-
Маленькое исследование антивирусов
В обчем решил я сравнить антивирусы.
Взял я известного червячка Mydoom.a
Далее исследование производится при поможи сайта http://www.virustotal.com/
Итак, первая проверка:
Scan results
File: I-Worm.Mydoom.a
Date: 07/16/2004 15:52:19
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found [Trojan.SCO.A]
eTrustAV-Inoc 4641/20040714 found [Win32/Mydoom.A.Worm]
F-Prot 3.15/20040715 found [W32/Mydoom.A]
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found [W32/Mydoom.a.dll]
NOD32v2 1.812/20040716 found [Win32/Mydoom.A]
Norman 5.70.10/20040716 found [MyDoom.A@mm]
Panda 7.02.00/20040716 found [W32/Mydoom.A.worm]
Sybari 7.5.1314/20040716 found [Win32/Mydoom.A.Worm]
Symantec 8.0/20040715 found [W32.Mydoom.A@mm]
TrendMicro 7.000/20040716 found [WORM_MYDOOM.A]
Как и следовало ожифать все его знают.
Дальше весело. В оригинальном виде червь запакован одной из старых версий UPX.
Распакуем и повторим проверку.
Scan results
File: Copy of Mydoom.exe
Date: 07/16/2004 15:31:33
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found nothing
eTrustAV-Inoc 4641/20040714 found nothing
F-Prot 3.15/20040715 found nothing
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found nothing
NOD32v2 1.812/20040716 found [Win32/Mydoom.A]
Norman 5.70.10/20040716 found nothing
Panda 7.02.00/20040716 found nothing
Sybari 7.5.1314/20040716 found [W32/Mydoom]
Symantec 8.0/20040715 found [W32.Mydoom.B@mm]
TrendMicro 7.000/20040716 found [WORM_MYDOOM.GEN]
ClamWin devel-20040517,eTrustAV-Inoc 4641, F-Prot 3.15, McAfee 4377, Norman 5.70.10, Panda 7.02.00 не знают паковщиков.
Теперь запакуем его aspack
Scan results
File: Mydoom aspack.exe
Date: 07/16/2004 15:31:52
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found nothing
eTrustAV-Inoc 4641/20040714 found nothing
F-Prot 3.15/20040715 found nothing
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found nothing
NOD32v2 1.812/20040716 found [Win32/Mydoom.A]
Norman 5.70.10/20040716 found nothing
Panda 7.02.00/20040716 found nothing
Sybari 7.5.1314/20040716 found [I-Worm.Mydoom.a]
Symantec 8.0/20040715 found nothing
TrendMicro 7.000/20040716 found nothing
Итак, Symantec 8.0 и TrendMicro 7.000 с паковщиками тоже не дружат.
Теперь натравим на червячка AvSpoffer
Scan results
File: Mydoom spoofed2.exe
Date: 07/16/2004 15:21:56
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found nothing
eTrustAV-Inoc 4641/20040714 found nothing
F-Prot 3.15/20040715 found nothing
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found nothing
NOD32v2 1.812/20040716 found nothing
Norman 5.70.10/20040716 found nothing
Panda 7.02.00/20040716 found [Fichero Sospechoso]
Sybari 7.5.1314/20040716 found [Trojan.Mydoom.A]
Symantec 8.0/20040715 found [W32.Mydoom.B@mm]
TrendMicro 7.000/20040716 found nothing
Все кто его теперь не обнаружил не имеют эмулятора кода. Как видно большинство.
Ну и, как Вы понимаете, гвоздь нашей программы AvSpoffer и после этого aspack
Scan results
File: Mydoom spoofed ASPack.exe
Date: 07/16/2004 18:13:03
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found nothing
eTrustAV-Inoc 4641/20040715 found nothing
F-Prot 3.15/20040716 found nothing
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found nothing
NOD32v2 1.812/20040716 found nothing
Norman 5.70.10/20040716 found nothing
Panda 7.02.00/20040716 found nothing
Sybari 7.5.1314/20040716 found [I-Worm.Mydoom.a]
Symantec 8.0/20040715 found nothing
TrendMicro 7.000/20040716 found nothing
Как видите, только 3 антивируса поймали червячка
BitDefender 7.0, Kaspersky 4.0.2.23, и Sybari 7.5.1314При чём Sybari не считается, поскольку просто включает в себя много движков, в том числе, если судить по названию вируса, Каспера.
Кстати, все модификации обнаруживаются и ДрВебом
Так что делайте выводы
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Маленькое исследование антивирусов
Сообщение от
Geser
Кстати, все модификации обнаруживаются и ДрВебом
Абсолютно согласен!!!
