sww

Анализ современных антивирусов. Статья в IT-Спец

В этой теме 33 сообщений

Предлагаю общественности ознакомиться с тестом уважаемого vaber'а в журнале "IT-спец" за ноябрь. Ну и с комментариями уважаемых аналитиков (и меня :) ).

Это не скан, это фото. Так что кое-что не видно, но не суть важно.

p.s. Используйте зум, если что-то не видно!

SS850011.JPG

SS850010.JPG

SS850009.JPG

post-3744-1195745093.jpg

post-1-1195745093.jpg

post-1-1195745094.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ага, ага, читали это прекрасное: только Доктор Веб способен и все такое:) У вас в Докторе сканера нет?

Для интерсующихся основной вывод такой:

Как видно из результатов тестирования, только антивирус DrWeb на данный момент способен успешно бороться с современными ITW-образцами, использующими rootkit-технологию для своего скрытия в системе. Неплохие результаты также показали антивирусы Kaspersky и Symantec.

В чем ничего удивительного я собственно не вижу. Поскольку самплы брались очень близкие к тесту на активное заражение на антималваре, да и сама процедура теста очень близка к тесту на тоже активное заражение:)

Глядите

Тест на руткиты

- Backdoor.Win32.Haxdoor.hq

- Backdoor.Win32.Padodor.al

- Rootkit.Win32.Agent.ea

- Rootkit.Win32.Agent.ey

- Trojan.Win32.DNSChanger.ih

- Trojan-Clicker.Win32. Costrat.l

- Trojan-Proxy.Win32. Agent.lb

- Trojan-Proxy.Win32.Wopla.ag

Тест на активное заражение

Adware.Win32. Look2me.ab

Adware. Win32.NewDotNet

AdWare.Win32.Virtumonde.bq

Backdoor.Win32.Haxdoor.ix

Backdoor.Win32.PcClient.ca

Email-Worm.Win32.Scano.ac

Trojan-Clicker.Win32.Costrat.l

Trojan-Downloader.Win32.Agent.brr

Trojan-Downloader.Win32.Agent.brk

Trojan-Proxy.Win32.Agent.lb

Trojan-Proxy.Win32.Wopla.ag

Trojan-Proxy. Win32.Xorpix.ba

Trojan-Spy.Win32.Bancos.aam

Trojan-Spy.Win32.Goldun.ls

Virus.Win32.Gpcode.af

Rootkit.Win32.Agent.ea

SpamTool.Win32.Agent.u

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У вас в Докторе сканера нет?

Конечно нет, у нас в Докторе ментальный уловитель мыслей вирусов. Так и побеждаем, знаете-ли... :lol:

p.s. Не мог не сыграть на слове "сканер".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...При запуске сканера он создаёт драйвер (Dr.Web Shield) со случайным именем (похоже,что любовь сотрудников "Диалог-Науки" к случайным именам восходит ещё к середине 90-х—Прим. ред.),загружает его...

Инсталлировавшийся рооткит может перехватывать и контроллировать любой процесс,который его программирователь посчитал нужным.Самих процессов есть множество и бесполезно контроллировать рооткиту те,которые ему попросту не нужны.Но в любом случае запускаемый процесс АВ- или рооткитсканнера наверняка имеет последствия для рооткита.Есть при этом различные способы избежать обнаружения особенно,если рооткит заточен на определённые сканеры.Идеально для рооткита,если он знает,что его начали искать и кто.Очень легко ему ориентироваться при этом,если отслеживать процессы по имени.Уже были именитые рооткитсканнеры именно этим путём обойдены,так как рооткит узнавал,когда ему нужно прекращать "рооткититься" для сбития с толку запущенный сканнер.Поэтому случайное имя запускаемого поискового процесса деается вовсе не для любования пользователя каждый раз новым именем.

...Необходимо отметить,что Dr.Web не имеет защиты собственных файлов и процессов,что может быть использовано вредоносным ПО ...

Не страшно.Включаешь DefenseWall и появляется остальная защита и остальное.А на крайний случай,не стоит предоставлять вирусописателям права опытных пользователей,пользуясь админаккоунтом для инета.Опытные пользователи почему-то недооценивают,что есть опытные вирусописатели.Так как данном случае только DW опыт вирусописателей обнулит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не страшно.Включаешь DefenseWall

Тогда и самого доктора покупать нет смысла :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
(похоже,что любовь сотрудников "Диалог-Науки" к случайным именам восходит ещё к середине 90-х—Прим. ред.)

