Перейти к содержанию
sww

Анализ современных антивирусов. Статья в IT-Спец

Recommended Posts

sww

Предлагаю общественности ознакомиться с тестом уважаемого vaber'а в журнале "IT-спец" за ноябрь. Ну и с комментариями уважаемых аналитиков (и меня :) ).

Это не скан, это фото. Так что кое-что не видно, но не суть важно.

p.s. Используйте зум, если что-то не видно!

SS850011.JPG

SS850010.JPG

SS850009.JPG

post-3744-1195745093.jpg

post-1-1195745093.jpg

post-1-1195745094.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

ага, ага, читали это прекрасное: только Доктор Веб способен и все такое:) У вас в Докторе сканера нет?

Для интерсующихся основной вывод такой:

Как видно из результатов тестирования, только антивирус DrWeb на данный момент способен успешно бороться с современными ITW-образцами, использующими rootkit-технологию для своего скрытия в системе. Неплохие результаты также показали антивирусы Kaspersky и Symantec.

В чем ничего удивительного я собственно не вижу. Поскольку самплы брались очень близкие к тесту на активное заражение на антималваре, да и сама процедура теста очень близка к тесту на тоже активное заражение:)

Глядите

Тест на руткиты

- Backdoor.Win32.Haxdoor.hq

- Backdoor.Win32.Padodor.al

- Rootkit.Win32.Agent.ea

- Rootkit.Win32.Agent.ey

- Trojan.Win32.DNSChanger.ih

- Trojan-Clicker.Win32. Costrat.l

- Trojan-Proxy.Win32. Agent.lb

- Trojan-Proxy.Win32.Wopla.ag

Тест на активное заражение

Adware.Win32. Look2me.ab

Adware. Win32.NewDotNet

AdWare.Win32.Virtumonde.bq

Backdoor.Win32.Haxdoor.ix

Backdoor.Win32.PcClient.ca

Email-Worm.Win32.Scano.ac

Trojan-Clicker.Win32.Costrat.l

Trojan-Downloader.Win32.Agent.brr

Trojan-Downloader.Win32.Agent.brk

Trojan-Proxy.Win32.Agent.lb

Trojan-Proxy.Win32.Wopla.ag

Trojan-Proxy. Win32.Xorpix.ba

Trojan-Spy.Win32.Bancos.aam

Trojan-Spy.Win32.Goldun.ls

Virus.Win32.Gpcode.af

Rootkit.Win32.Agent.ea

SpamTool.Win32.Agent.u

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
У вас в Докторе сканера нет?

Конечно нет, у нас в Докторе ментальный уловитель мыслей вирусов. Так и побеждаем, знаете-ли... :lol:

p.s. Не мог не сыграть на слове "сканер".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy
...При запуске сканера он создаёт драйвер (Dr.Web Shield) со случайным именем (похоже,что любовь сотрудников "Диалог-Науки" к случайным именам восходит ещё к середине 90-х—Прим. ред.),загружает его...

Инсталлировавшийся рооткит может перехватывать и контроллировать любой процесс,который его программирователь посчитал нужным.Самих процессов есть множество и бесполезно контроллировать рооткиту те,которые ему попросту не нужны.Но в любом случае запускаемый процесс АВ- или рооткитсканнера наверняка имеет последствия для рооткита.Есть при этом различные способы избежать обнаружения особенно,если рооткит заточен на определённые сканеры.Идеально для рооткита,если он знает,что его начали искать и кто.Очень легко ему ориентироваться при этом,если отслеживать процессы по имени.Уже были именитые рооткитсканнеры именно этим путём обойдены,так как рооткит узнавал,когда ему нужно прекращать "рооткититься" для сбития с толку запущенный сканнер.Поэтому случайное имя запускаемого поискового процесса деается вовсе не для любования пользователя каждый раз новым именем.

...Необходимо отметить,что Dr.Web не имеет защиты собственных файлов и процессов,что может быть использовано вредоносным ПО ...

