sww

Анализ современных антивирусов. Статья в IT-Спец

В этой теме 33 сообщений

Предлагаю общественности ознакомиться с тестом уважаемого vaber'а в журнале "IT-спец" за ноябрь. Ну и с комментариями уважаемых аналитиков (и меня :) ).

Это не скан, это фото. Так что кое-что не видно, но не суть важно.

p.s. Используйте зум, если что-то не видно!

SS850011.JPG

SS850010.JPG

SS850009.JPG

post-3744-1195745093.jpg

post-1-1195745093.jpg

post-1-1195745094.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ага, ага, читали это прекрасное: только Доктор Веб способен и все такое:) У вас в Докторе сканера нет?

Для интерсующихся основной вывод такой:

Как видно из результатов тестирования, только антивирус DrWeb на данный момент способен успешно бороться с современными ITW-образцами, использующими rootkit-технологию для своего скрытия в системе. Неплохие результаты также показали антивирусы Kaspersky и Symantec.

В чем ничего удивительного я собственно не вижу. Поскольку самплы брались очень близкие к тесту на активное заражение на антималваре, да и сама процедура теста очень близка к тесту на тоже активное заражение:)

Глядите

Тест на руткиты

- Backdoor.Win32.Haxdoor.hq

- Backdoor.Win32.Padodor.al

- Rootkit.Win32.Agent.ea

- Rootkit.Win32.Agent.ey

- Trojan.Win32.DNSChanger.ih

- Trojan-Clicker.Win32. Costrat.l

- Trojan-Proxy.Win32. Agent.lb

- Trojan-Proxy.Win32.Wopla.ag

Тест на активное заражение

Adware.Win32. Look2me.ab

Adware. Win32.NewDotNet

AdWare.Win32.Virtumonde.bq

Backdoor.Win32.Haxdoor.ix

Backdoor.Win32.PcClient.ca

Email-Worm.Win32.Scano.ac

Trojan-Clicker.Win32.Costrat.l

Trojan-Downloader.Win32.Agent.brr

Trojan-Downloader.Win32.Agent.brk

Trojan-Proxy.Win32.Agent.lb

Trojan-Proxy.Win32.Wopla.ag

Trojan-Proxy. Win32.Xorpix.ba

Trojan-Spy.Win32.Bancos.aam

Trojan-Spy.Win32.Goldun.ls

Virus.Win32.Gpcode.af

Rootkit.Win32.Agent.ea

SpamTool.Win32.Agent.u

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У вас в Докторе сканера нет?

Конечно нет, у нас в Докторе ментальный уловитель мыслей вирусов. Так и побеждаем, знаете-ли... :lol:

p.s. Не мог не сыграть на слове "сканер".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...При запуске сканера он создаёт драйвер (Dr.Web Shield) со случайным именем (похоже,что любовь сотрудников "Диалог-Науки" к случайным именам восходит ещё к середине 90-х—Прим. ред.),загружает его...

Инсталлировавшийся рооткит может перехватывать и контроллировать любой процесс,который его программирователь посчитал нужным.Самих процессов есть множество и бесполезно контроллировать рооткиту те,которые ему попросту не нужны.Но в любом случае запускаемый процесс АВ- или рооткитсканнера наверняка имеет последствия для рооткита.Есть при этом различные способы избежать обнаружения особенно,если рооткит заточен на определённые сканеры.Идеально для рооткита,если он знает,что его начали искать и кто.Очень легко ему ориентироваться при этом,если отслеживать процессы по имени.Уже были именитые рооткитсканнеры именно этим путём обойдены,так как рооткит узнавал,когда ему нужно прекращать "рооткититься" для сбития с толку запущенный сканнер.Поэтому случайное имя запускаемого поискового процесса деается вовсе не для любования пользователя каждый раз новым именем.

...Необходимо отметить,что Dr.Web не имеет защиты собственных файлов и процессов,что может быть использовано вредоносным ПО ...

Не страшно.Включаешь DefenseWall и появляется остальная защита и остальное.А на крайний случай,не стоит предоставлять вирусописателям права опытных пользователей,пользуясь админаккоунтом для инета.Опытные пользователи почему-то недооценивают,что есть опытные вирусописатели.Так как данном случае только DW опыт вирусописателей обнулит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не страшно.Включаешь DefenseWall

Тогда и самого доктора покупать нет смысла :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
(похоже,что любовь сотрудников "Диалог-Науки" к случайным именам восходит ещё к середине 90-х—Прим. ред.)

