Тестирование VirusInfo: декабрь 2007 + сумма за квартал - Страница 3 - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Николай Головко

Тестирование VirusInfo: декабрь 2007 + сумма за квартал

Автор Николай Головко, в Тесты и сравнения

Recommended Posts

Николай Головко    70

Николай Головко
Опубликовано
Простите, но я не нашел здесь слов о контрольной проверке семпла у вирлабов на живость и фолсы.

Это непосредственно вытекает из условий 1 и 2.

В соответствии с условием 1 образец не должен детектироваться антивирусным ПО, установленным на компьютере, который лечит консультант. Этим, в частности, объясняются относительно невысокие результаты наиболее популярных в России антивирусов, но речь сейчас не об этом. Это значит, что консультант не может определить присутствие вируса без исследования системы, и он начинает искать активное заражение.

В соответствии с условием 2 образец должен быть обнаружен консультантом в ситуации реального лечения. Большнство средств исследования системы не показывают наличие пассивного заражения, т.к. обращаются к работающим процессам, загруженным библиотекам, ключам автозапуска и так далее. Поэтому, если консультант обнаружил заражение, то в подавляющем большинстве случаев оно будет активным, id est работающим вирусом. Может ли битый файл быть запущенным и загруженным в память?

Обнаружив подозрительный файл, консультант обращается к VirusTotal с целью определить, вредоносен ли он. Здесь, действительно, может залегать подводный камень, зависящий от того, как консультант относится к полученным результатам. Однако, как вы можете видеть, в большинстве случаев сэмпл детектируется каким-либо из ведущих вендоров, вероятность ложного срабатывания у которых невысока. Если же детект дают антивирусные продукты, доверие к которым не абсолютно, то обычно файл отсылается на верификацию в вирусную лабораторию. Многие файлы поступают из раздела Помогите, будучи уже проверенными вирусной лабораторией. Поэтому шансы попадания битых и ложно детектированных файлов крайне невысоки (в основном за счет возможного непонимания гостями правил постинга) и не могут оказать существенного влияния на общие тенденции в графике.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано

Спасибо. Для меня вопрос, на данный момент, исчерпан.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано

Ник, посмотрите пожалуйста внимательно на файлы в декабре от пользователя Ultima Weapon (которые составили весомую долю от всей декабрьской статистики) и скажите - они соответствуют перечисленным вами пунктам ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Тесты и сравнения

  • Сообщения

    • Ego Dekker
      Актуальные версии ESET Cyber Security 9

      От Ego Dekker · Опубликовано

      ESET Cyber Security 9.0.4300  (macOS 11/12/13/14/15/26)
                                                                                  ●
              Руководство пользователя ESET Cyber Security 9  (PDF-файл)
                                                           
      Полезные ссылки:
      Технологии ESET
      Удаление антивирусов других компаний
      Как удалить ESET Cyber Security?
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.18.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
      ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
      Пожалуй это надо вынести в заголовок стартового окна большими буквами.
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
×