Не страшно.Включаешь DefenseWall и появляется остальная защита и остальное.А на крайний случай,не стоит предоставлять вирусописателям права опытных пользователей,пользуясь админаккоунтом для инета.Опытные пользователи почему-то недооценивают,что есть опытные вирусописатели.Так как данном случае только DW опыт вирусописателей обнулит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Не страшно.Включаешь DefenseWall

Тогда и самого доктора покупать нет смысла :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
(похоже,что любовь сотрудников "Диалог-Науки" к случайным именам восходит ещё к середине 90-х—Прим. ред.)

Не могу не заметить очевидный бред редактора (Диалог-Наука), единственное, что подпортило настроение от прочтенной статьи. Запомните уже наконец ООО "Доктор Веб" и все тут.

p.s. К моменту массового появления руткитов нацеленных конкретно на Dr.Web уже будут решения проблемы защиты, я так думаю ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy
Тогда и самого доктора покупать нет смысла :)

Ну хорошо.Я в тестах антимальваре по самозащите АВ-ов пробежался и не нашёл,под каким пользователем действительны полученные результаты,под админом,или для ограниченного аккоунта так же?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
под каким пользователем действительны полученные результаты,под админом,или для ограниченного аккоунта так же?

Админом. Вы же не будете сейчас утверждать, что все пользователи поголовно сидят под орг. юзером?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
В чем ничего удивительного я собственно не вижу. Поскольку самплы брались очень близкие к тесту на активное заражение на антималваре, да и сама процедура теста очень близка к тесту на тоже активное заражение:)

И что?

Если взять самплы, которые так же использовались в активном и заменить на аналогичные - что-то изменится в результатах?

Уже скоро выйдет тест на руткитах. Там он несколько расширен по объему, и включает в себе и концепты и антируткиты как спец ПО. Так же будет и еще один руткит - на данные момент он стал распространенным, хотя на активное и в статью в IT-спец я его не взял тогда - в связи не большой распространенностью. Так бы Drweb еще бы болше оторвался от конкурентов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy
Админом. Вы же не будете сейчас утверждать, что все пользователи поголовно сидят под орг. юзером?

Это дело пользователей.Для пользователей,идущих сознательно админом в инет,самозащита АВ-ов,я думаю,есть дело второстепенное,раз уж они и так первому просто zero-day вирусу права админа дают.

Пользующиеся огр.аккоунт имеют и самозащиту АВ-у.То,что от известных вирусов пользователь и АВ защищёны,ясно.Насчёт сделавших своё дело неизвестных вирусов оставшийся на ногах АВ так же не устранит и те последствия заражения,которые происходят уже дальше и вне компа (ушедшая конф. инфа,к примеру).Таким образом,лучшая,скажем,в 2 раза самозащита так же и не уменьшает последствия вреда для конечного пользователя в 2 раза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
раз уж они и так первому просто zero-day вирусу права админа дают.

Вы это домохозяйке расскажите, которая заплатили 1000 р за НОД* (и установку), а ей сказали что это просто супер антивирус и лучше его и нет, и защита у этого антивиря самая крутая и быстрый он и совсем не тормозит.

* - НОД это лишь пример. "Беззащитных" антивирусов гораздо больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

vaber я все это написал к тому, что вы тестируете только способность лечить известного активного руткита, а возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber я все это написал к тому, что вы тестируете только способность лечить известного активного руткита, а возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

Понятно. По Вашему тексту сразу было трудно это заподозрить :).

Тогда ждите результатов теста руткитов-2. Скоро будут. Там будет и проактивный детект и активный известный руткит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

В нашем новом тесте это будет проверяться, vaber об этом написал выше. Для статьи в СМИ это был бы перебор уже, массовому читателю такое не осилить ... "поведенческий детект руткитов", ни одного понятного слова :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
возможности поведенческого детекта руткитов оставляете в стороне...что на мой взгляд не совсем верно:)

В нашем новом тесте это будет проверяться, vaber об этом написал выше. Для статьи в СМИ это был бы перебор уже, массовому читателю такое не осилить ... "поведенческий детект руткитов", ни одного понятного слова :lol:

повеселили Сергей повеселили, т.е. слова которые встречаются в этой статье понятны массовму читателю? Наверное вот эти слова ему понятны:

троянская программа является KernelMode руткитом (перхват функций с помощью правки адресов в ....)