Не могу не заметить очевидный бред редактора (Диалог-Наука), единственное, что подпортило настроение от прочтенной статьи. Запомните уже наконец ООО "Доктор Веб" и все тут.

p.s. К моменту массового появления руткитов нацеленных конкретно на Dr.Web уже будут решения проблемы защиты, я так думаю ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тогда и самого доктора покупать нет смысла :)

Ну хорошо.Я в тестах антимальваре по самозащите АВ-ов пробежался и не нашёл,под каким пользователем действительны полученные результаты,под админом,или для ограниченного аккоунта так же?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
под каким пользователем действительны полученные результаты,под админом,или для ограниченного аккоунта так же?

Админом. Вы же не будете сейчас утверждать, что все пользователи поголовно сидят под орг. юзером?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В чем ничего удивительного я собственно не вижу. Поскольку самплы брались очень близкие к тесту на активное заражение на антималваре, да и сама процедура теста очень близка к тесту на тоже активное заражение:)

И что?

Если взять самплы, которые так же использовались в активном и заменить на аналогичные - что-то изменится в результатах?

Уже скоро выйдет тест на руткитах. Там он несколько расширен по объему, и включает в себе и концепты и антируткиты как спец ПО. Так же будет и еще один руткит - на данные момент он стал распространенным, хотя на активное и в статью в IT-спец я его не взял тогда - в связи не большой распространенностью. Так бы Drweb еще бы болше оторвался от конкурентов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Админом. Вы же не будете сейчас утверждать, что все пользователи поголовно сидят под орг. юзером?

Это дело пользователей.Для пользователей,идущих сознательно админом в инет,самозащита АВ-ов,я думаю,есть дело второстепенное,раз уж они и так первому просто zero-day вирусу права админа дают.

Пользующиеся огр.аккоунт имеют и самозащиту АВ-у.То,что от известных вирусов пользователь и АВ защищёны,ясно.Насчёт сделавших своё дело неизвестных вирусов оставшийся на ногах АВ так же не устранит и те последствия заражения,которые происходят уже дальше и вне компа (ушедшая конф. инфа,к примеру).Таким образом,лучшая,скажем,в 2 раза самозащита так же и не уменьшает последствия вреда для конечного пользователя в 2 раза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
раз уж они и так первому просто zero-day вирусу права админа дают.

Вы это домохозяйке расскажите, которая заплатили 1000 р за НОД* (и установку), а ей сказали что это просто супер антивирус и лучше его и нет, и защита у этого антивиря самая крутая и быстрый он и совсем не тормозит.

* - НОД это лишь пример. "Беззащитных" антивирусов гораздо больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

vaber я все это написал к тому, что вы тестируете только способность лечить известного активного руткита, а возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber я все это написал к тому, что вы тестируете только способность лечить известного активного руткита, а возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

Понятно. По Вашему тексту сразу было трудно это заподозрить :).

Тогда ждите результатов теста руткитов-2. Скоро будут. Там будет и проактивный детект и активный известный руткит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

В нашем новом тесте это будет проверяться, vaber об этом написал выше. Для статьи в СМИ это был бы перебор уже, массовому читателю такое не осилить ... "поведенческий детект руткитов", ни одного понятного слова :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

В нашем новом тесте это будет проверяться, vaber об этом написал выше. Для статьи в СМИ это был бы перебор уже, массовому читателю такое не осилить ... "поведенческий детект руткитов", ни одного понятного слова :lol:

повеселили Сергей повеселили, т.е. слова которые встречаются в этой статье понятны массовму читателю? Наверное вот эти слова ему понятны:

троянская программа является KernelMode руткитом (перхват функций с помощью правки адресов в ....)

Это статья в журнале IT Спец, а не в журнале Игромания все таки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
"поведенческий детект руткитов",

Хаха, +1

Что там проактивно детектить? Создание веток? Создание процессов? Запуск драйвера? Это проактив? :lol:

Или кто-то сделал уже свой "патчгвард"?

Или сравнение "процесс есть/процесса нет" - это проактив?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поведенческий детект руткитов находится явно за рамками статьи.

ИМХО было бы даже вредным там об этом писать.

