Тест антивирусов на лечение активного заражения II (результаты)

[Сергей Ильин 1538]

Scrooge, Вы в принципе не понимаете разницу меджу нашим тестом и тестом Адреаса клименти, на который сами ссылаетесь.

Попробуйте для начала прочитать методологию нашего теста и его результаты внимательно.

http://www.anti-malware.ru/index.phtml?par...rs_methodology2

http://www.anti-malware.ru/index.phtml?par...tive_infection1

Постарайтесь подумать, в чем разница между детектирование родительского файла трояна (исходного, его инталятора или загрузчика) от детектирования активного заражения системы этим самым трояном.

Storm, абсолютно верно указал Вам не пробелы в знаниях.

Продолжая в том же духе вы выставляете себя в свете не слишком одаренного интеллектуально. :-)

[nev99 0]

scrooge +1

позволю несогласиться с критикой.

ясно что идет обсуждение того, как лечить активное заражение,

но вы явно переигрываете.

1. не лучше ли не допустить заразу, чем затем устраивать "бои в памяти"? а так ведь вирусочек может ответить -винт почистить etc

(реакция на запуск инсталлятора веба или его самого)

единственный аргумент "за" -хвосты в настройках винды.

гм, веб 4.33 правит реестр? приходится ad-aware'ить.

2. покажите мне того, кто лечит машины "наживую". в моей конторе

клиентские машины лечатся путем извлечения hdd и проверке на

заведомо чистой машине, и уже затем -реестр.

3. сам использую авиру для зачистки -веб ловит отвратительно.

отсылаю пропущенное -то ли переключились на 4.4x, то ли все в отпусках -добавляют в базу крайне медленно.

после жалоб клиентов с установленным веб -у них вирусы -при активном нормально обновляемом спайдере -который пропускает* -я

разачаровался окончательно.

..а с активным ntos.exe веб просто ничего не нашел, авира -ворнинг

что файл не может быть открыт. не смотря на то что оно было в базах -

при проверке "не наживую" все было обнаружено.

не хочу спорить, просто мое мнение, подтвержденное случаями за последние месяцы.

*имелось ввиду, что на этой же машине, запустившись с live-cd

наподобие winternals erd commander и запустив с ее hdd этот же веб.

[ice-berg 30]

извиняюсь вопрос, а авира на полном сканировании будет кричать на файлы реестра -ворнинг - открыть не могу..?

[nev99 0]

нет, на pagefile.sys :E

почему веб молчал?? нельзя unlock сделать?

[vaber 350]

напрасно, т.к. когда продукт находится в стадии активной разработки и бета-тестирования быстрая докрутка алгоритмов лечения вполне возможна Very Happy

Так это же хорошо!!! Пусть докручивают - это только на пользу

Например я все новые самплы, что у меня появляются отсылаю с комментариями в вирлабы. И естественно, что модификации тех вирусов, что участвуют в тестировании я отправлял туда. Если докрутили, то молодцы

[Valery Ledovskoy 1082]

нет, на pagefile.sys :E

почему веб молчал?? нельзя unlock сделать?

Пробуйте 4.44. При активном заражении она на порядок лучше, чем 4.33. Раз "unlock сделать" было нельзя, значит 4.33 не умеет этого и не была для этого предназначена.

[Storm 0]

Почему-то av-comparatives показывает одни результаты, а Ваше тестирование другие.

Я говорил всем и буду говорить - если Вы подвергаете сомнению наш тест - проведите свой. И если Ваши результаты по той же AVIRE разойдутся с нашими, тогда будет о чем говорить, а сейчас Вы сравниваете два совершенно разных теста.

не лучше ли не допустить заразу, чем затем устраивать "бои в памяти"?

+1000 Я совершенно с Вами согласен. Но я еще не нашел ни одного антивируса который бы отлавливал 100% вирья (ну наверное кроме мелких "самописных"). Поэтому так или иначе важной функцией любого антивируса является лечение зараженного ПК. Наш тест и проверяет эти способности.

