Перейти к содержанию
Mike

Тест на VirusTotal

Recommended Posts

Mike

Вчера протестировал на VirusTotal 12 зловредов.

Результат: AntiVir - 10

Kaspersky - 6

Microsoft -6

DrWeb - 6

NOD - 4

Norton - 3

Mcafee - 2

BitDefender - 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Результат: AntiVir - 10

HEUR/Crypted? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

да интерсен вердикт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

STATUS: FINISHEDComplete scanning result of "IExpl32d.exe", received in VirusTotal at 05.29.2007, 20:25:13 (CET).

AntiVir 7.4.0.27 05.29.2007 TR/Agent.16384

Kaspersky 4.0.2.24 05.29.2007 no virus found

Symantec 10 05.29.2007 no virus found

STATUS: FINISHEDComplete scanning result of "mgnvfqbc.exe"", received in VirusTotal at 05.29.2007, 20:27:07 (CET).

AntiVir 7.4.0.27 05.29.2007 TR/Zapchast.CA.1

Kaspersky 4.0.2.24 05.29.2007 no virus found

Symantec 10 05.29.2007 Trojan Horse

STATUS: FINISHEDComplete scanning result of "gvsaaaaa.exe", received in VirusTotal at 05.29.2007, 20:28:52 (CET).

AntiVir 7.4.0.27 05.29.2007 no virus found

Kaspersky 4.0.2.24 05.29.2007 Trojan-Downloader.Win32.Agent.brk

Symantec 10 05.29.2007 no virus found

STATUS: FINISHEDComplete scanning result of "ijytmgwu.exe", received in VirusTotal at 05.29.2007, 20:30:01 (CET).

AntiVir 7.4.0.27 05.29.2007 HEUR/Crypted

Kaspersky 4.0.2.24 05.29.2007 Trojan-Clicker.Win32.Delf.hi

Symantec 10 05.29.2007 Trojan Horse

STATUS: FINISHEDComplete scanning result of "oxcthxmb.exe", received in VirusTotal at 05.29.2007, 20:32:01 (CET).

AntiVir 7.4.0.27 05.29.2007 TR/Drop.Agent.75776

Kaspersky 4.0.2.24 05.29.2007 Packed.Win32.Morphine.a

Symantec 10 05.29.2007 no virus found

STATUS: FINISHEDComplete scanning result of "nieanie.exe", received in VirusTotal at 05.29.2007, 20:31:13 (CET).

AntiVir 7.4.0.27 05.29.2007 TR/Dldr.ConHook.Gen

Kaspersky 4.0.2.24 05.29.2007 Trojan.Win32.Delf.zj

Symantec 10 05.29.2007 no virus found

STATUS: FINISHEDComplete scanning result of "MSIEHelper.dll", received in VirusTotal at 05.29.2007, 21:12:15 (CET).

AntiVir 7.4.0.27 05.29.2007 no virus found

Avast 4.7.997.0 05.29.2007 Win32:Small-FCE

Kaspersky 4.0.2.24 05.29.2007 no virus found

Symantec 10 05.29.2007 no virus found

STATUS: FINISHEDComplete scanning result of "hflt_ipf.sys", received in VirusTotal at 05.29.2007, 21:12:53 (CET).

AntiVir 7.4.0.27 05.29.2007 RKit/Agent.AK

Kaspersky 4.0.2.24 05.29.2007 no virus found

Symantec 10 05.29.2007 no virus found

STATUS: FINISHEDComplete scanning result of "netdtect.sys", received in VirusTotal at 05.29.2007, 21:16:04 (CET).

AntiVir 7.4.0.27 05.29.2007 RKit/Agent.DQ.31.A

Kaspersky 4.0.2.24 05.29.2007 Rootkit.Win32.Agent.dp

Symantec 10 05.29.2007 no virus found

Complete scanning result of "MS_update_0704_KB74073.exe", received in VirusTotal at 05.30.2007, 00:18:59 (CET).

AntiVir 7.4.0.27 05.29.2007 HEUR/Crypted

Kaspersky 4.0.2.24 05.30.2007 no virus found

Symantec 10 05.30.2007 no virus found

Complete scanning result of "tmp19C.tmp", received in VirusTotal at 05.30.2007, 00:23:41 (CET).

