Перейти к содержанию
vaber

Тест антивирусов на лечение активного заражения IV (подготовка)

Recommended Posts

vaber
что из этого Clampi ?

В списке его нету.

В чем состоит сложность обнаружения и удаления этого трояна? Помнится,там инжект был интересный, но вот в плане лечения...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Никого не забыл?

Не знаю как вот такая штука детектится:

http://virusinfo.info/showpost.php?p=531974&postcount=26

Сталкивался пару раз - вывести достаточно сложно. Драйвер +dll в АП.

Аналогичное есть в тесте?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Не знаю как вот такая штука детектится:

http://virusinfo.info/showpost.php?p=531974&postcount=26

Сталкивался пару раз - вывести достаточно сложно. Драйвер +dll в АП.

Аналогичное есть в тесте?

Да, этого трояна мы не брали в тест, т.к. на тот момент, когда семплы отбирались, этого руткита не распространяли. Правда разработчики этого троя еще и ранее распространяли трояна-руткита, но он не прошел в тест, потому как боролся с антивирусами - завершал процессы и блокировал доступ к их образам на диске. Там было много вкусного, включая использование EFS :)

Касаемо текущей ситуации - его можно было бы попробовать взять, в надежде на то, что на исполняемый файл и драйвер все быстро положат детект (а кто и с лечением), но думается, что это займет не мало времени, а ждать не хочется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Ну и ладно :)

Пусть его все провалят )))

А жаль, интересно было бы посмотреть - достаточно прикольная зверушка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Да, этого трояна мы не брали в тест, т.к. на тот момент, когда семплы отбирались, этого руткита не распространяли. Правда разработчики этого троя еще и ранее распространяли трояна-руткита, но он не прошел в тест, потому как боролся с антивирусами - завершал процессы и блокировал доступ к их образам на диске. Там было много вкусного, включая использование EFS :)

Касаемо текущей ситуации - его можно было бы попробовать взять, в надежде на то, что на исполняемый файл и драйвер все быстро положат детект (а кто и с лечением), но думается, что это займет не мало времени, а ждать не хочется.

Судя по описанию, речь о рутките PMax (назван по строчке max++). Но по той ссылке другой зловред - блокер File Downloader (он же Digital Access, Get Accelerator), который, к слову, любит выкачиваться TDSS-ом :)

Судя по описанию, речь о рутките PMax (назван по строчке max++). Но по той ссылке другой зловред - блокер File Downloader (он же Digital Access, Get Accelerator), который, к слову, любит выкачиваться TDSS-ом :)

А, млин, под ночь туплю) Речь о трояне от тех же разрабов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Судя по описанию, речь о рутките PMax (назван по строчке max++). Но по той ссылке другой зловред - блокер File Downloader (он же Digital Access, Get Accelerator)

Да, max++> . текущие File Downloader (он же Digital Access, Get Accelerator) - это работа одних людей. Был max++> - стал Get Accelerator :)

который, к слову, любит выкачиваться TDSS-ом smile.gif

Вот это интересно :) Мне не выкачал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Вот это интересно :) Мне не выкачал.

Да, причем началось это с TDL3.20 - один раз мне скачал Get Accelerator, в другой - File Downloader.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Но по той ссылке другой зловред - блокер File Downloader (он же Digital Access, Get Accelerator), который, к слову, любит выкачиваться TDSS-ом

а в отдельном виде устанавливается? как? через связки? просто мне так и не смогли вразумительно объяснить что такое делали, что на компе появилась эта дрянь.

просто на компах я больше ничего не заметил кроме него.

кстати, вопросы к философии теста:

если малварь удалила кучу кустов из реестра что бы не работал безопасный режим, то антивирус что должен делать?

а файл хостс обнулять должен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
а в отдельном виде устанавливается? как? через связки? просто мне так и не смогли вразумительно объяснить что такое делали, что на компе появилась эта дрянь.

просто на компах я больше ничего не заметил кроме него.

Да, у этих штук вроде как есть вполне себе инсталлятор, который выводит небезызвестное лицензионное соглашение еще при установке (в расчете на то, что никто не будет читать).

Но в большинстве случаев заражение происходило молча (выкачивался и ставился другими зловредами).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
кстати, вопросы к философии теста:

если малварь удалила кучу кустов из реестра что бы не работал безопасный режим, то антивирус что должен делать?

а файл хостс обнулять должен?

Исходя из методологии антивирус не обязан удалять записи из файла hosts или восстанавливать удаленные ключи реестра. Восстанавливать он должен только ключи автозагрузки трояна, в случае наличия которых и отсутствия файла трояна на диске приведет к неработоспособности системы.

А вредоносы, которые просто портят систему мы в тест не берем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Тест завершен, результаты теста уже разосланы по вендорам-партнерам. Публикация намечена на конец этой недели, чтобы прошло несколько дней после теста на быстродействие.

Немного приоткрою завесу секретности. Немного шокируют и удручают результаты в этот раз. Из 17 протестированных антивирусов награды какого-либо достоинства получили только 6!

Т.е. если в прошлые годы результаты росли, то сейчас на лицо обратный процесс- деградация результатов.

Напомню, что схема награждения не менялась с сентября 2007 года. С ней можно ознакомиться здесь

http://www.anti-malware.ru/node/152

А то были в прошлый раз были поклонники DrWeb, которые "спалили тему" :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А то были в прошлый раз были поклонники DrWeb, которые "спалили тему" :lol:

Да все-равно тест ниочем будет :lol:

А реально я был не очень удивлен результатами теста - известный факт, что антивирусы (большинство) не умеют и не хотят лечить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Да все-равно тест ниочем будет

Жалко у меня там реги нету, я бы пригласил к себе в гости уважаемых экспертов, которые постоянно кричат: "все куплено", "тестер продался" и все такое, мы бы посмотрели, кто еще будет смеяться и над чем :lol:

В тесте на леч. аз. действительно картина не фонтан :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Как надоела эта параноидальная унылость...

Хотя тест на быстродействие ... он больно процессорозависим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
антивирусов награды какого-либо достоинства получили только 6

Ну это было ожидаемо, примерно столько вообще и может претендовать на звание "антивируса". И разве что три из них действительно могут быть полезны в реальных условиях. :)

сейчас на лицо обратный процесс- деградация результатов

Это было заметно в прошлом году невооруженным взглядом, интересно будет ознакомиться с результатами и сравнить с личным представлением о действительности :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
M.Alexander

Опубликуйте,пожайлуста,результаты,как можно скорее.Я уже не могу дождаться.Кстати Касперский попал в 3 лидеров?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Сергей Ильин

Оч. интерсено... :D Ждемс..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Кстати Касперский попал в 3 лидеров?

Да, попал ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

А прошлый победитель этого теста от октября 2008?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А прошлый победитель этого теста от октября 2008?

Тоже в тройке, все увидите через несколько дней ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Сергей Ильин

Не сливай инфу, сохраняй гордое молчание. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
M.Alexander

Уже догадываюсь кто еще вошел в тройку лидеров.Как хочу,чтоб КИС(КАВ)2010 все прлечил,ну кроме ТДСС-а,который тогда никто наверное не лечил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Приятно, что Kaspersky и Dr.Web в тройке лидеров по лечению.

Ждем результатов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Avast, Dr.Web и Kaspersky :)

По-другому и быть не может.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Avast, Dr.Web и Kaspersky :)

По-другому и быть не может.

Ишь вы какие все пронырливые :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×