Перейти к содержанию
sww

Анализ современных антивирусов. Статья в IT-Спец

Recommended Posts

sww

Предлагаю общественности ознакомиться с тестом уважаемого vaber'а в журнале "IT-спец" за ноябрь. Ну и с комментариями уважаемых аналитиков (и меня :) ).

Это не скан, это фото. Так что кое-что не видно, но не суть важно.

p.s. Используйте зум, если что-то не видно!

SS850011.JPG

SS850010.JPG

SS850009.JPG

post-3744-1195745093.jpg

post-1-1195745093.jpg

post-1-1195745094.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

ага, ага, читали это прекрасное: только Доктор Веб способен и все такое:) У вас в Докторе сканера нет?

Для интерсующихся основной вывод такой:

Как видно из результатов тестирования, только антивирус DrWeb на данный момент способен успешно бороться с современными ITW-образцами, использующими rootkit-технологию для своего скрытия в системе. Неплохие результаты также показали антивирусы Kaspersky и Symantec.

В чем ничего удивительного я собственно не вижу. Поскольку самплы брались очень близкие к тесту на активное заражение на антималваре, да и сама процедура теста очень близка к тесту на тоже активное заражение:)

Глядите

Тест на руткиты

- Backdoor.Win32.Haxdoor.hq

- Backdoor.Win32.Padodor.al

- Rootkit.Win32.Agent.ea

- Rootkit.Win32.Agent.ey

- Trojan.Win32.DNSChanger.ih

- Trojan-Clicker.Win32. Costrat.l

- Trojan-Proxy.Win32. Agent.lb

- Trojan-Proxy.Win32.Wopla.ag

Тест на активное заражение

Adware.Win32. Look2me.ab

Adware. Win32.NewDotNet

AdWare.Win32.Virtumonde.bq

Backdoor.Win32.Haxdoor.ix

Backdoor.Win32.PcClient.ca

Email-Worm.Win32.Scano.ac

Trojan-Clicker.Win32.Costrat.l

Trojan-Downloader.Win32.Agent.brr

Trojan-Downloader.Win32.Agent.brk

Trojan-Proxy.Win32.Agent.lb

Trojan-Proxy.Win32.Wopla.ag

Trojan-Proxy. Win32.Xorpix.ba

Trojan-Spy.Win32.Bancos.aam

Trojan-Spy.Win32.Goldun.ls

Virus.Win32.Gpcode.af

Rootkit.Win32.Agent.ea

SpamTool.Win32.Agent.u

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
У вас в Докторе сканера нет?

Конечно нет, у нас в Докторе ментальный уловитель мыслей вирусов. Так и побеждаем, знаете-ли... :lol:

p.s. Не мог не сыграть на слове "сканер".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy
...При запуске сканера он создаёт драйвер (Dr.Web Shield) со случайным именем (похоже,что любовь сотрудников "Диалог-Науки" к случайным именам восходит ещё к середине 90-х—Прим. ред.),загружает его...

Инсталлировавшийся рооткит может перехватывать и контроллировать любой процесс,который его программирователь посчитал нужным.Самих процессов есть множество и бесполезно контроллировать рооткиту те,которые ему попросту не нужны.Но в любом случае запускаемый процесс АВ- или рооткитсканнера наверняка имеет последствия для рооткита.Есть при этом различные способы избежать обнаружения особенно,если рооткит заточен на определённые сканеры.Идеально для рооткита,если он знает,что его начали искать и кто.Очень легко ему ориентироваться при этом,если отслеживать процессы по имени.Уже были именитые рооткитсканнеры именно этим путём обойдены,так как рооткит узнавал,когда ему нужно прекращать "рооткититься" для сбития с толку запущенный сканнер.Поэтому случайное имя запускаемого поискового процесса деается вовсе не для любования пользователя каждый раз новым именем.

...Необходимо отметить,что Dr.Web не имеет защиты собственных файлов и процессов,что может быть использовано вредоносным ПО ...

