Тут народ с вохищением рассказывал как быстро работает это антивирус. Ну, помучаем его немножко.

Возьмём известный троян hxdef100. Упакуем его известным полиморфным пакером MORPHINE
Что мы получим?
File: hxdef100_mod.exe
Status: INFECTED/MALWARE
Packers detected: PE_PATCH.MORPHINE, MORPHINE

AntiVir No viruses found (1.46 seconds taken)
Avast No viruses found (4.56 seconds taken)
BitDefender Backdoor.Hacdef.1.0.0 (3.44 seconds taken)
ClamAV No viruses found (5.95 seconds taken)
Dr.Web No viruses found (5.69 seconds taken)
F-Prot Antivirus No viruses found (3.31 seconds taken)
Kaspersky Anti-Virus Backdoor.HacDef.084 (7.22 seconds taken)
mks_vir W32 (probable variant) (1.78 seconds taken)
NOD32 No viruses found (3.25 seconds taken)
Norman Virus Control No viruses found (7.39 seconds taken)


Правильно. Для НОД32 файл теперь чист. Счастливый владелец НОД32 хавает троян за милую душу, ничего не подозревая.

Ну ладно, MORPHINE типа сложный полиморфный пакер.
Возмём более простой и древний пакер PE-PACK
File: hxdef100.exe
Status: INFECTED/MALWARE
Packers detected: PE-PACK

AntiVir No viruses found (1.62 seconds taken)
Avast No viruses found (4.86 seconds taken)
BitDefender No viruses found (4.42 seconds taken)
ClamAV No viruses found (3.21 seconds taken)
Dr.Web BackDoor.HackDef.84 (4.72 seconds taken)
F-Prot Antivirus No viruses found (0.37 seconds taken)
Kaspersky Anti-Virus Backdoor.HacDef.084 (5.21 seconds taken)
mks_vir No viruses found (1.52 seconds taken)
NOD32 No viruses found (2.91 seconds taken)
Norman Virus Control No viruses found (5.36 seconds taken)


Уже и Dr.Web проснулся, хоть и они не очень дружат с пакерами. А НОД32 тихо хавает трояна не пискнув.

А здесь http://virusinfo.info/index.php?board=18;action=display;threadid=50 я проверял результаты обработки AvSpoffer. Так НОД и после него молчит как партизан, хоть там уже и BitDefender и даже Symantec просыпаются. А это значит плохой эмулятор, или вообще его отсутствие.

Нус, понятно откуда растёт быстродействие НОД32?

Поймите, нет чудес. Если антивирус работает быстро, то он просто халтурит. При этом НОД32, в отличае от того же Symantec, хотя бы имеет хорошую базу троянов(судя по моим избирательным проверкам). Потому в принципе можно сказать что антивирус совсем не плохой. И если очень достали тормоза КАВ, то можно поставить и НОД32. Но нужно понимать, что уровень защищённости падает.

У меня на PE-PACK v1.0 NOD выдаёт "probably unknown NewHeur_PE", как и на некоторые другие пакеры. А вот Ezip 1.0 он вообще не знает.

У меня на PE-PACK v1.0 NOD выдаёт "probably unknown NewHeur_PE", как и на некоторые другие пакеры. А вот Ezip 1.0 он вообще не знает.

Скорее всего зависит от того, какой троян паковать.

вот кушает он действительно многовато . (7+17+4)=28 Мб
я уже почти всё поотключал , но безтолку .
проверку дисковода при рестарте и выключении тоже не получаеться отключить . хотя я убрал галку и перегрузился :(

НОД быстро сканирует с дефолтными настройками, а если его настроить как следует, то этой быстроты особенно не замечаешь.

http://img60.exs.cx/img60/8019/32_1.jpg

http://img99.exs.cx/img99/5827/32_2.jpg

Разница в количестве просканенных файлов, с дефолтными настройками и настройками как на скриншотах - довольно существенная, соответственно какую-нибудь заразу можно и пропустить.

С максимальными настройками монитор AMON у NOD'а 32 слегка притормаживает при открытии любого файла.
Сканере NOD32, с максимальными настройками, проверяет мой HDD на 120 GB минут за 20-30.

Вот тут еще один, правда достаточно посредственный, анализ NOD32:

http://ex-vdcom.ru/forum/viewtopic.php?t=266

вот кушает он действительно многовато . (7+17+4)=28 Мб
я уже почти всё поотключал , но безтолку .
проверку дисковода при рестарте и выключении тоже не получаеться отключить . хотя я убрал галку и перегрузился :(

Ставь нормальный русификатор http://www.4ru.info/nod32.htm и намайся с настройками.

