Тест самозащиты антивирусов I (результаты)

[Сергей Ильин 1538]

Поскольку антивирус трояна не знает, то он спокойно установится и отработает, если он одноразовый,а если бот или загрузчик, то не факт, что его завтра или послезавтра детектить начнут. Скрытие - оно понадёжней будет.

А это что получается? Пришел, увидел антивирус, снёс его, а завтра самого зачистили? Smile

Сокрытие своего присутствия - хороший метод, но грубая физическая тоже эффективна. На счет одноразовости не согласен. Если троян умеет убивать антивирусы и уже встал в системе, то вычистить его будет куда сложнее оттуда. Чем лечить заразу, если при попытке установки антивирус будет убиваться? Как думаете, большой % юзеров смогут ручками поковыряться в системе и удалить заразу?

Два раза я пытался перейти с Нод на Кав и оба раза я работая с КАВ6 получал вирус который его убивал! Где ваша хвалёная самозащита????

При желании можно убить любой антивирус, защита Касперского не идеальна, тест это тоже показал.

Потом "хвалёная самозащита" не наша, а Антивируса Касперского :wink:

[Пит 15]

Артём

Не верю!

На такие громкие слова, тут принято давать исчерпывающие доказательства.

[Сергей Ильин 1538]

Во-вторых, отсутствие антивируса надо ещё заметить. И я даже не говорю о "домохозяйках", который что красная иконка, что серая - один фиг. Есть и поинтереснее случаи. Например, иконка антивируса может оставаться абсолютно нормальной, но он уже не дееспособен...

Это тоже стоит учитывать, не все так пристально следят за состоянием антивируса, а потом через месяц удивляются: "Ой, а куда пропала иконка? " :shock:

И еще не забывайте одну вещь, ее уже озвучил по-своему Артём.

Если антивирус облажался и пропустил заразу, ему еще можно это простить, а вот если его эта зараза убила и вычистила его с компа - никогда.

Доверие к такому продукта у пользователя просто пропадает, а недовольный клиент уведет с этого продукта еще человек 10, согласно статистике. Это как плевок в лицо. Потратил деньги на защиту машины, все настроил, а пришел тинейджер и простой отверткой все расковырял.

Добавлено спустя 11 минут 31 секунду:

Скажу пару слов в защиту Sophos. Это корпоративный антивирус и заточен он именно для этого. Мы проводили тест установленного отдельно Sophos Anti-Virus (stand alone). Это принципиально в данном случае, потому как при централизованной установке с консоли и последующем управлении оттуда, пользователь на локальной машине даже с правами локального администратора просто не видит процессы антивируса, не говоря уже про то, чтобы их убить. Корпоративные продукты - это совсем другая песня. :wink:

[Пит 15]

Доверие к такому продукта у пользователя просто пропадает, а недовольный клиент уведет с этого продукта еще человек 10, согласно статистике.

+ 1

Если антиврирус облажался и пропустил заразу, ему еще можно это простить, а вот если его эта заразу убила и вычистила с компа - никогда.

Вы думаете, что это можно полностью предотвратить?

[Сергей Ильин 1538]

Вы думаете, что это можно полностью предотвратить?

Это можно минимизировать. Тест как раз показал те компании, которые уделяют этому внимание - первая 4-ка.

[Артём 0]

Артём

Не верю!

На такие громкие слова, тут принято давать исчерпывающие доказательства.

Ну тот вирус у меня не сохранился, но он пол года лежал в сохранённой веб странице и КАВ его не видел! А при обращение к этому файлу ничего не происходило, просто после перезагрузки часть модулей КАВ оказывалась убита! И помогала только его переустановка. Проактивка тоже никак не реагировала на вирус.

Нод же сразу его нашёл у удалил! Точное название виря уже не помню, но в названии было что-то KillAV ....

Просто тесты это конечно хорошо и интересно, но когда имеешь собственный негативный опыт, то больше доверяешь ему!

[Demorphis 0]

SELinux ?

Не в нашей действительности, пингвины долго не живут. Деликатные черти.

Брррр....=) (с) Это пингвины то? Ну смотря в чьих руках!

"Linux никогда не отгораживал пользователей от совершения глупостей, так как это отгораживает от умных вещей!"

PS: Простите за офтоп, больно редкое мнение, в наши дни!

[Mike 125]

SELinux ?

если можно, то просветите ....

это что–то российское?

Добавлено спустя 3 минуты 58 секунд:

Не верю!

Два раза я пытался перейти с Нод на Кав

я тут выше уже писал, что нод в принципе не в состоянии убить серьезные активные вирусы.

в отличие от касперского.

[Артём 0]

SELinux ?

если можно' date=' то просветите ....

это что–то российское?

Добавлено спустя 3 минуты 58 секунд:

Не верю!

Два раза я пытался перейти с Нод на Кав

я тут выше уже писал, что нод в принципе не в состоянии убить серьезные активные вирусы.

в отличие от касперского.

Мда? А можно мне в личку один такой экземпляр? А то всё слова, а хочется увидеть своими глазами!

