезентативным? Думаю, ответ очевиден – естественно второй.

[vaber 350]

Mr. Justice

Это и так очевидно. Просто сотрудникам Drweb естественно неудовлетворены результатом. вот и уповают на якобы не репрезентативность теста. Что они еще могут сказать?

Ну не скажут же они - да тест хороший, надо что-то подкручивать, что-то менять...

[SuperBrat 6]

Ну не скажут же они - да тест хороший, надо что-то подкручивать, что-то менять...

vaber, по ходу дела всем антивирусам надо что-то менять. Результат в 40-80% не есть гуд.

[vaber 350]

vaber, по ходу дела всем антивирусам надо что-то менять. Результат в 40-80% не есть гуд.

Конечно, вот ток все 100% врядли когда будут.

Дело не в этом. Кроме доктор вебовцев никто не говорит, что тест не репрезентативный.

[alexgr 556]

публиковать будете или это исключительно для внутренних целей?

правда тестам "от вендора" доверия еще меньше, чем тем которые мы здесь наблюдаем

именно поэтому их здесь и не было. Хотя часто хочется показать. Да и все же есть некая копирайтовская гордость

[Сергей Ильин 1538]

Вчера был зафиксирован хороший отклик на результаты нашего теста, на нас была осуществлена DDoS-атака, именно по этому сайт был трудно доступен днем (простите за offtop)

http://www.anti-malware.ru/phpbb/viewtopic.php?p=16415

[alexgr 556]

Mr. Justice

Это и так очевидно. Просто сотрудникам Drweb естественно неудовлетворены результатом. вот и уповают на якобы не репрезентативность теста. Что они еще могут сказать?

Ну не скажут же они - да тест хороший, надо что-то подкручивать, что-то менять...

просто всем протчим на него плевать. мне, в принципе - тоже. ОН ничего не показывает Ровным счетом, поверьте. Так, некий пример проверки функциональности на ограниченной выборке. Как говаривал один весьма уважаемый человек, который меня учил, ежели под с им не скрыта математика - что ж мы изыскиваем?

Я поблагодарил всех. кто поучаствовал, благодаря серьезным участникам дискуссии я свое видение сформировал, как сформировал и методический аппарат, который сейчас опробывается на полигоне. Все.

Что касается методик - все они имеют право на существование, не вопрос. А вот человек, который считает свое тврорение безукоризненным, вызывает у меня жалость.

Добавлено спустя 11 минут 50 секунд:

я высказывал свое мнение не как представитель вендора, ни в коем случае. а как человек, просидевший на тестах и сипвтаниях лет эдак 25.

И методик писано много, и аппарат проведения тестов мне понятен.

Что показали результаты этой работы? то, что известно вендорам. Что нового то? Нового для пользователя - да, нечто есть. осталось разобраться -что все же полезного из этого можно извлечь, кроме иллюстративности.

А продукт подкручивается у любого вендора постоянно, тем и живем. Я думал, что это очевидно.

Добавлено спустя 7 минут 34 секунды:

Проведем два теста. Предположим, в первом тесте участвует 1000 вирусов из группы A, во втором 2 вируса (один – из группы A, другой - из группы .

Именно поэтому и говорил. групп - по моему неразумному мнению в этой работе должно бвло быть больше

[vaber 350]

Что показали результаты этой работы? то, что известно вендорам. Что нового то? Нового для пользователя - да, нечто есть. осталось разобраться -что все же полезного из этого можно извлечь, кроме иллюстративности.

Этот тест и подразумевал использование антивирусов по-умолчанию, т.е. так как его используют большинство пользователей. Что нового? Для простого пользователя - то, что большинство антивирусов не способно справиться с вирусом, если он использует технологию скрытия или препятствует установке (работе) антивируса или своему удалению. Полезное - ну например, если компьютер пользователя заражен Rustock, то можно установить Нортон и вылечить систему. А что можно извлечь вобще из теста, кроме иллюстративности??

Вы говорите, результаты этой работы и так известны вендорам. Думаю, что как раз таки наоборот - результат этой работы между прочим удивил, представителей различных антивирусных компаний.

А продукт подкручивается у любого вендора постоянно, тем и живем. Я думал, что это очевидно.

Так никто и не спорит.

Ток вот, некоторые механизмы своей защиты, что использовались у зловредов в нашем тесте, Ваш антивирус так и не способен преодолеть - хотя уже больше года известны такие зловреды. Чего же не докрутили??

просто всем протчим на него плевать

Откуда такая уверенность, что Вы отвечаете за всех? Есть подверждения?

З.Ы. Добавлю - этот тест не претендует на всеобъемлемость. В нем мы выбрали ток 10 зловредов (если брать столько, чтобы тест стал репрезентативным по-Вашему - то его просто практически будет нереально сделать), которые использую РАСПРОСТРАНЕННЫЕ методы защиты. Таких зловредов тысячи (если и отличаются механизмы защиты у некоторых, то это не принципиально для этого теста).

