Тест на детект. KIS 7, Nod32, Avast, BILIRAFON, ClamAV

[ice-berg 30]

Тоже тест на детект (не на заражение).

Проводился в личных интересах.

http://www.stopvirus.ru/index.php?id=141&tx_ttnews[tt_news]=149&tx_ttnews[backPid]=138&cHash=291d3e11cb

Был проведен тест на обнаружение вредоносных объектов.

Игроки: KIS 7.0, Nod32, BILIRAFON, ClamAV, Avast.

1.

Тест на обнаружение вредоносных программ из сторонней коллекции.

(коллекция собрана за 01.01.07 по 01.08.07)

*коллекционер представляет интересы Trend Micro.

Всего было представлено экземпляров 736 шт.

Кратко по обнаружению:

NOD32 - 703 шт.

BILIRAFON - 678 шт.

KIS 7.0 - 733 шт.

ClamAV (ориг. базы clamav.net) - 490 шт.

----------------------------------------

Смотреть подробный отчет

2.

Тест на обнаружение вредоносных файлов, взятых в случайном порядке из НАШЕЙ коллекции за Август-сентябрь

KIS 7.0 - 93 шт.

BILIRAFON - 97 шт.

Nod32 - 75 шт.

ClamAV (ориг. базы clamav.net) - 52 шт.

!Avast: 71 шт.

Смотреть подробный отчет

--------------------------

[Valery Ledovskoy 1082]

Можно ли протестировать на этой же коллекции бету Dr.Web 4.44 и прислать недетектируемые сэмплы? Буду весьма признателен, ибо интересно.

[ice-berg 30]

У меня нет в наличии Dr.Weba 4.44 (BETA).

Если кинешь прямую ссылку с тестовым ключом, то впринципи могу просканировать, но вот по поводу сэмплов - не знаю, т.к. хозяин "эксклюзивов" может быть против... но посмотрим.

[Valery Ledovskoy 1082]

У меня нет в наличии Dr.Weba 4.44 (BETA).

http://beta.drweb.com

Нужно зарегистрироваться. Занимает 1 минуту.

Если лень, могу выложить на ftp .

но вот по поводу сэмплов - не знаю, т.к. хозяин "эксклюзивов" может быть против... но посмотрим.

Вообще-то это правило хорошего тона для тестировщиков - делиться в производителями антивирусов проблемными сэмплами после теста. Я же не прошу их в общедоступном месте выложить

[TANUKI 240]

Хм... а почему в первом тесте не присутствует Аваст?

Эх, мне бы тоже получить доступ "к НАШЕЙ коллекции"... Мечты- мечты...

[ice-berg 30]

Авастом сканировал, но он странный отчет выдал.

Не знаю что там у него за фокусы поиска в файле нескольких сигнатур или что-то подобное... кароче ну его есть отчет кстати.

Говорит, я просканировал файлов больше чем их существует в папке.

Решил не включать его.

А так итоги сканирования здесь ниже.

!Avast - test1

http://stopvirus.ru/virus/avast.txt

Valery Ledovskoy,

Вот результаты DrWeb на test2. (август-сентябрь)

http://stopvirus.ru/virus/drweb.txt

Мне жутко некогда сравнивать чего он не задетектил, можешь сравнить и написать мне какие именно, я тебе вышлю сэмплы.

Чужая коллекция. Реакция Dr.Web 4.44 (бета):

Кстати, отлично.

Результат блестящий.

Поймано как и у KIS 7.0 - 733 шт.

http://stopvirus.ru/virus/DrWeb2.txt

p.s. сэмплов 736, кис и вэб поймали мах 733. Возможно 3 шт из коллекции бывшие фолсы или битые.

Ну кстати, коллекция которая большая, все таки полугодовая, и там самое основное... поэтому так и хочется сказать...

"Нидай бох бы ещё и не детектили спустя такое время!".

