Мини-тест: Иной взгляд на проактивность

[Dr.Golova 55]

Авира всех рвет за счет огромного числа сторонних вирусных аналитиков, которые тупо долбят. Надо брать с них пример. А в движке у них даже эмулятора небыло и нет. Так что откуда берутся вердикты HEUR/Crypted не понятно. Ресерш провести конечно можно, да неохота забесплатно =)

[Valery Ledovskoy 1082]

Сергей Ильин, Иван, спасибо за проведённое тестирование.

Теперь я увидел, что действительно VB тупо доверять нельзя.

Причём ни в том случае, когда антивирус получает VB100, ни когда он его не получает.

Возьмём снова для примера Симантек, который получил VB100 во всех последних тестах.

А в этом мини-тесте на новых самплах он получил 53% при заморозке баз на неделю, а при актуальных базах взял всего 63%.

В общем, VB - не пуп антивирусной индустрии, а истина где-то посередине, видимо.

[Иван 290]

Я даже хочу попросить Ивана или Сергея - отдельно протестить этот 51 сампл другими антивирусами, чтобы посмотреть кто детектит то, что не детектит KAV.

Из тех самплов, что не нашел каспер, дополнительно нашли

Panda - 23 сампла

BitDefender - 22

Drweb - 19

Symantec -18

Eset -16

Avira -16

[Umnik 997]

Они живы? Можно их отправить на newvirus@kaspersky.com?

[Сергей Ильин 1538]

Чьих клиентов?Smile

Российские вендоры, Симантек, Тренд. У корпоратором что-то еще сложно найти, это уже экзотика была бы.

Насколько ITW?

Именно ITW. Как я писал в самом начале, отбирались только новые образцы из "дикой природы".

[Иван 290]

Они живы? Можно их отправить на newvirus@kaspersky.com?

насколько я понял Сергея он будет использовать эту коллекцию в более интересном тесте, поэтому отсылка вендорам преждевремена, чистота эксперемента пропадет

[Сергей Ильин 1538]

Из тех самплов, что не нашел каспер, дополнительно нашли

Panda - 23 сампла

BitDefender - 22

Drweb - 19

Symantec -18

Eset -16

Avira -16

Я тоже обратил а это внимание, что любой что-то находит после конкурента. Это окончательно меня привело к убеждению, что заявления типа "Антивирус 1 не нашел в файле вируса, а Антивирус 2 нашел, поэтому он хороший" полная ерунда.

Можно сформулировать как теорему:

"Всегда можно найти такой ITW сампл, который будет обнаруживаться только одним из нескольких сравниваемых антивирусов".

Хороший аргумент в пользу мультидвижковой технологии, как у Microsoft Forefront.

[Valery Ledovskoy 1082]

то окончательно меня привело к убеждению, что заявления типа "Антивирус 1 не нашел в файле вируса, а Антивирус 2 нашел, поэтому он хороший" полная ерунда.

Согласен. Рад, что этому тезису находятся подтверждения.

[A. 876]

Можно сформулировать как теорему:

"Всегда можно найти такой ITW сампл, который будет обнаруживаться только одним из нескольких сравниваемых антивирусов".

дополнение к теореме:

с большой долей вероятности этот сампл окажется либо битым, либо ложным срабатыванием

а мультидвижковость - всегда хорошо. Вопрос только в том, что с чем скрещивать.

Сергей, спасибо за дополнительный тест. BitDefender по-прежнему остается идеальным дополнением к KAV (уже года три такую картину наблюдаю)

[TANUKI 240]

BitDefender по-прежнему остается идеальным дополнением к KAV (уже года три такую картину наблюдаю)

У меня стояла такая связка недавно-КАВ основной, БитДефендер бесплатный. Честно говоря не уидел в этой связке смысла по одной причине - они одинаково хорошо ловят вирусы, правда каспер бывает оперативнее. Мне кажется, в пару нужно ставить что-то с акцентом на параноидальную эвристику. Ну не знаю, тот же НОД, к примеру, или Авиру без монитора

[Lemmit 31]

У меня стояла такая связка недавно-КАВ основной, БитДефендер бесплатный. Честно говоря не уидел в этой связке смысла по одной причине - они одинаково хорошо ловят вирусы, правда каспер бывает оперативнее.

Я бы побоялся ставить что-то параноидальное. По моему нескромному мнению и опыту прав именно А. Битдефендером полезно сканировать подозрительные файлы, на которые каспер молчит - особенно, если имеются основания подозревать вирус "нерусского происхождения".

[TANUKI 240]

Lemmit

А мне показалось, что они одинаково детектят. Или детектят обо или не детектят оба Так что таки склоняюсь в этой случае к параноидальной эвристике. Если есть подозрение - можно файлец запузырить на вирустотал и в форумным спецам на анализ

[Dr.Golova 55]

Если кого-то интересует мое мнение, то БД я всегда ставил выше НОДа, и судя по отзывам я ниразу не ошибся =)