Тест антивирусов на лечение активного заражения II (результаты)

[alexgr 556]

Иван - я ответил. Методику и список малвары я, может быть, увидел одним из первых, не считая авторов и тестеров. Просто люблю документированные процессы - ретроград, однозначно! - и ГОСТы люблю... И замечания пишу из любви к чистому искусству испытателя, каковым и был долгое время

[Guest Scrooge]

Я бы хотел сказать пару добрых слов в адрес антивирусных продуктов, которые провалили данный тест. Вообще смысл этого теста небольшой. Т.к. ИМХО заразу лучше предотвратить, чем лечить. Ещё мало кто мог использовать вылеченную системныу dll или кривой exe после лечения, можно конечно похлопать в ладоши, но тем инвалидам, которые после лечения живут, если так конечно можно выразиться, но далеко не полноценной жизнью - это уже не поможет! Самое главное уровень детекта, т.е. предотвращения заражения!!! А по данному параметру сейчас по результатам августовских тестирований независимого института av-comparatives лидирует немецкий антивирус AVIRA, вот ссылочкаhttp://www.av-comparatives.org/seiten/ergebnisse_2007_08.php

если провести аналогию с человеческой жизнью, то имхо мало кто из здоровых на голову людей скажет:"Я не буду надлежащим образом защищаться от всякой заразы, т.к. у меня есть отличный врач, который сможет меня подлечить и продлить мои дни!" Согласитесь, предотвращение первично, а лечение - это как мёртвому припарка, уже вторично и никому не нужно!

[Сергей Ильин 1538]

Работа сделана большая, методики соблюдены, результаты прозрачно проанализированы - за что тестерам респект. От ретрограда Smile

alexgr, спасибо за положительный отзыв о результатах этого второго по счету теста, а также за замечания, сделанные для предыдущего. Многие их них мы постарались учесть, благодаря чему качество работы явно повышается, что меня не может не радовать :-)

В плане выводов я бы еще обратил внимание на следующие моменты:

1. Kaspersky Anti-Virus и Norton AntiVirus показывают стабильно высокие результаты во втором тесте подряд, что говорит о системном подходе к лечению заражения в ЛК и Symantec.

2. Nod32, BitDefender и Sophos сдали позиции.

3. Хочется отметить прогресс Panda Antivirus 2008, эта версия вообще судя по всему у компании получилась удачная.

4. Стабильные, но не слишком высокие результаты второй тест подряд показываю Avast! и AVG Anti-Virus.

Наиболее сложными для лечения вредоносными программами из числа используемых в тесте оказались Virus.Win32.Gpcode.af , Rootkit.Win32.Agent.ea, SpamTool.Win32.Agent.u, Email-Worm.Win32.Scano.ac и Trojan-Downloader.Win32.Agent.brk.

Некоторые из них были вылечены всего одни-двумя продуктами из 15!

[BeAsT 0]

Я бы хотел сказать пару добрых слов в адрес антивирусных продуктов, которые провалили данный тест. Вообще смысл этого теста небольшой. Т.к. ИМХО заразу лучше предотвратить, чем лечить. Ещё мало кто мог использовать вылеченную системныу dll или кривой exe после лечения, можно конечно похлопать в ладоши, но тем инвалидам, которые после лечения живут, если так конечно можно выразиться, но далеко не полноценной жизнью - это уже не поможет! Самое главное уровень детекта, т.е. предотвращения заражения!!! А по данному параметру сейчас по результатам августовских тестирований независимого института av-comparatives лидирует немецкий антивирус AVIRA, вот ссылочкаhttp://www.av-comparatives.org/seiten/ergebnisse_2007_08.php

если провести аналогию с человеческой жизнью, то имхо мало кто из здоровых на голову людей скажет:"Я не буду надлежащим образом защищаться от всякой заразы, т.к. у меня есть отличный врач, который сможет меня подлечить и продлить мои дни!" Согласитесь, предотвращение первично, а лечение - это как мёртвому припарка, уже вторично и никому не нужно!

А если ты лечишься не зная от чего!? Грубо говоря убиваешь свой организм от якобы "заразы" или по другому -- перегружаешь свой организм действиями уничтожения нейтральных микроорганизмов твоего организма, которые на самом деле даже не живы.

Переводить не буду, на вот читай хорошо написАл один человек:

Любые подобные тестирования, к сожалению, не отражают реальных защитных свойств антивирусов. По следующим причинам:

1. Коллекции, на которых производится тестирования не могут быть адекватны реальным информационным угрозам для конкретных условий эксплуатации в различных точках информационного пространства. Распределение информационных угроз по различным точкам мирового пространства существенно разное, особенно в наших условиях.

