Тест самозащиты антивирусов I (результаты)

[Valery Ledovskoy 1082]

Валерий, почему Доктор Веб принебрегает самозащитой в своих продуктах? Результаты теста DrWeb не впечатляют сейчас, может быть стоит ожидать каких-то изменений в 5-ке?

Да, я согласен с тем, что версия 4.33 не совсем справляется с задачей самозащиты (если только речь не идёт о SpIDer Guard, где эта задача была давно решена блестяще). Для самозащиты всех файлов сейчас разрабатывается специальное решение. Только пока неизвестно, в рамках какой версии оно выйдет. В "пятёрке" будет точно, но может появиться и в рамках версии 4.44 (возможно, не сразу после релиза).

[Сергей Ильин 1538]

Да, я согласен с тем, что версия 4.33 не совсем справляется с задачей самозащиты

В участвовала версия 4.44 :wink:

если только речь не идёт о SpIDer Guard, где эта задача была давно решена блестяще

Процесс SpiderNT.exe гораздо живучее всего остального, но все же он умер в 11-ти случаях из 24, не согласен, что это хороший результат.

[Valery Ledovskoy 1082]

В участвовала версия 4.44 Wink

Ну, значит, тут действует тот тезис, что защита может появиться после релиза 4.44, в рамках обновления модулей. Так же, как появился антиспам в 4.33 гораздо позже релиза 4.33.

Процесс SpiderNT.exe гораздо живучее всего остального, но все же он умер в 11-ти случаях из 24, не согласен, что это хороший результат.

SpIDerNt.exe - это лишь интерфейс и сервис. Попробуйте выгрузить драйвер spider.sys

[Сергей Ильин 1538]

SpIDerNt.exe - это лишь интерфейс и сервис. Попробуйте выгрузить драйвер spider.sys Wink

Пробовали, не выходит :-)

[Valery Ledovskoy 1082]

Пробовали, не выходит Smile

Отож Это я и подразумевал, когда говорил, что в своё время было сделано добротно, до сих пор держится

[Dmitry Perets 30]

Да ну

http://www.google.ru/search?q=как+отключить+UAC

Первый же результат

Вы неправильно пробуете. Вот так попробуйте: http://www.google.com/search?q=как+отключи...гда+выскакивает. Нашло? =)

Ничего не вцепились. Просто не панацея он. Я бы сказал, даже наоборот, медвежья услуга

Не панацея - это само собой. Я и не говорю, что панацея. Но пока ничего лучше нету...

[Valery Ledovskoy 1082]

Вы неправильно пробуете.

Да ну. На "этой штуке" каждый раз пишется её название. Не обижайте пользователей - они часто начинающие, но не дауны

[TiX 0]

Пробовали, не выходит Smile

Отож Это я и подразумевал, когда говорил, что в своё время было сделано добротно, до сих пор держится

До перезагризки если действовать простым способом.

Сразу если действовать сложным способом. Я знаю как но на PoC реализацию у меня нехватит мозгов

[Dmitry Perets 30]

Да ну. На "этой штуке" каждый раз пишется её название. Не обижайте пользователей - они часто начинающие, но не дауны

Те пользователь, о которых вы говорите, тоже существуют, согласен. Но как правильно уже говорили выше, такие пользователи - это вообще самый опасный случай, поскольку точно так же они отрубят и любой фаерволл, так как на сегодняшний день молчаливого качественного фаерволла не существует. А потом и антивирус отрубят, потому что при закачке кряков он будет орать на какие-то там иксплоиты. А они подумают, что это он типа орёт, что кряки качать плохо. И с криком "Гы, ща я эту тупицу обламаю, я ж не лох ваще" полезут и отрубят антивирус. Это при условии что они его вообще установят изначально, кстати говоря.

Я же говорю про других пользователей. Про тех, для кого комп - это либо просто средство отдыха, либо инструмент для их не связанной с компом работы (учёт бухгалтерии, интернет и т.д.). Такие люди ни за что не полезут ни в какой гугл и ни за что не отключат никакую фичу. У них нет на это ни времени, ни желания. Они максимум позвонят знакомому спецу, который им скажет, стоит ли так делать. Но чтоб они позвонили ему, это им должно мешать. А оно им не мешает.

Добавлено спустя 4 минуты 5 секунд:

Что-то мы в оффтоп опять ушли. А у меня вопрос по делу: если продукт в данном тесте провалился, это означает что он вообще перестал ловить зверъё? Ну например, тот же Др.Веб. Его гуи можно убить так, что он не восстановится, легко. Но при этом зловреды всё равно будут блокироваться драйвером. Какой балл в таком случае присуждался?

[Valery Ledovskoy 1082]

А у меня вопрос по делу: если продукт в данном тесте провалился, это означает что он вообще перестал ловить зверъё? Ну например, тот же Др.Веб.