Вот тут еще один, правда достаточно посредственный, анализ NOD32:

http://ex-vdcom.ru/forum/viewtopic.php?t=266

Ну ты хотел что бы они за один день добавили.
За один день даже КАВ не всегда добавляют, а у них, насколько я знаю, самая оперативная реакция.

Ну ты хотел что бы они за один день добавили.
За один день даже КАВ не всегда добавляют, а у них, насколько я знаю, самая оперативная реакция.

VBA, например, добавляет :) Часики идут, посмотрим.
Вообще у меня такое подозрение, что саппорт у NOD32 хромает, основная задача хватать первые места в VirusBtn.

VBA, например, добавляет :) Часики идут, посмотрим.
Вообще у меня такое подозрение, что саппорт у NOD32 хромает, основная задача хватать первые места в VirusBtn.


Угу, VBA действительно добавляют очень оперативно. Но общее знание "зверей" у них пока хромает.

Вообще евристик у НОД хороший. Часто вижу он ругается на неизвестных "зверей". Вопрос только насколько часты ложные срабатывания. У тебя стоит НОД?

Вообще евристик у НОД хороший. Часто вижу он ругается на неизвестных "зверей". Вопрос только насколько часты ложные срабатывания. У тебя стоит НОД?


Да, но я из него использую только резидентный модуль (он эвристикой не ругается, возможно потому что не установлен DEEP уровень). А так нет привычки проверяться целиком :)

Угу, VBA действительно добавляют очень оперативно. Но общее знание "зверей" у них пока хромает.

На счет знания "зверей" я бы и поспорил. Нет в базе многих (даже очень) ДОС вирусов, поэтому на тестовых коллекциях возможны не удовлетворительные результаты. Но кому сейчас нужны эти досовские букашки. А вот на тест в VirusBtn я бы на них посмотрел бы с удовольствием.

Плюс иногда добавляют то, что не надо :) по принципу KAV. Хотя реагируют на такие заявления вполне адекватно и если программа реально не является деструктивной из базы могут и выкинуть.

Ну ты хотел что бы они за один день добавили.
За один день даже КАВ не всегда добавляют, а у них, насколько я знаю, самая оперативная реакция.


По поводу реакции, отослал вирусы в mks_vir получил ответ в течение нескольких часов, и не смотря на то что я не являюсь зарегестрированным пользователем даже поблагодарили. Напоминает приятное общение с разработчиками VBA.

По поводу реакции, отослал вирусы в mks_vir получил ответ в течение нескольких часов, и не смотря на то что я не являюсь зарегестрированным пользователем даже поблагодарили. Напоминает приятное общение с разработчиками VBA.

Ответ с результатом анализа?

Ответ с результатом анализа?


Нет, я думаю человеку который написал первое письмо нет смысла описывать тех. процесс (Хотя я бы не отказался). Антивирус кстати мне понравился. Обнаруживает достаточно много, имеет встроенный монитор registry:


2005-01-14 08:47:14
In key:
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
following entry has been changed:
ssgrate.exe = C:\WINNT\system32\system.exe
Previous value:
[PUSTY]

Основная его проблема - ориентация на польский рынок, то есть даже с английским у них проблемы (о чем я им также написал).

Ну что я могу сказать mks_vir сегодня уже ловит один из вирусов, а конкретно Trojan.Win32.StartPage.tf (у них он идет под именем Trojan.Startpage.Tf.A).

NOD32 соизволил добавить из 7 только 1 вирус... Я расстроен...

Продолжил свои изыскания, решил не ограничиваться одним NOD-ом и MKS_VIR

http://ex-vdcom.ru/forum/viewtopic.php?p=569

Удивили показании Panda.

А файлики откуда?

А файлики откуда?


Будешь смеяться, но они из c:\Virus\

Будешь смеяться, но они из c:\Virus\

Я а там они откуда взялись?

Я а там они откуда взялись?


Точно не я писал :) , были благополучно подцеплены в интернете.

Точно не я писал :) , были благополучно подцеплены в интернете.

И каким антивирусом они были изначально обнаружены? Или ручками?

Geser.
Похоже, ты волнуешься, что Dr.Web их не знает?!


а я что то на результат dr.web не обратил внимания.
у меня Каспер и Вебер в плане обнаружения вирусов зачет автоматом получают :)

И каким антивирусом они были изначально обнаружены? Или ручками?


если у меня на компе, то второе... а если в мире, то не знаю...

