-
Re:avast! 4.5 Final
[QUOTE=Andrey]
Тест проводил AV-Test.org.
Источник PC Magazine/Russian Edition 10/2004 стр. 116
Довольно интересная статья "Антивирусные утилиты. Почему ваша антивирусная программа не остановит следующую атаку."
Могу выслать.
[/QUOTE]
Давай статью :)
-
Re:avast! 4.5 Final
[QUOTE=Geser]
Давай статью :)
[/QUOTE]
Отправлено на [email][email protected][/email]
PDF ~ 4 MB.
-
Re:avast! 4.5 Final
[QUOTE=Andrey]
Отправлено на [email][email protected][/email]
PDF ~ 4 MB.
[/QUOTE]
Статья бессистемная. Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.
-
Re:avast! 4.5 Final
[QUOTE=Geser]
Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.
[/QUOTE]
Бета-сигнатура - предварительная сигнатура (вирус обнаруживается, но лечение невозможно), служит для предотвращения заражения еще чистых (незараженных машин) и распространения (размножения) на уже зараженных. Бета-сигнатуры выпускают многие AV компании (в т.ч. и "любимый всеми" Касперский), но официально об этом особо не распространяются. Косвенную информацию можно найти на сайте AV программы (характерно для KAV, NAV). И т.д и т.п.
-
Re:avast! 4.5 Final
[QUOTE=Geser]
Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.
[/QUOTE]
Оригинал статьи о скорости реакции известных AV компаний на вирус MyDoom.A смотри на [url]http://antivirus.about.com/cs/allabout/a/mydoomddos_p.htm[/url] . Там более интересные и полные результаты.
-
Re:avast! 4.5 Final
[QUOTE=Andrey]
Оригинал статьи о скорости реакции известных AV компаний на вирус MyDoom.A смотри на [url]http://antivirus.about.com/cs/allabout/a/mydoomddos_p.htm[/url] . Там более интересные и полные результаты.
[/QUOTE]
Я не совсем понимаю каким образом Symantec начал детектировать его в 3 ночи, если даже обновления которые устанавливаются вручную выкладываются раз в день?
-
Re:avast! 4.5 Final
[QUOTE=Geser]
Я не совсем понимаю каким образом Symantec начал детектировать его в 3 ночи, если даже обновления которые устанавливаются вручную выкладываются раз в день?
[/QUOTE]
a) Либо через Live-Update оперативность обновления у Symantec выше.
в) Либо такая скорость реакции обусловлена тем, что вирус был получен напрямую от компании MessageLabs. Соответственно приоритет обработки сообщения выше.
-
Re:avast! 4.5 Final
[QUOTE=Andrey]
a) Либо через Live-Update оперативность обновления у Symantec выше.
[/QUOTE]
На сайте заявлено что Live-Update обновляется раз в неделю. С пол года назад Symantec ещё стоял у меня на работе, и я могу сказать что обновлялся он не чаще чем раз в пару дней.
[quote]Либо такая скорость реакции обусловлена тем, что вирус был получен напрямую от компании MessageLabs. Соответственно приоритет обработки сообщения выше.[/quote]
Вот это уже ближе к истине :) Показуа :)
-
Re:avast! 4.5 Final
[QUOTE=Geser]
Вот это уже ближе к истине :) Показуа :)
[/QUOTE]
Тогда тоже самое можно сказать обо всех антивирусах представленных в обзоре.:)
-
Re:avast! 4.5 Final
[QUOTE=Andrey]
Тогда тоже самое можно сказать обо всех антивирусах представленных в обзоре.:)
[/QUOTE]
Согласен. Но например от ЛК лично я получал в 4 ночи ответ что добавили трояна которого я прислал. А так же не редко ответ приходит в течении 2 чсов с момента отправки нового трояна.
Очень сомниваюсь что вирусные аналитики Symantec работают с такой-же оперативностью.
-
Re:avast! 4.5 Final
[QUOTE=Geser]
Согласен. Но например от ЛК лично я получал в 4 ночи ответ что добавили трояна которого я прислал. А так же не редко ответ приходит в течении 2 чсов с момента отправки нового трояна.