2. Тестируемые продукты изначально поставлены в не равные условия. Те вендеры, которые имеют более тесное взаимодействие с держателями коллекций, имеют возможность подстроить свои продукты заранее.

3. На современном этапе превалируют вирусы однодневки, которые представляют реальную угрозу в самом начале, а потом их активность сходит на нет. Поэтому для пользователя важно, чтобы антивирус умел опознавать раньше, чем к нему попал вирус. Что толку, если антивирус уже на следующий день будет опознавать вирус, который уже успел навредить.

4. Во многие коллекции включены зараженные объекты, которые не работоспособны..

З.Ы. Причем главное реакция антивирусной компании на угрозу-ин-зе-вайлд или методы не сигнатурного анализа(эвристик, origin's).

И ещё вопрос тебе на засыпку, как ты будешь лечить компьютер от угрозы, которую ещё не знает Авира или "тот кого называть нельзя" ГП ))) и др? Ведь зачастую антивирусы начинают детектировать вирус уже после его успешного применения хотя бы один раз. Или так сказать после целенаправленной атаки.

[Николай Головко 70]

Gold Malware Treatment Award

Dr.Web Anti-Virus 4.44 Beta (82%)

Снимаю шляпу! Поразительный результат.

[vaber 350]

Самое главное уровень детекта, т.е. предотвращения заражения!!!

Конечно главное! Но как можно заметить, 100% результата нет ни у одного антивируса. А что касается 0-day вирусов - то как правило абсолютное большинство антивирусов в плане детекта оказываются беспомощными. И если произошло заражение, а потом приплыла сигнатура - вот тут и становится важным, способен ли антивирус обнаружить, заражена ли система! А еще лучше - если сможет вылечить ее.

[Сергей Ильин 1538]

Я бы хотел сказать пару добрых слов в адрес антивирусных продуктов, которые провалили данный тест. Вообще смысл этого теста небольшой. Т.к. ИМХО заразу лучше предотвратить, чем лечить. Ещё мало кто мог использовать вылеченную системныу dll или кривой exe после лечения, можно конечно похлопать в ладоши, но тем инвалидам, которые после лечения живут, если так конечно можно выразиться, но далеко не полноценной жизнью - это уже не поможет! Самое главное уровень детекта, т.е. предотвращения заражения!!!

Лучше предотвращать, но это мягко говоря не всегда получается, увы. Причин заражения может быть множество. Например, временное отключение антивируса, старые базы, игнорирование алертов, просто слабый по детекту антивирус.

Поэтому и важны тесты, подобные этому. Часто люди с зараженными компьютерами ищут помощи, когда их антивирус ничего сделать уже не может. Зайдите на virusinfo.info в раздел "Помогите", чтобы почувствовать масштаб ;-)

На счет работоспособности вылеченной системы. Конечно, если на компе только игрушки, то лучше сразу форматнуть винт. Лечить? Зачем? Форматировать!

[Mr. Justice 771]

Подробно с методикой проведения теста и определения результатов знакомиться не стал. Полностью доверяю тестерам. Хотел бы поблагодарить их за большую проделанную работу. Антивирус Dr.Web показал наилучший результат, с чем и поздравляю всю "команду" вендора-победителя. Желаю дальнейших творческих успехов.

[alexgr 556]

если провести аналогию с человеческой жизнью, то имхо мало кто из здоровых на голову людей скажет:"Я не буду надлежащим образом защищаться от всякой заразы, т.к. у меня есть отличный врач, который сможет меня подлечить и продлить мои дни!" Согласитесь, предотвращение первично, а лечение - это как мёртвому припарка, уже вторично и никому не нужно!

продолжая аналогию - если у меня есть замечательные гимнастика, витамины и прививки - я никогда не заболею. Но ежели заболею - меня посмотрит Иван Иванович. Кто такой Иван Иванович? Патологоанатом

Антивирус - и я всегда буду настаивать -должен иметь обе эти функциональности, в идеале - одинаково хорошо развитые. не факт, что у всех вендоров это получается одинаково хорошо. Но! - только в сочетании превентивных и реактивных мер и есть эффективность продукта! метрику и после можно подобрать, но отрицать это не следует

[mais 10]

как то схватил троя вэбмани, он мне в hosts всякой дряни понаписал, что кипер не запустить, на сайт вэбмани не зайти... ну каспер снес exe-шники троя после ребута, а hosts пришлось в ручную править. Такие дела.. Вы спросите ачто в это время делали проактивка и мониторинг реестра ? Отвечаю - трой просто вырубил всю защиту KAV 7

[TiX 0]

Поздравляю разработчиков ДрВеба с победой! Молодцы

[Иван 290]

Иван - я ответил. Методику и список малвары я, может быть, увидел одним из первых, не считая авторов и тестеров. Просто люблю документированные процессы - ретроград, однозначно! - и ГОСТы люблю... И замечания пишу из любви к чистому искусству испытателя, каковым и был долгое время

гм, а вы список малвары увидели до того как тест начали проводить?