Это статья в журнале IT Спец, а не в журнале Игромания все таки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
"поведенческий детект руткитов",

Хаха, +1

Что там проактивно детектить? Создание веток? Создание процессов? Запуск драйвера? Это проактив? :lol:

Или кто-то сделал уже свой "патчгвард"?

Или сравнение "процесс есть/процесса нет" - это проактив?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Поведенческий детект руткитов находится явно за рамками статьи.

ИМХО было бы даже вредным там об этом писать.

Сами то хотя бы можете объяснить доходчиво, что называете "поведенческим детектом руткитов"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Сергей, я с Вами как раз согласен, я не знаю что такое "поведенческий детект руткитов". Наверное, это правила, основанные на обычном поведении большинства руткитов :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

sww, мой вопрос адресовался Ивану, который это оспаривал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

в этом нет ничего удивительного ваш же Борис Шаров сказал, что "проактива не дождетесь":)

читайте други

http://www.kaspersky.ru/reading_room?chapter=207367475

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
в этом нет ничего удивительного ваш же Борис Шаров сказал, что "проактива не дождетесь":)

читайте други

http://www.kaspersky.ru/reading_room?chapter=207367475

Боян и бред. Регистрация в реестре и запуск процесса - это не руткит действия.

Специалисты «Лаборатории Касперского» разработали методику продвинутой дезинфекции, позволяющей в ста процентах случаев нейтрализовать вредоносное программное обеспечение, независимо от того, насколько «глубоко» оно внедрилось в операционную систему.

Бедное удаленное ядро windows. Вот так и нейтрализовали Spambot.

Я закончил дискуссию, она бессмысленна для меня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Поведенческий детект руткитов находится явно за рамками статьи.

ИМХО было бы даже вредным там об этом писать.

ха ха ха

то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Хотя да я понимаю почему вредно, если бы тест полностью вышел в журнале, то чтобы тогда осталось печатать антималваре. Так бы и говорили, а то вредно вредно, не знаем что такое обнаружение руткита хипсом, раскажите нам пожалуйста и все такое :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
читайте други
Специалисты «Лаборатории Касперского» разработали методику продвинутой дезинфекции, позволяющей в ста процентах случаев нейтрализовать вредоносное программное обеспечение, независимо от того, насколько «глубоко» оно внедрилось в операционную систему.

ПЕар, кругом пЕар. Тесты говорят против 100%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
в этом нет ничего удивительного ваш же Борис Шаров сказал' date=' что "проактива не дождетесь":)

читайте други

http://www.kaspersky.ru/reading_room?chapter=207367475[/quote']

Боян и бред. Регистрация в реестре и запуск процесса - это не руткит действия.

читайте други
Специалисты «Лаборатории Касперского» разработали методику продвинутой дезинфекции, позволяющей в ста процентах случаев нейтрализовать вредоносное программное обеспечение, независимо от того, насколько «глубоко» оно внедрилось в операционную систему.

ПЕар' date=' кругом пЕар. Тесты говорят против 100%.[/quote']

согласен, пеар. Но я не ради этих строчек ссылку дал :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

ИМХО:

"позволяющей" не обозначает "делающей".

Скорее обозначает, что есть всё необходимое техническое оснащение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • GeorgeAbent
      Привет! Класный у вас сайт!
      Нашёл новости в сети:
      http://itcyber.ru/15780-vladelcev-softa-vpn-mogut-oshtrafovat-na-700-tysyach-rubley.html
      Представлен миниатюрный компьютер размером с зерно риса http://itcyber.ru/10641-predstavlen-miniatyurnyy-kompyuter-razmerom-s-zerno-risa.html
      microsoft смартфоны новости новости мобильного мира
      мобильные версии приложений http://itcyber.ru/mobile/
      Ещё много интересного нашел тут: самые компьютерные игры новости обзоры смартфоны
    • demkd
      а вот это странно, надо будет почитать может еще что-то отключать надо
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
×