VirusTotal как эталон качества

[kvit 85]

Многие выставляют вирустотал как систему оценки качества антивирусов. Но обнаружив с помощью dr.web один из вирусов на компьютере:

Время: 21/05/2008 07:55:39.747.

Источник: Dr.Web ® Enterprise Scanner for Windows

Объект: "c:\windows\downloaded program files\popcaploader.dll"

Тип: потенциально опасная программа.

Инфекция: Program.PopcapLoader.

Решил проверить на VirusTotal:

Антивирус Версия Обновление Результат

AhnLab-V3 2008.5.20.0 2008.05.20 -

AntiVir 7.8.0.19 2008.05.20 SPR/Dldr.PopCap.A

Authentium 5.1.0.4 2008.05.21 -

Avast 4.8.1195.0 2008.05.21 -

AVG 7.5.0.516 2008.05.20 Adware Generic.IIJ

BitDefender 7.2 2008.05.21 Trojan.Downloader.Popcaploader.A

CAT-QuickHeal 9.50 2008.05.19 Trojan.Hijack.PopCapLoa

ClamAV 0.92.1 2008.05.21 PUA.Downloader.PopCap-1

DrWeb 4.44.0.09170 2008.05.20 -

eSafe 7.0.15.0 2008.05.20 -

eTrust-Vet 31.4.5808 2008.05.21 -

Ewido 4.0 2008.05.20 Not-A-Virus.Downloader.Win32.PopCap.a

F-Prot 4.4.2.54 2008.05.16 W32/PopCapDownloader

F-Secure 6.70.13260.0 2008.05.21 -

Fortinet 3.14.0.0 2008.05.21 W32/Downloader.HU

GData 2.0.7306.1023 2008.05.21 -

Ikarus T3.1.1.26.0 2008.05.21 not-a-virus:Downloader.Win32.PopCap.b

Kaspersky 7.0.0.125 2008.05.21 not-a-virus:Downloader.Win32.PopCap.a

McAfee 5299 2008.05.20 -

Microsoft 1.3520 2008.05.21 -

NOD32v2 3115 2008.05.20 -

Norman 5.80.02 2008.05.20 W32/DLoader.BUQ

Panda 9.0.0.4 2008.05.21 -

Prevx1 V2 2008.05.21 -

Rising 20.45.12.00 2008.05.20 -

Sophos 4.29.0 2008.05.21 -

Sunbelt 3.0.1123.1 2008.05.17 -

Symantec 10 2008.05.21 -

TheHacker 6.2.92.314 2008.05.20 Trojan/Downloader.Win32.PopCap.a

VBA32 3.12.6.6 2008.05.20 Downloader.PopCapLoader

VirusBuster 4.3.26:9 2008.05.20 -

Webwasher-Gateway 6.6.2 2008.05.21 BlockReason.0

Получается, что статистике которая ведется с помощью сервиса VirusTotal.com лучше не доверять. Не удивлюсь, что похожая ситуация и для остальных антивирусов.

[dot_sent 140]

Тип: потенциально опасная программа.

На VirusTotal'е отключены дополнительные базы Доктора drwnasty и drwrisky, так что детектирование потенциально опасных программ, программ-шуток и т.д. у Доктора там видно не будет. Этот вопрос уже неоднократно поднимался, в том числе и на этом форуме, если мне память не изменяет.

[Umnik 997]

Видимо, этот семпл детектился сигнатурой от 05.20.2008 которая. А Вы проверили до того, как на VT они обновились.

upd

dot_sent

Да? Сейчас проверю.

Отредактировал Май 21, 2008 Umnik

[rubin-VInfo 10]

имхо не совсем корректно использовать VT как средство оценки антивирусных решений... у него более практический смысл - принять в тот или иной момент решение о вредности файла, не дожидаясь ответа аналитиков

[kvit 85]

имхо не совсем корректно использовать VT как средство оценки антивирусных решений...

но при этом на том же virusinfo постоянно собирается статистика с VT, которая как видно не показывает действительной картины происходящего...

[Umnik 997]

Проверка "Пакистанского вируса"

Project1.7z.txt

Project1.7z.txt

[rubin-VInfo 10]

но при этом на том же virusinfo постоянно собирается статистика с VT, которая как видно не показывает действительной картины происходящего...

Ну стопроцентно правильных тестов не бывает - везде есть недостатки: малая выборка и т.п.