avast! antivirus

Вышла финальная версия чешской программы avast! 4.5 (текущий релиз 4.5.549):
Существенные изменения:
Поддержка 64-битных ОС + улучшены сканирующие модули (теперь проверяет HDD не за 3 часа, а за 1,5 :) , проверка HDD при начальной загрузки ОС проходит за 20 минут :)).
Подробнее на [url]http://www.avast.com/eng/av4_revision_history.html[/url]
Существуют две версии программы Pro и Free (в последней отсутствует проверка на скрипт вирусы в реальном времени).

На 06.12.2004 в базу добавлены след. вирусы:

Abme, FormatC-B [Trj], HLLP-Almat, HLLP-Nolon-19945, Win32:Gaobot-1139 [Wrm], Win32:Gaobot-1140 [Wrm], Win32:Maslan [Wrm], Win32:Mydoom-Z [Wrm], Win32:PSW-Lmir [Trj], Win32:Rbot-BB [Trj], Win32:Rbot-GC [Trj], Win32:Rbot-LI [Trj], Win32:SdBot-1193 [Trj], Win32:SdBot-1194 [Trj], Win32:SdBot-1195 [Trj], Win32:SdBot-1196 [Trj], Win32:SdBot-1197 [Trj], Win32:Wootbot-CQ [Trj], Win32:Wootbot-CR [Trj], Win32:Wootbot-CS [Trj], Win32:Wootbot-CT [Trj], Win32:Wootbot-CU [Trj], Win32:Wootbot-CV [Trj], Win32:Wootbot-CW [Trj], Win32:Wootbot-CX [Trj], Win32:Wootbot-CY [Trj], Win32:Wootbot-CZ [Trj], Win32:Wootbot-DA [Trj], Win32:Wootbot-DB [Trj], Win32:Wootbot-DC [Trj], Win32:Wootbot-DD [Trj], Win32:Wootbot-DE [Trj], Win32:Wootbot-DF [Trj], Win32:Wootbot-DG [Trj], Win32:Wootbot-DH [Trj], Win32:Wootbot-DI [Trj], Win32:Wootbot-DJ [Trj], Win32:Wootbot-DK [Trj], Win32:Wootbot-DL [Trj], Win32:Wootbot-DM [Trj], Win32:Wootbot-DN [Trj]

[url]http://www.avast.com/eng/vps_history.html[/url]

а что насчёт паковщиков? знает хоть самых популярных или нет ?

[QUOTE=drongo]
а что насчёт паковщиков? знает хоть самых популярных или нет ?
[/QUOTE]
Нужно протестировать!
Знаю точно, что в новой версии есть проверка 7-zip архивов и простенький брандмауэр + производитель заявлял, что "программа соответствует европейским стандартам" (Европа большая :)).

[QUOTE=Andrey]
Нужно протестировать!
Знаю точно, что в новой версии есть проверка 7-zip архивов и простенький брандмауэр + производитель заявлял, что "программа соответствует европейским стандартам" (Европа большая :)).
[/QUOTE]
а стандарты маленькие :), он у меня находит вирусы даже после KAV (обратное тоже справидливо), особенно понравился модуль для защиты p2p, такого я еще нигде не встречал. В качестве второго антивируса можно рекомендовать 100%, в качестве основного пока немного отстает от брендов, однако, если вы не проводите все время на варезниках и т.д., то его защиты должо хватить.

[QUOTE=Minos]
особенно понравился модуль для защиты p2p, такого я еще нигде не встречал. [/QUOTE]
Есть у BitDefender

Всё-таки есть ложные срабатывания: нашёл вирусы в нескольких дистрибутивах, например в серверной бета-версии ДоктораВеба ;D
Что понравилось: После нахождения заражённого файла (заблокированного процессом), можно уйти на перезагруз и в среде Доса автоматом будет запущена проверка дисков . При нахождении вируса выдаётся подробная менюшка.
Так что весьма интересный продукт. Правда некоторых вещей, таки не видит.