[nev99 0]

Валерий,

пробовать 4.44 хорошо, но "разработчик не несет ответственности.."

(см десклаимер). многие не будут ковыряться с бетой -конечному

пользователю сложно втолковать, что завтра будут золотые горы..

юзеры живут сейчас и практическая не-поддержка (мое скромное

мнение -ногами не пинать) 4.33 сказывается явно не в пользу веб -

народ бежит покупать касперского, увы

т.е. попросту бета -для разработчиков и авансед пользователей,

а конечные пользователи, те которые "кушают" продукт -не станут

ничего сами тестить, в т.ч. и бету. и будут продолжать пользоваться

4.33, которая -сами написали, "не была для этого предназначена"

уж очень затянули с выходом новой версии

[Guest Scrooge]

Scrooge, Вы в принципе не понимаете разницу меджу нашим тестом и тестом Адреаса клименти, на который сами ссылаетесь.

Попробуйте для начала прочитать методологию нашего теста и его результаты внимательно.

http://www.anti-malware.ru/index.phtml?par...rs_methodology2

http://www.anti-malware.ru/index.phtml?par...tive_infection1

Постарайтесь подумать, в чем разница между детектирование родительского файла трояна (исходного, его инталятора или загрузчика) от детектирования активного заражения системы этим самым трояном.

Storm, абсолютно верно указал Вам не пробелы в знаниях.

Продолжая в том же духе вы выставляете себя в свете не слишком одаренного интеллектуально. :-)

Пречитал специально методологию! И скажу в последний раз! Конечно кто-то вправе соглашаться, кто-то, как я, вправе не соглашаться! Но ИМХО 17 вредоносных программ для теста - это не много (точнее очень мало)!

Про то кто и что знает давайте конечно не будем рассуждать - это дело не благодарное и в этом случае получается не дискуссия по теме, а выяснение, кто умнее!

Для общего размышления!

Вчера друг принёс заражённую флэшку, там было два зверя! Причём оба не детектились каспером с самыми свежими обновлениями. А почему принёс, да потомучто после того как он просто воткнул флэшку в комп каспер со всеми его защитами своих процессов успешно слетел и даже не пикнул. А после перезагрузки вообще не запустился, т.к. в системе после флэшки пропал файл avp.exe Я не долго думая создал виртуальную машину установил каспера 7 и предварительно обновил по самое небалуйся. Потом даже запустил двойным щелчком зараженный exe У меня таже фигня - каспер сдох молча и причём после перезагрузки устанавливаться нивкакую не захотел.

Потом поставил AVIRA, которая с нуля совершенно без обновлений задетектила всех этих зверей и оторвала им всем голову так что мало не показалось. AVIRA ставилась после того как сдох каспер, т.е. на заражённую машину.

Вот Вам и пример активного заражения! Можете мне верить, а можете и нет!

Вот такие вот времена!

[ice-berg 30]

на самом деле я поддерживаю только одно из всей критики, набор вредоносов надо брать намного шире, причем разной давности, и обязательно среди них должен быть самый древний хотя бы один.

[Valery Ledovskoy 1082]

практическая не-поддержка (мое скромное

мнение -ногами не пинать) 4.33

Пробовали обращаться в техподдержку-то?

Техподдержка работает на уровне у нас.

и будут продолжать пользоваться

4.33, которая -сами написали

Или делать то, что предложит техподдержка.

уж очень затянули с выходом новой версии

Не хотели выпускать очень сырой продукт. Слишком много нововведений.

[Сергей Ильин 1538]

на самом деле я поддерживаю только одно из всей критики, набор вредоносов надо брать намного шире, причем разной давности, и обязательно среди них должен быть самый древний хотя бы один.

ИМХО 17 вредоносных программ для теста - это не много (точнее очень мало)!