Аналогичные тесты проводил с Netbus.
ДрВебу равных не было!
-
-
Re:Маленькое исследование антивирусов
А вот результаты тестирования на диких троянчиках:
Scan results
File: Dreamweaver_MX_CRAC0.exe
Date: 09/05/2004 22:28:18
----
BitDefender 7.0/20040905 found [Backdoor.SDBot.Gen]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SpyBot.gen]
McAfee 4389/20040901 found [W32/Spybot.worm.gen.m]
NOD32v2 1.861/20040904 found [Win32/SpyBot.AFI]
Norman 5.70.10/20040903 found [W32/Backdoor]
Panda 7.02.00/20040905 found [W32/Spybot.gen.worm]
Sybari 7.5.1314/20040905 found [Worm.P2P.SpyBot.gen]
Symantec 8.0/20040905 found [W32.Spybot.Worm]
TrendMicro 7.000/20040901 found nothing
Scan results
File: trojan_construction_kit.exe
Date: 09/05/2004 22:25:47
----
BitDefender 7.0/20040905 found [Win32.P2P.SpyBot.Gen]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SpyBot.gen]
McAfee 4389/20040901 found [W32/Sdbot.worm.gen.j]
NOD32v2 1.861/20040904 found [Win32/SpyBot.ACP]
Norman 5.70.10/20040903 found [W32/HLLW.Gaobot_based.F]
Panda 7.02.00/20040905 found [Worm Generic]
Sybari 7.5.1314/20040905 found [W32/HLLW.Gaobot_based.]
Symantec 8.0/20040905 found [W32.Spybot.Worm]
TrendMicro 7.000/20040901 found nothing
Scan results
File: halo-keygen.exe
Date: 09/05/2004 22:26:17
----
BitDefender 7.0/20040905 found [Win32.P2P.SpyBot.Gen]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SpyBot.gen]
McAfee 4389/20040901 found [W32/Spybot.worm.gen.a]
NOD32v2 1.861/20040904 found [probably unknown NewHeur_PE]
Norman 5.70.10/20040903 found [W32/Backdoor]
Panda 7.02.00/20040905 found nothing
Sybari 7.5.1314/20040905 found [W32/Spybot.worm.gen.a]
Symantec 8.0/20040905 found [W32.Spybot.Worm]
TrendMicro 7.000/20040901 found nothing
Scan results
File: Counter-Strike CD Key-Generator.exe
Date: 09/05/2004 21:56:47
----
BitDefender 7.0/20040905 found [Trojan.Downloader.Small.JF]
ClamWin devel-20040822/20040905 found [Trojan.Downloader.Small.JF]
Kaspersky 4.0.2.24/20040905 found [TrojanDownloader.Win32.Small.jl]
McAfee 4389/20040901 found nothing
NOD32v2 1.861/20040904 found [Win32/TrojanDownloader.Small.JG]
Norman 5.70.10/20040903 found nothing
Panda 7.02.00/20040905 found [Trj/Downloader.EO]
Sybari 7.5.1314/20040905 found [Troj/Small-JG]
Symantec 8.0/20040905 found nothing
TrendMicro 7.000/20040901 found [TROJ_SMALL.CC]
Scan results
File: Adobe PhotoShop 7.0 serial key.exe
Date: 09/05/2004 21:52:53
----
BitDefender 7.0/20040905 found [TrojanDropper.Win32.Small.E]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [TrojanDropper.Win32.Small.e]
McAfee 4389/20040901 found [MultiDropper-BD]
NOD32v2 1.861/20040904 found [Win32/TrojanDropper.Small.E]
Norman 5.70.10/20040903 found [W32/Backdoor]
Panda 7.02.00/20040905 found nothing
Sybari 7.5.1314/20040905 found [MultiDropper-BD]
Symantec 8.0/20040905 found nothing
TrendMicro 7.000/20040901 found nothing
Scan results
File: Battlefied1942 Pack4 (crack+bloodpatch) (20.exe
Date: 09/05/2004 21:49:26
----
BitDefender 7.0/20040905 found [Win32.Worm.P2P.SdDrop.C]
ClamWin devel-20040822/20040905 found [Worm.SdDrop.A]
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SdDrop.c]
McAfee 4389/20040901 found [W32/Sddrop.worm]
NOD32v2 1.861/20040904 found [Win32/Sddrop.C]
Norman 5.70.10/20040903 found [SDDrop.C]
Panda 7.02.00/20040905 found nothing
Sybari 7.5.1314/20040905 found [W32/KWBot-E]
Symantec 8.0/20040905 found [W32.Kwbot.F.Worm]
TrendMicro 7.000/20040901 found [WORM_SDDROP.C]
Scan results
File: trojan.exe
Date: 09/05/2004 21:40:41
----
BitDefender 7.0/20040905 found [Backdoor.Evilbot.B]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Backdoor.Evilbot.a]
McAfee 4389/20040901 found [BackDoor-OG]
NOD32v2 1.861/20040904 found [Win32/Brat]
Norman 5.70.10/20040903 found nothing
Panda 7.02.00/20040905 found [Bck/Brat.A]
Sybari 7.5.1314/20040905 found [W32/Evilbot.]