[QUOTE=drongo]
а что насчёт паковщиков? знает хоть самых популярных или нет ?
[/QUOTE]
avast! версия 4.5 Home Edition
Сборка: Nov2004 (4.5.549)


Упаковщики:
Самораспаковывающиеся выполняемые программы DOS.
Само-извлекающий Win32 архив
ZIP архив
7ZIP архив
ACE архив
ARJ архив
ARC архив
BZIP2 архив
CAB архив
CHM архив
CPIO архив
GZIP архив
ISO архив
LHA архив
MIME
Файлы MAPI
RAR архив
RPM архив
потоки файловой системы NTFS
TAR архив
Потоки TNEF
ZOO архив

Программа вкл. следующие модули:
Сканер доступа avast!
a) Instant Messaging (MSN/Windows Messenger, Yahoo! Messenger, ICQ, AIM (AOL Instant Messenger, Trillian, mIRC*, Miranda*, gaim*, Odigo*, Gadu-Gadu*, Psi Jabber Client*)
* только Windows NT/2000/XP/2003
b) Outlok/Exchange
c) P2P (Kazaa, Kazaa Lite, Direct Connect, Direct Connect++, BearShare, iMesh, WinXM*, LimeWire*, Bit Torrent*, Overnet*, Shareaza*, CZDC++*, Morpheus*, eDonkey*, eMule*, Ares*, SoulSeek*, Opera’s DC++)
* только Windows NT/2000/XP/2003
d) Сетевой экран
e) Стандартный
f) Эл. Почта

avast! Генератор базы данных восстановления (VRDB) (аналог ADinf).

avast! antivirus «Экранная заставка» (сканирование во время бездействия системы)

avast! Вирусное хранилище

Антивирусная база данных (Информация об известных вирусах).

Утилита обновления iAvs

Сканирование во время начальной загрузки

и т.д и т.п.

P.S.: такая полная автоматизация просто поражает воображение.

[QUOTE=Andrey]
Упаковщики:
Самораспаковывающиеся выполняемые программы DOS.
Само-извлекающий Win32 архив
ZIP архив
7ZIP архив
[/QUOTE]

Это архиваторы. А упаковщики хотя бы самые распостраненные (aspack, upx) он знает?

[QUOTE=kps]
Это архиваторы. А упаковщики хотя бы самые распостраненные (aspack, upx) он знает?
[/QUOTE]
На официальном сайте данных нет, а протестировать нет времени.

[QUOTE=kps]
А упаковщики хотя бы самые распостраненные (aspack, upx) он знает?
[/QUOTE]
Не знает.

[QUOTE=kps]
Это архиваторы. А упаковщики хотя бы самые распостраненные (aspack, upx) он знает?
[/QUOTE]

PKLite, Diet, UPX, AsPack, PeShield, PeProtect (см. [url]http://www.avast.com/eng/av4_version_comp.html[/url], [url]http://www.avast.com/eng/whats_new_in_avast_v.html#1[/url] - v4.5, [url]http://www.avast.com/eng/whats_new_in_avast_v2.html#1[/url] - v4.1) знает, остальные упаковщики под вопросом.
Недостаток avast! 4.5 Home Edition - отсутствие механизма Script Blocking (в версии avast! 4.5 Professional Edition он есть).
Сравнение Home и Pro версии см. здесь [url]http://www.avast.com/eng/av4_version_comp.html[/url]

-------------------------------------------------------
File: calc.zip
Status: INFECTED/MALWARE
Packers detected: [b]None[/b]

AntiVir TR/Bagle.AL (0.14 seconds taken)
[b]Avast Win32:Beagle-AK1 (1.51 seconds taken)[/b]
BitDefender Trojan.Dropper.Small.KV (0.33 seconds taken)
ClamAV Trojan.Bagle.AK (0.33 seconds taken)
Dr.Web Win32.HLLM.Beagle.9728 (0.51 seconds taken)
F-Prot Antivirus dropper for W32/Mitglieder.AB (0.06 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Glieder.gen (0.61 seconds taken)
mks_vir Trojan.Dropper.Small.Kv (0.20 seconds taken)
NOD32 Win32/TrojanDropper.Small.NAQ (0.37 seconds taken)
--------------------------------------------------------
File: calc_asp.zip
Status: INFECTED/MALWARE
Packers detected: [b]ASPACK[/b]