Тест на свежесть (Август-Сентябрь, мне кажется показательнее)

[Storm 0]

Эх, мне бы тоже получить доступ "к НАШЕЙ коллекции"... Мечты- мечты...

Ну может и не мечты.

Ну для начала неплохо бы мотивировать свою мечту. Если ice-berg не поделится - стучите мне в личку или асю. И если просьба будет мотивирована, то возможно и поделюсь.

[Valery Ledovskoy 1082]

Вот результаты DrWeb на test2. (август-сентябрь)

http://stopvirus.ru/virus/drweb.txt

Мне жутко некогда сравнивать чего он не задетектил, можешь сравнить и написать мне какие именно, я тебе вышлю сэмплы.

Спасибо за результаты.

Сравнивать вручную ничего не надо.

Но чтобы увидеть, что не задетектилось, можно в сканере в настройках на вкладке "Отчёт" сказать, чтобы в лог включались все сканируемые объекты. А потом покажите этот лог, если несложно.

[ice-berg 30]

d.exe, mssql0.exe1, sysdrv1.exe, vedxga4m1et4.exe, WQIexaHX.exe (?), gde.exe-, hew.exe-, msdnc3.exe, service.exe1

это он не взял.

--

В закрытой ветке форума выложил сэмплы

[Valery Ledovskoy 1082]

d.exe, mssql0.exe1, sysdrv1.exe, vedxga4m1et4.exe, WQIexaHX.exe (?), gde.exe-, hew.exe-, msdnc3.exe, service.exe1

Можете прислать мне их в архиве почтой?

Почта есть в профиле.

Добавлено спустя 7 минут 53 секунды:

это он не взял.

Спасибо, получил. Будем разбираться.

[Денис Лебедев 20]

*коллекционер представляет интересы Trend Micro.

И совсем даже не интересы, просто юзаю продукты этой марки :-) Следовательно, и вся коллекция имеет имена сигнатур данной компании.

А вообще, я не против. Могу дать доступ к этой коллекции представителям вендоров на этом форуме ;-)

А так, в первую очередь сейчас все отловленные мною семплы попадают (естессно, при нулевом детекте) в вирлаб тренд микро, вирлаб билирафона (stopvirus.ru) и олегу зайцеву (ему скидываю оптовыми партиями за неделю).

Также, хочу внести небольшую поправочку в первый пост. В коллекции присутствую и старые экземпляры тоже, т.е. 2006 и 2005 годов выпуска :-)

Авастом сканировал, но он странный отчет выдал.

Не знаю что там у него за фокусы поиска в файле нескольких сигнатур или что-то подобное... кароче ну его есть отчет кстати.

Говорит, я просканировал файлов больше чем их существует в папке.

Это потому что в коллекции присутствуют архивы, состоящие из нескольких файлов (например, в папке JAVA_). Поэтому так и получилось, что файлов в папке одно количество, а проверенных - другое. Также, имеются файлы с расширением EXE, но являющиеся например SFX-архивами. Естессно, внутренности таких объектов он тоже посчитал.

[ice-berg 30]

Денис, дело в том, что я брал для теста базы TRO, WORM, VBS, BKDR, TSPY, PE.

Остальное на обнаружение не включил.

[Dexter 20]

сейчас все отловленные мною семплы попадают (естессно, при нулевом детекте) в вирлаб тренд микро, вирлаб билирафона (stopvirus.ru) и олегу зайцеву (ему скидываю оптовыми партиями за неделю).

Т.е. и обсуждаемые отсылались?

[Денис Лебедев 20]

Т.е. и обсуждаемые отсылались?

Это вы что имели ввиду? Обсуждаемые где? Вся коллекция регулярно проверяется (слава богу пока не на столько большая :-)) и новое отправляется. Я не разграничиваю на обсуждаемое или не обсуждаемое, если вы про закрытый раздел нашего форума.

[ice-berg 30]

кстати, вот как оно будет по вашему мнению...

Представьте Вы - вендор.

