-
Сообщение от
Iceman
В личку.
Ага - файл получил, спасибо. сейчас его погоняю
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Как обычно - результаты ждём с большим интересом ;-)).
-
-
Сообщение от
Синауридзе Александр
М да. Только зря время потратил - 5 машин прогнал. После NOD32 что-то найти почти нереально.
Как раз не зря. Ложные срабатывания как раз на чистых машинах и надо искать
-
-
Сообщение от
Ego1st
представитель др.веб говорит что это, что-то типа Софосовского генатипа, только немного реализовано подругому..
"Немного" я не говорил. Вполне возможно, в реализации вообще ничего общего нет
Оно пошто поди понятно, оно и правильно, а случись-тко что-нибудь - вот те и пожалуйста...
-
-
Сообщение от
ValeryLedovskoy
"Немного" я не говорил. Вполне возможно, в реализации вообще ничего общего нет
я описал, то как сам эт понял..)) ссылку на тему кинули, я думаю кому интересно из первого источника всё-таки прочитали..
надо было имхо поставить=)))
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
Iceman
Как обычно - результаты ждём с большим интересом ;-)).
Ну, собственно, вот и результаты:
1. Кеш системы с ИР - всякий мусор, явные зловреды оттуда почти все отфильтрованы на 80%. По отчету DrWeb проверено 219361 файлов (файлы без повторов, это то, что ожидает классификацию - реально файлов порядка 27 тыс, там примерно 2 тыс зверей. многие файлы являются дистрибуциями, инсталлами и т.п. - DrWeb работал с опцией "проверять все файлы", что видимо повлияло на его счетчики), так вот из них 90 - "Возможно ..." и 258 - "xxxx.origin". Чаще всего мелькает "Trojan.Resun.origin", "Trojan.DownLoader.origin", "Trojan.Fakealert.origin", "Trojan.Spambot.origin", "Trojan.PWS.GoldSpy.origin", "Dialer.Riprova.origin", "Adware.Shopper.origin", "Dialer.Hot.origin", "Adware.Cdn.origin". Вероятность "попадания в зловред" по ним - порядка 70%. Еще примерно 800-1000 DrWeb детектировал как зловреды сигнатурами
2. Тест по базе чистых объектов - проверил он 280 тыс, из них порядка 60 тыс - исполняемые файлы. 20 ложняков, досталось компонентам ZoneAlarm, NOD, KAV. Срабытываний "Origin" две штуки - на Panda и Ulead DVD Movie Factory 2.
3. Другой кеш ИР анализатора - гарантировано зловреды, без повторов, ITW за последние 2 месяца, 24 тыс штук. Из них примерно 700 он не детектировал, много детектов вида "xxx.based" и 906 зверей детектированы именно как "xxx.origin".
Вот такие вот цифры ...
-
-
Интересно было бы в процентах. Сколько процентов из того что не находит нынешняя версия находит бета.
-
-
Сообщение от
Geser
Интересно было бы в процентах. Сколько процентов из того что не находит нынешняя версия находит бета.
Насколько я понимаю, получается примерно +4..5%. Точнее подсчитать трудно ... но особого расхождения я думаю не будет. Причем пока видно, что origin детект эффективен не для всех зловредов, а для ряда характерных семейств, например зловредов класса Zlob и некоторых порнозвонилок.
-
-
Насколько я понимаю, получается примерно +4..5%
Не густо...
-
-
Сообщение от
Geser
Не густо...
А я большего и не ожидал ... фокус с в том, что сигнатурная база продолжает работать - порядка 90-92% ITW зверей он детектит именно сигнатурами ... а сигнатурный детект (по моим опытам по крайней мере) имеет приоритет. Вот если бы сигнатурный поиск как-то отключался и работал только "Origin" - тогда цифры были бы намного интереснее и показательнее.
-
-
У Веба, ИМХО, опять отвалилась возможность лечения активной заразы.
Детект-детектом, а лечить не получается. проверьте, может я ошибся.
-
-
Сообщение от
Iceman
У Веба, ИМХО, опять отвалилась возможность лечения активной заразы.
Детект-детектом, а лечить не получается. проверьте, может я ошибся.
С чего вы решили?
С какой заразой воспроизводится?
-
-
Сообщение от
Iceman
У Веба, ИМХО, опять отвалилась возможность лечения активной заразы.
Детект-детектом, а лечить не получается. проверьте, может я ошибся.
В то время, когда был уже запущен троян sys32.exe, я запустил сканер. Вот результат: (файл трояна был действительно удален)
[Проверяемый путь] e:\virus\collection\trojan\downloader\sys32.exe
e:\virus\collection\trojan\downloader\sys32.exe инфицирован Trojan.DownLoader.11402
[Проверяемый путь] e:\winproxy\winproxy.exe
...
e:\virus\collection\trojan\downloader\sys32.exe - удален
-
-
Сообщение от
Geser
Сколько процентов из того что не находит нынешняя версия находит бета.
Олег привел долю детектирования новым эвристиком - 4..5% из общей массы детектов.
Я понял вопрос Geser иначе. Если судить по цифрам Олега, то новый движок пропускает как минимум в 2 раза меньше. Точную цифру можно получить только, проверив эти же файлы движком нынешней версии.
PS. Слабо верится в такие хорошие результаты. Может я ошибся?
-
-
Сообщение от
Зайцев Олег
Вот если бы сигнатурный поиск как-то отключался и работал только "Origin" - тогда цифры были бы намного интереснее и показательнее.
очень верный ход мысли.
-
-
Visiting Helper
- Вес репутации
- 71
Если кто еще захочет потестить новую бету Вэба, то вот ссылка на неё:
http://rapidshare.com/files/10125140/BetaDrWeb.rar.html
Архив без пароля.
С Уважением,
Ильдар aka Casper
-
-
Такой вопрос , в CureIt она(технология) встроена или нет ?
А то особо желания нет качать 6 метров
-
-
Junior Member
- Вес репутации
- 64
Surfer
Нет ... это пока бетта ... идет тестирование.
-
Сообщение от
_HEKTO_
Как раз не зря. Ложные срабатывания как раз на чистых машинах и надо искать
У меня на работе других дел хватает.
Сообщение от
Зайцев Олег
Насколько я понимаю, получается примерно +4..5%.
А больше и не следовало ожидать.
-
-
Сообщение от
Синауридзе Александр
У меня на работе других дел хватает.
А я-то думал, что бета версия для тестирования предназначена...
-