Тест антивирусов на лечение активного заражения III (результаты)

[Сергей Ильин 1538]

Не только инсталятор, но и именно все файлы, если их из зараженной системы взять и проверить в "неактивном" виде.

Ага, это тоже важно. Антивирусы знают этого зловреда, могут его детектировать в неактивном виде, но "слепнут", когда вредонос активен в системе и работают его методы маскировки.

[VirusBlokAda Ltd 0]

Ага, это тоже важно. Антивирусы знают этого зловреда, могут его детектировать в неактивном виде, но "слепнут", когда вредонос активен в системе и работают его методы маскировки.

Лечение таких вирусов правильно выполнять не загружая Windows. Для этого имеется сканер под DOS и диск для лечения под ОС LINUX. С помощью этих инструментов лечение гораздо эффективней. А самое важное - это не допустить заражения.

[Umnik 997]

У нас имеется сканер под DOS

Реально? А что тогда с NTFS делать?

[dot_sent 140]

Лечение таких вирусов правильно выполнять не загружая Windows.

Значит, те антивирусы, которые могут выполнить лечение при загруженной ОС - тем более достойны уважения. Бывают и случаи, когда просто невозможно перезагрузить ОС - если речь идет, скажем, о критичном сервере сети. И что тогда?

[vaber 350]

Чтобы лечить не загружая windows нужно знать, что заражен.

[p2u 824]

Бывают и случаи, когда просто невозможно перезагрузить ОС - если речь идет, скажем, о критичном сервере сети. И что тогда?

В таком случае по любому должен быть спец, который умеет лечить ручками или специальными инструментами, не так? Я про запрет перезагрузки ОС в условиях данного теста не видел ничего...

Чтобы лечить не загружая windows нужно знать, что заражен.

Это, естественно, так, но бывает и случаи, где даже победители данного теста этого не знают или не замечают, а человек чувствует это по поведению системы. Что в таком случае делать? Только спец решит такие задачи.

Paul

[VirusBlokAda Ltd 0]

Значит, те антивирусы, которые могут выполнить лечение при загруженной ОС - тем более достойны уважения. Бывают и случаи, когда просто невозможно перезагрузить ОС - если речь идет, скажем, о критичном сервере сети. И что тогда?

VBA32 - классический антивирус и его основная задача: не допустить заражения. Но если даже заражение произошло - имеется инструмент для лечения. А учитывая то, что аналогичные тесты вынуждают нас двигаться вперед, мы и говорим: технология у нас имеется и мы ее встроим в последующих версиях в состав комплекса. При этом очень важно не потерять те преимущества, которых мы уже достигли: минимальных нагрузок на работу компьютера.

И можно привести примеры, когда тех. поддержка победителей теста не смогла оказать помощь зараженной компании, а наши инструменты проблему решали.

[Umnik 997]

Инструмент-то есть у многих. Только "его основная задача: не допустить заражения" - это у всех АВ. Проблема имено в том, что не известно, есть ли заражение или нет.

[vaber 350]

технология у нас имеется и мы ее встроим в последующих версиях в состав комплекса.

Отлично! Надеюсь, к следующему тесту у VBA будет куда лучший результат.

[alexgr 556]

И можно привести примеры, когда тех. поддержка победителей теста не смогла оказать помощь зараженной компании, а наши инструменты проблему решали.

очень боюсь, что в маркетинговых наборах всех вендоров есть такие примеры и их достаточно много

[dr_dizel 385]

И можно привести примеры, когда тех. поддержка победителей теста не смогла оказать помощь зараженной компании, а наши инструменты проблему решали.

Мой бетатест VBA закончился на том, что я не получил ни одного подтверждения или ответа на свои письма и отчёты, и забил. Не люблю писать впустую.

[Umnik 997]

очень боюсь, что в маркетинговых наборах всех вендоров есть такие примеры и их достаточно много

Почему боитесь?

[VirusBlokAda Ltd 0]

Мой бетатест VBA закончился на том, что я не получил ни одного подтверждения или ответа на свои письма и отчёты, и забил. Не люблю писать впустую.

Наверное как задавали вопросы, так и ответы получали....

Те кто пожелали потестировать серьезно, так с ними приходилось очень плотно, и письменно и по телефону общаться...Вроде бы все ответы и рекомендации получали..

