Тест антивирусов на лечение активного заражения II (результаты)

[Guest Scrooge]

Но ИМХО 17 вредоносных программ для теста - это не много (точнее очень мало)!

Это правильнее будет сказать не 17 ВП, а 17 самых распространенных способ защиты от обнаружения/удаления антивирусами. Не имеет значения, как называются эти вирусы. Любой вирус, будь-то spy, proxy, backdoor и т.д. использующий такие или схожие методики защиты будет не обнаруживаемым со стороны антивирусов провалившихся в тесте.

И еще раз напоминаю, что в тесте я не использовал малвары, которые убивают антивирусные продукты, будь-то завершение процессов антивируса или удаления его файлов.

Такой вредонос ко мне тоже случайно попал (я уже писал как). Но зря Вы не использовали такие "вири". Результат и распределение мест было бы совсем иным! Былобы гораздо интереснее и возникло бы больше вопросов. Я так понимаю выбирались самые разные и матёрые зловреды, но намеренно был пропущен один из самых "мощных" типов.

PS

Конечно я могу выслать Вам файл с вирусом, который не детектился каспером, но в тот же день он был отправлен и в лабораторию к тому самому касперу, так что возможно, что сигнатуры уже выпущены. Если тестить, то с обновлениями сделанными ранее 17.09.2007

Добавлено спустя 8 минут 13 секунд:

Уважаемый Scrooge по моему Вы не понимаете разницу между репрезентативностью и количеством сэмплов. Небольшое количество исследуемых образцов далеко не всегда говорит о нерепрезентативности теста. Очень не хотелось бы устраивать здесь ликбез на тему репрезентативности. Надеюсь сами во всем разберетесь. Простите если обидел.

Да нет, обидеть меня трудно. Просто хочется добиться объективности по надёжности антивиров. Я понимаю, что такое репрезентативность и понимаю также, что она у вас далеко не объективна и может привести в заблуждение неокрепшие умы.

Ещё раз повторюсь - ВЫ ШИРОКО ИЗВЕСТНЫ И УВАЖАЕМЫ, В ТОМ ЧИСЛЕ И МНОЙ И НА ВАС МНОГИЕ РАВНЯЮТСЯ. БУДЬТЕ ДОСТОЙНЫ ЭТОГО ВЫСКОГО УРОВНЯ ДОВЕРИЯ И ИЗВЕСТНОСТИ!!! И отговорки типа, а знаете сколько нужно времени и ресурсов.... не катят!!! Может просто не хотите, но это уже другая история!!!

А ссылочки на каспера вверху форума красноречиво говорят о...

[Storm 0]

если у Вас такой популярный ресурс и говорите о том, что нет ресурсов

Популярность еще не означает наличие больших ресурсов. Взять например IM-клиент QIP. Он очень популярен, но делает его один-два человека.

который не отражает всей действительной и объективной картины и при этом делаете выводы и даёте определённые награды

Взятые нами семплы, как я уже говорил, наиболее сложны и распространены в сети. Пользователи чаще сталкиваются именно с ними, и на основание этого я делаю вывод, что картина с лечением других вирусов со схожими алгоритмами заражения будет аналогичной. Ведь если например AVIRA успешно лечит вирус A применяющий алгоритм заражения B и НЕ лечит вирус C применяющий алгоритм заражения B, то получается весьма странная ситуация, существование которой лично я подвергаю сомнению.

[Guest Scrooge]

если у Вас такой популярный ресурс и говорите о том, что нет ресурсов

Популярность еще не означает наличие больших ресурсов. Взять например IM-клиент QIP. Он очень популярен, но делает его один-два человека.

который не отражает всей действительной и объективной картины и при этом делаете выводы и даёте определённые награды

Взятые нами семплы, как я уже говорил, наиболее сложны и распространены в сети. Пользователи чаще сталкиваются именно с ними, и на основание этого я делаю вывод, что картина с лечением других вирусов со схожими алгоритмами заражения будет аналогичной. Ведь если например AVIRA успешно лечит вирус A применяющий алгоритм заражения B и НЕ лечит вирус C применяющий алгоритм заражения B, то получается весьма странная ситуация, существование которой лично я подвергаю сомнению.