Symantec 8.0/20040905 found nothing
TrendMicro 7.000/20040901 found nothing
Scan results
File: NBA2003_crack.exe
Date: 09/05/2004 21:39:12
----
BitDefender 7.0/20040905 found [Win32.P2P.SpyBot.Gen]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SpyBot.gen]
McAfee 4389/20040901 found [W32/Spybot.worm.gen.a]
NOD32v2 1.861/20040904 found [probably unknown NewHeur_PE]
Norman 5.70.10/20040903 found [W32/Malware]
Panda 7.02.00/20040905 found [W32/Spybot.gen.worm]
Sybari 7.5.1314/20040905 found [Worm.P2P.SpyBot.gen]
Symantec 8.0/20040905 found nothing
TrendMicro 7.000/20040901 found nothing
DrWeb определил все.
-
-
Full Member
- Вес репутации
- 74
Re:Маленькое исследование антивирусов
Такой вопрос:
берем известный Drweb вирус, пакуем его пакером, неизвестным Drweb. Лежащий на диске такой файл ни сканер, ни монитор не поймают. Не сможет ли Спайдер отловить его при запуске и распаковке в памяти?
-
VBA
- Вес репутации
- 72
Re:Маленькое исследование антивирусов
Сообщение от
userr
Такой вопрос:
берем известный Drweb вирус, пакуем его пакером, неизвестным Drweb. Лежащий на диске такой файл ни сканер, ни монитор не поймают. Не сможет ли Спайдер отловить его при запуске и распаковке в памяти?
Это вряд ли. Скорее всего вирус запустится и спайдер не сможет ему помешать. Однако при проверке памяти, этот вирус вполне может быть обнаружен, поскольку там он находится в распакованном виде (если, конечно, вирус не успеет сделать все, что ему нужно и завершиться до проверки памяти).
-
-
Full Member
- Вес репутации
- 74
Re:Маленькое исследование антивирусов
Сообщение от
serge
Это вряд ли. Скорее всего вирус запустится и спайдер не сможет ему помешать. Однако при проверке памяти, этот вирус вполне может быть обнаружен, поскольку там он находится в распакованном виде (если, конечно, вирус не успеет сделать все, что ему нужно и завершиться до проверки памяти).
А Спайдер не следит постоянно за активностью в памяти? А ваш антивирус? (или так не бывает?)
-
Re:Маленькое исследование антивирусов
Сообщение от
userr
А Спайдер не следит постоянно за активностью в памяти? А ваш антивирус? (или так не бывает?)
Не бывает
-
-
Re:Маленькое исследование антивирусов
Сообщение от
Geser
Не бывает
можно сделать, но это (проверка текущих процессов) очень ресурсоёмкий процесс. пользователь застрелится первым
-
-
Re:Маленькое исследование антивирусов
Сообщение от
userr
А Спайдер не следит постоянно за активностью в памяти?
не помню, я писал про ето?
Реализовано принудительное сканирование
файлов запущенных процессов при старте SpIDer Guard и при подгрузке обновлений вирусной базы
-
-
Re:Маленькое исследование антивирусов
Только что наблюдал картину наглядно иллюстрируюжую скорасть реакции антивирусных фирм на нобые вирусы
Scanner Malware name Time taken
AntiVir X 5.06 seconds
Avast X 7.62 seconds
BitDefender Win32.Bagle.AX@mm 13.47 seconds
ClamAV X 7.49 seconds
Dr.Web Win32.HLLM.Beagle.18848 9.34 seconds
F-Prot Antivirus W32/Bagle.AQ@mm 0.71 seconds
Kaspersky Anti-Virus I-Worm.Bagle.at 6.59 seconds
mks_vir X 1.70 seconds
NOD32 X 2.23 seconds
Norman Virus Control X 1.04 seconds
-
-
Re:Маленькое исследование антивирусов
а откуда такие времена проверки?