AntiVir TR/Glieder.A (0.26 seconds taken)
[b]Avast No viruses found (1.51 seconds taken)[/b]
BitDefender BehavesLike:Win32.AV-Killer (probable variant) (0.79 seconds taken)
ClamAV No viruses found (0.68 seconds taken)
Dr.Web Win32.HLLM.Beagle.9728 (1.06 seconds taken)
F-Prot Antivirus dropper for W32/Mitglieder.AB (0.13 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Glieder.gen (1.26 seconds taken)
mks_vir Trojan.Glieder.Gen (0.46 seconds taken)
NOD32 Win32/TrojanDropper.Small.NAQ (0.76 seconds taken)
---------------------------------------------------------
File: calc_upx.zip
Status: INFECTED/MALWARE
Packers detected: [b]UPX[/b]

AntiVir No viruses found (0.14 seconds taken)
[b]Avast No viruses found (1.51 seconds taken)[/b]
BitDefender BehavesLike:Win32.AV-Killer (probable variant) (0.39 seconds taken)
ClamAV Trojan.Bagle.AK (0.33 seconds taken)
Dr.Web Win32.HLLM.Beagle.9728 (0.52 seconds taken)
F-Prot Antivirus dropper for W32/Mitglieder.AB (0.06 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Glieder.gen (0.62 seconds taken)
mks_vir Trojan.Glieder, Trojan.Dropper.Small.Kv (0.21 seconds taken)
NOD32 Win32/TrojanDropper.Small.NAQ (0.40 seconds taken)
---------------------------------------------------------
File: calc_pesh.zip
Status: INFECTED/MALWARE
Packers detected: [b]PE-SHIELD[/b]

AntiVir No viruses found (0.15 seconds taken)
[b]Avast No viruses found (1.51 seconds taken)[/b]
BitDefender Trojan.Dropper.Small.KV (0.73 seconds taken)
ClamAV No viruses found (0.34 seconds taken)
Dr.Web Win32.HLLM.Beagle.9728 (0.85 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Glieder.gen (0.76 seconds taken)
mks_vir Win32.4 (probable variant) (0.24 seconds taken)
NOD32 No viruses found (0.71 seconds taken)
--------------------------------------------------------
File: calc_pkl.zip
Status: INFECTED/MALWARE
Packers detected: [b]PKLITE32[/b]

AntiVir No viruses found (0.14 seconds taken)
[b]Avast No viruses found (1.51 seconds taken)[/b]
BitDefender BehavesLike:Win32.AV-Killer (probable variant) (0.39 seconds taken)
ClamAV No viruses found (0.34 seconds taken)
Dr.Web No viruses found (0.51 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Glieder.gen (0.62 seconds taken)
mks_vir No viruses found (0.24 seconds taken)
NOD32 Win32/TrojanDropper.Small.NAQ (0.40 seconds taken)
------------------------------------------------------
Нифига он не знает!

[QUOTE=azza]
Нифига он не знает!
[/QUOTE]
Судя по всему использовали [url]http://virusscan.jotti.dhs.org[/url] ? Но на данном сайте (как и на [url]http://www.virustotal.com[/url]) используются старые антивирусные движки (обновляются только антивирусные базы).
P.S.: А придраться можно к любому антивирусу - NOD 32 (к примеру) не знает PE-SHIELD.

nod32 - не показатель
здесь как и во многом другом - КАВ - лидер

[QUOTE=Sanja]
nod32 - не показатель
здесь как и во многом другом - КАВ - лидер
[/QUOTE]
Для кого-то KAV и лидер (для Geser'а к примеру), но не для меня лично.
Сколько идет жалоб на продукт тов. Касперского от обычных пользователей не пересчитать. Причем Каспера ругают не только обычные user'ы, но и профессионалы. У всех, кого я спрашивал, выработан четкий рвотный рефлекс на подделку тов. Касперского (в особенности на версию 5.0 (не в пользу KAV :)). Уж лучше NAV от Symantec (чтобы не говорил Geser) - сторожила AV рынка с тех самых пор, когда тов. Касперский ещё на горшок ходил. Да и NAV понадежнее будет.
P.S.: А если честно, то нет еще на земле антивируса, который бы без сигнатур определял есть вирус в файле или нет.
У Каспера процент ложного срабатывания более 7, у Нортона к примеру 1. (А Norman'a 0 :) - так что и это не показатель).
KAV, к большему моему сожалению очень, не стабильный продукт. В плане технической поддержки вообще сущий мрак.
Придраться можно к любой программе. Недостатки есть у всех AV программ.