Не могу не заметить очевидный бред редактора (Диалог-Наука), единственное, что подпортило настроение от прочтенной статьи. Запомните уже наконец ООО "Доктор Веб" и все тут.

p.s. К моменту массового появления руткитов нацеленных конкретно на Dr.Web уже будут решения проблемы защиты, я так думаю ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тогда и самого доктора покупать нет смысла :)

Ну хорошо.Я в тестах антимальваре по самозащите АВ-ов пробежался и не нашёл,под каким пользователем действительны полученные результаты,под админом,или для ограниченного аккоунта так же?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
под каким пользователем действительны полученные результаты,под админом,или для ограниченного аккоунта так же?

Админом. Вы же не будете сейчас утверждать, что все пользователи поголовно сидят под орг. юзером?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В чем ничего удивительного я собственно не вижу. Поскольку самплы брались очень близкие к тесту на активное заражение на антималваре, да и сама процедура теста очень близка к тесту на тоже активное заражение:)

И что?

Если взять самплы, которые так же использовались в активном и заменить на аналогичные - что-то изменится в результатах?

Уже скоро выйдет тест на руткитах. Там он несколько расширен по объему, и включает в себе и концепты и антируткиты как спец ПО. Так же будет и еще один руткит - на данные момент он стал распространенным, хотя на активное и в статью в IT-спец я его не взял тогда - в связи не большой распространенностью. Так бы Drweb еще бы болше оторвался от конкурентов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Админом. Вы же не будете сейчас утверждать, что все пользователи поголовно сидят под орг. юзером?

Это дело пользователей.Для пользователей,идущих сознательно админом в инет,самозащита АВ-ов,я думаю,есть дело второстепенное,раз уж они и так первому просто zero-day вирусу права админа дают.

Пользующиеся огр.аккоунт имеют и самозащиту АВ-у.То,что от известных вирусов пользователь и АВ защищёны,ясно.Насчёт сделавших своё дело неизвестных вирусов оставшийся на ногах АВ так же не устранит и те последствия заражения,которые происходят уже дальше и вне компа (ушедшая конф. инфа,к примеру).Таким образом,лучшая,скажем,в 2 раза самозащита так же и не уменьшает последствия вреда для конечного пользователя в 2 раза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
раз уж они и так первому просто zero-day вирусу права админа дают.

Вы это домохозяйке расскажите, которая заплатили 1000 р за НОД* (и установку), а ей сказали что это просто супер антивирус и лучше его и нет, и защита у этого антивиря самая крутая и быстрый он и совсем не тормозит.

* - НОД это лишь пример. "Беззащитных" антивирусов гораздо больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

vaber я все это написал к тому, что вы тестируете только способность лечить известного активного руткита, а возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber я все это написал к тому, что вы тестируете только способность лечить известного активного руткита, а возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

Понятно. По Вашему тексту сразу было трудно это заподозрить :).

Тогда ждите результатов теста руткитов-2. Скоро будут. Там будет и проактивный детект и активный известный руткит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

В нашем новом тесте это будет проверяться, vaber об этом написал выше. Для статьи в СМИ это был бы перебор уже, массовому читателю такое не осилить ... "поведенческий детект руткитов", ни одного понятного слова :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

В нашем новом тесте это будет проверяться, vaber об этом написал выше. Для статьи в СМИ это был бы перебор уже, массовому читателю такое не осилить ... "поведенческий детект руткитов", ни одного понятного слова :lol:

повеселили Сергей повеселили, т.е. слова которые встречаются в этой статье понятны массовму читателю? Наверное вот эти слова ему понятны:

троянская программа является KernelMode руткитом (перхват функций с помощью правки адресов в ....)

Это статья в журнале IT Спец, а не в журнале Игромания все таки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
"поведенческий детект руткитов",

Хаха, +1

Что там проактивно детектить? Создание веток? Создание процессов? Запуск драйвера? Это проактив? :lol:

Или кто-то сделал уже свой "патчгвард"?

Или сравнение "процесс есть/процесса нет" - это проактив?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поведенческий детект руткитов находится явно за рамками статьи.