Основываться на личном мнении в таком сложном и разнообразном мире вирусов нельзя. Для всего нужны тесты. Если основываться только на личном мнении, то можно зайти очень далеко. Сухой язык тестов и цифр - вот что надо брать за основу!!! Хотя и тут как Вы понимаете не будет 100% гарантии, но всё-таки гораздо большая объективность. Думать можно одно, а на практике может быть совсем другое. Люди долго тоже думали, что земля плоская, но исследования показали, что она круглая (тоже ошибка), потом доказали, что она немного вытянута и не идеально круглая. Вот видите в тестах могут быть ошибки, но они координально отличаются от ошибок сделанных на личном мнении!!!

[Storm 0]

но намеренно был пропущен один из самых "мощных" типов.

Уточните какой тип был пропущен.

Конечно я могу выслать Вам файл с вирусом

Тогда ждем.

А ссылочки на каспера вверху форума красноречиво говорят о...

Они красноречиво говорят о Вашем незнание принципов контекстной рекламы. Кратко: яндекс показывает рекламу, которая соответствует тематике сайта. Плиз, не уводите тему в сторону, а то чувствую следующей претензией будет чересчур красный дизайн ресурса.

[Storm 0]

Сухой язык тестов и цифр - вот что надо брать за очнову!!!

Согласен, приведите пример подтверждающий существование подобной ситуации. У меня доказательства есть. Например хорпикс и луктуми применяют ряд схожих алгоритмов для самозащиты, а именно открывают свои файл в режиме монопольного доступа. Авира не лечит ни того, ни другого.

[Guest Scrooge]

Сухой язык тестов и цифр - вот что надо брать за очнову!!!

Согласен, приведите пример подтверждающий существование подобной ситуации. У меня доказательства есть. Например хорпикс и луктуми применяют ряд схожих алгоритмов для самозащиты, а именно открывают свои файл в режиме монопольного доступа. Авира не лечит ни того, ни другого.

Безопасный режим+Unlocker+AVIRA

Антивирусом тоже надо уметь пользоваться!

[Storm 0]

Нет нет я больше не буду

Вы пришлёте наконец тот семпл или будем здесь перебранку устраивать.

Добавлено спустя 1 минуту 20 секунд:

Безопасный режим+Unlocker+AVIRA

Есть еще более идеальный вариант: AVZ + AVIRA. Хотя нет, есть еще более лучший: Dr. Web + AVIRA.

[Guest Scrooge]

Нет нет я больше не буду

Вы пришлёте наконец тот семпл или будем здесь перебранку устраивать.

Пришлю но на неделе - в Пн или во вторник. Но повторюсь, скорее всего этот сэмпл добавили в базу каспера поэтому тестить его надо с базами ранее 17,09,2007

[softnet 0]

зачем же вы так грешите против истины.

все очень подробно обсуждалось, кто хотел тот все обсудил

http://www.anti-malware.ru/phpbb/viewtopic.php?t=3255

Ну что Вы! Я никогда не грешу по таким пустякам! И это "ПОДРОБНОЕ " обсуждение всего лишь на 2х страницах я видел. Вы уж признайте факт - не было широкого обсуждения, и широкая общественность через e-mail не извещалась. Я к тому, что не все могут зависать на вашем сайте и вовремя отслеживать информацию. Вот и выяснилась бы при таком обсуждении корректность тестирования лечения в виртуальной среде. И еще Вы не ответили - почему не пошли простым , а потому прозрачным, путем - не проводили тестов на реальной ОС. Время что ли и трудов жалко было восстанавливать систему из образа?

Я не фанат НОДа, но не люблю попыток шельмовать хороший продукт. Ведь большинство юзеров просто слышат о Вашем тесте по результатам которого ,оказывается, НОД чего то там не прошел. А детально вникнуть у таких юзеров нет сил и времени.

[Guest Scrooge]

Нет нет я больше не буду

Вы пришлёте наконец тот семпл или будем здесь перебранку устраивать.

Добавлено спустя 1 минуту 20 секунд:

Безопасный режим+Unlocker+AVIRA

Есть еще более идеальный вариант: AVZ + AVIRA. Хотя нет, есть еще более лучший: Dr. Web + AVIRA.

Один антивирус хорошо, а два лучше. ИМХО Согласен!!! Но фундамент всё равно образует в этом случае AVIRA!!!