[alexgr 556]

Думаю, что как раз таки наоборот - результат этой работы между прочим удивил, представителей различных антивирусных компаний.

Ошибаетесь.

Добавлено спустя 1 минуту 50 секунд:

Ток вот, некоторые механизмы своей защиты, что использовались у зловредов в нашем тесте, Ваш антивирус так и не способен преодолеть - хотя уже больше года известны такие зловреды. Чего же не докрутили??

Сядьте и докрутите

[vaber 350]

Ошибаетесь. Laughing

Я не ошибаюсь, а уверен. Не удивил ток Вас.

[alexgr 556]

Откуда такая уверенность, что Вы отвечаете за всех? Есть подверждения?

З.Ы. Добавлю - этот тест не претендует на всеобъемлемость. В нем мы выбрали ток 10 зловредов (если брать столько, чтобы тест стал репрезентативным по-Вашему - то его просто практически будет нереально сделать), которые использую РАСПРОСТРАНЕННЫЕ методы защиты. Таких зловредов тысячи (если и отличаются механизмы защиты у некоторых, то это не принципиально для этого теста).

И мне плевать. Вставлял свои 3 копейки, поскольку не согласен был с формой подачи полученных результатов - посвторюсь - проверки функционала на ограниченной выборке. Про нереально - я бы не обощал, хотя молодости свойственна категоричность Есть методология, которая вполне решает поставленную задачу.

Давать советы всегда просто, "танцевать" на промахах-тоже не сложно. Сделать продукт - непросто, протестировать его - тоже. (хотя у вас, видимо, другое мнение. Не оспариваю).

Как резюме -устал повторять - эт никого не удивило и не порадовало.

Для эндюзера ваш совет выглядет непродуманным = для этого тянем симантек, для другого - Касперских, для этих - НОД, для четвертых - Макафи, для всех - АВЗ... Для Пластикс вот чем дезинфекцию проводим? Не сбалансированная рекомендация. Учитывая, что большинство продуктов платные

Добавлено спустя 1 минуту 34 секунды:

Я не ошибаюсь, а уверен. Не удивил ток Вас.

у меня другие сведения, поверьте. не из форумов

[vaber 350]

ставлял свои 3 копейки, поскольку не согласен был с формой подачи полученных результатов - посвторюсь - проверки функционала на ограниченной выборке.

Согласен.

Сделать продукт - непросто, протестировать его - тоже. (хотя у вас, видимо, другое мнение. Не оспариваю).

Нет - у меня точно такое же мнение.

у меня другие сведения, поверьте. не из форумов

У меня тоже.

Для эндюзера ваш совет выглядет непродуманным = для этого тянем симантек, для другого - Касперских, для этих - НОД, для четвертых - Макафи, для всех - АВЗ... Для Пластикс вот чем дезинфекцию проводим? Не сбалансированная рекомендация. Учитывая, что большинство продуктов платные Smile

Какой бы Вы дали совет юзеру с Костратом?

З.Ы. Давайте не будем спорить. У каждого человека есть свое мнение. Вы что хотели - уже сказали. Указали, что нужно исправить.

Спасибо.

[alexgr 556]

не вопрос

[Mr. Justice 771]

Именно поэтому и говорил. групп - по моему неразумному мнению в этой работе должно бвло быть больше

1. выборка "Зверей" должна репрезентативной

alexgr, а сколько надо?

Я уже написал. что и 100 будет маловато

эффективных в настоящее время методов маскировки в системе и противодействия детекту/удалению антивирусами не так много. Если назовете 100, то я готов признать, что количество играет существенное значение.

Семплы выбирались не просто так, это реально сложные случаи (кроме Pinch и Bagle пожалуй). Критиерии выбора, обсуждались здесь на форуме.

В нем мы выбрали ток 10 зловредов ... которые использую РАСПРОСТРАНЕННЫЕ методы защиты.

Т

[Dexter 20]

Вчера был зафиксирован хороший отклик на результаты нашего теста, на нас была осуществлена DDoS-атака, именно по этому сайт был трудно доступен днем (простите за offtop)

http://www.anti-malware.ru/phpbb/viewtopic.php?p=16415

Стопудово - питерские.

Теперь немного серьёзно.

Цитата, наверное, для Dmitry Perets по поводу птички и зёрнышек и для vaber по поводу реакции.

Частный случай, но всё же:

Никто, кстати, не сомневался в профессионализме вирус-аналитиков Нортона. Если они пишут процедуру лечения, то это будет очень надежно.

Ругают их только за большие (до нескольких месяцев) запаздывания с обнаружением вирусов.

http://forum.kaspersky.com/index.php?showtopic=31735#

2 DP: Это первый, виденный мной положительный отклик. Ненормальная реакция. Впрочем, DVi - не совсем пиарщик, ему простительно. DVi, извините.

2 vaber: Это по поводу удивления.