Надо завести раздел: «Мой идеальный антивирус». Монитор от этого, глазки :) от того.

[QUOTE=Andrey]
У Каспера процент ложного срабатывания более 7
[/QUOTE]
Это кто считал? :)
[quote]А Norman'a 0[/quote]
И процент обнаружения 0 :)

[QUOTE=Geser]
Это кто считал? :)И процент обнаружения 0 :)
[/QUOTE]
Тест проводил AV-Test.org.
Источник PC Magazine/Russian Edition 10/2004 стр. 116
Довольно интересная статья "Антивирусные утилиты. Почему ваша антивирусная программа не остановит следующую атаку."
Могу выслать.

[QUOTE=Iceman]
Всё-таки есть ложные срабатывания: нашёл вирусы в нескольких дистрибутивах, например в серверной бета-версии ДоктораВеба ;D
Что понравилось: После нахождения заражённого файла (заблокированного процессом), можно уйти на перезагруз и в среде Доса автоматом будет запущена проверка дисков . При нахождении вируса выдаётся подробная менюшка.
Так что весьма интересный продукт. Правда некоторых вещей, таки не видит.
[/QUOTE]
В своё время и KAV в Dr.Web'е вирус находил - исправили, а здесь похоже нет.

Мысли вслух:
Странно и чего я защищаю avast! ???, если сам им не пользуюсь :).
Наверное, это просто моя любовь к freeware программам ;D.

По поводу упаковщиков, кое какие, например старые версии UPX avast 4.5 поддерживает, но все же это его слабое место. Лично, вчера видел обнаружение Trojan.* {UPX}

[QUOTE=Andrey]
Тест проводил AV-Test.org.
Источник PC Magazine/Russian Edition 10/2004 стр. 116
Довольно интересная статья "Антивирусные утилиты. Почему ваша антивирусная программа не остановит следующую атаку."
Могу выслать.
[/QUOTE]
Давай статью :)

[QUOTE=Geser]
Давай статью :)
[/QUOTE]
Отправлено на [email][email protected][/email]
PDF ~ 4 MB.

[QUOTE=Andrey]
Отправлено на [email][email protected][/email]
PDF ~ 4 MB.
[/QUOTE]
Статья бессистемная. Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.

[QUOTE=Geser]
Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.
[/QUOTE]
Бета-сигнатура - предварительная сигнатура (вирус обнаруживается, но лечение невозможно), служит для предотвращения заражения еще чистых (незараженных машин) и распространения (размножения) на уже зараженных. Бета-сигнатуры выпускают многие AV компании (в т.ч. и "любимый всеми" Касперский), но официально об этом особо не распространяются. Косвенную информацию можно найти на сайте AV программы (характерно для KAV, NAV). И т.д и т.п.

[QUOTE=Geser]
Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.
[/QUOTE]
Оригинал статьи о скорости реакции известных AV компаний на вирус MyDoom.A смотри на [url]http://antivirus.about.com/cs/allabout/a/mydoomddos_p.htm[/url] . Там более интересные и полные результаты.

[QUOTE=Andrey]
Оригинал статьи о скорости реакции известных AV компаний на вирус MyDoom.A смотри на [url]http://antivirus.about.com/cs/allabout/a/mydoomddos_p.htm[/url] . Там более интересные и полные результаты.
[/QUOTE]
Я не совсем понимаю каким образом Symantec начал детектировать его в 3 ночи, если даже обновления которые устанавливаются вручную выкладываются раз в день?

[QUOTE=Geser]
Я не совсем понимаю каким образом Symantec начал детектировать его в 3 ночи, если даже обновления которые устанавливаются вручную выкладываются раз в день?
[/QUOTE]
a) Либо через Live-Update оперативность обновления у Symantec выше.
в) Либо такая скорость реакции обусловлена тем, что вирус был получен напрямую от компании MessageLabs. Соответственно приоритет обработки сообщения выше.