Добавлено спустя 1 минуту 49 секунд:

Я не фанат НОДа, но не люблю попыток шельмовать хороший продукт. Ведь большинство юзеров просто слышат о Вашем тесте по результатам которого ,оказывается, НОД чего то там не прошел. А детально вникнуть у таких юзеров нет сил и времени.

+100

Согласен

[Storm 0]

Но повторюсь, скорее всего этот сэмпл добавили в базу каспера поэтому тестить его надо с базами ранее 17,09,2007

Да, я понял.

Вот и выяснилась бы при таком обсуждении корректность тестирования лечения в виртуальной среде

Я надеюсь Вы основываетесь на реальных фактах, а не на домыслах. (под фактами я понимаю ситуацию, когда антивирус А лечит вирус B только на реальной машине и не лечит его под виртуальной).

Но фундамент всё равно образует в этом случае AVIRA!!!

Это как угодно юзеру. Но по нашей методике предполагалось, что антивирус должен вылечить комп при минимальной помощи со стороны юзера. А то получается, что для борьбы с руткитами, встроенного в АВИРУ средства недостаточно, нужно еще сторонний анти-руткит ставить. (проще говоря задача была не "вылечить комп от зловреда при помощи АВИРЫ и прочих средств, а вылечить комп при помощи самой АВИРЫ").

Добавлено спустя 5 минут 2 секунды:

За сим я для себя обсуждение теста сворачиваю, так как пока у меня нет фактов утверждающих, что тест некорректен. Чтобы разубедить меня нужно совсем немного:

1) если кто-то считает, что тест не отражает реальной ситуации - проведите свой аналогичный (или воспроизведите наш) и докажите ошибочность теста

2) есть кто-то считает, что тест нельзя проводить на виртуальной машине, то приведите семплы, которые под виртуальной машиной НЕ лечатся антивирусом, а под реальной машиной лечатся.

[softnet 0]

Кстати, я работал еще под ДОС с Aidstest, с DrWeb, с комплексом DSAv, с 1998 г. пользуюсь НОДом, не забываю про DrWeb ? который стоит контрольным антивирусом - как сканер по требованию. В других конфигурациях - контрольный Авира, с которым познкомился в этом году. Но я далек от фанатизма - не люблю шельмования. И еще - придерживаюсь точки зрения , что лечить вирусное заражение в компьютерной среде - дело неблагодарное и непродуктивное - гораздо важнее не пропускать, детектить вирусы.

[Mr. Justice 771]

И это "ПОДРОБНОЕ " обсуждение всего лишь на 2х страницах я видел. Вы уж признайте факт - не было широкого обсуждения,

Вам и другим, заинтересованным лицам никто не запрещал принимать в нем участие. "После драки кулаками не машут"

и широкая общественность через e-mail не извещалась.

Слушайте, а может Вам еще и ежедневные отчеты о проделанной работе нужно было высылать? Не перегибайте палку. Публичное обсуждение было. ВСЕ КТО ЖЕЛАЛ ПРИНЯТЬ В НЕМ УЧАСТИЕ - ОБСУЖДАЛ РЕАЛИЗОВАЛ ЭТУ ВОЗМОЖНОСТЬ.

Я к тому, что не все могут зависать на вашем сайте и вовремя отслеживать информацию.

Это Ваши личные проблемы.

Вот и выяснилась бы при таком обсуждении корректность тестирования лечения в виртуальной среде. И еще Вы не ответили - почему не пошли простым , а потому прозрачным, путем - не проводили тестов на реальной ОС. Время что ли и трудов жалко было восстанавливать систему из образа?

Если Вы сумеете доказать что это повлияло на результаты теста, то я приму Ваше суждение за аргумент, в противном случае - это пустые слова.

Я не фанат НОДа, но не люблю попыток шельмовать хороший продукт. Ведь большинство юзеров просто слышат о Вашем тесте по результатам которого ,оказывается, НОД чего то там не прошел. А детально вникнуть у таких юзеров нет сил и времени.

Иллюзия.

[Dexter 20]

Гы.

Как меняются времена.

Не удивлюсь, если сейчас Storm напишет какую-нибудь фразу подобную репертуару john'a.

Например, про сад. )))

[softnet 0]

Все таки - почему была выбрана методология использования виртуальной машины, а не использование реальной среды?

[Mr. Justice 771]

Сухой язык тестов и цифр - вот что надо брать за очнову!!!