Очень сомниваюсь что вирусные аналитики Symantec работают с такой-же оперативностью.
[/QUOTE]
Добавлен-то, добавлен. А когда ты фактически получил готовую сигнатуру от Касперского (причем не бета, а нормальную - наверняка в течении суток)?
-
Re:avast! 4.5 Final
[QUOTE=Andrey]
Добавлен-то, добавлен. А когда ты фактически получил готовую сигнатуру от Касперского (причем не бета, а нормальную - наверняка в течении суток)?
[/QUOTE]
Не проверял, но типа того. Но я ничего эпидемиологического не посылал. Думаю нового червя добавили бы за несколько часов. Ведь создать сигнатуру дело не долгое. Просто скорее всего новые базы сначала тестируют.
-
Re:avast! 4.5 Final
В той статье не эти ли цифры использованы:
Andreas Marx
09.11.2004 15:21
Test: Reaktionszeiten von Antiviren-Herstellern
Оригинал:
[url]http://www.pcwelt.de/news/sicherheit/104653/index2.html[/url]
Перевод мой.
Тест: Время реакции производителей антивирусов.
Время реакции: Win32/Bagle.BB
----------------------------------------------------------------------
BB-вариант впервые получен Messagelabs 29 октября 2004 года вскоре после 6:00 часов (GMT)
К этому времени его определяли Bitdefender (Win32.Bagle.10.Gen@mm), F-Prot ('возможно, неизвестный вирус')
и Sophos (W32/Bagle-Gen). McAfee также распознавала и удаляла характерные для Bagle письма.
Собственно червь стал определяться лишь после выпуска обновления.
В пик эпидемии Messagelabs останавливала около 170.000 зараженных писем в час.
У других антивирусов обычные обновления были выпущены в следующее время:
Производитель, Дата, Время, Hазвание
Dr. Web, 29.10.2004, 06:21, Win32.HLLM.Beagle.18848
Ikarus, 29.10.2004, 07:04, I-Worm.GEN
Kaspersky, 29.10.2004, 07:15, I-Worm.Bagle.at
F-Secure, 29.10.2004, 07:31, I-Worm.Bagle.at
Clam-AV, 29.10.2004, 07:34, Worm.Bagle.AT
Panda, 29.10.2004, 08:04, W32/Bagle.BC.worm
E-Trust (VET Engine), 29.10.2004, 08:26, Win32.Bagle.AQ
Avast, 29.10.2004, 08:47, Win32:Beagle-AQ [Wrm]
AVG, 29.10.2004, 09:17, I-Worm/Bagle.AX
Antivir, 29.10.2004, 09:20, Worm/Bagle.AQ.2
Virusbuster, 29.10.2004, 09:26, I-Worm.Bagle.AY
Norman, 29.10.2004, 09:38, Bagle.AQ@mm
Quickheal, 29.10.2004, 09:47, W32.Bagle.AT
Trend Micro, 29.10.2004, 09:51, WORM_BAGLE.AT
McAfee, 29.10.2004, 10:57, W32/Bagle.bb@MM
Command, 29.10.2004, 11:14, W32/Bagle.AP@mm
Symantec, 29.10.2004, 12:39, W32.Beagle.AV@mm
E-Trust (CA Engine), 29.10.2004, 13:16, Win32/Bagle.AQ.Worm
RAV, 29.10.2004, 16:06, Win32/Bagle.AQ@mm
Fortinet, 29.10.2004, 16:11, W32/Bagle.AX-mm
Загружаемые вручную бета-сигнатуры были готовы и раньше:
Производитель, Дата, Время, Hазвание
F-Secure, 29.10.2004, 07:15, I-Worm.Bagle.at
Panda, 29.10.2004, 08:20, W32/Bagle.BC.worm
Trend Micro, 29.10.2004, 09:51, WORM_BAGLE.AT
McAfee, 29.10.2004, 10:11, W32/Bagle.bb@MM
Symantec, 29.10.2004, 10:34, W32.Beagle.AV@mm
Время реакции: Win32/Bagle.BC
----------------------------------------------------------------------
Червь Bagle.BC стартовал явно позже. По данным Messagelabs первые экземпляры были перехвачены около 14:50 часов (GMT).