Бывали вопросы типа: Да Вы полное Г... , а вот мы...и не пытайтесь с нами соревноваться. Чтож, удачи... С такими и спорить не будем...

[Winny 10]

Лечение таких вирусов правильно выполнять не загружая Windows. Для этого имеется сканер под DOS и диск для лечения под ОС LINUX. С помощью этих инструментов лечение гораздо эффективней.

А shell, userinit, Image File Execution Options, exefile... потом будете по телефону фиксить?

[Александр Шабанов 120]

А мне больше понравился вот это заявление Бориса Шарова:

"Пользы от таких тестов нашей индустрии нет никакой, - комментирует он. - Внутренние тесты, проводимые самими антивирусными компаниями, дают гораздо больше полезного материала для развития продуктов".

На iXBT более развернутый комментарий Бориса Шарова:

Могу только сказать – пользы от таких тестов нашей индустрии нет никакой. Внутренние тесты, проводимые самими антивирусными компаниями, дают гораздо больше полезного материала для развития продуктов. А эти ”независимые” тесты - всего лишь средство манипуляции мнением пользователей. Что касается самих тестов на активное заражение, то эта тема сейчас активно обсуждается в антивирусном сообществе, так что, возможно, в недалеком будущем мы сможем принять участие в таких тестах и доказать, что наша способность справиться с активным заражением по-прежнему находится на высоте.

[alexgr 556]

Почему боитесь?

потому что мой опыт показал, что еще как минимум у еще одного вендора было достаточно много таких примеров... Почти по всем конкурирующим продуктам... Сам собирал

Отсюда вывод - полагаю, что у многих, если не у всех - есть такие наборы примеров. Потому предлагаю не считать это аргументом

[p2u 824]

На iXBT более развернутый комментарий Бориса Шарова:

[sNIP]

Спасибо за ссылку! Попробую перефразировать лаконично как я, независимый от компании Доктора Веба, это понимаю:

Есть два вида тестов - внутренние (не на показ) и 'независимые' (на показ).

Мы можем, если хотим, победить на обоих, но мы считаем, что тесты на показ вводят простого пользователя в заблуждение. Мы в этом участвовать не хотим. Скоро покажем на серьёзных, профессиональных разборках (не для публики), что наше нежелание выступать на 'тестах на показ' - это не трусость.

Я правильно понял?

Paul

[Сергей Ильин 1538]

Разговоры о пользе "нашей индустрии" считаю бесполезными в принципе. Скажу еще раз, что все тесты, их описание, и сама поставновка задачи ориентированы на потребителя, которые платят свои кровно заработанные денежки.

Исследования, сравнения и т.п. никогда не нравятся тем, кто ничего не понимает в маркетинге. У таких людей есть свое представление, что нужно клиентам, они считают, что их собственные идеи/разработки/тесты куда полезнее. Это называется невежество. Потом правда удивляются, почему рынок думает иначе

[p2u 824]

Разговоры о пользе "нашей индустрии" считаю бесполезными в принципе. Скажу еще раз, что все тесты, их описание, и сама поставновка задачи ориентированы на потребителя, которые платят свои кровно заработанные денежки.

Исследования, сравнения и т.п. никогда не нравятся тем, кто ничего не понимает в маркетинге. У таких людей есть свое представление, что нужно клиентам, они считают, что их собственные идеи/разработки/тесты куда полезнее. Это называется невежество. Потом правда удивляются, почему рынок думает иначе

Я лишь перевёл то, что говорил Борис Шаров для участника Александра Шабанова, который поставил смайлик недоразумения под своим постом. Прошу не принять как очередную атаку с моей стороны на отделы маркетинга вендоров. Спасибо.

Paul

[Сергей Ильин 1538]

Результаты теста сегодня опубликованы на нашем анг. сайте

http://www.anti-malware-test.com/?q=node/55

[Mr.Belyash 70]

я наверное странный юзер...если у меня конфигурация из моей подписи не разу не подвела за 4 года...

а когда скачал CureIT 4.44 (был такой "веселый" денек-неделька у доктора) когда он кучу файлов Troyan-Original в системе дал-я просто обалдел и выложил этот скрин на форуме ЛК на,что Уважаемый форумчанин p2u

сказал:

http://forum.kaspersky.com/index.php?showt...mp;hl=vovan7777

Удали я это все и game over....

