Тестирование VirusInfo: декабрь 2007 + сумма за квартал

[A. 876]

Это весьма интересное, на мой взгляд, наблюдение и я думаю, что модераторов virusinfo оно должно заинтересовать.

Позволю себе даже развить мысль и указать на некоторые дополнительные факторы, которые должны быть учтены при установлении истины:

1. В выходные дни F-Secure не выпускает базы, в результате чего time gap увеличивается до двух суток.

2. Учитывая, что virusinfo является российским ресурсом и имеет соответствующую аудиторию - очевидно, что заинтересованность в "улучшении" своих показателей столь недостойным образом, могут иметь только сотрудники двух российских ав-компаний, либо их же сторонники. Поэтому предлагаю сузить (увеличить) круг подозреваемых.

3. Интересен показатель эвристического детектирования у DrWeb и KAV. Вопреки всем последним тестам и фактам, демонстрируемым со стороны DrWeb - эвристик KAV оказывается более эффективным, чем у DrWeb. Наблюдается явное превалирование сигнатурного детектирования у DrWeb над ЛК. Согласитесь - факт весьма неожиданный, но к сожалению, отлично укладывающийся в описанную Вами схему "накрутки". Сюда же укладывается и уже упомянутый факт улучшения детекта у DrWeb.

Если если происходит "накрутка", то должны расти результаты. Растут ?

4. Поскольку, как вы говорите, выборка там небольшая (я не в курсе, не являюсь посетителем вирусинфо, простите уж, так что верю вам на слово) - наверное не составит большого труда провести небольшую проверку кем же именно наиболее часто выкладывались файлы, которые детектились кав и наоборот - применительно к дрвеб.

5. В связи с тем, что отныне вирустотал не дает возможности не отправлять файлы в ав-компании - очевидно, что результаты аналогичного тестирования в январе месяце могут преподнести сюрпризы ?

[Dexter 20]

1. В выходные дни F-Secure не выпускает базы, в результате чего time gap увеличивается до двух суток.

Благодарю.

Не обращал внимание на эту деталь.

Буду учитывать.

3. Интересен показатель эвристического детектирования у DrWeb и KAV. Вопреки всем последним тестам и фактам, демонстрируемым со стороны DrWeb - эвристик KAV оказывается более эффективным, чем у DrWeb. Наблюдается явное превалирование сигнатурного детектирования у DrWeb над ЛК. Согласитесь - факт весьма неожиданный, но к сожалению, отлично укладывающийся в описанную Вами схему "накрутки". Сюда же укладывается и уже упомянутый факт улучшения детекта у DrWeb.

Если если происходит "накрутка", то должны расти результаты. Растут ?

Шанс накрутки доктора безусловно полностью исключать нельзя, но он маловероятен, это Вам, безусловно было бы ясно, при чтении вирусинфо.

Там просто его некому накручивать, там есть пользователи, но никак не фанаты доктора.

4. Поскольку, как вы говорите, выборка там небольшая (я не в курсе, не являюсь посетителем вирусинфо, простите уж, так что верю вам на слово) - наверное не составит большого труда провести небольшую проверку кем же именно наиболее часто выкладывались файлы, которые детектились кав и наоборот - применительно к дрвеб.

Это несложно и каждый может проделать самостоятельно.

5. В связи с тем, что отныне вирустотал не дает возможности не отправлять файлы в ав-компании - очевидно, что результаты аналогичного тестирования в январе месяце могут преподнести сюрпризы ?

Раскройте, пожалуйста, это Ваше предположение.

Заранее спасибо.

[A. 876]

Ну почему же?

Есть еще НОД.

Но много у него не накрутишь, сразу заметно будет.

НОД не может быть обьектом накрутки по причине тормознутости своего вирлаба. Вы вроде бы напираете на то, что операция "накрутки" требует максимально быстрой реакции от вирлабов ?

Шанс накрутки доктора безусловно полностью исключать нельзя, но он маловероятен, это Вам, безусловно было бы ясно, при чтении вирусинфо.

Там просто его некому накручивать, там есть пользователи, но никак не фанаты доктора.

Приведенные мной факты (эвристикасигнатуры, рост детекта) говорят о том, что шанс весьма не маловероятен. Понятно, что для меня он даже более очевиден, но тут надо взгляд независимых экспертов.

Я бы не хотел здесь дисскутировать на тему кто является фанатом, а кто нет. Замечу только, что вы, в частности, в это понятие (лично мое) успешно входите.

Это несложно и каждый может проделать самостоятельно.