[Mike 125]

Мда? А можно мне в личку один такой экземпляр? А то всё слова, а хочется увидеть своими глазами!

обратитесь к администрации.

эти зловреды выли внесены в базу форума 2 августа.

[Артём 0]

....

Это что? Опять словоблудием будем заниматься?

Так есть на чём доказать слова?

[vaber 350]

Это что? Опять словоблудием будем заниматься?

Так есть на чём доказать слова?

http://anti-malware.ru/index.phtml?part=te...ctive_infection

[Артём 0]

Таблички и циферки это хорошо, но мне хочется увидеть своими глазами малвару которая убьёт Нод! Для каспера такую видел, теперь ищу для Нода

[Иван 290]

убить нода в принципе может даже школьник, что демонстрирует вот это видео http://rs132.rapidshare.com/files/35581219/NOD_vs_KIS.rar

но этот акт убийства в принципе ничего не доказывает так же как случай убийства кава вашей малваре

нет вру, доказывает - идеала увы нет

[Ego1st 95]

Иван только один вопрос по теме видео, почему когда каспера пытаються отключить, отключают службу amon которая к касперу отношения никакого не имеет=))

[Пит 15]

Таблички и циферки это хорошо, но мне хочется увидеть своими глазами малвару которая убьёт Нод! Для каспера такую видел, теперь ищу для Нода

http://anti-malware.ru/phpbb/viewtopic.php?t=119

[Иван 290]

Иван только один вопрос по теме видео, почему когда каспера пытаються отключить, отключают службу amon которая к касперу отношения никакого не имеет=))

понятия не имею, видимо ошибка школьника снимавшего видео

забыл он видать файло поправить

но все равно нетстопом вы каспера не завалите, а нод указанным способом уходит лесом

но как я уже сказал это ничего не доказывает кроме того что существует множество элементарных способов выноса практически любого антивиря и эти способы не надо особо долго изыскивать

что собственно и тест по самозащите показал

[Dexter 20]

это ничего не доказывает кроме того что существует множество элементарных способов выноса практически любого антивиря и эти способы не надо особо долго изыскивать

+1

[Demorphis 0]

Насчёт SELinux, просили ссылку. http://www.anti-malware.ru/phpbb/viewtopic.php?p=22175#22175

[STALK:ER 0]

Господа по моему мы опять упираемся в извечную тему какой антивирус лучше....

SpIDerNt.exe - это лишь интерфейс и сервис. Попробуйте выгрузить драйвер spider.sys

Как уже сказал Валерий spider.sys убить нельзя, а по сему можно признать, что тест довольно не однозначный и принимать решения по нему нельзя (по крайней мере людям с начальным стажем общения с антивирусами...)

Ну а по касперскому можно применить такой способ:

1. Помещаем файл в автозагрузку (допустим, что антивирь не знает, что это зловред!!!)

2. Перезагружаем ПК..... и всё - я Вам голову даю на отсечение, что пока GUI антивируса Касперского не загрузится - зловред будет делать своё чёрное дело, даже если перед самой перезагрузкой антивирус уже будет знать зловред....

P.S. Такой тест проводил на двух машинах (с программой шуткой)...

Мышка дёргалась, пока GUI Касперского не загрузился (по умолчанию стоит проверять автозагрузку через 4 сек. после загрузки GUI....), а Dr. Web молча убил программу-шутку при загрузке....

[Иван 290]

Господа по моему мы опять упираемся в извечную тему какой антивирус лучше....

SpIDerNt.exe - это лишь интерфейс и сервис. Попробуйте выгрузить драйвер spider.sys

Как уже сказал Валерий spider.sys убить нельзя, а по сему можно признать, что тест довольно не однозначный и принимать решения по нему нельзя (по крайней мере людям с начальным стажем общения с антивирусами...)

зловреды-то ловяться, когда все кроме spider.sys убито или нет?

[Valery Ledovskoy 1082]

зловреды-то ловяться, когда все кроме spider.sys убито или нет?

Конечно, ловятся. Базы все считаны и не нужны. Т.е. антивирус продолжает работать. И даже пишет в лог результат своей работы.

[Сергей Ильин 1538]

Конечно, ловятся. Базы все считаны и не нужны. Т.е. антивирус продолжает работать. И даже пишет в лог результат своей работы.

Он как-то уж очень странно продолжает работать ..

Например, скачивать упакованные вредоносы можно, распаковывать на винт их тоже можно, а вот скопировать уже нельзя :?

Естественно, никаких алертов и т.д. не выводится, сервис не запущен.

Т.е. ничто не мешает например сделать так: кинуть юзеру загрузчик, убить процессы DrWeb, дропнуть трояна и прописать его в системе, после перезагрузки (пользователю придется это делать все равно, так как DrWeb не поднять заново) можно докончить дело с spider.sys.

[Valery Ledovskoy 1082]

А в настройках до этого были указаны автоматические действия, или же стоял Report?

[Storm 0]

А в настройках до этого были указаны автоматические действия, или же стоял Report?

Предположу, что скорее всего репорт (так вроде прописывается по-дефолту).