AntiVir 7.4.0.27 05.29.2007 HEUR/Malware

Kaspersky 4.0.2.24 05.30.2007 no virus found

Symantec 10 05.30.2007 Trojan Horse

Complete scanning result of "ipv6mons.dll", received in VirusTotal at 05.30.2007, 00:57:18 (CET).

AntiVir 7.4.0.27 05.29.2007 TR/Crypt.XPACK.Gen

Kaspersky 4.0.2.24 05.30.2007 Packed.Win32.Morphine.a

Symantec 10 05.30.2007 no virus found

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
STATUS: FINISHEDComplete scanning

Два HEUR/Crypted у Авиры можно смело вычеркивать. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

А где вы берёте вирусы, которых ловит Microsoft? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
STATUS: FINISHEDComplete scanning

Два HEUR/Crypted у Авиры можно смело вычеркивать. :)

почему?

Добавлено спустя 2 минуты 8 секунд:

А где вы берёте вирусы, которых ловит Microsoft? =)

выложил:

"ijytmgwu.exe",

Microsoft 1.2503 05.29.2007 VirTool:Win32/Obfuscator.E

"oxcthxmb.exe",

Microsoft 1.2503 05.29.2007 VirTool:Win32/Obfuscator.E

"nieanie.exe",

Microsoft 1.2503 05.29.2007 VirTool:Win32/Obfuscator.E

"hflt_ipf.sys",

Microsoft 1.2503 05.29.2007 VirTool:WinNT/Maxhide.A

"tmp19C.tmp",

Microsoft 1.2503 05.29.2007 TrojanDownloader:Win32/Cavitate.gen!A

"ipv6mons.dll",

Microsoft 1.2503 05.29.2007 VirTool:Win32/Obfuscator.E

хотя я тоже удивлен.

в моем предыдушем тесте, результаты которого я выложу на днях, микрософт почти ничего не поймал

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
totja ja tozhe udivlen, v moem predydushem teste, rezulÄtaty kotorogo ja vylozhu na dnjax, microsoft pochti nichego ne pojmal.

Регулярный секс с руководством, и "румыны" начали хорошо работать. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ordon
Регулярный секс с руководством, и "румыны" начали хорошо работать.

:lol::lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

На самом деле почему HEUR/Crypted у Avira нужно вычеркивать?

Формально они задетектили зловредов, такой уж у них метод.

Про фалсы черь сейчас не идет, мы предполагаем что это точно malware:-)

Регулярный секс с руководством, и "румыны" начали хорошо работать. Wink

Им раскачали "Опыт" и "Скорость работы" :lol:

Если серьезно, я уже писал в другой ветке, что скоро Microsoft будет рулить по детекту, много правильных людей они скупают ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
На самом деле почему HEUR/Crypted у Avira нужно вычеркивать?

То есть если я напишу прогу, которая все файлы будет считать вирусами - это будет идеальный антивирус? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Storm

можно сколько угодно говорить о том, что детектить например по "левым" пакерам и криптерам http://www.avira.com/en/threats/section/fu...ur_crypted.html это совершенно неправильно и некорректно. Но это вы профи можете впаривать, эксперты из ЛК, которые стараются и долбают вирусы по честному вас наверняка поддержат. И что паразитировать на сигнатурах других тоже нехорошо, согласен.

Но все это интересно только очень узкому круг лиц, а результат (интересный пользователю антивируса) таков, что вирье детектится, а ложных срабатываний у авиры при этом все равно много не будет, потому как "левые" пакеры никто для нормальных прог не использует. И над этим стоит задуматься, а не гордо плевать в сторону "нечестного" детекта.

ну это так лирика, а что касается самого проведенного теста, то он по большому счету мало чего показывает. набор вирья слишком невелик да и откуда и как это вирье возникло непонятно, если автор расскажет по какому принципу вирье отбиралось.

например самые распространенное вирье в почте какого-то крупного провайдера или там вирье пойманное проактивно таким-то крупным вендором за последние 48 часов - тогда этот тест был бы отчасти показательным. А так...чего только стоит уровень детекта микрософта, который тут хороший, а по признанию Mike совсем недавно ничего не ловил.

