Тест антивирусов на лечение активного заражения III (подготовка)

[vaber 350]

Уже подходит время к началу теста на лечение активного заражения 3 ). Того теста, которого помимо нас никто еще не проводил (хотя некое жалкое подобие кажется где-то было...)

И так, мне бы хотелось услышать в этой теме ваши предложения по выбору вредоносных программ, которые исходя из методологии, могли бы учавствовать в нашем тестировании.

Спасибо!

[AlexxSun 150]

Backdoor.Win32.Rbot.gey обязательно включить, проблемы были в лечении у некоторых антивирусов.

Некоторые ( к большому их стыду несмотря на пиар в 5 страниц по поводу Рустока) до сих пор его даже не детектируют

[vaber 350]

В чем именно заключается сложность его удаления/обнаружения?? Можно ссылки на темы с проблемами, если таковы имеются? Насколько часто Вам встречалась проблема у пользователей антивирусных продуктов с этим образцом или его аналогичными модификациями?

[AlexxSun 150]

Проблемы с детектированием и лечением были. С детектом у некоторых до сих пор остались. Пример выше с вирустотала.

[vaber 350]

Ок, его погляжу.

[dot_sent 140]

Win32.Ntldrbot (aka Rustock.c) + дроппер. Первое, что на ум пришло...

[vaber 350]

Win32.Ntldrbot (aka Rustock.c) + дроппер, BackDoor.MaosBoot + дроппер, классификация по Doctor Web. Это первое, что на ум пришло.

Это все - само собой .

З.Ы. Дроппер русткоа цэ? А он есть? Есть дрова зараженные, есть лоадер, который уже нифига не грузит

[dot_sent 140]

Дроппер русткоа цэ? А он есть?

У меня - точно нет, увы .

[AlexxSun 150]

Русток - непрокатывает, обязательным условием в тесте на лечение в прошлый раз было детектирование зловреда на момент проведение теста. Боюсь, что по этому параметру многие антивирусы просто не смогут принять участие в тесте. Хотя если у кого-то есть образец Рустока - проверьте его тоталом и выложите результат здесь.

[Иван 290]

да ладно, неактивного все нормально детектят небось

[vaber 350]

Русток - непрокатывает, обязательным условием в тесте на лечение в прошлый раз было детектирование зловреда на момент проведение теста. Боюсь, что по этому параметру многие антивирусы просто не смогут принять участие в тесте. Хотя если у кого-то есть образец Рустока - проверьте его тоталом и выложите результат здесь.

Прокатывает - уже большинство standalone-файлы детектируют. А если кто не детектирует - образец будет отослан в вирлаб еще до проведения тестирования.

http://www.virustotal.com/ru/analisis/173d...eef967befb5451c

[pROCKrammer 50]

хм .... я бы мог помоч тока не знаю чем??? скажите может помогу))))

А предложения :

ИСпользуйте Avira 8 и бесплатную версию ПЛИЗ)

[rubin-VInfo 10]

Что-то из серии Trojan.SubSys, возможно некоторых зверей, подменяющих важные системные файлы (userinit.exe к примеру)

[Alex_Goodwin 81]

Буткит, Trojan.Win32.Agent.goa

Всяких биглей и др., убивающих АВ по сигнатурам не надо.

[rubin-VInfo 10]

почему не надо биглей? Мне лично было б интересно увидеть, кто выживет и сможет нанести ответный удар

Плюс файловые вирусы - Tenga, Sality.

Возможно пару разновидностей psw-onlinegames, чтобы увидеть, кто убьет и автораны, и червя. А уж если и настройки системы потом вернет на свои места...

[Alex_Goodwin 81]

Дык а смысл? Против биглей должны бороться спец. утилиты - CureIt, AVPTool и т.д. Инсталятор АВ не может быть защищен от сигнатрурного детекта. А против бигля выживут лишь те, кого нет в его сигнатурах - не очень популярные АВ. Ведь АВ мы ставим только на шаге 4 - при активном заражении. А после этого продукт надо обновить, перезагрузить т и.д. Вот тогда АВ продукты смогу бороться.

[rubin-VInfo 10]

Убедили, согласен

[vaber 350]

Что-то из серии Trojan.SubSys, возможно некоторых зверей, подменяющих важные системные файлы (userinit.exe к примеру)

SubSys - принимается, что касается подмены userinit - не думаю, что таких стоит брать. Все ж таки подмена файлов не всегда может быть успешна вылечена.

Буткит, Trojan.Win32.Agent.goa

Буткит еще выше предлагали - будет взят.

Trojan.Win32.Agent.goa - это Bulknet?? Если да, то принят.

[Илья Рабинович 521]

З.Ы. Дроппер русткоа цэ? А он есть? Есть дрова зараженные, есть лоадер, который уже нифига не грузит

Загляни в личку...

[vaber 350]

Загляни в личку...

Угу, ответил.

[EYE 59]

vaber, по поводу Вашего сообщения -

Может стоит дождаться публичной BETA NIS 2009, а еще лучше релиза ?

Все-таки компания №1, и если не дожидаться выхода новой версии ее продукта,

то тест быстро станет менее актуальным.

Ждать ведь осталось, относительно, не очень долго.

[vaber 350]

Еще не известно, когда выйдет релиз. А ждать не известно чего - никому не хочется. Да и сами понимаете - в любой момент его начать не получится. Время уже определено, началась подготовка...

[EYE 59]

Еще не известно, когда выйдет релиз. А ждать не известно чего - никому не хочется.

Ну, все-таки Symantec не та компания, которая предлагает ждать неизвестно чего.

Все ведь, в основном, прозрачно и в пределах графика.

Да и сами понимаете - в любой момент его начать не получится. Время уже определено, началась подготовка...

Да, понимаю.

Может быть впоследствии, такие важные тесты, приурочивать к окончанию, либо к началу года,

когда все производители уже представили новые версии продуктов.

А то получается, что часть продуктов будет представлено новыми версиями, а часть прежними.

Хотелось бы, что бы такие тесты оставались актуальными более длительное время.

P.S. Может и пятую версию Dr.Web успели бы выпустить...

[vaber 350]

Ну, все-таки Symantec не та компания, которая предлагает ждать неизвестно чего.

Ок, новый релиз Нортона будет протестирован отдельно, как выйдет. На тех же образцах.

[Сергей Ильин 1538]

Ок, новый релиз Нортона будет протестирован отдельно, как выйдет. На тех же образцах.

Согласен. Мне кажется это правильнее, так как по срокам мы сильно отстанем от плана. К тому же новые версии осенью выйдут в релиз. По опыту предыдущих тестов если тестировать беты, то вендор не будет их признавать.

vaber, буткит и русток.с будут?