Мне бы очень хотелось, чтобы эту несложную работу проделали именно вы - как автор идеи. И уж поверьте - проведенное исследование будет по достоинству оценено всеми и принесет вам только положительные бенефиты, а никак не репутацию болтуна.

5. В связи с тем, что отныне вирустотал не дает возможности не отправлять файлы в ав-компании - очевидно, что результаты аналогичного тестирования в январе месяце могут преподнести сюрпризы ?

Раскройте, пожалуйста, это Ваше предположение.

Заранее спасибо.

Это весьма просто.

Если я правильно понял ход ваших рассуждений, то некто 1)обнаруживает файл, который не ловится его любимым антивирусом. 2) Он идет с этим файлом на ВТ и проверяет его там, с опцией "не отправлять". Убедившись, что и конкуренты его любимого антивируса так же "сосут лапу" -3) он отправляет файл в свой любимый вирлаб и просит быстро-быстро добавить детект. Причем настолько быстро, что (в свете ваших намеков на КАВ), это время варьируется от 1.5 до 3 часов. После чего - 4) он снова проверяет этот файл на ВТ, снимает скриншот результатов и отправляет его на вирусинфо.

Я нигде не ошибся ?

Если нет, то с отключением опции "не отправлять" - он не сможет осуществить пункт 2. Наоборот - файл поступит во все вирлабы одновременно. Тогда у него останется только пункт 4. Который сможет продемонстрировать только скорость работы данных вирлабов, а никак не то, что тестируется на вирусинфо.

Знаете, если вы хотите провести исследование и вывести гадов на чистую воду - могу даже вам подсказать как это сделать. Ну по крайней мере разобраться с парой КАВ-Ф-Сек.

Возьмите с вирусинфо десяток примеров, когда КАВ детектил, а Ф-Сек нет. Посмотрите на авторов этих посланий. Затем воспользуйтесь viruswatchlite (знаете?) и установите время добавления данных зловредов в базы ЛК. Сверьте с временем публикования информации (снятия скриншотов) на вирусинфо. Думаю, если то что вы подозреваете - правда, то тенденция должна весьма быстро стать заметна.

Добавлено спустя 7 минут 19 секунд:

P.S. И не забывайте, что вся ваша схема построена вокруг одного единственного факта - детект у F-Secure хуже (медленней), чем у ЛК.

По-моему, это логично и очевидно и ничего "криминального" в этом нет.

Опять же - прошу высказаться незаинтересованные стороны.

[Dexter 20]

НОД не может быть обьектом накрутки по причине тормознутости своего вирлаба. Вы вроде бы напираете на то, что операция "накрутки" требует максимально быстрой реакции от вирлабов ?

Согласен.

Мне бы очень хотелось, чтобы эту несложную работу проделали именно вы - как автор идеи. И уж поверьте - проведенное исследование будет по достоинству оценено всеми и принесет вам только положительные бенефиты, а никак не репутацию болтуна.

Во-первых, мне не нужно ничего доказывать самому себе, если Вы заинтересовались, то и флаг Вам в руки.

Я нигде не ошибся ?

Теперь ясно.

Спасибо.

Ошиблись.

Зачем нажимать кнопку?

И без нее с вирустотала файлы далеко

не сразу и не всеми добавляются.

Так что зря Вы на клаве мозоли себе набивали.

Знаете, если вы хотите провести исследование и вывести гадов на чистую воду - могу даже вам подсказать как это сделать. Ну по крайней мере разобраться с парой КАВ-Ф-Сек.

Содействовать следствию - это ваше счастье, радость и прерогатива.

Затем воспользуйтесь viruswatchlite (знаете?) и установите время добавления данных зловредов в базы ЛК

Это иногда очень не точная информация.

Лично сталкивался с тем, что свежедобавленная запись оказывалась записанной более ранним числом.

Не знаю, с чем это связано. Но это факт.

[Alex_Goodwin 81]

Это иногда очень не точная информация.

Лично сталкивался с тем, что свежедобавленная запись оказывалась записанной более ранним числом.

Не знаю, с чем это связано. Но это факт.

ИМХО такое бывает, если модификация зловреда не значительна, для поимки изменяется старая сигнатура.

[A. 876]

Во-первых, мне не нужно ничего доказывать самому себе, если Вы заинтересовались, то и флаг Вам в руки.

Самому себе конечно никто ничего доказывать не должен. Вообще вещи, которые кроме как самому себе не интересны - стоит на бумажке записывать и дома держать, не публично.