Не страшно.Включаешь DefenseWall и появляется остальная защита и остальное.А на крайний случай,не стоит предоставлять вирусописателям права опытных пользователей,пользуясь админаккоунтом для инета.Опытные пользователи почему-то недооценивают,что есть опытные вирусописатели.Так как данном случае только DW опыт вирусописателей обнулит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Не страшно.Включаешь DefenseWall

Тогда и самого доктора покупать нет смысла :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
(похоже,что любовь сотрудников "Диалог-Науки" к случайным именам восходит ещё к середине 90-х—Прим. ред.)

Не могу не заметить очевидный бред редактора (Диалог-Наука), единственное, что подпортило настроение от прочтенной статьи. Запомните уже наконец ООО "Доктор Веб" и все тут.

p.s. К моменту массового появления руткитов нацеленных конкретно на Dr.Web уже будут решения проблемы защиты, я так думаю ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy
Тогда и самого доктора покупать нет смысла :)

Ну хорошо.Я в тестах антимальваре по самозащите АВ-ов пробежался и не нашёл,под каким пользователем действительны полученные результаты,под админом,или для ограниченного аккоунта так же?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
под каким пользователем действительны полученные результаты,под админом,или для ограниченного аккоунта так же?

Админом. Вы же не будете сейчас утверждать, что все пользователи поголовно сидят под орг. юзером?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
В чем ничего удивительного я собственно не вижу. Поскольку самплы брались очень близкие к тесту на активное заражение на антималваре, да и сама процедура теста очень близка к тесту на тоже активное заражение:)

И что?

Если взять самплы, которые так же использовались в активном и заменить на аналогичные - что-то изменится в результатах?

Уже скоро выйдет тест на руткитах. Там он несколько расширен по объему, и включает в себе и концепты и антируткиты как спец ПО. Так же будет и еще один руткит - на данные момент он стал распространенным, хотя на активное и в статью в IT-спец я его не взял тогда - в связи не большой распространенностью. Так бы Drweb еще бы болше оторвался от конкурентов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy
Админом. Вы же не будете сейчас утверждать, что все пользователи поголовно сидят под орг. юзером?

Это дело пользователей.Для пользователей,идущих сознательно админом в инет,самозащита АВ-ов,я думаю,есть дело второстепенное,раз уж они и так первому просто zero-day вирусу права админа дают.

Пользующиеся огр.аккоунт имеют и самозащиту АВ-у.То,что от известных вирусов пользователь и АВ защищёны,ясно.Насчёт сделавших своё дело неизвестных вирусов оставшийся на ногах АВ так же не устранит и те последствия заражения,которые происходят уже дальше и вне компа (ушедшая конф. инфа,к примеру).Таким образом,лучшая,скажем,в 2 раза самозащита так же и не уменьшает последствия вреда для конечного пользователя в 2 раза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
раз уж они и так первому просто zero-day вирусу права админа дают.

Вы это домохозяйке расскажите, которая заплатили 1000 р за НОД* (и установку), а ей сказали что это просто супер антивирус и лучше его и нет, и защита у этого антивиря самая крутая и быстрый он и совсем не тормозит.

* - НОД это лишь пример. "Беззащитных" антивирусов гораздо больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

vaber я все это написал к тому, что вы тестируете только способность лечить известного активного руткита, а возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber я все это написал к тому, что вы тестируете только способность лечить известного активного руткита, а возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

Понятно. По Вашему тексту сразу было трудно это заподозрить :).

Тогда ждите результатов теста руткитов-2. Скоро будут. Там будет и проактивный детект и активный известный руткит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

В нашем новом тесте это будет проверяться, vaber об этом написал выше. Для статьи в СМИ это был бы перебор уже, массовому читателю такое не осилить ... "поведенческий детект руткитов", ни одного понятного слова :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

В нашем новом тесте это будет проверяться, vaber об этом написал выше. Для статьи в СМИ это был бы перебор уже, массовому читателю такое не осилить ... "поведенческий детект руткитов", ни одного понятного слова :lol:

повеселили Сергей повеселили, т.е. слова которые встречаются в этой статье понятны массовму читателю? Наверное вот эти слова ему понятны:

троянская программа является KernelMode руткитом (перхват функций с помощью правки адресов в ....)