[Сергей Ильин 1538]

гм, а вы список малвары увидели до того как тест начали проводить?

Список малвар обсуждался открыто при подготовке теста :-)

http://www.anti-malware.ru/phpbb/viewtopic.php?t=3255

Так что примерный список не являлся ни для кого секретом.

[Guest Scrooge]

Самое главное уровень детекта, т.е. предотвращения заражения!!!

Конечно главное! Но как можно заметить, 100% результата нет ни у одного антивируса. А что касается 0-day вирусов - то как правило абсолютное большинство антивирусов в плане детекта оказываются беспомощными. И если произошло заражение, а потом приплыла сигнатура - вот тут и становится важным, способен ли антивирус обнаружить, заражена ли система! А еще лучше - если сможет вылечить ее.

А после Вашего лечения dll и exe нормальные или кривые получаются??? Если кривые, то смысл лечения????

Добавлено спустя 5 минут 33 секунды:

если провести аналогию с человеческой жизнью, то имхо мало кто из здоровых на голову людей скажет:"Я не буду надлежащим образом защищаться от всякой заразы, т.к. у меня есть отличный врач, который сможет меня подлечить и продлить мои дни!" Согласитесь, предотвращение первично, а лечение - это как мёртвому припарка, уже вторично и никому не нужно!

продолжая аналогию - если у меня есть замечательные гимнастика, витамины и прививки - я никогда не заболею. Но ежели заболею - меня посмотрит Иван Иванович. Кто такой Иван Иванович? Патологоанатом

Антивирус - и я всегда буду настаивать -должен иметь обе эти функциональности, в идеале - одинаково хорошо развитые. не факт, что у всех вендоров это получается одинаково хорошо. Но! - только в сочетании превентивных и реактивных мер и есть эффективность продукта! метрику и после можно подобрать, но отрицать это не следует

Паталогоанатом посмотрит Вас только в том случае, если Вы заразитесь неизлечимой заразой, если в принципе можно вылечить то AVIRA лечит. Всё зависит от типа заражения. AVIRA поступает честно и сразу говорит можно ли вылечить, чтобы на выходе получился прямой, а не кривой файл. А теже победители, пытаются вылечить всё и при этом умалчивают, о том, что получается на выходе. Это больше реклама, чем эффективный инструмент!!!

[Storm 0]

А после Вашего лечения dll и exe нормальные или кривые получаются??? Если кривые, то смысл лечения????

По Вашему лечение состоит только в лечение исполняемых файлов? Если Вы так думаете, то Вы ошибаетесь. Зачастую недостаточно просто удалить (или вылечить) зараженные файлы. Некоторые образцы (как например Scano) в случае его удаления делает невозможным запуск рабочего стола (2all: говорю не техническим языком).

Добавлено спустя 3 минуты 38 секунд:

ЗЫ Инфекторы ИМХО почти устарели, современная малвара ушла уже далеко, Вы видимо давно не в курсе дел. А если не в курсе, то зачем писать?

[alexgr 556]

Начнем с того, что это аналогия. Потому смотреть может будет уже только Иван Иванович. Как в случае с Encoder или Plastix. А без аналогии - ложные срабатывания (неправильный диагноз - замечено достаточно часто) к чему приводит? Или Василь Иваныч сказал резать и - в морг? Мрачненькие аналогии навевает все это.

[Иван 290]

гм, а вы список малвары увидели до того как тест начали проводить?

Список малвар обсуждался открыто при подготовке теста :-)

http://www.anti-malware.ru/phpbb/viewtopic.php?t=3255

Так что примерный список не являлся ни для кого секретом.

тогда было бы здорово, чтобы тест проводился с продуктами, которые не обновлялись с момента публикации на форуме списка малвары, чтоб не было соблазна докручивать чтонть в процессе если это так и делалось, то хорошо.