Не понял связи. Если в базе есть вирус (пусть он даже и может отключать используемый антивирус), то он просто не попадёт на компьютер и, соответственно, не отключит никакую защиту. Т.е. связи прямой нету между способностью вируса отключить защиту и способностью антивируса ловить вирусы.

[Сергей Ильин 1538]

Ну например, тот же Др.Веб. Его гуи можно убить так, что он не восстановится, легко. Но при этом зловреды всё равно будут блокироваться драйвером. Какой балл в таком случае присуждался?

Если убивался только GUI, но сам антивирус продолжал работать (т.е. основной функционал сохранялся), как это было несколько раз с DrWeb или Eset и т.д. (смотри подробную таблицу Excel с результатами), продукт получал 0.5 балла (+/-) по нашей методологии.

Чистый плюс тут ставить нельзя, так как процессы все таки убиваются, к тому же, как ни крути, тот же GUI важен для юзера :wink:

Если в базе есть вирус (пусть он даже и может отключать используемый антивирус), то он просто не попадёт на компьютер и, соответственно, не отключит никакую защиту. Т.е. связи прямой нету между способностью вируса отключить защиту и способностью антивируса ловить вирусы.

Да, именно так, связи между способностью ловли вирусов и самозащитой нет. Тест показывает, насколько уязвима защита перед неизвестной угрозой. Сейчас штампуется каждый день десятки разных модификаций малвары, что-то пропускается любым антивирусом.

В этом случае если вредонос будет активно защищать себя, нарушая работу антивирусных средств, то стоимость восстановления системы будут намного больше.

Когда человек платит деньги на антивирус, он не расчитывает потом носиться по инету в поисках помощи с большими глазами, зараженным компом и мертвым антивирусом

Добавлено спустя 8 минут 31 секунду:

До перезагризки если действовать простым способом.

Удаление после перезагрузки работает с DrWeb, но это почти со всеми антивирусами срабатывает, кроме Symantec, Trend Micro, Касперского и F-Secure (у них срабатывает System Control).

[TiX 0]

Нащет убить сходу без перезагрузки это очень извращенный метод зовется загрузи свой драйвер и пропатч драйвер АВ так что-бы он перестал передавать файл на проверку а сразу по jmp его пропускал Гы..

[Олег Рагозин 10]

Вообще-то весьма обидно, что для проверки в тестах была использована версия Sophos 6.0 выпуска осени прошлого года. Применили бы хотя бы более свежую версию - 7.0 с HIPS, и включили в ней поведенческий анализатор. Ее уже полтора месяца как выпустили. :twisted:

[Сергей Ильин 1538]

Вообще-то весьма обидно, что для проверки в тестах была использована версия Sophos 6.0 выпуска осени прошлого года.

На самом деле тестировалась версия 6.5, это действительно важно, поэтому в отчетах о тестировании я поправлю. Что касается 7-ки, то она вышла после того, как тест начался. Работа большая была проделана, вопрос не одной недели, поэтому взяли 6.5, что была актуальна на тот момент.

[Dmitry Perets 30]

Если убивался только GUI, но сам антивирус продолжал работать (т.е. основной функционал сохранялся), как это было несколько раз с DrWeb или Eset и т.д. (смотри подробную таблицу Excel с результатами), продукт получал 0.5 балла (+/-) по нашей методологии.

Согласен.

Т.е. связи прямой нету между способностью вируса отключить защиту и способностью антивируса ловить вирусы.

Да, именно так, связи между способностью ловли вирусов и самозащитой нет. Тест показывает, насколько уязвима защита перед неизвестной угрозой.

Здрасьте =) А защита перед неизвестной угрозой и защита от вирусов - это уже не связанные понятия? Способность зловреда отключить защиту как раз напрямую связана со способностью антивируса ловить вирусы. Потому что берётся любой 100 раз известный и мега-старинный троянец и пишется простенький дроппер или даунлоадер, который сперва убивает антивирус, а потом самым банальным способом качает вышеуказанного троянца либо расшифровывает его изнутри себя же. Таких "неизвестных угроз" можно писать по сотне в день и юзать их потом для любого троянца. Сигнатурно их ловить любая лаборатория устанет. Собственно, поэтому и важна самозащита... Разве нет?

[Dexter 20]

Немного не по теме.

А в чём практически-коммерческий смысл убийства антивируса?

Насколько это распространено и в каких троянах?

[Сергей Ильин 1538]

Здрасьте =) А защита перед неизвестной угрозой и защита от вирусов - это уже не связанные понятия? Способность зловреда отключить защиту как раз напрямую связана со способностью антивируса ловить вирусы. Потому что берётся любой 100 раз известный и мега-старинный троянец и пишется простенький дроппер или даунлоадер, который сперва убивает антивирус, а потом самым банальным способом качает вышеуказанного троянца либо расшифровывает его изнутри себя же. Таких "неизвестных угроз" можно писать по сотне в день и юзать их потом для любого троянца. Сигнатурно их ловить любая лаборатория устанет. Собственно, поэтому и важна самозащита... Разве нет?