[QUOTE=Andrey]
a) Либо через Live-Update оперативность обновления у Symantec выше.
[/QUOTE]
На сайте заявлено что Live-Update обновляется раз в неделю. С пол года назад Symantec ещё стоял у меня на работе, и я могу сказать что обновлялся он не чаще чем раз в пару дней.
[quote]Либо такая скорость реакции обусловлена тем, что вирус был получен напрямую от компании MessageLabs. Соответственно приоритет обработки сообщения выше.[/quote]
Вот это уже ближе к истине :) Показуа :)

[QUOTE=Geser]
Вот это уже ближе к истине :) Показуа :)
[/QUOTE]
Тогда тоже самое можно сказать обо всех антивирусах представленных в обзоре.:)

[QUOTE=Andrey]
Тогда тоже самое можно сказать обо всех антивирусах представленных в обзоре.:)
[/QUOTE]
Согласен. Но например от ЛК лично я получал в 4 ночи ответ что добавили трояна которого я прислал. А так же не редко ответ приходит в течении 2 чсов с момента отправки нового трояна.
Очень сомниваюсь что вирусные аналитики Symantec работают с такой-же оперативностью.

[QUOTE=Geser]
Согласен. Но например от ЛК лично я получал в 4 ночи ответ что добавили трояна которого я прислал. А так же не редко ответ приходит в течении 2 чсов с момента отправки нового трояна.
Очень сомниваюсь что вирусные аналитики Symantec работают с такой-же оперативностью.
[/QUOTE]
Добавлен-то, добавлен. А когда ты фактически получил готовую сигнатуру от Касперского (причем не бета, а нормальную - наверняка в течении суток)?

[QUOTE=Andrey]
Добавлен-то, добавлен. А когда ты фактически получил готовую сигнатуру от Касперского (причем не бета, а нормальную - наверняка в течении суток)?
[/QUOTE]
Не проверял, но типа того. Но я ничего эпидемиологического не посылал. Думаю нового червя добавили бы за несколько часов. Ведь создать сигнатуру дело не долгое. Просто скорее всего новые базы сначала тестируют.

В той статье не эти ли цифры использованы:
Andreas Marx
09.11.2004 15:21
Test: Reaktionszeiten von Antiviren-Herstellern
Оригинал:
[url]http://www.pcwelt.de/news/sicherheit/104653/index2.html[/url]
Перевод мой.

Тест: Время реакции производителей антивирусов.

Время реакции: Win32/Bagle.BB
----------------------------------------------------------------------
BB-вариант впервые получен Messagelabs 29 октября 2004 года вскоре после 6:00 часов (GMT)
К этому времени его определяли Bitdefender (Win32.Bagle.10.Gen@mm), F-Prot ('возможно, неизвестный вирус')
и Sophos (W32/Bagle-Gen). McAfee также распознавала и удаляла характерные для Bagle письма.
Собственно червь стал определяться лишь после выпуска обновления.
В пик эпидемии Messagelabs останавливала около 170.000 зараженных писем в час.
У других антивирусов обычные обновления были выпущены в следующее время:

Производитель, Дата, Время, Hазвание

Dr. Web, 29.10.2004, 06:21, Win32.HLLM.Beagle.18848
Ikarus, 29.10.2004, 07:04, I-Worm.GEN
Kaspersky, 29.10.2004, 07:15, I-Worm.Bagle.at
F-Secure, 29.10.2004, 07:31, I-Worm.Bagle.at
Clam-AV, 29.10.2004, 07:34, Worm.Bagle.AT
Panda, 29.10.2004, 08:04, W32/Bagle.BC.worm
E-Trust (VET Engine), 29.10.2004, 08:26, Win32.Bagle.AQ
Avast, 29.10.2004, 08:47, Win32:Beagle-AQ [Wrm]
AVG, 29.10.2004, 09:17, I-Worm/Bagle.AX
Antivir, 29.10.2004, 09:20, Worm/Bagle.AQ.2
Virusbuster, 29.10.2004, 09:26, I-Worm.Bagle.AY
Norman, 29.10.2004, 09:38, Bagle.AQ@mm
Quickheal, 29.10.2004, 09:47, W32.Bagle.AT
Trend Micro, 29.10.2004, 09:51, WORM_BAGLE.AT
McAfee, 29.10.2004, 10:57, W32/Bagle.bb@MM
Command, 29.10.2004, 11:14, W32/Bagle.AP@mm
Symantec, 29.10.2004, 12:39, W32.Beagle.AV@mm
E-Trust (CA Engine), 29.10.2004, 13:16, Win32/Bagle.AQ.Worm
RAV, 29.10.2004, 16:06, Win32/Bagle.AQ@mm
Fortinet, 29.10.2004, 16:11, W32/Bagle.AX-mm