Это статья в журнале IT Спец, а не в журнале Игромания все таки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
"поведенческий детект руткитов",

Хаха, +1

Что там проактивно детектить? Создание веток? Создание процессов? Запуск драйвера? Это проактив? :lol:

Или кто-то сделал уже свой "патчгвард"?

Или сравнение "процесс есть/процесса нет" - это проактив?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Поведенческий детект руткитов находится явно за рамками статьи.

ИМХО было бы даже вредным там об этом писать.

Сами то хотя бы можете объяснить доходчиво, что называете "поведенческим детектом руткитов"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Сергей, я с Вами как раз согласен, я не знаю что такое "поведенческий детект руткитов". Наверное, это правила, основанные на обычном поведении большинства руткитов :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

sww, мой вопрос адресовался Ивану, который это оспаривал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

в этом нет ничего удивительного ваш же Борис Шаров сказал, что "проактива не дождетесь":)

читайте други

http://www.kaspersky.ru/reading_room?chapter=207367475

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
в этом нет ничего удивительного ваш же Борис Шаров сказал, что "проактива не дождетесь":)

читайте други

http://www.kaspersky.ru/reading_room?chapter=207367475

Боян и бред. Регистрация в реестре и запуск процесса - это не руткит действия.

Специалисты «Лаборатории Касперского» разработали методику продвинутой дезинфекции, позволяющей в ста процентах случаев нейтрализовать вредоносное программное обеспечение, независимо от того, насколько «глубоко» оно внедрилось в операционную систему.

Бедное удаленное ядро windows. Вот так и нейтрализовали Spambot.

Я закончил дискуссию, она бессмысленна для меня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Поведенческий детект руткитов находится явно за рамками статьи.

ИМХО было бы даже вредным там об этом писать.

ха ха ха

то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Хотя да я понимаю почему вредно, если бы тест полностью вышел в журнале, то чтобы тогда осталось печатать антималваре. Так бы и говорили, а то вредно вредно, не знаем что такое обнаружение руткита хипсом, раскажите нам пожалуйста и все такое :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
читайте други
Специалисты «Лаборатории Касперского» разработали методику продвинутой дезинфекции, позволяющей в ста процентах случаев нейтрализовать вредоносное программное обеспечение, независимо от того, насколько «глубоко» оно внедрилось в операционную систему.

ПЕар, кругом пЕар. Тесты говорят против 100%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
в этом нет ничего удивительного ваш же Борис Шаров сказал' date=' что "проактива не дождетесь":)

читайте други

http://www.kaspersky.ru/reading_room?chapter=207367475[/quote']

Боян и бред. Регистрация в реестре и запуск процесса - это не руткит действия.

читайте други
Специалисты «Лаборатории Касперского» разработали методику продвинутой дезинфекции, позволяющей в ста процентах случаев нейтрализовать вредоносное программное обеспечение, независимо от того, насколько «глубоко» оно внедрилось в операционную систему.

ПЕар' date=' кругом пЕар. Тесты говорят против 100%.[/quote']

согласен, пеар. Но я не ради этих строчек ссылку дал :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

ИМХО:

"позволяющей" не обозначает "делающей".

Скорее обозначает, что есть всё необходимое техническое оснащение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
    • PR55.RP55
      т.е.  в settings.ini можно прописать так: ; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
      ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
      ; Одна строка - одно имя, регистр важен.
      bUseWDSList = 1
      ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
      ; (файлы скрываются при запуске функции автоскрипт)
      ; Функция применима при работе с сигнатурами.
      ImgAutoHideVerified = 1
    • PR55.RP55
      WDLS Параметр в settings.ini
         [Settings]
         ; Включить поддержку белого списка ЭЦП.
           bUseWDSList (по умолчанию 0) ------------    ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
         ; (файлы скрываются при запуске функции автоскрипт)
           ImgAutoHideVerified (по умолчанию 0) ---------- Это файл который вы сами составляете\дополняете из Инфо. файла. Это список белых Электронно Цифровых Подписей. Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами. Например:  Действительна, подписано """Ask-Integrator"", Ltd." Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd." не будут считаться проверенными. -------- Сам файл в теме. wdsl.7z * Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно. Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить. ( с соблюдением кодировки )
    • Dragokas
      Объясните тёмному человеку, что такое WDLS ?
×