Недельку эта веселуха у доктора была.

Tool.Agoconfig.original.....

Для управления автомобилем все проходят обучение и получают права, почему же Вы считаете, что купив компьютер не нужно учиться?

Может вспомним детектирование Explorer.exe?

Не имеющая аналогов технология детектирования неизвестных вирусов

Origins Tracing™ — уникальный алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционные сигнатурный поиск и эвристический анализатор Dr.Web, дает возможность существенным образом повысить уровень детектирования ранее неизвестных вредоносных программ. Имена вредоносных объектов, обнаруженных с применением новой технологии, имеют в названии расширение .Origin.

[alexgr 556]

Это все читали. А вот примерный вопросик в этой связи - по *.origin идет лечение удалением. Во всяком случае, так было не так давно, когда пришлось восстанавливть систему после заражения вирусом, который на тот момент не ловился "доктором". Он замечательно убил боевые файлы СУБД.... Да, ложняк бывает. Хотелось бы, чтобы решение было все ж за тем, кто рулит, пусть даже вероятность фолса 1%. Вспомните свою аналогию с автомобилем! Вам адо налево и тормозить, а он направо и на акселераторе... А там - КАМАЗ....

То есть мне как то было неуютно смотреть в глаза людям, когда заново устанавливал и настраивал их систему....

[georgy_n 80]

А вот примерный вопросик в этой связи

Отсутствие хранилища, как такового, возможности перемещения резервной копии объекта до применения лечения к нему в Dr.Web - существенный огромный минус, сам сталкивался с похожей ситуацией. Но вот о чем бы мы тут ни рассуждали, я всегда задаюсь вопросом: почему пользователи не обращаются в тех. поддержку? - это же первое, что необходимо сделать в силу логики; тогда и не было бы такого

Он замечательно убил боевые файлы СУБД....

Другое дело, когда пользователь "теневой", тут уже: какие саночки, такое и катание.

[alexgr 556]

Но вот о чем бы мы тут ни рассуждали, я всегда задаюсь вопросом: почему пользователи не обращаются в тех. поддержку? - это же первое, что необходимо сделать в силу логики; тогда и не было бы такого

и скорость реакции? Второе - ответ был получен и действия были выполнены с точностью до запятой - скачали cureIT и просканили. Было убито 13 троянов, все счастливы. Вроде бы класс...При этом необнаруживаемый троян так и жил в системе - я его ручками удалял. А вот убитые CureIT файлы - это было неприятно. Я на лечение потратил час, а на восстановление системы - 3

В целом все ушли довольные - клиент с рабочей системой, я - с чувством исполненного долга как специалист техподдержки, вирлаб - получил своего зверя

Да, забыл - ну и пива, конечно, попили и на тему защиты поговорили.

[georgy_n 80]

и скорость реакции? Второе - ответ был получен и действия были выполнены с точностью до запятой - скачали cureIT и просканили. Было убито 13 троянов, все счастливы. Вроде бы класс...При этом необнаруживаемый троян так и жил в системе - я его ручками удалял

А если посмотреть на ситуацию иначе:

1. клиент тащит ноут / или что еще к спецу, подозревая, что в системе есть вредоносные объекты. Экономия времени - ноль, по крайней мере, в рамках Москвы - это про скорость реакции.

2. "ответ был получен" - все-таки обращение в тех. поддержку было? - я не вполне понял, извините. Если "да", то к чему начинать со скорости реакции? И тогда почему CureiT!, а не просто сканер, если пользователь лицензионный? Если "нет", то и нет смысла говорить про необнаруживаемые трояны и т. д. Понятно, что любой антивирус в тот или иной промежуток времени не "видит" какую - нибудь "дрянь". Но, возвращаясь к тех. поддержке, основам (на мой взгляд) ее работы, - специалист запрашивает от клиента логи самого Доктора, логи Hijackthis и т. п., которые позволят ему определить наличие вредоносного кода и необнаруживаемых АВ объектов, и дать клиенту рекомендации по обезвреживанию вредоносов еще до их внесения в базу антивируса.

Вот и выходит, что скорость реакции и в плане детекта, и в плане лечения, выше при обращении в поддержку антивирусного продукта.