Согласен, надо брать больше. Может даже 100 или 200 штук разных семейств и модицикаций. Только вот незадача, такой тест коллектив из 5 человек будет делать почти год. Большинство вендоров уже выпустят новые версии

Потом еще большая проблема - отсутствие какого-либо детекта отдельных семплов у участников теста. vaber подтвердит, сколько пришлось ждать когда кое-то из соизволит добавить в базу используемые образцы.

[Storm 0]

Вот Вам и пример активного заражения! Можете мне верить, а можете и нет!

Я Вам верю. Но для того, чтобы реально о чем-то говорить нужно хотя бы до нашего уровня дотянуть, хотя бы 17 разных по типу малвар протестить. И одним КАВом нельзя отделываться, взять хотя бы Нортона еще и Др. Веба.

Но ИМХО 17 вредоносных программ для теста - это не много (точнее очень мало)!

Опять же согласен с Вами, поэтому мы взяли самые интересные и сложные и популярные семплы. Вот сколько времени у Вас ушло на проверку только одного семпла только двумя антивирусами? А теперь хотя бы на минуту задумайтесь:

1) на одного зловреда и одного антивируса уходит: 30 секунд на ожидание пока заразит + перезагрузки + установка антивируса + обновление антивируса = ~ 30 минут

2) дополнительные перепроверки тоже нужно включить + анализ останков малвары

ЗЫ И ИМХО пример с одним семплом еще не повод чтобы подвергать сомнению наш тест.

ЗЫЫ Еще одна просьба, если опять захотите подвергнуть сомнению наш тест, то сначала проведите свой аналогичного размера или тупо воспроизведите наш. Ок?

[Dexter 20]

Так это же хорошо!!! Пусть докручивают - это только на пользу

Это точно.

Два вируса пропустили из-за того, что сканера в сетапе запускался ну в очень express варианте. То

есть, если бы запуск был не из сетапа, а с диска, то отловили бы и вылечили. Третий файл зевнули

"по-честному".

Обе проблемы уже исправлены и тестируются в бете.

http://forum.drweb.com/index.php?method=ra...;offset=0#59857

Кстати, это хороший ответ на Ивановы сомнения.

Впрочем, я замечал его смайлики и совершенно не сомневаюсь в их ироничной сути и предназначении.))

[vaber 350]

Вчера друг принёс заражённую флэшку, там было два зверя! Причём оба не детектились каспером с самыми свежими обновлениями. А почему принёс, да потомучто после того как он просто воткнул флэшку в комп каспер со всеми его защитами своих процессов успешно слетел и даже не пикнул. А после перезагрузки вообще не запустился, т.к. в системе после флэшки пропал файл avp.exe Я не долго думая создал виртуальную машину установил каспера 7 и предварительно обновил по самое небалуйся. Потом даже запустил двойным щелчком зараженный exe У меня таже фигня - каспер сдох молча и причём после перезагрузки устанавливаться нивкакую не захотел.

Потом поставил AVIRA, которая с нуля совершенно без обновлений задетектила всех этих зверей и оторвала им всем голову так что мало не показалось. AVIRA ставилась после того как сдох каспер, т.е. на заражённую машину.

Вот Вам и пример активного заражения! Можете мне верить, а можете и нет!

Вот такие вот времена!

Интересно. А можно получить такой сампл? Если нет, то хотя бы скопируйте из вердиктов авиры или касперского название вируса.

[Storm 0]

каспер сдох молча и причём после перезагрузки устанавливаться нивкакую не захотел.

Кстати, интересно, как КАВ мотивировал невозможность установки на ПК?

[vaber 350]

Но ИМХО 17 вредоносных программ для теста - это не много (точнее очень мало)!

Это правильнее будет сказать не 17 ВП, а 17 самых распространенных способ защиты от обнаружения/удаления антивирусами. Не имеет значения, как называются эти вирусы. Любой вирус, будь-то spy, proxy, backdoor и т.д. использующий такие или схожие методики защиты будет не обнаруживаемым со стороны антивирусов провалившихся в тесте.

И еще раз напоминаю, что в тесте я не использовал малвары, которые убивают антивирусные продукты, будь-то завершение процессов антивируса или удаления его файлов.

