Тесты virusinfo.Результаты за Апрель-Май

[Black_Z 160]

Мне не ясен следующий нюанс в тестирование - в методологии сказано что на ВТ отправляются зловреды найденные при лечение на конкретных ПК и потом по результатам ВТ строится диаграмма. Но если учесть, что сейчас на большинстве компьютеров стоят антивирусы двух основных вендоров - получается что остальные антивирусы заранее попадают в менее благоприятные условия при тестирование, т.е. должны детектировать то, что не нашли антивирусы первых двух вендоров - т.е. с огромной натяжкой условно можно сказать что диаграмма показывает превосходство детекта остальных антивирусов над детектом антивирусов основных двух вендоров - т.е. на сколько образцов они детектируют больше, чем это делают самые распространенные антивирусы. Если кто понял мою мысль - прокомментируйте её...

Там же можно увидеть ответ на вопрос, кто каким антивирусом пользуется (см. тут)

Из результатов опроса на virusinfo видно следующее:

Avira AntiVir - 61 - 18.05%

Avast - 36 - 10.65%

AVG – 2 - 0.59%

BitDefender - 8 - 2.37%

Dr.Web - 78 - 23.08%

F-Secure - 0 - 0%

Ikarus - 1 - 0.30%

Kaspersky - 133 - 39.35%

McAfee - 6 - 1.78%

Microsoft - 1 - 0.30%

NOD - 76 - 22.49%

Panda - 3 - 0.89%

Symantec - 19 - 5.62%

VBA32 - 5 - 1.48%

Другое (напишите ниже) - 18 - 5.33%

Не пользуюсь - 16 - 4.73%

Думаю, что это все таки влияет на результат данного теста

[Umnik 997]

Иными словами нужно учесть, что в теме постят в течение месяца реальные люди - частые посетители ВИ, а не просто домохозяйки. У этих людей или нет антивируса, или они админы сетки и что там у них - не ясно, также имеется практика переставлять антивирусы как у себя на компе, так и у знакомых, отлов руками (ведь именно о нем идет речь) это отлов во многих случаях (если на компе) с помощью сбора лога АВЗ.

Так отлов же идет не со своих компьютеров, а, как раз, с копьютеров обычных пользователей. Я так думаю, много приносят посетители "Помогите!".

3). Фолсы правда не учитываются, но их количество невелико - т.к большинство загружаемых файлов на самом деле зловреды т.к они собраны в itw. Т.е про фолсы, считаю, можно вообще не говорить в таком тесте.

Сколько всего семплов было за месяц? Исходя из этой цифры можно будет понять, на сколько критичен детект хотябы 1-го битого файла. А семплов было менее 112, судя по графику. Значит, детект 1-го мусорного файла, это 0,89%. Очень большая цифра.

4). Стоит учитывать, что это не мега-супер-тестирование антивирусов от проекта ВИ, а скромное подведение итогов за месяц в одной теме.

Вам-то это понятно. А топикстартер выводы начал делать.

Эти результаты не пиарятся

Пиарились, по крайней мере. Лично Николаем, прямо на этом форуме.

3TE116

Источник бы указали. А то не хорошо как-то.

[Deja_Vu 366]

3TE116

Источник бы указали. А то не хорошо как-то.

Источник в картинке же указан -))

[Umnik 997]

Прямой линк. Я 7 минут потратил на поиск, но не нашел его. Последний график был за прошлый тест.

[Black_Z 160]

Прямой линк. Я 7 минут потратил на поиск, но не нашел его. Последний график был за прошлый тест.

тут вот

http://virusinfo.info/showthread.php?t=33303&page=10

пост #190

[priv8v 960]

Я так думаю, много приносят посетители "Помогите!".

Как раз таки нет. В теме постят именно те, кто просто общается на ВИ ради удовольствия, а не только пришел в раздел "Помогите" и тут же начал пачками ловить тела зловредов, грузить их на вирустотал и постить результаты в теме.

Исходя из этой цифры можно будет понять, на сколько критичен детект хотябы 1-го битого файла. А семплов было менее 112, судя по графику.

Эмм..

Возможно у меня неверное понимание лексического значения слова "фолс". Я это понимаю в данном тесте как "срабатывание одного и более антивирусов на вполне лигитимный файл".