Согласен, приведите пример подтверждающий существование подобной ситуации. У меня доказательства есть. Например хорпикс и луктуми применяют ряд схожих алгоритмов для самозащиты, а именно открывают свои файл в режиме монопольного доступа. Авира не лечит ни того, ни другого.

Безопасный режим+Unlocker+AVIRA

Антивирусом тоже надо уметь пользоваться!

То есть Авира без костылей не обходится. Я правильно понял? В любом случае согласно методологии проведения теста антивирус должен лечить систему самостоятельно без припарок. Прверялось способность антивирусов к лечению машины. а не взаимодействие антивирусов с вспомогательными средставми лечения. Ясно?

[Storm 0]

Как меняются времена.

Зачем? Я просто устал повторять одно и тоже. Пока у меня не будет доказательств по указанным мною двум пунктам я обсуждать тест отказываюсь.

Добавлено спустя 2 минуты 9 секунд:

То есть Авира без костылей не обходится. Я правильно понял? В любом случае согласно методологии проведения теста антивирус должен лечить систему самостоятельно без припарок. Прверялось способность антивирусов к лечению машины. а не взаимодействие антивирусов с вспомогательными средставми лечения. Ясно?

+1

[alexgr 556]

Насколько я помню - в набор малвары отбирались звери, сохраняющие работоспособность на VM, соответственно, не думаю, что здесь имеется кривизна.

Про наборы - предлагаю провести ограниченными ресурсами тест хотя бы одного продукта по ВСЕМ функциональностям. Сколько вам понадобиться времени? Я проводил и знаю цифру человеко- часов.

2 Scrooge:

У любого вендора есть в запасе пара - тройка сэмплов, которые не детектятся, не "лечатся" альтернативными продуктами, а лично для вас имею пару сэмплов абсолютно чистых файлов, которые "лечит" Avira. Что с этим приложением происходит в результате - рассказать? Но мне и в голову не приходило этими сэмплами ставить под слмнение результаты теста.

Про репрезентативность. Я много про это сам спорил, однако - в данном случае идет ПРОВЕРКА функциональности на ограниченной выборке. Есть такая методология - см. документы.

Если у вас есть желание обеспечить проверку на всем факторном пространстве - я готов потерпеть и подождать результатов. Годика вам хватит на библиотеке хотя в 200000 вредоносов, с контролем новых зверей ITW и оценки наличие новых технологий в них? Ну и число антивирусов тут - на ваше усмотрение, желательно, чтобы не меньше, чем в обсуждаемом тесте. Да, и с базами как вы будете разбираться? иль пойдем методикой Клементи?

Можно отказаться от VM - но это ИМХО только увеличит длительность теста

[Dexter 20]

Storm

Зачем?

Меняются не только времена, но и люди, и положения в которых они оказываются.

Примите мою моральную поддержку

Даже плюсик поставил, а я этим почти не занимаюсь, впрочем как и минусиками)

P.S. Хотел и vaber'y плюсик поставить в качестве компенсации морального вреда, но форум пишет:

Вы не можете так часто влиять на карму одного и того же участника форума, подождите некоторое время :-)

Странно, я же до этого плюсик Storm'y, а не vaber'y ставил. :shock:

[vaber 350]

Scrooge

Специально для Вас я отвечу на Ваши вопросы, поскольку Вы явно не в теме и только показываете себя некомпетентным человеком.

Такой вредонос ко мне тоже случайно попал (я уже писал как). Но зря Вы не использовали такие "вири". Результат и распределение мест было бы совсем иным! Былобы гораздо интереснее и возникло бы больше вопросов. Я так понимаю выбирались самые разные и матёрые зловреды, но намеренно был пропущен один из самых "мощных" типов.

Такого вредоноса просто нету то что Вы написали - выдумка (во всяком случае пока не докажите обратное, чего, вероятно, не будет).

Что в Вашем понимании тип зловреда? Тем более мощный?

Объясняю почему не были взяты вирусы, убивающие антивирус. Проблема в том, что в теле вируса содержится определенный набор процессов и файлов антивируса, которые подлежат завершению/удалению. Чтобы тест был объективен нужен вирус, который бы пытался убить всех тестируемых антивирусов. Такой образец достаточно сложно найти.

Безопасный режим+Unlocker+AVIRA

Антивирусом тоже надо уметь пользоваться!

Опять же - методология не была прочитана.