[ice-berg 30]

Потом еще большая проблема - отсутствие какого-либо детекта отдельных семплов у участников теста. vaber подтвердит, сколько пришлось ждать когда кое-то из соизволит добавить в базу используемые образцы.

Ну извините! Если антивирус даже не детектирует малвар тестируемый, то сразу "провал вендору", и недопуск к зачетному профилактическому экзамену.

[Storm 0]

Если антивирус даже не детектирует малвар тестируемый

Пусть уж все будут в равных условиях.

[Dmitry Perets 30]

Ну извините! Если антивирус даже не детектирует малвар тестируемый, то сразу "провал вендору", и недопуск к зачетному профилактическому экзамену.

Вот если так делать, то действительно можно будет сказать, что тест ничего не стоит из-за малой выборки сэмплов. Ведь если не детектится некий руткит, всё равно могут найтись десятки других руткитов, пользующихся такой же методикой самоскрытия, но ловящиеся и убивающиеся тем же антивирусом. А задача теста показать именно способность антивирусов противостоять определённым ТЕХНИКАМ скрытия и самозащиты зловредов, а не качество детекталечения малвар ITW. Но в отличие от простых лик-тестов (которые так же используются для теста борьбы с определёнными техниками), здесь всё же берутся реальные распространённые зловреды вместо простых dummy-сэмплов - это только лишний плюс методологии имхо.

[softnet 0]

1) информация об обсуждении планируемого тестирования не доводилась до широкого обсуждения среди зарегистрированных на форуме, например путем рассылки сообщений на e-mail.

2) использование виртуальной машины вызывает сомнение в корректности всего эксперимента - таких сомнений не будет, если все то же самое проделывать на реальной ОС. Препятствий не вижу - Acronis или Ghost к вашим услугам.

[Storm 0]

информация об обсуждении планируемого тестирования

Это так важно?

использование виртуальной машины вызывает

Мы с удовольствием примем Вашу претензию, когда у нас будут реальные факты, например: "антивирус А лечит вирус С, только в том случае, что оба работают на реальной машине. на виртуальной машине лечение не проходит".

ЗЫ А вообще мне не понятен смысл Вашего поста. Вас что-то в результатах не устраивает?

*** (добавлено через пару минут) ***

ЗЫЫ Уже понятен , почитал Ваши сообщения и понял, что Вы симпатизируете НОДу, который этот тест завалил. Тогда и тактика Ваша ясна:

1) объявить этот тест неправильным

2) и значит НОД никому не уступает

Ок, тогда если Вы подвергаете тест сомнению - проведите свой на реальной машине. Если результаты будут отличаться - сообщите мне.

[Иван 290]

1) информация об обсуждении планируемого тестирования не доводилась до широкого обсуждения среди зарегистрированных на форуме, например путем рассылки сообщений на e-mail.

я конечно понимаю,тот факт что нод32 и Avira пока никакие в плане лечения активного заражения и самозашиты это факт крайне прескорбный, но зачем же вы так грешите против истины.

все очень подробно обсуждалось, кто хотел тот все обсудил

http://www.anti-malware.ru/phpbb/viewtopic.php?t=3255

[Guest Scrooge]

Вот Вам и пример активного заражения! Можете мне верить, а можете и нет!

Я Вам верю. Но для того, чтобы реально о чем-то говорить нужно хотя бы до нашего уровня дотянуть, хотя бы 17 разных по типу малвар протестить. И одним КАВом нельзя отделываться, взять хотя бы Нортона еще и Др. Веба.

Но ИМХО 17 вредоносных программ для теста - это не много (точнее очень мало)!

Опять же согласен с Вами, поэтому мы взяли самые интересные и сложные и популярные семплы. Вот сколько времени у Вас ушло на проверку только одного семпла только двумя антивирусами? А теперь хотя бы на минуту задумайтесь:

1) на одного зловреда и одного антивируса уходит: 30 секунд на ожидание пока заразит + перезагрузки + установка антивируса + обновление антивируса = ~ 30 минут

2) дополнительные перепроверки тоже нужно включить + анализ останков малвары

ЗЫ И ИМХО пример с одним семплом еще не повод чтобы подвергать сомнению наш тест.