О большом массовом вбросе говорить нельзя, т.к. нами было зафиксировано "только" до пяти тысяч вирусных писем в час.
Bagle.BB и Bagle.BC сходны, многие антивирусы детектировали оба варианта одним обновлением.
Вообще без обновления определяли его Bitdefender
(BehavesLike:Win32.AV-Killer), F-Prot ('возможно, неизвестный вирус') и Sophos (W32/Bagle-Gen)
Как и для Bagle.BB, McAfee распознавал и блокировал характерные для Bagle письма. Собственно червь стал определяться лишь после выпуска обновления.
Clam-AV на время выхода статьи (09.11.2004 15:21) еще не распознавал этот вирус.
Hами было измерено следующее время реакции:
Производитель, Дата, Время, Hазвание
Dr. Web, 29.10.2004, 06:21, Win32.HLLM.Beagle.18848
Kaspersky, 29.10.2004, 07:15, I-Worm.Bagle.at
F-Secure, 29.10.2004, 07:31, I-Worm.Bagle.at
E-Trust (VET Engine), 29.10.2004, 08:26, Win32.Bagle.AP
Avast, 29.10.2004, 08:47, Win32:Beagle-AR [Wrm]
AVG, 29.10.2004, 09:17, I-Worm/Bagle.AY
Antivir, 29.10.2004, 09:20, Worm/Bagle.AP
Virusbuster, 29.10.2004, 09:26, I-Worm.Bagle.AZ
Norman, 29.10.2004, 09:38, Bagle.AR@mm
Panda, 29.10.2004, 10:08, W32/Bagle.BD.worm
Command, 29.10.2004, 11:14, W32/Bagle.AO@mm
Symantec, 29.10.2004, 12:39, W32.Beagle.AU@mm
E-Trust, (CA Engine) 29.10.2004, 13:16, Win32/Bagle.AP.Worm
RAV, 29.10.2004, 16:06, Win32/Bagle.AP@mm
Fortinet, 29.10.2004, 16:11, W32/Bagle.BB-mm
McAfee, 29.10.2004, 16:11, W32/Bagle.bc@MM
Trend Micro, 29.10.2004, 17:26, WORM_BAGLE.AN
Ikarus, 30.10.2004, 00:15, I-Worm.Bagle.AV
Quickheal, 30.10.2004, 01:42, W32.Bagle.AN
Загружаемые вручную бета-сигнатуры были готовы в следующее время:
Производитель, Дата, Время, Hазвание
F-Secure, 29.10.2004, 07:15, I-Worm.Bagle.at
Panda, 29.10.2004, 09:48, W32/Bagle.BD.worm
McAfee, 29.10.2004, 10:11, W32/Bagle.bc@MM
Symantec, 29.10.2004, 10:34, W32.Beagle.AU@mm
Trend Micro, 29.10.2004, 15:00, WORM_BAGLE.AN
Время реакции: Win32/Bagle.BD
----------------------------------------------------------------------
Messagelabs сообщила о распространении Bagle.BD около 12:00 часов. В пике
зафиксировано около 24 000 копий червя в час.
Bitdefender (Win32.Bagle.10.Gen@mm) и Sophos (W32/Bagle-Gen) также
разпознавали червя без обновления.
Так же мог распознавать вирусные письма и блокировать заражение через е-мейл McAfee.
