Комплексный сравнительный анализ антиSpyWare - подбор "кандидатов" и выбор методик

[QUOTE=Зайцев Олег]Вот то, что он пропустил
AdvWare 989
Adware 2
[/QUOTE]

Я никак не могу понять, в чем разница между AdvWare и Adware, раз они упоминаются раздельно? :)
Да и в АВЗ неплохо бы выбрать что-то одно, а то в главном окне, там где методика лечения - категория AdvWare, а при нажатии открывается справка и там это уже AdWare :)

[QUOTE=kps]Я никак не могу понять, в чем разница между AdvWare и Adware, раз они упоминаются раздельно? :)
Да и в АВЗ неплохо бы выбрать что-то одно, а то в главном окне, там где методика лечения - категория AdvWare, а при нажатии открывается справка и там это уже AdWare :)[/QUOTE]
AdWare = AdvWare, я их потом просуммирую. Просто я называю их AdvWare, а Касперский - AdWare. Автоматика, которая отвечает за подготовку базы AVZ иногда дурит (с моей помощью :)) и относит файлы не к той категории. Мне это надоело и я хочу сделать одну категорию - AdWare, загнав в нее еще и "Spy"....

Результаты по Ad-Aware SE Personal - из 4528 он поймал 624. Тем самым он переплюнул Microsof, но поймал как минимум в два раза меньше, чем A2 ...
Вот что осталось после него ...
AdvWare 909
Adware 2
Backdoor 432
Constructor 1
Dialer 422
Downloader 1
Email-Flooder 1
Email-Worm 30
Exploit 12
HackTool 2
Hoax 1
IM-Worm 6
Net-Worm 25
P2P-Worm 3
Porn-Dialer 2
Porn-Downloader 1
PornWare 1
PSWTool 1
RiskWare 4
Spy 363
Trojan 191
Trojan-Clicker 65
Trojan-Downloader 762
Trojan-Dropper 82
Trojan-Proxy 37
Trojan-PSW 32
Trojan-Spy 491
Virus 22
Worm 3
Общее число файлов: 3904

Анализ показывает, что ловит он все понемногу ...
К примеру, NewDotNet от выбивает начисто, все разновидности ... при этом Look2me - почти не видит. Кроме того, много пропусков по следующим AdWare: AdultIt AdURL Altnet Look2Me MagicControl MediaTickets Midadle Minibug Naupoint NaviPromo OrbitView Quick RideMark SaveNow Searcher ShopNav Sidesearch Toolbar ToPicks WebEx WebHancer WinShow Wintol YourSiteBar Zestyfind. Очень много пропусков по SpyWare.WinAd. Еще хуже дела обстоят с TrojanDownloader - знаменитый Agent.*, который присутсвует пости на каждой зараженной машине он почти не дететирует.

[b]Spybot - Search & Destroy 1.4[/b]Установка - проходит нормально, продуманная система автоматического обновления. Умеет иммунизировать систему... поиск ведет в основном по реестру. Как файловый сканер совершенно непригоден, т.к. из 4528 файлов нашел только 72 штуки ... вот статистика по тому, что он пропустил:
AdvWare 1187
Adware 2
Backdoor 433
Constructor 1
Dialer 411
Downloader 1
Email-Flooder 1
Email-Worm 31
Exploit 12
HackTool 2
Hoax 1
IM-Worm 6
Net-Worm 25
P2P-Worm 3
Porn-Dialer 2
Porn-Downloader 1
PornWare 1
PSWTool 1
RiskWare 4
Spy 485
Trojan 212
Trojan-Clicker 69
Trojan-Downloader 844
Trojan-Dropper 86
Trojan-Proxy 38
Trojan-PSW 32
Trojan-Spy 500
Virus 22
Worm 3
Общее число файлов: 4416

А у Spybot разве есть файловый сканер?

[QUOTE=Geser]А у Spybot разве есть файловый сканер?[/QUOTE]
Да, но он хорошо замаскирован ... - в режиме продвинутого юзера, в настройках, можно добавить поиск на указанных дисках или в указанных папках. Тогда после сканирования реестра он сканирует указанные папки ... но база файлового сканера по сравнению с базой проверки реестра очень мала

[QUOTE=Зайцев Олег]Да, но он хорошо замаскирован ... - в режиме продвинутого юзера, в настройках, можно добавить поиск на указанных дисках или в указанных папках. Тогда после сканирования реестра он сканирует указанные папки ... но база файлового сканера по сравнению с базой проверки реестра очень мала[/QUOTE]
Обнаружение в реестре ты ведь тоже будеш проверять?

[QUOTE=Geser]Обнаружение в реестре ты ведь тоже будеш проверять?[/QUOTE]
Наверное нет - его трудно проверить объективно ... с файлами все понятно, а с реестром гораздо сложнее

[QUOTE=Зайцев Олег]Наверное нет - его трудно проверить объективно ... с файлами все понятно, а с реестром гораздо сложнее[/QUOTE]
Дело в том что проверка антиспайваре по файлам на диске тоже не совсем объективна :)
Так что наиболее объективными будут 2 вида проверок.
1. Выключить монитор, если он есть, полазить по сайтам заразить комп, запустить проверку и посмотреть сколько будет вычищено.
2. Включить монитор на чистой машине, полазить по сайтом и посмотреть сколько гадости проскочит.