ЗЫЫ Еще одна просьба, если опять захотите подвергнуть сомнению наш тест, то сначала проведите свой аналогичного размера или тупо воспроизведите наш. Ок?

Я это прекрасно всё понимаю, но если у Вас такой популярный ресурс и говорите о том, что нет ресурсов провести более детальный и качественный тест, но при этом выкладываются результаты такого скромного теста, который не отражает всей действительной и объективной картины и при этом делаете выводы и даёте определённые награды, то у людей мало понимающих может возникнуть ложное представление о той или иной программе. Такой тест не может претендовать на объективность. Я уже приводил пример с цифрами. И понятно, что никто 100% не даст. Но из всех сущ-х зловредов самыми лучшими программами пропускаются ТЫСЯЧИ - что там говорить о 17 штуках.

А мой пример с одним сэмплом естесственно не претендует на статус авторитетного теста - это так к примеру!

PS

Вас занют многие и многие на вас ориентируются. Если проводить тест и раздавать награды, то делать это ИМХО основательно!!!

Кто понимает, тот сделает выводы, а если ламер зайдёт и прочитает такой тест, то выберет программу не объективно!!!

[Mr. Justice 771]

Вот Вам и пример активного заражения! Можете мне верить, а можете и нет!

Я Вам верю. Но для того, чтобы реально о чем-то говорить нужно хотя бы до нашего уровня дотянуть, хотя бы 17 разных по типу малвар протестить. И одним КАВом нельзя отделываться, взять хотя бы Нортона еще и Др. Веба.

Но ИМХО 17 вредоносных программ для теста - это не много (точнее очень мало)!

Опять же согласен с Вами, поэтому мы взяли самые интересные и сложные и популярные семплы. Вот сколько времени у Вас ушло на проверку только одного семпла только двумя антивирусами? А теперь хотя бы на минуту задумайтесь:

1) на одного зловреда и одного антивируса уходит: 30 секунд на ожидание пока заразит + перезагрузки + установка антивируса + обновление антивируса = ~ 30 минут

2) дополнительные перепроверки тоже нужно включить + анализ останков малвары

ЗЫ И ИМХО пример с одним семплом еще не повод чтобы подвергать сомнению наш тест.

ЗЫЫ Еще одна просьба, если опять захотите подвергнуть сомнению наш тест, то сначала проведите свой аналогичного размера или тупо воспроизведите наш. Ок?

Я это прекрасно всё понимаю, но если у Вас такой популярный ресурс и говорите о том, что нет ресурсов провести более детальный и качественный тест, но при этом выкладываются результаты такого скромного теста, который не отражает всей действительной и объективной картины и при этом делаете выводы и даёте определённые награды, то у людей мало понимающих может возникнуть ложное представление о той или иной программе. Такой тест не может претендовать на объективность. Я уже приводил пример с цифрами. И понятно, что никто 100% не даст. Но из всех сущ-х зловредов самыми лучшими программами пропускаются ТЫСЯЧИ - что там говорить о 17 штуках.

А мой пример с одним сэмплом естесственно не претендует на статус авторитетного теста - это так к примеру!

PS

Вас занют многие и многие на вас ориентируются. Если проводить тест и раздавать награды, то делать это ИМХО основательно!!!

Кто понимает, тот сделает выводы, а если ламер зайдёт и прочитает такой тест, то выберет программу не объективно!!!

Уважаемый Scrooge по моему Вы не понимаете разницу между репрезентативностью и количеством сэмплов. Небольшое количество исследуемых образцов далеко не всегда говорит о нерепрезентативности теста. Очень не хотелось бы устраивать здесь ликбез на тему репрезентативности. Надеюсь сами во всем разберетесь. Простите если обидел.