Dmitry Perets, безусловно, при таком подходе связь очевидна, даже более чем, если смотреть немного шире. Очень хороший пример.

:thanks:

[Сергей Ильин 1538]

Немного не по теме.

А в чем практически-коммерческий смысл убийства антивируса?

Насколько это распространено и в каких троянах?

В первую очередь это элемент активной самозащиты malware, увеличивающий ее шансы на дальнейшее существование в зараженной системе. Нет антивируса - нет проблем.

Вредоносных программ убивающих антивирусы много и они всегда были. Вот, что удалось найти навскидку:

W32.Swen.A@mm

Trojan.Win32.Killav

W32.Gaobot.MF

Backdoor.Beasty.Kit

Уверен, коллеги еще напомнят наиболее яркие примеры подобных вредоносов.

Trojan.Simcss

Infostealer.Hukle

[Dmitry Perets 30]

Уверен, коллеги еще напомнят наиболее яркие примеры подобных вредоносов.

... а тех, просто пытается убить процессы известных антивирусов, так и вообще не счесть. Имхо большая половина заразы пытается это сделать сегодня. Но с элементарным убийством процесса большинство антивирусов всё же умеет справиться...

[Demorphis 0]

Не панацея - это само собой. Я и не говорю, что панацея. Но пока ничего лучше нету...

SELinux ?

[Dmitry Perets 30]

Не панацея - это само собой. Я и не говорю, что панацея. Но пока ничего лучше нету...

SELinux ?

Брррр....=)

[Пит 15]

SELinux ?

Не в нашей действительности, пингвины долго не живут. Деликатные черти.

[Dexter 20]

Нет антивируса - нет проблем.

А разве это не сигнал того, что в системе стало не всё гладко.

Поскольку антивирус трояна не знает, то он спокойно установится и отработает, если он одноразовый,а если бот или загрузчик, то не факт, что его завтра или послезавтра детектить начнут. Скрытие - оно понадёжней будет.

А это что получается? Пришел, увидел антивирус, снёс его, а завтра самого зачистили?

Вот, что удалось найти навскидку:

В этом списке только Very Low и Low.

Имхо большая половина заразы пытается это сделать сегодня.

Насколько часты такие коммерческие звери в первой-второй десятке?

Я вот нашел случайными кликами за июль LovGate.w,

Nyxem.e,

Mydoom.l,

но они, как я понял по описанию работают за идею, но не за деньги. Т.е., как мне кажется, подобные деструктивные трояны должны медленно, но верно терять свою долю.

Вероятно поэтому многие антивирусные компании не часто используют в своих продуктах инновационные технологии.

На любую гайку найдется болт.

Этим я не утверждаю, что не надо ничего делать.

Но секурней пользовать не особо популярные, но качественные решения. С браузерами это немного поняли, с другими продуктами пока не очень.

[Dmitry Perets 30]

Нет антивируса - нет проблем.

А разве это не сигнал того, что в системе стало не всё гладко.

Во-первых, если речь идёт о краже паролей, то достаточно одноразового эффекта. Я ж уже описал принцип: берём старого пинча (чтобы не писать самому с нуля), пишем к нему маленький дроппер. Дроппер убивает антивирус и запускает пинча. Пинч крадёт пароли и отсылает. Даже если заметит юзер, будет поздно.

Во-вторых, отсутствие антивируса надо ещё заметить. И я даже не говорю о "домохозяйках", который что красная иконка, что серая - один фиг. Есть и поинтереснее случаи. Например, иконка антивируса может оставаться абсолютно нормальной, но он уже не дееспособен...

Т.е., как мне кажется, подобные деструктивные трояны должны медленно, но верно терять свою долю.

Как раз наоборот имхо. Они вроде как набирают обороты и умнеют. Но статистику я не собираю... Было бы неплохо, если бы кто поделился...

На любую гайку найдется болт.

Этим я не утверждаю, что не надо ничего делать.

Но секурней пользовать не особо популярные, но качественные решения. С браузерами это немного поняли, с другими продуктами пока не очень.

Тут совсем другой случай. Тут как раз не "не особо популярные но качественные". Тут наоборот. Есть популярный и качественный способ - сигнатурная проверка файлов при доступе. Им пользуется большинство. Но чем дальше, тем меньше его хватает. И поэтому начинают добавлять новые технологии. Каждая умеет обеспечить столько-то процентов несигнатурного детекта. Хотя у каждой и свои проблемы, которые приходится решать.

[Артём 0]

Не верю!

Два раза я пытался перейти с Нод на Кав и оба раза я работая с КАВ6 получал вирус который его убивал! Где ваша хвалёная самозащита????

Кстати, наблюдал ещё много интересных вещей!

У меня почему-то пропадала инфомация об изменениях в домашнем адресе IE! Хотя кав это должен был пресечь!