ИМХО было бы даже вредным там об этом писать.

Сами то хотя бы можете объяснить доходчиво, что называете "поведенческим детектом руткитов"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей, я с Вами как раз согласен, я не знаю что такое "поведенческий детект руткитов". Наверное, это правила, основанные на обычном поведении большинства руткитов :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

sww, мой вопрос адресовался Ивану, который это оспаривал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в этом нет ничего удивительного ваш же Борис Шаров сказал, что "проактива не дождетесь":)

читайте други

http://www.kaspersky.ru/reading_room?chapter=207367475

Боян и бред. Регистрация в реестре и запуск процесса - это не руткит действия.

Специалисты «Лаборатории Касперского» разработали методику продвинутой дезинфекции, позволяющей в ста процентах случаев нейтрализовать вредоносное программное обеспечение, независимо от того, насколько «глубоко» оно внедрилось в операционную систему.

Бедное удаленное ядро windows. Вот так и нейтрализовали Spambot.

Я закончил дискуссию, она бессмысленна для меня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Поведенческий детект руткитов находится явно за рамками статьи.

ИМХО было бы даже вредным там об этом писать.

ха ха ха

то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Хотя да я понимаю почему вредно, если бы тест полностью вышел в журнале, то чтобы тогда осталось печатать антималваре. Так бы и говорили, а то вредно вредно, не знаем что такое обнаружение руткита хипсом, раскажите нам пожалуйста и все такое :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
читайте други
Специалисты «Лаборатории Касперского» разработали методику продвинутой дезинфекции, позволяющей в ста процентах случаев нейтрализовать вредоносное программное обеспечение, независимо от того, насколько «глубоко» оно внедрилось в операционную систему.

ПЕар, кругом пЕар. Тесты говорят против 100%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в этом нет ничего удивительного ваш же Борис Шаров сказал' date=' что "проактива не дождетесь":)

читайте други

http://www.kaspersky.ru/reading_room?chapter=207367475[/quote']

Боян и бред. Регистрация в реестре и запуск процесса - это не руткит действия.

читайте други
Специалисты «Лаборатории Касперского» разработали методику продвинутой дезинфекции, позволяющей в ста процентах случаев нейтрализовать вредоносное программное обеспечение, независимо от того, насколько «глубоко» оно внедрилось в операционную систему.

ПЕар' date=' кругом пЕар. Тесты говорят против 100%.[/quote']

согласен, пеар. Но я не ради этих строчек ссылку дал :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ИМХО:

"позволяющей" не обозначает "делающей".

Скорее обозначает, что есть всё необходимое техническое оснащение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ego Dekker
      Декабрь 2019 — дата окончания жизненного цикла ESET NOD32/ESET Smart Security 9.0.
    • demkd
      драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.
    • Ольга_diplombest
      Высшее образование — сегодня это головная боль. Хотя каждый молодой человек стремиться его получить, как залог хорошей работы и высокой зарплаты в будущем. Но ВУЗы уже перестали быть бесплатными, поэтому получить образование можно только за деньги. Поэтому все чаще портрет современного студента — это работающий человек, который совмещает работу с учебой и еще имеющий семью. К тому же ссесия, написание рефератов. Курсовых работ или защита диплома — это настоящее испытание требующее много времени и сил.Необходимо время на поиск материала диплома,  написание работы, а еще семья и работа —и вот времени не хватает. При этом все успеть, порой физически бывает не возможно. И вот студент думает выхода нет и заваливает ссесию, бросает ВУЗ. Но выход есть, воспользоваться профессиональными преподавателями, аспирантами, докторами наук ... ка сделали уже многие студенты — https://diplombest.ru/сайт для тех, кто ценит время и бережет нервы. Компания работает без предоплаты, что гарантирует получение качественной работы в срок и без рисков для студента, политика скидок позволяет экономить до 50% от стоймости работы, что заслуживает доверия со стороны студентаТогда получение высшего образования будет в радость и через 5 лет ты уже заслуженный специалист.
    • Ольга_diplombest
      Я да не плохие деньги. Я то пользовалась https://diplombest.ru/. роде не плохо
    • santy
      demkd, за счет чего uVS здесь обнаружил руткитный драйвер, загружающий в систему майнер? https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/detection в этой теме https://forum.drweb.com/index.php?showtopic=329197 антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?