Тест антивирусов на детектирование полиморфных вирусов (подготовка)

[Сергей Ильин 1538]

Коллеги,

Есть идея провести тест антивирусов на качество детектирования полиморфных вирусов. Этот тест показал бы качество работы вирусных аналитиков у вендоров, насколько хорошо они справляются со сложными задачами.

Кратко методология теста:

1. отбираем ITW полиморфные вирусы за 2007 год (их будет совсем не много)

2. собираем с вендоров образцы (кто сколько даст, дело добровольное)

3. собранные образцы размножаются по мере возможности

4. проверяется детект по образовавшейся коллекции образцов (делается разбивка по вариантам вирусов в семействах)

Маска по времени позволит нам посмотреть как работали вирлабы в этом году.

Для наград я предлагаю сделать какие-то красивые названия, отражающие качество работы вирусных лабораторий. Тут нужно подумать еще будет.

Что думаете по этому тесту и предложенной методологии?

Есть предложения по полиморфным вирусам?

P.S. Несколько месяцев назад я уже начал собирать образцы у вендоров, но тест был заморожен. Теперь руки дошли до него :-)

[vaber 350]

Полиморфные компьютерные вирусы как вариант за 2007 год:

Virus.Win32.Alman

Virus.Win32.Huhk

Virus.Win32.Tvido

Virus.Win32.Virut

Virus.Win32.Parite

[dan 10]

Ну последний Parite появился году в 2004.

Предпоследний в 2001 .

Да и полиморфным его можно назвать с огромной натяжкой.

[Valery Ledovskoy 1082]

Ну последний Parite появился году в 2004.

Предпоследний в 2001 Wink .

Новые модификации появляются до сих пор. Недавно один наш пользователь сталкивался с такой.

[dan 10]

Честно говоря, упустил этот момент.

Ссылки есть на обсуждения?

Или, может, имя, под которым DrWeb детектит подскажите?

[Valery Ledovskoy 1082]

Или, может, имя, под которым DrWeb детектит подскажите?

Пожалуйста.

drw44401.txt: Win32.Parite.1, Win32.Parite.2

drw44403.txt: Win32.Parite.2

drw44410.txt: Win32.Parite.2

drw44414.txt: Win32.Parite.2

[dan 10]

Хм.

Новую версию под старым именем задетектили?

[dan 10]

В любом случае, считаю что использовать Parite для тестирования нельзя, если тестировать именно полиморфные зловреды. Parite не полиморфный.

Валерий, спасибо за информацию.

[Сергей Ильин 1538]

Valery Ledovskoy, можете по своим каналам узнать, кого из Доктора Веба можно привлечь в качестве эксперта при подготовке этого теста?

[vaber 350]

Ну последний Parite появился году в 2004.

Предпоследний в 2001 Wink .

Да и полиморфным его можно назвать с огромной натяжкой.

Ну обшибся значит - убираем сий экземпляр - я ж по памяти, мне простительно

[Valery Ledovskoy 1082]

Valery Ledovskoy, можете по своим каналам узнать, кого из Доктора Веба можно привлечь в качестве эксперта при подготовке этого теста?

Я спрошу, но насколько я знаю, помочь могут только аналитики, у которых работы и так хватает...

[dan 10]

Ну обшибся значит - убираем сий экземпляр - я ж по памяти, мне простительно

Мне бы Вашу память .

Huhk я вспомнил только после Вашего упоминания.

Зато я вспомнил Allaple.

[Valery Ledovskoy 1082]

Сергей Ильин, официальные лица компании ответили, что пока нет свободных людей, которые могли бы стать экспертами по этому тесту. Это не значит, что в будущем ситуация не изменится, но пока так.