Hами было измерено следующее время реакции:
Производитель, Дата, Время, Hазвание
Kaspersky, 29.10.2004, 09:45 I-Worm.Bagle.au
Panda, 29.10.2004, 10:08, W32/Bagle.BE.worm
Dr. Web, 29.10.2004, 10:21, Win32.HLLM.Beagle.18848
Clam-AV, 29.10.2004, 10:27, Worm.Bagle.AX
F-Prot, 29.10.2004, 10:40, W32/Bagle.AQ@mm
Avast, 29.10.2004, 10:52, Win32:Beagle-AS [Wrm]
Ikarus, 29.10.2004, 10:58, I-Worm.Bagle.AU
AVG, 29.10.2004, 11:09, I-Worm/Bagle.AZ
Command, 29.10.2004, 11:53, W32/Bagle.AQ@mm
Antivir, 29.10.2004, 12:08, Worm/Bagle.AT
Virusbuster, 29.10.2004, 12:14, I-Worm.Bagle.BA
E-Trust (VET Engine), 29.10.2004, 12:46, Win32.Bagle.AR
E-Trust (CA Engine), 29.10.2004, 13:16, Win32/Bagle.AQ.Worm
Norman, 29.10.2004, 13:18, Bagle.AR@mm
F-Secure, 29.10.2004, 14:31, I-Worm.Bagle.au
Fortinet, 29.10.2004, 16:11, W32/Bagle.AW-mm
McAfee, 29.10.2004, 16:11, W32/Bagle.bd@MM
Trend Micro, 29.10.2004, 17:26, WORM_BAGLE.AU
Quickheal, 29.10.2004, 19:04, W32.Bagle.AU
Symantec, 29.10.2004, 20:34, W32.Beagle.AW@mm
RAV, 31.10.2004, 23:11, Win32/Bagle.BD@mm
Бета-сигнатуры были готовы так:
Hersteller, Datum, Uhrzeit, Name
Panda, 29.10.2004, 10:06, W32/Bagle.BE.worm
McAfee, 29.10.2004, 11:30, W32/Bagle.bd@MM
Symantec, 29.10.2004, 11:39, W32.Beagle.AW@mm
F-Secure, 29.10.2004, 14:00, I-Worm.Bagle.au
Trend Micro, 29.10.2004, 17:26 WORM_BAGLE.AU
-
Re:avast! 4.5 Final
[QUOTE=Geser]
Не проверял, но типа того. Но я ничего эпидемиологического не посылал. Думаю нового червя добавили бы за несколько часов. Ведь создать сигнатуру дело не долгое. Просто скорее всего новые базы сначала тестируют.
[/QUOTE]
Да. Из неофициального интервью одного из работников Касперски Лаб (оригинал [url=http://groups.google.ru/groups?q=+%22%D0%B3%D0%B0p%D0%B0%D0%BD%D1%82%D0%B8p%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9+%D1%86%D0%B8%D0%BA%D0%BB%22+group:fido7.ru.security&hl=ru&lr=&ie=UTF-8&inlang=ru&scoring=r&selm=1091146129%40p409.f2731.n5030.z2.ftn&rnum=2&filter=0] здесь [/url] ):
-----------------------------------------------------------------------
Докладываю. (Это бyдет пpочитать интеpесно многим. Здесь и о дpyгих
антивиpyсных компаниях).
Мною был задан следyющий вопpос: "Если вам пpишлют некий виpyс (он может быть пpостым, сложным - неизвестно, абстpактный). Чеpез какой пеpиод он ГАРАHТИРОВАHО должен быть добавлен в новый апдейт? То есть 3 часа, 6 часов, 9 часов, несколько сyток? Есть y вас такой гаpантиpованный сpок. Виpyс вам пpислали, а его неделю не добавляют, напpимеp. Расскажи, пожалyйста, пpо политикy".
Ответ: "Все очень пpосто: если письмо от пользователя, то оно добавится в течении тpех часов. Иначе дежypного дятла/дятлов взъе#yт. Если это обмен коллекциями, то может и тpи месяца пpолежать. Hо и за это деpyт сильно".
Вопpос: "А если виpyс очень сложный? За тpи часа не пpоанализиpовать".
Ответ: "А никто и не анализиpyет полностью. Главное задетектить. А потом pазбеpемся. Апдейты с сегодняшнего дня выходят pаз в час"
(Подчеpкнy: *ВHИМАHИЕ* ! Апдейты с сегодняшнего дня выходят РАЗ В ЧАС!)