как грит alexgr должно быть понятно откуда дровишки (коллекция) Коллекция должна быть либо очень большая как у Клименти с марксом, либо небольшой набор свежака (несколько сотен) взятый из реального трафика как у того месседжлабза

или же на худой конец принцип отбора как-то должен разумно обосновываться, как в тестах антималваре на активное заражение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
То есть если я напишу прогу, которая все файлы будет считать вирусами - это будет идеальный антивирус? Smile

Иван, все написал выше, я с ним согласен. Пользователю пофиг как обеспечивается детект, главное что ловит. Тем более, что легитимный софт редко пакутся "левыми" пакерами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
ну это так лирика, а что касается самого проведенного теста, то он по большому счету мало чего показывает. набор вирья слишком невелик да и откуда и как это вирье возникло непонятно, если автор расскажет по какому принципу вирье отбиралось.

.

ну давайте по-порядку.

тема назвавается: "тесты на VirusTotal".

мною были проведены три теста, результат одногоя выложил.

результат второго теста будет выложен позднее.

тест показывает насколько актуальны базы различных антивирусов

и насколько антивирусы готовы к обнаружению "реальных" вирусов.

30 мая в 19-20 произошло заражение компутера.

с 20-00 я занимался поиском "подозрительных" файлов на компе.

после того , как ве файлы были собраны и проверены на длину

(один из них имел до десяти клонов с разными именами, но с одинаковой длиной)

они все были отправлены на VirusTotal

удивление вызвало, что большинство антивирусов смогли обнаружить небольшую часть зловредов.

т.е. насколько слаба защитa от вирусов из интернета ...

после чего с помощю рук, ERD Коммандера и некоторых утилит была проведена чистка компутера.

компутер ни одним антивирусом не проверялся, поэтому вся информация - только с VirusTotal

все результаты тестирования были выложены в соседней ветке..

выкладываю копию.

log.rar

log.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

угу, мне как пользователю реально непонятно, чем так уж плох вариант прескана по упаковщикам. Т.е. известные применяемые для нормальных прог упаковщики сразу заносятся в исключения и проверяются сигнатурным движком и эвристиком.

Все остальные упакованные файлы еще до этапа проверки движком режутся и пользователь получает балун: файл подозрительный, рекомендуемое действие закарантитнить и послать в вирлаб.

Чем простите это хуже чем балуны проактивки на всякое подозрительное-мне простаку не понять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

а по поводу теста понятно, т.е. это история заражения одного конретного компьютера и проверка вирустоталом демонтсрирует как бы изменилась ситуация, если бы на данном конкретном компьютере стоял один из антивирусников.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Пользователю пофиг как обеспечивается детект, главное что ловит.

Есть еще один момент, пользователю будет не шибко здорово, когда Авира начнет убивать нормальные криптованные файлы. Посмотри последние тесты АВ-Компаративз, у Авиры написано:

Number of false positives many

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
а по поводу теста понятно, т.е. это история заражения одного конретного компьютера и проверка вирустоталом демонтсрирует как бы изменилась ситуация, если бы на данном конкретном компьютере стоял один из антивирусников.

Complete scanning result of "MS_update_0704_KB74073.exe", received in VirusTotal at 05.30.2007, 00:18:59 (CET).

BitDefender 7.2 05.29.2007 no virus found

DrWeb 4.33 05.29.2007 no virus found

F-Prot 4.3.2.48 05.25.2007 no virus found

F-Secure 6.70.13030.0 05.30.2007 no virus found

Kaspersky 4.0.2.24 05.30.2007 no virus found

Microsoft 1.2503 05.29.2007 no virus found

Norman 5.80.02 05.29.2007 no virus found

Symantec 10 05.30.2007 no virus found

Complete scanning result of "ntos.exe", received in VirusTotal at 05.28.2007, 00:04:50 (CET).

AntiVir 7.4.0.27 05.27.2007 no virus found

BitDefender 7.2 05.27.2007 no virus found

DrWeb 4.33 05.27.2007 no virus found

F-Prot 4.3.2.48 05.25.2007 no virus found

F-Secure 6.70.13030.0 05.27.2007 no virus found

Kaspersky 4.0.2.24 05.27.2007 no virus found

McAfee 5039 05.25.2007 no virus found

Microsoft 1.2503 05.28.2007 no virus found

NOD32v2 2293 05.27.2007 no virus found

Norman 5.80.02 05.25.2007 no virus found

Symantec 10 05.27.2007 no virus found

наоборот, проверка на вирустотал показала, что если–бы на этом компутере стоял–бы один из этих антивирусов,

то компутер был–бы заражен этими, и возможно другими вирусами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Есть еще один момент, пользователю будет не шибко здорово, когда Авира начнет убивать нормальные криптованные файлы.