Мне просто показалось что вы выдвинули вполне конкретные обвинения - как в адрес пользователей virusinfo.info, так и в адрес антивирусных компаний. Что касается virusinfo.info и их тестов, их методики и результатов - это проблема их модераторов. Что же касается антивирусных компаний - то я, как представитель одной из них, желаю получить от вас веские доказательства ваших слов. В противном случае я буду настаивать на принесении вами публичных извинений в адрес ЛК. В случае отказа - подниму вопрос перед владельцами данного ресурса о недопустимости вашего дальнейшего здесь пребывания.

Теперь ясно.

Спасибо.

Ошиблись.

Зачем нажимать кнопку?

И без нее с вирустотала файлы далеко

не сразу и не всеми добавляются.

Не очень понимаю что значит "зачем нажимать кнопку?". Есть какой-то другой способ получить скриншот детекта с ВТ без отправки самплов на обработку ?

Так что зря Вы на клаве мозоли себе набивали.

Давайте все-таки будем чуть-чуть повежливей - я кажется пока ничего про мозоли на различных местах вашего тела не говорил.

Содействовать следствию - это ваше счастье, радость и прерогатива.

Выше я уже описал почему и зачем это желательно сделать вам.

Это иногда очень не точная информация.

Лично сталкивался с тем, что свежедобавленная запись оказывалась записанной более ранним числом.

Не знаю, с чем это связано. Но это факт.

Еще раз говорю - я готов оказать вам помощь в установлении истины. Вплоть до того, что представлю вам реальные и точные дату и время добавления каждого детекта.

[Dexter 20]

Мне просто показалось что вы выдвинули вполне конкретные обвинения - как в адрес пользователей virusinfo.info, так и в адрес антивирусных компаний. Что касается virusinfo.info и их тестов, их методики и результатов - это проблема их модераторов. Что же касается антивирусных компаний - то я, как представитель одной из них, желаю получить от вас веские доказательства ваших слов. В противном случае я буду настаивать на принесении вами публичных извинений в адрес ЛК. В случае отказа - подниму вопрос перед владельцами данного ресурса о недопустимости вашего дальнейшего здесь пребывания.

Mon cher ami, такое впечатление, что Вы по молодости лет правильным комсомольцем успели побывать.

Такой напор, полная уверенность в своей правоте и.т.д. и т.п.

Так вот, что я Вам скажу, милый :

свои угрозы оставьте при себе или в конторе или жене угрожайте.

OK?

А здесь Вам не тут.

Перечитайте внимательно мои сообщение и найдите хотя бы одно обвинение кого или чего-либо.

И не приплетайте тем более мне обвинения в адрес пользователей вирусинфо.

Я уже давно не умею обвинять людей, поскольку у всех есть свои маленькие слабости и не мне судить их.

Единственное, что могу добавить, просмотрев последнюю тему на вирусинфо целиком, это то, что я скорее всего ошибся только в мотивах возможных накруток.

На этом предлагаю закончить, а то Вы что-то сегодня перевозбуждены.

Мож есть чо?

Не очень понимаю что значит "зачем нажимать кнопку?". Есть какой-то другой способ получить скриншот детекта с ВТ без отправки самплов на обработку ?

Я про кнопку - "не отправлять".

[A. 876]

Перечитайте внимательно мои сообщение и найдите хотя бы одно обвинение кого или чего-либо.

И не приплетайте тем более мне обвинения в адрес пользователей вирусинфо.

Я уже давно не умею обвинять людей, поскольку у всех есть свои маленькие слабости и не мне судить их.

- Мы так же прекрасно знаем, что значит недетект ф-секура при детекте каспера, не считая not-a-virus.

- Исходя из вышесказанного, позволю себе предположить, что иногда файлы предварительно отпраляются вам, вносятся в базы, после этого сканируются на вирустотале и выкладываются на форум.

- Вполне возможно, что тоже самое может происходить и с другими антивирусами, но к сожалению, этого определить никак нельзя, в отличие от связки каспер-ф-секур.

- не догадывались и те, кто хотел немножечко помочь своему любимому антивирусу.

Вы готовы признать, что в этих 4 пунктах были неправы ?

Добавлено спустя 8 минут 42 секунды:

Такой напор, полная уверенность в своей правоте и.т.д. и т.п.

Так вот, что я Вам скажу, милый :

свои угрозы оставьте при себе или в конторе или жене угрожайте.

OK?

Простите, милая, но где же вы увидели угрозы ? Разве хоть я словом или жестом выразил какое-то желание осуществления насилия над вашим телом ? если только виртуальным, не более

[Dexter 20]

Вы готовы признать, что в этих 4 пунктах были неправы ?