Вопpос: "Hy а лечить? В базе может отсyтствовать алго лечения? Главное - детект? А лечилкy добавить чеpез несколько часов, когда все yже полностью pазобpано бyдет?".
Ответ: "Лечение вообще pедко пишyт. Только когда эпидемии... Сейчас же в основном чеpви, да тpояны. Там одно лечение - delete. И лечение можно добавлять когда yгодно. Как пpавило это делается по запpосy".
-----------------------------------------------------------------------
О добавлении одного из червей (AVP - I-Worm.Moodown.b
DrWeb - HLLM.Foo.41984) ДрВебом можно посмотреть, например, [url=http://forum.drweb.ru/view/62118]здесь [/url].
-
Re:avast! 4.5 Final
[QUOTE=Alexey]
О добавлении одного из червей (AVP - I-Worm.Moodown.b
DrWeb - HLLM.Foo.41984) ДрВебом можно посмотреть, например, [url=http://forum.drweb.ru/view/62118]здесь [/url].
[/QUOTE]
Сигнатура червяка была добавлена в этом дополнении:
drwtoday.vdb (2004-02-18 13:45:00)
... Win32.HLLM.Foo.41984, ...
В последнее время дрвебовцы увеличили число вирус-аналитиков. Это чувствуется.
-
Re:avast! 4.5 Final
Вот данные выше ближе к истине. В основном лидируют КАВ и ДрВеб, как и предпологалось. Семантек как и предпологалось один из последних.
-
Re:avast! 4.5 Final
Все-таки верно подметил Андреас Маркс, сотрудник AV-Test, что компания первой проанализировавшая конкретный вирус, не обязательно будет первой в следующий раз.
Geser твоя любовь к Касперскому, просто не скрываема. Фирма, в которой ты работаешь, случайно не является представителем ЛК на территории Израиля? В Израиле так много IT компаний, неужели нет своего родного антивируса?
-
Re:avast! 4.5 Final
[QUOTE=Andrey]
Все-таки верно подметил Андреас Маркс, сотрудник AV-Test, что компания первой проанализировавшая конкретный вирус, не обязательно будет первой в следующий раз.
[/QUOTE]
Выше дали не один пример, а 3.
[quote]Geser твоя любовь к Касперскому, просто не скрываема. [/quote]
Любовь здесь ни при чём. Лично у меня стоит ДрВеб. Но во многом ЛК действительно стоят на первом месте.
-
Re:avast! 4.5 Final
[QUOTE=Andrey]
Судя по всему использовали [url]http://virusscan.jotti.dhs.org[/url] ? Но на данном сайте (как и на [url]http://www.virustotal.com[/url]) используются старые антивирусные движки (обновляются только антивирусные базы).
P.S.: А придраться можно к любому антивирусу - NOD 32 (к примеру) не знает PE-SHIELD.
[/QUOTE]
Проверил то же на _http://onlinescan.avast.com
-------------------------------------------------------
calc_asp.exe [b]clear[/b]
VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 10.5 kB
Scan time: 0s 36ms
Scanned speed: 287.2 kB/s
------------------------------------------------------
calc_pesh.exe [b]clear[/b]
VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 18.0 kB
Scan time: 0s 15ms
Scanned speed: 1.1 MB/s
------------------------------------------------------
calc_pkl.exe [b]clear[/b]
VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 11.5 kB
Scan time: 0s 29ms
Scanned speed: 386.8 kB/s
-----------------------------------------------------
calc_upx.exe [b]clear[/b]
VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 6.0 kB
Scan time: 0s 23ms
Scanned speed: 258.3 kB/s
--------------------------------------------------------
Лапшу вешают...
-
Re:avast! 4.5 Final
[QUOTE=azza]
Проверил то же на _http://onlinescan.avast.com
[/QUOTE]
Да у них там совсем глючный сканер какой-то! ;D
Даже не упакованные вирусы, имеющиеся у них в базе, не видит! ;D
Page generated in 0.00791 seconds with 10 queries