Тест антивирусов на лечение активного заражения III (подготовка)

[vaber 350]

vaber, буткит и русток.с будут? wink.gif

Буткит будет точно... а вот русток цэ - пока еще не известно.

[Wordmonger 35]

Предлагаю, по возможности, заменить виртуальные машины реальными.

[Сергей Ильин 1538]

Предлагаю, по возможности, заменить виртуальные машины реальными.

vaber, что скажешь? Насколько это реально по ресурсам?

Лицензии на Acronis у нас есть :-)

[vaber 350]

vaber, что скажешь? Насколько это реально по ресурсам?

Лицензии на Acronis у нас есть :-)

Лицензия на акроникс - это хорошо... Да только у тестеров ПК может не оказаться... Плюс - время. тест и так будет с месяц длится, а если делать на живых ПК с акрониксом - потребуется времени больше.

[vaber 350]

В ходе проведения теста возникла проблема.

Заключается она в следующем:

Один антивирус не детектирует половину вредоносных программ. Первая отправка в вирлаб семплов была осуществлена в начале августа. С того момента архив с ними был отправлен туда 5 раз. детекта нет до сих пор, а тест уже подошел почти к своему логическому завершению .

Имеется три варианта, как поступить в такой ситуации:

1. Поставить по всем не детектируемым семплам минус.

2. Убрать антивирус из теста, пояснив в отчете причину.

3. Найти модификации малвар, идентичные применяемым в тесте. Но такие, на которые будет детект у этого антивируса и проводить тест с такими образцами. В отчете сделать пометку об этом.

Хотелось бы обсудить, как поступить в такой ситуации у общественности

[ANDYBOND 283]

Поставить по всем недетектируемым семплам минус. Думаю, это будет справедливо.

[Wordmonger 35]

П. 3, если все остальные продукты будут перетестированы с теми же семплами.

Иначе п. 2.

[Иван 290]

П. 3, если все остальные продукты будут перетестированы с теми же семплами.

Иначе п. 2.

согласен

[Сергей Ильин 1538]

Я за пункт 1 (вариант с минусами), так как результат все равно один - лечения нет. В комментариях только обязательно об этом написать, что минус поставлен за отсутствие детекта в течении 1.5 месяца. Как альтернатива - пункт 2.

[AlexxSun 150]

Я так понимаю, что до завершения теста оглашение наименования продукта-аутсайдера будет не очень этичным со стороны тех, кто делает тест. Тогда неплохо было бы огласить список вирусов, которые этот продукт категорически отказывается детектировать

Я за вариант с минусами, подбор идентичных по характеристикам малвар - это притягивание теста за уши к хорошему результату.

(И ещё - компания-производитель хоть как-то подтвердила получение вредоносного материала? А то сразу после оглашения результатов начнётся свист и улюлюкание на тему: "мы не виноваты в том, что вы почту отправлять не умеете" )

[Илья Рабинович 521]

Поставить им минусы за такую работу вирлаба и расшифровать за что именно там проставлены минусы. Пусть думают головой и работают над ошибками. Оставить своих пользователей. которые поверили конторе с голой задницей более месяца- за такое нужно наказывать всем сообществом.

[Kokunov Aleksey 20]

ох какие то нехорошие у меня подозрения какая это может быть контора

[AlexxSun 150]

vaber

Если предложение, которое я сделал во втором сообщении данной темы было принято, то я даже могу назвать (шепотом, чтобы никто не расслышал ) имя продукта, потому как в этот продукт детект на предложенную малвару до сих пор не добавлен. Проверял только что, со свежей базой

Как-то даже несолидно для такой большой организации - вирусу уже год, а детекта до сих пор нет

[vaber 350]

И так, как я вижу, выбрано два варианта - 1 и 2.

Немного от себя добавлю, что отсутствие детекта может быть по двум причинам:

1. Если вендор добавит сигнатуру на малвару в базы, то он не сможет его корректно вылечить врезультате чего нормальная работа системы будет нарушена или даже убита.

2. По какой-то причине присылаемые архивы с малварой не анализировались. Причем виноват не человек, а автоматика.

В данном случае скорее всего втрое. Хотя в тесте есть антивирусы, которые не добавляли 1-2 семпла как раз по первому пункту. Там автоматом пошел в зачет минус.

В данном случае, предлагаю поступить так: подождать неделю, если все же детекта так и не будет ни на один из высланных семплов, то исключить антивирус из теста, потому как тут минус ставить не совсем верно, ибо при проверке на аналогичных по поведению модификациях того же зловреда были и + на некоторых из них. Ставя минус, мы занижаем возможности данного антивируса, ставим ту оценку, которая далека от действительности.

Такой вариант все считают правильным?

[Umnik 997]

Я поддерживаю Василия.

2 All: пришел клоун - надо поддержать его, да? Поболтать с ним, елы-палы.

[Сергей Ильин 1538]

vaber, согласен с предложенным тобой планом. Только одно добавление есть, продукт выкинуть из медального зачета, а не из теста. В тексте отчета о результатах теста надо обязательно дать полную информацию, написать про отличную работу кое-кто, чтобы была сделана работа над ошибками. Ведь цель наших тестов не только в том, чтобы определить лучшие продукты, а также в том, что сделать средства защиты более эффективными в целом.

[Wordmonger 35]

Мешать в одну кучу тест на время реакции и тест на обнаружение и лечение известных руткитов как минимум непрофессионально.

[Сергей Ильин 1538]

Мешать в одну кучу тест на время реакции и тест на обнаружение и лечение известных руткитов как минимум непрофессионально.

Никто не мешает как раз, продукт будет в тесте, но в распределении призов участвовать не будет, своего рода дисквалификация.

[Groft 65]

Как процесс?

[vaber 350]

Как процесс?

Ждите результаты на новой недели

[Сергей Ильин 1538]

Хорошие новости, опубликованы результаты теста

http://www.anti-malware.ru/malware_treatment_test_2008

Обсуждение результатов ведется здесь

http://www.anti-malware.ru/forum/index.php?showtopic=5696