Вы же смотрели тему на вирусинфо.

Вам больше нечего сказать?

Тогда еще раз повторяю, закругляйтесь.

[A. 876]

Я пытаюсь понять, почему вы свои претензии к методике проведения теста и его организаторам - не высказываете именно там где этот тест проводился и якобы осуществлялась "накрутка" ?

Вывод у меня всего лишь один пока - вам абсолютно все равно на результаты, а свои "пять копеек" тут вы вставили исключительно из желания обвинить КАВ и его сторонников - как я уже писал в другом топике - из-за вашей "генетической неприязни".

Вы более противны чем Виталик, Dexter. Тот хотя бы какие-то аргументы приводит в спорах и не скрывает своих мотивов. Вы же ведете себя как известное создание - которое издает звуки откуда-то снизу, а стоит на него прикрикнуть - как сразу поднимается вой и попытки покусать.

Ладно б вы на меня лично наезжали - я бы еще как-то это понял, ибо признаю - груб и несдержан в выражениях. Но сегодня вы походя обгадили труд модераторов virusinfo, сторонников KAV и попытались заодно бросить тень на ненавистный вами продукт. Подобрав для этого какой-то абсолютно безумный и нелогичный повод - различие в детекте между разными антивирусами.

Так вот - я хоть и не комсомольский работник, но за такие наезды на наших сторонников и наш продукт, который свои результаты добывает в честной борьбе вирлабов - буду стеной стоять.

P.S. Да, тему на вирусинфо посмотрел, отчеты проанализировал, мнение одного из модераторов услышал. Собственно, как и ожидалось - ваши инсинуации ничем не подтверждаются. Поэтому см.выше.

[Dexter 20]

Я просто хлопаю в ладоши.

Вам бы на митингах выступать.

Чес слово.

отчеты проанализировал

Я был лучшего мнения о ваших аналитических способностях.

Интересно как можно было не заметить то ли 13, то ли 14 явных свежаков.

Впрочем каждый может убедиться в этом сам.

http://virusinfo.info/showthread.php?t=12941

И еще раз повторяю, закругляйтесь и не стройте из себя клоуна.

[A. 876]

13-14 ?

Может быть прекратите теоретизировать и наконец хотя бы 5-6 конкретных примеров приведете, а не будет размахивать ссылкой на 8 страниц и 148 постов ?

Я посмотрел декабрьские самплы. У меня вызвали возражение только самплы от юзера Ultima Weapon - там полный трешак, который никак не мог быть обнаружен itw либо фалсы. Причем там речь о детектах KAV даже не идет.

[Dexter 20]

Умейте же остановится когда ничего нельзя сказать.

У меня вызвали возражение только самплы

Это уже ваши проблемы.

[Valery Ledovskoy 1082]

A., Dexter, мне кажется, что спор о накрутках несколько затянулся. Конструктива пока что мало. Сомнения обоих сторон понятны, доказательств мало и вряд ли сейчас можно собрать достаточно фактов, чтобы они устроили обе стороны. Из-за этого разговор переводится на колкости, которые обидно читать людям, позитивно предрасположенным к обоим вендорам.

A., на Ваши сомнения о накрутках в пользу Dr.Web на virusinfo.info могу ответить тем фактом, что этот ресурс принадлежит ЛК. Я склонен думать, что это тестирование должно быть более аффилированным к продуктам ЛК. Кроме того, насколько мне известно, всё меньше на virusinfo.info представителей и фанов вендоров, отличных от ЛК. Ан нет, почему-то Ваши сомнения в обратную сторону.

Кроме того, команда virusinfo.info неоднократно заявляла, что количество сэмплов, на которых проводится тестирования, достаточно мало, чтобы строить какие-то далеко идущие выводы. Малое количество сэмплов - это низкая точность результатов, независимо от возможности накруток тому или иному антивирусу.

Тем не менее, результаты этого тестирования за пару кварталов позволяют увидеть некоторые закономерности, которые необходимо смотреть, конечно, через призму низкой точности результатов.

Предлагаю подождать январских результатов, как предложил A., а затем снова вернуться к дискуссии, на более конструктивном уровне, с бОльшим количеством фактов.

[A. 876]

A., на Ваши сомнения о накрутках в пользу Dr.Web на virusinfo.info могу ответить тем фактом, что этот ресурс принадлежит ЛК. Я склонен думать, что это тестирование должно быть более аффилированным к продуктам ЛК. Кроме того, насколько мне известно, всё меньше на virusinfo.info представителей и фанов вендоров, отличных от ЛК. Ан нет, почему-то Ваши сомнения в обратную сторону.