[Сергей Ильин 1538]

если в принципе можно вылечить то AVIRA лечит. Всё зависит от типа заражения. AVIRA поступает честно и сразу говорит можно ли вылечить, чтобы на выходе получился прямой, а не кривой файл.

Ну все совсем не так :-) Сейчас вредоносы уже редко заражают какие-либо системные файлы, которые надо потом лечить, как в эпоху DOS. Чаще они просто кидают твою библиотеки, маскируют их, препятствуют обнаружению со стороны антивирусов.

В большинстве случаем, таже Авира просто ничего не увидит, а Вы будете думать, что система чистая от заразы :!:

Некоторые антивирусы, а их всего 6 получилось из 15, обладают хорошими шансами обнаружить заражение.

А теже победители, пытаются вылечить всё и при этом умалчивают, о том, что получается на выходе. Это больше реклама, чем эффективный инструмент!!!

Они не пытаются, они лечат! На выходе получается полностью рабочая система, бывают остаются последствия типа ключей в реестре, но это при правильном лечении не сказывается на работе системы. Только в таких случаях антивирус получал "+". Вы плохо читали методологию, а также явно не ознакомились с подробным отчетом в PDF.

[vaber 350]

тогда было бы здорово, чтобы тест проводился с продуктами, которые не обновлялись с момента публикации на форуме списка малвары, чтоб не было соблазна докручивать чтонть в процессе Very Happy если это так и делалось, то хорошо.

Иван

Нет, антивирусы обновлялись по мере их тестирования.

Если бы вендоры могли что-то докручивать так быстро - это было бы отлично! Но к сожалению многие вообще ничего не докручивают и, по ходу, не собираются

З.Ы. Вы можете провести опыт. Найдите малварку, которая не детектируется будучи активной в системе антивирусом. Затем отошлите ее в вирлаб с пояснением. Раскажите потом, как скоро они чего прикрутят

[Guest Scrooge]

если в принципе можно вылечить то AVIRA лечит. Всё зависит от типа заражения. AVIRA поступает честно и сразу говорит можно ли вылечить, чтобы на выходе получился прямой, а не кривой файл.

Ну все совсем не так :-) Сейчас вредоносы уже редко заражают какие-либо системные файлы, которые надо потом лечить, как в эпоху DOS. Чаще они просто кидают твою библиотеки, маскируют их, препятствуют обнаружению со стороны антивирусов.

В большинстве случаем, таже Авира просто ничего не увидит, а Вы будете думать, что система чистая от заразы :!:

Некоторые антивирусы, а их всего 6 получилось из 15, обладают хорошими шансами обнаружить заражение.

А теже победители, пытаются вылечить всё и при этом умалчивают, о том, что получается на выходе. Это больше реклама, чем эффективный инструмент!!!

Они не пытаются, они лечат! На выходе получается полностью рабочая система, бывают остаются последствия типа ключей в реестре, но это при правильном лечении не сказывается на работе системы. Только в таких случаях антивирус получал "+". Вы плохо читали методологию, а также явно не ознакомились с подробным отчетом в PDF.

Если они кидают свои библиотеки, то эти вирусные библиотеки ИМХО надо просто удалять! А по детекту как раз AVIRA на первом месте и мало кто от неё спрячется!

Добавлено спустя 2 минуты 9 секунд:

А после Вашего лечения dll и exe нормальные или кривые получаются??? Если кривые, то смысл лечения????

По Вашему лечение состоит только в лечение исполняемых файлов? Если Вы так думаете, то Вы ошибаетесь. Зачастую недостаточно просто удалить (или вылечить) зараженные файлы. Некоторые образцы (как например Scano) в случае его удаления делает невозможным запуск рабочего стола (2all: говорю не техническим языком).

Добавлено спустя 3 минуты 38 секунд:

ЗЫ Инфекторы ИМХО почти устарели, современная малвара ушла уже далеко, Вы видимо давно не в курсе дел. А если не в курсе, то зачем писать?

Я не говорю только о exe или dll! Просто в отношении таких файлов это особенно критично, особенно если это системные файлы!

[Сергей Ильин 1538]

Если они кидают свои библиотеки, то эти вирусные библиотеки ИМХО надо просто удалять! А по детекту как раз AVIRA на первом месте и мало кто от неё спрячется!

Еще раз, Авира просто не видит в большинстве случаев никаких библиотек и других следов заражения вообще. Как она может что-то детектировать или удалить?

Она считает, что система не заражена!