Загружаемые вручную бета-сигнатуры были готовы и раньше:

Производитель, Дата, Время, Hазвание

F-Secure, 29.10.2004, 07:15, I-Worm.Bagle.at
Panda, 29.10.2004, 08:20, W32/Bagle.BC.worm
Trend Micro, 29.10.2004, 09:51, WORM_BAGLE.AT
McAfee, 29.10.2004, 10:11, W32/Bagle.bb@MM
Symantec, 29.10.2004, 10:34, W32.Beagle.AV@mm


Время реакции: Win32/Bagle.BC
----------------------------------------------------------------------
Червь Bagle.BC стартовал явно позже. По данным Messagelabs первые экземпляры были перехвачены около 14:50 часов (GMT).
О большом массовом вбросе говорить нельзя, т.к. нами было зафиксировано "только" до пяти тысяч вирусных писем в час.
Bagle.BB и Bagle.BC сходны, многие антивирусы детектировали оба варианта одним обновлением.
Вообще без обновления определяли его Bitdefender
(BehavesLike:Win32.AV-Killer), F-Prot ('возможно, неизвестный вирус') и Sophos (W32/Bagle-Gen)
Как и для Bagle.BB, McAfee распознавал и блокировал характерные для Bagle письма. Собственно червь стал определяться лишь после выпуска обновления.
Clam-AV на время выхода статьи (09.11.2004 15:21) еще не распознавал этот вирус.

Hами было измерено следующее время реакции:

Производитель, Дата, Время, Hазвание

Dr. Web, 29.10.2004, 06:21, Win32.HLLM.Beagle.18848
Kaspersky, 29.10.2004, 07:15, I-Worm.Bagle.at
F-Secure, 29.10.2004, 07:31, I-Worm.Bagle.at
E-Trust (VET Engine), 29.10.2004, 08:26, Win32.Bagle.AP
Avast, 29.10.2004, 08:47, Win32:Beagle-AR [Wrm]
AVG, 29.10.2004, 09:17, I-Worm/Bagle.AY
Antivir, 29.10.2004, 09:20, Worm/Bagle.AP
Virusbuster, 29.10.2004, 09:26, I-Worm.Bagle.AZ
Norman, 29.10.2004, 09:38, Bagle.AR@mm
Panda, 29.10.2004, 10:08, W32/Bagle.BD.worm
Command, 29.10.2004, 11:14, W32/Bagle.AO@mm
Symantec, 29.10.2004, 12:39, W32.Beagle.AU@mm
E-Trust, (CA Engine) 29.10.2004, 13:16, Win32/Bagle.AP.Worm
RAV, 29.10.2004, 16:06, Win32/Bagle.AP@mm
Fortinet, 29.10.2004, 16:11, W32/Bagle.BB-mm
McAfee, 29.10.2004, 16:11, W32/Bagle.bc@MM
Trend Micro, 29.10.2004, 17:26, WORM_BAGLE.AN
Ikarus, 30.10.2004, 00:15, I-Worm.Bagle.AV
Quickheal, 30.10.2004, 01:42, W32.Bagle.AN

Загружаемые вручную бета-сигнатуры были готовы в следующее время:

Производитель, Дата, Время, Hазвание

F-Secure, 29.10.2004, 07:15, I-Worm.Bagle.at
Panda, 29.10.2004, 09:48, W32/Bagle.BD.worm
McAfee, 29.10.2004, 10:11, W32/Bagle.bc@MM
Symantec, 29.10.2004, 10:34, W32.Beagle.AU@mm
Trend Micro, 29.10.2004, 15:00, WORM_BAGLE.AN


Время реакции: Win32/Bagle.BD
----------------------------------------------------------------------
Messagelabs сообщила о распространении Bagle.BD около 12:00 часов. В пике
зафиксировано около 24 000 копий червя в час.
Bitdefender (Win32.Bagle.10.Gen@mm) и Sophos (W32/Bagle-Gen) также
разпознавали червя без обновления.
Так же мог распознавать вирусные письма и блокировать заражение через е-мейл McAfee.