Нет, Валерий. Я то как раз на примере близкого и почти родного для Dexter-a DrWeb-a и пытался продемонстрировать как привратно могут быть истолкованы результаты, если оперировать теми понятиями и представлениями, которые использовал оппонент. Был бы на его месте фанат НОДа - поговорили бы о возможностях накрутки за него.

У меня нет никаких сомнений в адекватности результатов как для DrWeb, так и для KAV. Даже при малой выборке - они адекватны.

[Valery Ledovskoy 1082]

У меня нет никаких сомнений в адекватности результатов как для DrWeb, так и для KAV. Даже при малой выборке - они адекватны.

В таком случае у меня больше вопросов по дискуссии нет. Я с Вами в данном случае согласен.

Ждём новых тестов и новых результатов.

[Dexter 20]

почти родного для Dexter-a DrWeb-a

C чего вы взяли-то.

Или не любишь кав , а завтра родин...

ой, в смысле, значит любишь dr.web?

Конструктива пока что мало

Конструктива более чем достаточно на 8-ми страницах VI.

Да и не было Вас здесь днём. Здесь ядом плевались намного более едким, чем сейчас.

Пару страниц Ильин порезал.

Еще б немного и до родственников бы добрались.

Правда, A.?

Даже при малой выборке - они адекватны

А мы разве обсуждали адекватность?

Мы обсуждали факт добавления явных свежаков.

И такие факты, к сожалению, есть.

[Иван 290]

эх жаль что порезал, я б почитал с удовольствием

проявления "легкой нелюбви" Dexter к ЛК это всегда интересно

[Vorobey1 20]

Вопрос собственно таков: Почему нигде в тестах не участвует Zone alarm internet security (антивирус)? Только не надо говорить,что оная мол на движке касперского всё и так ясно... Касперский и F-Secure тож на одном,а результаты разные! Интересно посмотреть - у зоны верно есть и свои наработки по движку. Продукт собственно неплохой.

[rubin-VInfo 10]

Просто его нет в списке антивирусов VirusTotal - потому нет и в списке тестируемых

[MiStr 5]

A., на Ваши сомнения о накрутках в пользу Dr.Web на virusinfo.info могу ответить тем фактом, что этот ресурс принадлежит ЛК. Я склонен думать, что это тестирование должно быть более аффилированным к продуктам ЛК. Кроме того, насколько мне известно, всё меньше на virusinfo.info представителей и фанов вендоров, отличных от ЛК. Ан нет, почему-то Ваши сомнения в обратную сторону.

Валерий, т.е. Вы считаете, что команда VirusInfo фальсифицирует результаты теста?

[Valery Ledovskoy 1082]

Валерий, т.е. Вы считаете, что команда VirusInfo фальсифицирует результаты теста?

Нет, неправильно. Я сказал о том, что поводов для сомнений в том, что была произведена накрутка для продуктов ЛК больше, чем для накрутки для продуктов компании "Доктор Веб". Хотя и те, и другие сомнения на данный момент я считаю безосновательными. И я согласился, что результаты получаются достаточно адекватные, т.е. смысл в тестировании есть. В совокупности с анализом результатов других тестов они несут несомненную ценность.

[Umnik 997]

К сожалению, я не нашел в описании теста, что нужно проводить проверку на живучесть зловреда и вообще, зловред ли это. Т.е. открываю вопрос о необходимости самостоятельной отсылки семплов в вирлабы на проверку.

[Николай Головко 70]

Делаю вывод, что вы не ознакомились с требованиями, каковым должен соответствовать файл для публикации результатов его проверки.

[Umnik 997]

Методика тестирования

Тестирование антивирусов VirusInfo проводится с использованием бесплатного онлайн-мультисканера VirusTotal. Участники проекта, являющиеся практикующими специалистами в области лечения компьютеров от вредоносного программного обеспечения, загружают на мультисканер вредоносное ПО, полученное с зараженных машин, и публикуют в специально выделенной теме результаты сканирования. Загружаемое вредоносное программное обеспечение должно соответствовать следующим требованиям:

1) Образец не должен детектироваться установленным на зараженном компьютере антивирусным программным обеспечением.

2) Образец должен быть обнаружен лично консультантом в ситуации реального лечения.

3) Образец не должен быть взят со стороннего сайта или из сторонней коллекции вредоносного ПО.

Простите, но я не нашел здесь слов о контрольной проверке семпла у вирлабов на живость и фолсы.