Такая же точно ситацию с Eset. Детект родительствого файла - это хорошо, но когда троян встал в системе, то детекта может не быть (см. скриншоты).

[Storm 0]

Если они кидают свои библиотеки, то эти вирусные библиотеки ИМХО надо просто удалять!

Есть такая щтука - руткит. Откуда предпочитает получить объяснение?:

1) VirusList.Ru

2) WikiPedia

3) предложите свой

Когда Вы поймете, что такое качественный руткит, который просто не дает АВИРЕ увидеть само присутствие файла, тогда можно продолжить разговор.

А по детекту как раз AVIRA на первом месте и мало кто от неё спрячется!

Я не собираюсь оспаривать первое место АВИРЫ и не хочу обсуждать каким жертвами она добивается таких "отличных" результатов.

[vaber 350]

Самые интересные скрины

[Иван 290]

тогда было бы здорово, чтобы тест проводился с продуктами, которые не обновлялись с момента публикации на форуме списка малвары, чтоб не было соблазна докручивать чтонть в процессе Very Happy если это так и делалось, то хорошо.

Иван

Нет, антивирусы обновлялись по мере их тестирования.

Если бы вендоры могли что-то докручивать так быстро - это было бы отлично! Но к сожалению многие вообще ничего не докручивают и, по ходу, не собираются

З.Ы. Вы можете провести опыт. Найдите малварку, которая не детектируется будучи активной в системе антивирусом. Затем отошлите ее в вирлаб с пояснением. Раскажите потом, как скоро они чего прикрутят

напрасно, т.к. когда продукт находится в стадии активной разработки и бета-тестирования быстрая докрутка алгоритмов лечения вполне возможна

[Guest Scrooge]

Если они кидают свои библиотеки, то эти вирусные библиотеки ИМХО надо просто удалять!

Есть такая щтука - руткит. Откуда предпочитает получить объяснение?:

1) VirusList.Ru

2) WikiPedia

3) предложите свой

Когда Вы поймете, что такое качественный руткит, который просто не дает АВИРЕ увидеть само присутствие файла, тогда можно продолжить разговор.

А по детекту как раз AVIRA на первом месте и мало кто от неё спрячется!

Я не собираюсь оспаривать первое место АВИРЫ и не хочу обсуждать каким жертвами она добивается таких "отличных" результатов.

Не нужно разговаривать таким высокомерным и нисходительным тоном! Поверьте я и сам могу дать Вам ссылочки что и где почитать! :twisted: И тут Вы сами подвели нашу дискуссию, не к лечению заражённых файлов, а к лечению системы от заразы путём её удаления(заразы имеется в виду ). Почему-то av-comparatives показывает одни результаты, а Ваше тестирование другие. Выборка вредоносных программ у Вас скорее поменьше чем там.

Поиск руткитов имеется и работает замечательно. Если говорить про av-comparatives, то при результате найденных 99,45% из более чем 800000 вредоносных программ, остаётся 0.55%*800000=4400 не обнаруженных "вирусов" у AVIRA. Если брать Dr.Web 10,13%*800000=81040 Каспер 1,54%*800000=12320 не обнаруженных вредоносных программ. Этот тест наглядно показывает, что 100% не находит ни один антивир, но вопрос в том, какой сильнее стремится к 100%. А уж при обнаружении AVIRA с заразой не церемонится!

А если Вы не хотите объяснять какие-то жертвы AVIRA, то можете написать мне в личку.

Добавлено спустя 9 минут 21 секунду:

Если они кидают свои библиотеки, то эти вирусные библиотеки ИМХО надо просто удалять! А по детекту как раз AVIRA на первом месте и мало кто от неё спрячется!

Еще раз, Авира просто не видит в большинстве случаев никаких библиотек и других следов заражения вообще. Как она может что-то детектировать или удалить?

Она считает, что система не заражена!

Такая же точно ситацию с Eset. Детект родительствого файла - это хорошо, но когда троян встал в системе, то детекта может не быть (см. скриншоты).

Так посчитайте сколько вирусов не детектится по Вашей классификации. Выборку надо брать гораздо шире. Например как у av-comparatives там AVIRA не находит гораздо больше=4400 вредоносных программ, но вопрос в том, что там выборка берётся из 800000 вредоносов и это составляет 0,55% Можно запустить и 10 штук, которые не детектятся Dr.Web и сказать посмотрите он не ловит и не лечит 100%. Но это ведь не серьёзно.

Для чистоты эксперимента проверять надо сотни тысяч зловредов, а число не найденных должно исчисляться не единицами а сотнями и тысячами!