Hами было измерено следующее время реакции:

Производитель, Дата, Время, Hазвание

Kaspersky, 29.10.2004, 09:45 I-Worm.Bagle.au
Panda, 29.10.2004, 10:08, W32/Bagle.BE.worm
Dr. Web, 29.10.2004, 10:21, Win32.HLLM.Beagle.18848
Clam-AV, 29.10.2004, 10:27, Worm.Bagle.AX
F-Prot, 29.10.2004, 10:40, W32/Bagle.AQ@mm
Avast, 29.10.2004, 10:52, Win32:Beagle-AS [Wrm]
Ikarus, 29.10.2004, 10:58, I-Worm.Bagle.AU
AVG, 29.10.2004, 11:09, I-Worm/Bagle.AZ
Command, 29.10.2004, 11:53, W32/Bagle.AQ@mm
Antivir, 29.10.2004, 12:08, Worm/Bagle.AT
Virusbuster, 29.10.2004, 12:14, I-Worm.Bagle.BA
E-Trust (VET Engine), 29.10.2004, 12:46, Win32.Bagle.AR
E-Trust (CA Engine), 29.10.2004, 13:16, Win32/Bagle.AQ.Worm
Norman, 29.10.2004, 13:18, Bagle.AR@mm
F-Secure, 29.10.2004, 14:31, I-Worm.Bagle.au
Fortinet, 29.10.2004, 16:11, W32/Bagle.AW-mm
McAfee, 29.10.2004, 16:11, W32/Bagle.bd@MM
Trend Micro, 29.10.2004, 17:26, WORM_BAGLE.AU
Quickheal, 29.10.2004, 19:04, W32.Bagle.AU
Symantec, 29.10.2004, 20:34, W32.Beagle.AW@mm
RAV, 31.10.2004, 23:11, Win32/Bagle.BD@mm

Бета-сигнатуры были готовы так:

Hersteller, Datum, Uhrzeit, Name
Panda, 29.10.2004, 10:06, W32/Bagle.BE.worm
McAfee, 29.10.2004, 11:30, W32/Bagle.bd@MM
Symantec, 29.10.2004, 11:39, W32.Beagle.AW@mm
F-Secure, 29.10.2004, 14:00, I-Worm.Bagle.au
Trend Micro, 29.10.2004, 17:26 WORM_BAGLE.AU

[QUOTE=Geser]
Не проверял, но типа того. Но я ничего эпидемиологического не посылал. Думаю нового червя добавили бы за несколько часов. Ведь создать сигнатуру дело не долгое. Просто скорее всего новые базы сначала тестируют.
[/QUOTE]
Да. Из неофициального интервью одного из работников Касперски Лаб (оригинал [url=http://groups.google.ru/groups?q=+%22%D0%B3%D0%B0p%D0%B0%D0%BD%D1%82%D0%B8p%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9+%D1%86%D0%B8%D0%BA%D0%BB%22+group:fido7.ru.security&hl=ru&lr=&ie=UTF-8&inlang=ru&scoring=r&selm=1091146129%40p409.f2731.n5030.z2.ftn&rnum=2&filter=0] здесь [/url] ):
-----------------------------------------------------------------------
Докладываю. (Это бyдет пpочитать интеpесно многим. Здесь и о дpyгих
антивиpyсных компаниях).

Мною был задан следyющий вопpос: "Если вам пpишлют некий виpyс (он может быть пpостым, сложным - неизвестно, абстpактный). Чеpез какой пеpиод он ГАРАHТИРОВАHО должен быть добавлен в новый апдейт? То есть 3 часа, 6 часов, 9 часов, несколько сyток? Есть y вас такой гаpантиpованный сpок. Виpyс вам пpислали, а его неделю не добавляют, напpимеp. Расскажи, пожалyйста, пpо политикy".

Ответ: "Все очень пpосто: если письмо от пользователя, то оно добавится в течении тpех часов. Иначе дежypного дятла/дятлов взъе#yт. Если это обмен коллекциями, то может и тpи месяца пpолежать. Hо и за это деpyт сильно".