Вопрос, станете ли делиться новыми сэмплами?

Со стороны безопасности, конечно, это необходимо для интернета... Но, здесь вопрос бизнеса и качества продукта...

[Dexter 20]

Это вы что имели ввиду?

Я про тестируемые в этой ветке.

кстати, вот как оно будет по вашему мнению...

Сложный вопрос.

Наверное, всё бы зависело от личных отношений, если только они возможны в этой сфере.

А старыми семплами многие обмениваются, насколько мне известно.

[Денис Лебедев 20]

А старыми семплами многие обмениваются, насколько мне известно.

Дак и новьё стараемся выкладывать здесь тоже.. хоть и не в огромном количестве, но лучше чем совсем ничего.

[TANUKI 240]

Ну для начала неплохо бы мотивировать свою мечту. Если ice-berg не поделится - стучите мне в личку или асю. И если просьба будет мотивирована, то возможно и поделюсь.

Скажем так, я уже в двух достаточно мотивированных письмах мотивировал свою "мечту" Сергею Ильину Ответа по второму письму так и не дождался

Вирусы нужны для того же, для чего они были нужны ice-berg-у

Например, вот для этого (это мой тест):

http://www.anti-malware.ru/phpbb/viewtopic...not&start=0

Просто сейчас пишу под другим ником. Принадлежность этого ника ЕНОТ ко мне могу доказать

Просто собираюсь к концу года поднакопить вирусов и провести мег-тест антивирусов версий 2007-2008 (беток). Конечно же, учту советы, данные мне в той ветке. Отключу "Восстановление системы", разархивирую все вирусы в одну папку и вообще "подшаманю" вид отчета (будет четкое количество вирусов с названиями каждого!) Ну и, конечно, таких бредовых вопросов про форматирование и про вгрызание вирусов в матринскую плату и БИОС задавать больше не буду (Сейчас перечитал ветку и смачно поржал над своим ламерством 2-х годичной давности ) Благодаря этому сайту и вирусинфо - у меня все меньше и меньше ламерских вопросов по антивирусной теме, за что этим сайтам большое спасибо

Более полную мотивацию изложу в личку, ice-berg-у в том числе Надеюсь на отзывчивость

П. С. Ребята, жаль, я не в Москве живу, а то познакомился с многими поближе и, может быть, моя персона вызывала бы больше доверия Хочу сказать основное - я давно уже вышел из того возраста, когда нужно было "сломать аську Мани, почтовик Васи и сделать западло препаду"

П. П. С. Активно общаюсь в личке с форумчанами с virusinfo - спасибо им за то, что делятся вирусами и дают необходимые пояснения. Причем, оставляю для коллекции далеко не все вирусы, а только те, которые не детектятся хотя бы двумя популярными вендорами. На мой взгляд это лучше для теста, потому что наличие в тесте вирусов, которые и так все видят - не интересно

Надеюсь, что налажу контакт и с вами, в этом ключе

[Valery Ledovskoy 1082]

3 сэмпла из 9 "пропущенных" уже обработаны. Вердикт - "Файл разрушен". Из них 2 Пинча и 1 Banker. С остальными может быть та же самая история. 1 Пинч пропустили "честно", добавят.

[ice-berg 30]

это лишь маленькая часть ... сколько же ещё "честно" пропущенных :-)

[Dr.Golova 55]

> Вердикт - "Файл разрушен"

Это не значит, что он должен гулять - 30% малварного трафика в интеренет это "разрушенные" файлы. Так что или детектить, или делать свой антиспам, или офицально говорить ПНХ всем пользователям. Ошметки былого величия никто не хочет видеть :-)

[Valery Ledovskoy 1082]

30% малварного трафика в интеренет это "разрушенные" файлы.

Хм. А г-н А., помнится, пытался мне доказать, что разрушенных файлов ну совсем не так много, и добавляют их в базу КАВ ну очень редко. Кто прав?