А есть хоть один случай, кроме ситуации с Download Master? Правда там была больше проблема разработчиков DM. Выпустили новую версию качалки.

наоборот, проверка на вирустотал показала, что если–бы на этом компутере стоял–бы один из этих антивирусов,

то компутер был–бы заражен этими, и возможно другими вирусами.

Если представить идеально незащищенную систему, то да. Но наличие головы на плечах, обновлений системы, файрвола (и/или прокси-сервера) и пр. сильно снизит шансы зловреда на успех.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
А есть хоть один случай, кроме ситуации с Download Master? Правда там была больше проблема разработчиков DM. Выпустили новую версию качалки.

У нас в городе Авира и Аваст весьма популярны, в виду того, что один из основных поставщиков компов ставит их на свои компы. И мой знакомый говорит что очень часто звонят и говорят что "у меня тут вирусные страшные сидят" и обычно этот вирус зовется "хеур наклонная палочка круптед". :)

ЗЫ Опять же Андреас тоже не с потолка цифру взял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

давайте будем честны вердикт "хеур наклонная палочка круптед" стал причиной всего 3 фолсов авиры, остальные 15 фолсов совсем с другим вердиктом:)

но по совокупности заслуг авира конечно фолсовая, не могу с этим не согласиться

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

прошло три дня.

результат повторного тестирования:

Complete scanning result of "ntos.exe", received in VirusTotal at 06.02.2007, 12:51:17 (CET).

AntiVir 7.4.0.29 06.01.2007 TR/Spy.Bancos.aam.212

Kaspersky 4.0.2.24 06.02.2007 Trojan-Spy.Win32.Bancos.aam

McAfee 5044 06.01.2007 no virus found

Microsoft 1.2503 06.02.2007 no virus found

NOD32v2 2305 06.01.2007 no virus found

Symantec 10 06.02.2007 Infostealer.Banker.C

Complete scanning result of "MS_update_0704_KB74073.exe", received in VirusTotal at 06.02.2007, 12:52:46 (CET).

AntiVir 7.4.0.29 06.01.2007 TR/Dldr.Murlo.FG.31

Kaspersky 4.0.2.24 06.02.2007 Trojan-Downloader.Win32.Murlo.fg

McAfee 5044 06.01.2007 Generic BackDoor.n

Microsoft 1.2503 06.02.2007 no virus found

NOD32v2 2305 06.01.2007 a variant of Win32/TrojanDownloader.Murlo

Symantec 10 06.02.2007 no virus found

авира и касперский, как и следовало ожидать, зловредов в базу добавили.

а накафе, нортон и нод - снова в ауте.

удивил микрософт: оба вируса в базу не добавил, что расходитсq с результатами теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

как и обещал, постараюсь выложить результаты тестирования зараженных почтовых приккреплений

(извините, звучит забавно, но не знаю как их правильно по русски назвать).

будут выложены результаты для следущих антивирусов:

авира

касперский

нортон

микрософт

макафее

тренд-микро

нод

вопрос: может-быть имеет смысл добавить другие антивирусы,

например дрвеб, софос, битдефендер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit
вопрос: может-быть имеет смысл добавить другие антивирусы,

например дрвеб, софос, битдефендер?

Конечно! Особенно ДрВеба (тут же его представители и сторонники часто бывают) и Битдефендера.

Добавлено спустя 8 минут 56 секунд:

Mike, думаю, что ваше тестирование будет интересно, т.к. свежей аналитики (собственного производства), по моему, в последний месяц на сайте как раз и не хватает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
как и обещал, постараюсь выложить результаты тестирования зараженных почтовых приккреплений

(извините, звучит забавно, но не знаю как их правильно по русски назвать).

Вложение (мн. ч. вложения, -ий).

микрософт

макафее

Первое лучше называть как майкрософт. Второе - макафи.

P.S. Не стесняйтесь спрашивать. Поможем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×