Вопpос: "А если виpyс очень сложный? За тpи часа не пpоанализиpовать".
Ответ: "А никто и не анализиpyет полностью. Главное задетектить. А потом pазбеpемся. Апдейты с сегодняшнего дня выходят pаз в час"
(Подчеpкнy: *ВHИМАHИЕ* ! Апдейты с сегодняшнего дня выходят РАЗ В ЧАС!)

Вопpос: "Hy а лечить? В базе может отсyтствовать алго лечения? Главное - детект? А лечилкy добавить чеpез несколько часов, когда все yже полностью pазобpано бyдет?".

Ответ: "Лечение вообще pедко пишyт. Только когда эпидемии... Сейчас же в основном чеpви, да тpояны. Там одно лечение - delete. И лечение можно добавлять когда yгодно. Как пpавило это делается по запpосy".
-----------------------------------------------------------------------

О добавлении одного из червей (AVP - I-Worm.Moodown.b
DrWeb - HLLM.Foo.41984) ДрВебом можно посмотреть, например, [url=http://forum.drweb.ru/view/62118]здесь [/url].

[QUOTE=Alexey]
О добавлении одного из червей (AVP - I-Worm.Moodown.b
DrWeb - HLLM.Foo.41984) ДрВебом можно посмотреть, например, [url=http://forum.drweb.ru/view/62118]здесь [/url].
[/QUOTE]
Сигнатура червяка была добавлена в этом дополнении:
drwtoday.vdb (2004-02-18 13:45:00)
... Win32.HLLM.Foo.41984, ...

В последнее время дрвебовцы увеличили число вирус-аналитиков. Это чувствуется.

Вот данные выше ближе к истине. В основном лидируют КАВ и ДрВеб, как и предпологалось. Семантек как и предпологалось один из последних.

Все-таки верно подметил Андреас Маркс, сотрудник AV-Test, что компания первой проанализировавшая конкретный вирус, не обязательно будет первой в следующий раз.

Geser твоя любовь к Касперскому, просто не скрываема. Фирма, в которой ты работаешь, случайно не является представителем ЛК на территории Израиля? В Израиле так много IT компаний, неужели нет своего родного антивируса?

[QUOTE=Andrey]
Все-таки верно подметил Андреас Маркс, сотрудник AV-Test, что компания первой проанализировавшая конкретный вирус, не обязательно будет первой в следующий раз.
[/QUOTE]
Выше дали не один пример, а 3.
[quote]Geser твоя любовь к Касперскому, просто не скрываема. [/quote]
Любовь здесь ни при чём. Лично у меня стоит ДрВеб. Но во многом ЛК действительно стоят на первом месте.

[QUOTE=Andrey]
Судя по всему использовали [url]http://virusscan.jotti.dhs.org[/url] ? Но на данном сайте (как и на [url]http://www.virustotal.com[/url]) используются старые антивирусные движки (обновляются только антивирусные базы).
P.S.: А придраться можно к любому антивирусу - NOD 32 (к примеру) не знает PE-SHIELD.
[/QUOTE]
Проверил то же на _http://onlinescan.avast.com
-------------------------------------------------------
calc_asp.exe [b]clear[/b]

VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 10.5 kB
Scan time: 0s 36ms
Scanned speed: 287.2 kB/s
------------------------------------------------------
calc_pesh.exe [b]clear[/b]

VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 18.0 kB
Scan time: 0s 15ms
Scanned speed: 1.1 MB/s
------------------------------------------------------
calc_pkl.exe [b]clear[/b]

VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 11.5 kB
Scan time: 0s 29ms
Scanned speed: 386.8 kB/s
-----------------------------------------------------
calc_upx.exe [b]clear[/b]

VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 6.0 kB
Scan time: 0s 23ms
Scanned speed: 258.3 kB/s
--------------------------------------------------------
Лапшу вешают...

[QUOTE=azza]
Проверил то же на _http://onlinescan.avast.com
[/QUOTE]

Да у них там совсем глючный сканер какой-то! ;D
Даже не упакованные вирусы, имеющиеся у них в базе, не видит! ;D