Вы говорите именно о битых файлах, т.е допускаете, что файлы не чекались на то, работают они в системе или они неработоспособны - с этим я согласен, далеко не все файлы проходят такую проверку. Но если допустить, что какой-то один файл оказался битым, то нужно пойти еще дальше и предположить КАК он мог побиться, если его собрали с реального компа реальными руками

Допускаю, что могли быть дампы. Дамп, думаю, в данном случае можно назвать битым файлом - ведь он не запускается (если екзешник дампили, хотя про дрова тоже не забываем). Повреждены импорты (допустим), файл не запустить и не загрузить, но скорее всего (с очень большой долей вероятности) если какой-то антивирус Х детектил его в нормальном рабочем виде, то будет продолжать детектить и его в виде дампа!

Пиарились, по крайней мере. Лично Николаем, прямо на этом форуме.

Надеюсь, что он не утверждал, что это супер-мега-тестирование ?)

[Umnik 997]

Как раз таки нет. В теме постят именно те, кто просто общается на ВИ ради удовольствия, а не только пришел в раздел "Помогите" и тут же начал пачками ловить тела зловредов, грузить их на вирустотал и постить результаты в теме.

Я, видимо, некорректно выразился. Основную массу зловредов собирают хелперы с компьютеров зараженных пользователей из раздела "Помогите" и аналогичного на других форумах?

Я это понимаю в данном тесте как "срабатывание одного и более антивирусов на вполне лигитимный файл".

А я понимаю вообще ложное срабатывание. Хоть на мусорный файл, хоть на легитимный. Второе опаснее, конечно.

предположить КАК он мог побиться, если его собрали с реального компа реальными руками

Например, криворукий вирмейкер. Один из вредоносов (очередной авторан) создавал кучу файлов, которые Касперский не детектил. Отправил все это скопом и сказал, что вот от этого конкретного зверька. Мне ответили, что файлы битые (и пара нулевого размера). Было давно, больше года назад, но тем не менее.

В любом случае, ложное срабатывание АВ с ВТ на легитимный драйвер, например, тоже дает тот ~1% на 1 файл. И так, и сяк цифра больно значимая.

Надеюсь, что он не утверждал, что это супер-мега-тестирование ?)

Нет

Отредактировал Июнь 4, 2009 Umnik

[priv8v 960]

Я, видимо, некорректно выразился. Основную массу зловредов собирают хелперы с компьютеров зараженных пользователей из раздела "Помогите" и аналогичного на других форумах?

Нет. Насколько я знаю таких файлов там вообще нет.

что до битых файлов, которые выходят именно тем, путем, о котором рассказали Вы, то проблема их детекта/отсутствия оного - политика компании, а не фолсы - тут нечаянно, вряд ли выйдет.

а если зловредный файл (если он изначально детектится) немного побить, то скорее всего он все равно будет продолжать детектится. Поэтому вопрос в том побился файл до того как он попал в вирлаб (об это рассказали вы) или после.

[3TE116 45]

а если зловредный файл (если он изначально детектится) немного побить, то скорее всего он все равно будет продолжать детектится. Поэтому вопрос в том побился файл до того как он попал в вирлаб (об это рассказали вы) или после.

О,интересно.Хочешь сказать,что если файл детектится повторно,значит он немного побит,т.е. получается,что антивирус оставляет специально для себя работу,чтобы её как-то показать.

Интересно,а зачем вирус немного или чуть-чуть бить,лучше сразу его снести и проблем меньше.

[priv8v 960]

Хочешь сказать,что если файл детектится повторно,значит он немного побит,т.е. получается,что антивирус оставляет специально для себя работу,чтобы её как-то показать.

Нет. Просто, по-моему. антивирус не занимается проверкой PE-файла на валидность (проверять кучу структур, заголовков и т.д?). Поэтому при легком повреждении зловредного файла, который детектится данным антивирусом его детект уже в битом виде все равно будет.

Интересно,а зачем вирус немного или чуть-чуть бить,лучше сразу его снести и проблем меньше.

Выше в диалоге с Umnik мы вроде уже обсудили некоторые возможные причины битости малваре при отлове ее руками с ПК.