Ну что Вы! Я никогда не грешу по таким пустякам! И это "ПОДРОБНОЕ " обсуждение всего лишь на 2х страницах я видел. Вы уж признайте факт - не было широкого обсуждения, и широкая общественность через e-mail не извещалась. Я к тому, что не все могут зависать на вашем сайте и вовремя отслеживать информацию. Вот и выяснилась бы при таком обсуждении корректность тестирования лечения в виртуальной среде. И еще Вы не ответили - почему не пошли простым , а потому прозрачным, путем - не проводили тестов на реальной ОС. Время что ли и трудов жалко было восстанавливать систему из образа?

На 2-ух страницах? Так кто же виноват, что только на 2-ух? Я был бы тоолько рад, если бы на большем количестве.

И еще - Вы намекаете на то, чтобы мы занимались спамом?? Делая рассылки на емейл с просьбой обсудить методологию? Или еще и сами образцы нужно было в этих письмах рассылать?

Если Вы думаете, что результаты на виртуальной как-то могут разница с результатами на реальной системе - Вы глубоко заблуждаетесь. Данные самплы абсолютно идентично ведут себя на реальной и виртуальной машинах. Или Вы не согласны? Вы бы еще спросили, почему применялся Trojan-Clicker.Win32.Costrat.l, а не Trojan-Clicker.Win32.Costrat.e.

З.Ы. Scrooge. Продолжайте обсуждения на своем, Авировском форуме. Может представители Авиры Вам там что-нибудь скажут... Что врядли.

Хватит писать глупости! Если Вам кажется,что Вы говорите что-то умное и дельное - Вы глубоко заблуждаетесь. Человеку компетентному Ваши посты кажутся смешными, чеслово!

[softnet 0]

И еще - Вы намекаете на то, чтобы мы занимались спамом?? Делая рассылки на емейл с просьбой обсудить методологию? Или еще и сами образцы нужно было в этих письмах рассылать?

Лично я и многие мои знакомые - очень серьезные люди и никогда не восприняли бы за спам Ваши письма с просьбой зайти на сайт и поучаствовать в обсуждении - не надо передергивать со спамом.

Образцы можно было бы разослать по предварительной догворенности в закрытом паролем архиве - а что тут плохого - Вы же за открытость.

Данные самплы абсолютно идентично ведут себя на реальной и виртуальной машинах

Может это и так, а кто проверял корректность работы ативируса в такой ситуации, когда Вы его устанавливаете в виртуальной зараженной среде?

Добавлено спустя 2 минуты 48 секунд:

И все равно - нет ответа на прямой вопрос - почему была выбрана методология с виртуальной средой , а не реальная ОС?

[alexgr 556]

набор сэмплов обсуждался, и я не вижу необходимости вообще их пересылать! Это достаточно известное зверье, оно достаточно часто "под рукой" (к сожалению!)

[vaber 350]

Образцы можно было бы разослать по предварительной догворенности в закрытом паролем архиве - а что тут плохого - Вы же за открытость.

За распространение вирусов дают срок, если Вы не в курсе.

И все равно - нет ответа на прямой вопрос - почему была выбрана методология с виртуальной средой , а не реальная ОС?

Ответ прост - нету никакой между ними разницы в данном случае. Помоему это исчерпывающий ответ. Если Вам это не известно - то зачем придираетесь не зная?

[softnet 0]

Дело в том, что , во -первых, не надо горячиться. Во-вторых, теория -это одно, а практика - другое (это по поводу разницы между виртуальной ОС и реальной ОС, все таки виртуальная работает из-под реальной). В-третьих, использовать реальную ОС проще, а любой эксперимент достовернее, если он проще в рамках поставленной цели. Для вашей цели усложнение в виде виртуальной ОС не оправдано, и вызывает сомнение , а также смутное подозрение в какой то смутности, темности эксперимента. Ну действительно, куда проще взять реальную ОС, провести дело, а потом сделать восстановление из образа.

, а кто проверял корректность работы ативируса в такой ситуации, когда Вы его устанавливаете в виртуальной зараженной среде?

[alexgr 556]

Во-вторых, теория -это одно, а практика - другое (это по поводу разницы между виртуальной ОС и реальной ОС, все таки виртуальная работает из-под реальной).

И что показывает практика?

Добавлено спустя 6 минут 24 секунды:

этот пост как раз и говорит о "голом" теоретизировании