Мда... Панда таки удивила, а вот НОД подкачал :( Странно.

Мда... Панда таки удивила, а вот НОД подкачал :( Странно.


К Панде у меня внутренее отвращение, как в прочем и к Касперу (хотя считаю его одним из лидеров, но рука не поднимается его устанавливать).

А то что НОД подкачал меня не так сильно растроило, как то что они и не пытаються добавить эти вирусу в свою базу.

а я что то на результат dr.web не обратил внимания.
у меня Каспер и Вебер в плане обнаружения вирусов зачет автоматом получают :)

Посмотри на последние два пункта своего теста http://ex-vdcom.ru/forum/viewtopic.php?p=569

sskb5.exe и Q435956921.dll

Посмотри на последние два пункта своего теста http://ex-vdcom.ru/forum/viewtopic.php?p=569
sskb5.exe и Q435956921.dll

Это дропперы какого-то адваря, насколько я понимаю. А ДрВаб детектит ято только с расширенной базой, которая пока только для бета тестеров.

VBA, например, добавляет :)
Кстати, приемущества ЛК, что они не просто добавляют, а и ответ присылают, что ято за зверь. А когда время есть, то пишут даже что именно он делает.

Посмотри на последние два пункта своего теста http://ex-vdcom.ru/forum/viewtopic.php?p=569

sskb5.exe и Q435956921.dll


это я увидел. можно было бы и им заслать, но лень. на веб я обижен, когда на один из высланых экземпляров, реакция была почти месяц (зачем им спрашиваеться высылать). Кстати VBA это добро почти все ловит :) (за исключением sskb5.exe - Trojan-Dropper.Win32.SurfSide.a) Если бы они еще свой update-модуль поправили, а то он не работает через мою проксю...

это я увидел. можно было бы и им заслать, но лень. на веб я обижен, когда на один из высланых экземпляров, реакция была почти месяц (зачем им спрашиваеться высылать). Кстати VBA это добро почти все ловит :) (за исключением sskb5.exe - Trojan-Dropper.Win32.SurfSide.a) Если бы они еще свой update-модуль поправили, а то он не работает через мою проксю...

Да, я бы им тоже не высылал, если бы не пользовался :)
Вот выйдет исправленная версия БитДефендера... наверное перейду.

Это дропперы какого-то адваря, насколько я понимаю. А ДрВаб детектит ято только с расширенной базой, которая пока только для бета тестеров.


Про RichFind ты не прав, а вот про сторой я уже не помню...

Если что вот ссылка

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ADW_RICHFIND.A

MKS_VIR 2005 на глазах зв 2 дня у меня вырос из неизвестного антивируса, во втолне приличную программу. Удивлен до кончика ногтей. Все Trojan/AdWare которые я им выслал теперь детектяться. В результате у них на моей случано сформированной выборке результат - 100%. NOD32 продолжает нервно покуривать в уголке (а ведь ему я выслал раньше на сутки, и судя по реакции еще не скоро среагирует).
Надо заняться в свободное время более плотным тестингом MKS_VIR 2005.

MKS_VIR 2005 на глазах зв 2 дня у меня вырос из неизвестного антивируса, во втолне приличную программу. Удивлен до кончика ногтей. Все Trojan/AdWare которые я им выслал теперь детектяться.


Не долго музыка играла... Был проведен очередной маленький эксперимент. Распакованы трояны и проверены антивирусом вторично. Результат плачевный, не обнаружен ни один из них. В то время как VBA спокойно их продолжает детектить.

Не долго музыка играла... Был проведен очередной маленький эксперимент. Распакованы трояны и проверены антивирусом вторично. Результат плачевный, не обнаружен ни один из них. В то время как VBA спокойно их продолжает детектить.


Чудес не бывает ;) Паковщики проблема большинства антивирусов, особенно малоизвестных. VBA, правда приятное исключение :)

Чудес не бывает ;) Паковщики проблема большинства антивирусов, особенно малоизвестных. VBA, правда приятное исключение :)


Причем взял первый же троян (достаточно старый - лето 2004) который понимает NOD32 и MKS, распаковал - NOD32 продолжил понимать, а вот MKS - нет. Запаковал с помощью FSG 2.0 - NOD32 все равно без проблем обнаружил.
VBA отработал и в этот раз не хуже, то есть обаружил в обоих случаях.

PS NOD на мои отосланые трояны так до сих пор и не среагировал :(

PS2 VBA так и не исправили ошибку с обновлениями через мою проксю.

PS3 Нет в жизни счастья. :)