Сами то хотя бы можете объяснить доходчиво, что называете "поведенческим детектом руткитов"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей, я с Вами как раз согласен, я не знаю что такое "поведенческий детект руткитов". Наверное, это правила, основанные на обычном поведении большинства руткитов :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

sww, мой вопрос адресовался Ивану, который это оспаривал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в этом нет ничего удивительного ваш же Борис Шаров сказал, что "проактива не дождетесь":)

читайте други

http://www.kaspersky.ru/reading_room?chapter=207367475

Боян и бред. Регистрация в реестре и запуск процесса - это не руткит действия.

Специалисты «Лаборатории Касперского» разработали методику продвинутой дезинфекции, позволяющей в ста процентах случаев нейтрализовать вредоносное программное обеспечение, независимо от того, насколько «глубоко» оно внедрилось в операционную систему.

Бедное удаленное ядро windows. Вот так и нейтрализовали Spambot.

Я закончил дискуссию, она бессмысленна для меня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Поведенческий детект руткитов находится явно за рамками статьи.

ИМХО было бы даже вредным там об этом писать.

ха ха ха

то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Хотя да я понимаю почему вредно, если бы тест полностью вышел в журнале, то чтобы тогда осталось печатать антималваре. Так бы и говорили, а то вредно вредно, не знаем что такое обнаружение руткита хипсом, раскажите нам пожалуйста и все такое :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
читайте други
Специалисты «Лаборатории Касперского» разработали методику продвинутой дезинфекции, позволяющей в ста процентах случаев нейтрализовать вредоносное программное обеспечение, независимо от того, насколько «глубоко» оно внедрилось в операционную систему.

ПЕар, кругом пЕар. Тесты говорят против 100%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в этом нет ничего удивительного ваш же Борис Шаров сказал' date=' что "проактива не дождетесь":)

читайте други

http://www.kaspersky.ru/reading_room?chapter=207367475[/quote']

Боян и бред. Регистрация в реестре и запуск процесса - это не руткит действия.

читайте други
Специалисты «Лаборатории Касперского» разработали методику продвинутой дезинфекции, позволяющей в ста процентах случаев нейтрализовать вредоносное программное обеспечение, независимо от того, насколько «глубоко» оно внедрилось в операционную систему.

ПЕар' date=' кругом пЕар. Тесты говорят против 100%.[/quote']

согласен, пеар. Но я не ради этих строчек ссылку дал :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ИМХО:

"позволяющей" не обозначает "делающей".

Скорее обозначает, что есть всё необходимое техническое оснащение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • 7006605
      22 мая в Творческой мастерской им. А. Н. Сокурова Кабардино-Балкарского государственного университета им. Х. М. Бербекова прошла Всероссийская акция «СТОП ВИЧ/СПИД», приуроченная к Международному дню памяти жертв СПИДа. Акция проводилась медицинским факультетом университета для старшеклассников города Нальчика.  Как отметила доцент кафедры факультетской терапии МФ КБГУ, доктор медицинских наук Зарета Камбачокова, главная задача акции – привлечь внимание к проблеме ВИЧ-инфекции и СПИДа, донести до каждого правильную и полную информацию об этой болезни и, главное, помочь защитить себя и своих близких.  Программа встречи предусматривала интерактивную лекцию, фильм по профилактике ВИЧ-инфекции, также ведущие зачитали письмо женщины, которая рассказывала о своей жизни после того, как узнала о своем диагнозе. Со статистической информацией выступила врач-терапевт центра СПИД КБР Марина Хакунова. У всех участников акции была возможность задать специалистам интересующие их вопросы и получить исчерпывающие ответы.
    • Dion
      Полностью с вами согласен, что заморачиваться в крайней степени незачем, в наше время всё поставлено на поток и  максимально автоматизировано. У меня ещё не было такого, чтобы посылка не пришла всё вопрос времени, когда быстрее посылка придёт когда медленнее но всегда приходила!
    • rustlakov
      Умные люди всегда найдут на чём заработать и как. Тем более что возможностей заработать деньги в наше время очень и очень большое количество. Только слепой не увидит их. А что уж там говорить про интернет. Он сейчас настолько развит что в нём даже можно уже деньги зарабатывать. Лет десять назад про это ещё никто не знал. Сейчас же ситуация очень изменилась.
    • Pechalka
      Вообще не замарачиваюсь по этому поводу. Где там моя посылка... Заказываю всегда всё заранее и сижу не дергаюсь, на любом сайте указаны сроки доставки, раньше указанного срока даже и не переживаю о посылке и вот до сих пор всё всегда приходило, что-то быстро, что-то не очень. Но в целом меня всё устраивает.
    • Bomborgman
      Точно такая же проблема на Premium-версии.