-
-
Re:Маленькое исследование антивирусов
Сообщение от
maXmo
а откуда такие времена проверки?
http://virusscan.jotti.dhs.org/
-
-
Re:Маленькое исследование антивирусов
не, почему такие астрономические величины?
-
-
Re:Маленькое исследование антивирусов
Сообщение от
maXmo
не, почему такие астрономические величины?
Там же параллельно могут несколько сканов выполняться.
Вот, забавно
Scanner Malware name Time taken
AntiVir Worm/Rbot.SK 1.30 seconds
Avast X 4.57 seconds
BitDefender X 2.86 seconds
ClamAV X 8.95 seconds
Dr.Web Win32.HLLW.MyBot 4.83 seconds
F-Prot Antivirus X 0.70 seconds
Kaspersky Anti-Virus X 4.74 seconds
mks_vir X 1.79 seconds
NOD32 X 2.70 seconds
Norman Virus Control X 1.16 seconds
-
-
Re:Маленькое исследование антивирусов
санина поделка что ли? :-X
-
-
Re:Маленькое исследование антивирусов
Сообщение от
maXmo
санина поделка что ли? :-X
Не. Просто видно что есть троянчики которые ДрВеб знает, а каспер нет
-
-
Re:Маленькое исследование антивирусов
Сообщение от
Geser
Только что наблюдал картину наглядно иллюстрируюжую скорасть реакции антивирусных фирм на нобые вирусы
Scanner Malware name Time taken
ClamAV X 7.49 seconds
Dr.Web Win32.HLLM.Beagle.18848 9.34 seconds
F-Prot Antivirus W32/Bagle.AQ@mm 0.71 seconds
Kaspersky Anti-Virus I-Worm.Bagle.at 6.59 seconds
Брехня. ClamAV этот вирь начал раньше дрвеба детектить.
Этот тест дает неверные результаты, т.к. проблема еще и в редком обновлении баз у jotti. Сталкивался несколько раз - отправляю после проверки у jotti вирус клам-аву, а он отказывает, говорит, что известный вирус.
virustotal хоть время обновления баз выводит, там более корректно все.
Для такого сравнения лучше в родных онлайнах антивирусов проверять, тогда будет правильно.
-
-
Re:Маленькое исследование антивирусов
Сообщение от
Alexey
Брехня. ClamAV этот вирь начал раньше дрвеба детектить.
Этот тест дает неверные результаты, т.к. проблема еще и в редком обновлении баз у jotti. Сталкивался несколько раз - отправляю после проверки у jotti вирус клам-аву, а он отказывает, говорит, что известный вирус.
virustotal хоть время обновления баз выводит, там более корректно все.
Для такого сравнения лучше в родных онлайнах антивирусов проверять, тогда будет правильно.
Тогда выходит что некоторые антивирусы обновляются часто, а некоторые редко. Странно.
-
-
Visiting Helper
- Вес репутации
- 73
Re:Маленькое исследование антивирусов
Сообщение от
Alexey
Брехня. ClamAV этот вирь начал раньше дрвеба детектить.
Этот тест дает неверные результаты, т.к. проблема еще и в редком обновлении баз у jotti. Сталкивался несколько раз - отправляю после проверки у jotti вирус клам-аву, а он отказывает, говорит, что известный вирус.
virustotal хоть время обновления баз выводит, там более корректно все.
Для такого сравнения лучше в родных онлайнах антивирусов проверять, тогда будет правильно.
Всё объясняется гораздо проще. Ты отправляешь вирус Кламу. Там он быстро проверяется у jotti. Если ДрВеб, Каспер, или другой антивирь вирус детектят, тебе следует ответ, что вирус известный, а тем временем сигнатура добавляется в базу.
-
-
Re:Маленькое исследование антивирусов
File: iinstall.exe
Status: INFECTED/MALWARE
Packers detected: UPX
AntiVir TR/Dldr.IstBar.FY.2 (1.24 seconds taken)
Avast No viruses found (4.59 seconds taken)
BitDefender No viruses found (3.22 seconds taken)
ClamAV No viruses found (3.08 seconds taken)
Dr.Web Trojan.Isbar.92 (4.67 seconds taken)
F-Prot Antivirus No viruses found (0.43 seconds taken)
Kaspersky Anti-Virus TrojanDownloader.Win32.IstBar.gen (4.48 seconds taken)
mks_vir No viruses found (1.95 seconds taken)
NOD32 No viruses found (2.93 seconds taken)
Norman Virus Control No viruses found (4.72 seconds taken)
-