[QUOTE=Geser]Дело в том что проверка антиспайваре по файлам на диске тоже не совсем объективна :)
Так что наиболее объективными будут 2 вида проверок.
1. Выключить монитор, если он есть, полазить по сайтам заразить комп, запустить проверку и посмотреть сколько будет вычищено.
2. Включить монитор на чистой машине, полазить по сайтом и посмотреть сколько гадости проскочит.[/QUOTE]
На п.п. 1 и 2 нельзя лазить по сайтам - не будет повторяемости на тестах. Более того, можно таким образом подцепить большое количество зверей - максимум штук 20-30. А для объективного теста нужно не менее 2-3 тысяч реальных "зверей". А на тесты монитора я плюнул - во всех исследованных системах база монитора и сканера одинаковая - т.е. что видит сканер, то видит и монитор. Единственный момент, который я отражу в примечаниях - это особые фичи монитора, например A2 умеет отлавливать динамическую установку левых драйверов - это полезно против разных зверей типа Haxdoor.

[QUOTE=Зайцев Олег]На п.п. 1 и 2 нельзя лазить по сайтам - не будет повторяемости на тестах.[/QUOTE]
На п.1 можно. Сначала лазиш по сайтам, потом делаеш снимок диска, и тестируеш все программы.
Да, выборка будет не большая, но 20-30 живых зверей тоже вполне неплохо. Я думаю обязательно нужно сделать хотя бы это.

[QUOTE=Geser]На п.1 можно. Сначала лазиш по сайтам, потом делаеш снимок диска, и тестируеш все программы.
Да, выборка будет не большая, но 20-30 живых зверей тоже вполне неплохо. Я думаю обязательно нужно сделать хотя бы это.[/QUOTE]
А это и сделано - так и сформирована коллекция из тех самых 4000 зверей - это в подавляющем большинстве живые образцы, которые прилазят из Инет ... Конечно, наловлены они не обходом сайтов, но принцип общий - это ITW, реально подцепленные кем-то в течении квартала и который до сих пор есть в Инет.

[QUOTE=Зайцев Олег]А это и сделано - так и сформирована коллекция из тех самых 4000 зверей - это в подавляющем большинстве живые образцы, которые прилазят из Инет ... Конечно, наловлены они не обходом сайтов, но принцип общий - это ITW, реально подцепленные кем-то в течении квартала и который до сих пор есть в Инет.[/QUOTE]
Нет, я в том смысле что дать им прописаться в реестр самим. Что бы вудно было результаты проверки реестра.

[QUOTE=Geser]Нет, я в том смысле что дать им прописаться в реестр самим. Что бы вудно было результаты проверки реестра.[/QUOTE]
А, понял ... это можно сделать отдельным тестом, просто запустив их Dropper/Downloader - он разложит файлы и создат соотвествующие ключи в реестре

PestPatrol Corporate Edition прошел тесты. Несомненный его плюс - корпоративность, т.е. возможность для одного админа обрабатывать несколько ПК. Из минусов - требует для установки .NET технологию, т.е. к размеру его дистрибуции в 13 мб нужно еще прибавить 23 МБ для .NET
Неплохо ловит зверей, он изловил 354 разновидностей, 716 файлов. Вот расклад по промахам:
AdvWare 973
Adware 2
Backdoor 337
Constructor 1
Dialer 461
Downloader 1
Email-Flooder 0
Email-Worm 30
Exploit 12
HackTool 2
Hoax 1
IM-Worm 6
Net-Worm 23
P2P-Worm 3
Porn-Dialer 1
Porn-Downloader 1
PornWare 1
PSWTool 0
RiskWare 4
Spy 409
Trojan 200
Trojan-Clicker 64
Trojan-Downloader 727
Trojan-Dropper 82
Trojan-Proxy 38
Trojan-PSW 30
Trojan-Spy 378
Virus 22
Worm 3
Общее число файлов: 3812
Общий вердикт - он обогнал Ad-Aware и Microsoft, но проигрывает A2

[b]McAfee AntiSpyware[/b]
Размер дистрибутива - 7 Мб, стоит 30$
Из 4528 образцов "прозевал" 4415, т.е. нашел он только 113 файлов.
Расклад по промахам:
AdvWare 1151
Adware 2
Backdoor 433
Constructor 1
Dialer 448
Downloader 1
Email-Flooder 1
Email-Worm 31
Exploit 12
HackTool 2
Hoax 1
IM-Worm 6
Net-Worm 25
P2P-Worm 3
Porn-Dialer 2
Porn-Downloader 1
PornWare 1
PSWTool 1
RiskWare 4
Spy 471
Trojan 218
Trojan-Clicker 69
Trojan-Downloader 850
Trojan-Dropper 86
Trojan-Proxy 38
Trojan-PSW 32
Trojan-Spy 500
Virus 22
Worm 3
Общее число файлов: 4415
Т.е. AdWare и SpyWare от почти не умеет ловить ... на порнозвонилки аналогично - реакция почти нулевая ..

Олег, а Spyware Doctor тестить будете?

[url]http://www.download.com/Spyware-Doctor/3000-8022_4-10377263.html[/url]

[QUOTE=Novosib]Олег, а Spyware Doctor тестить будете?

[url="http://www.download.com/Spyware-Doctor/3000-8022_4-10377263.html"]http://www.download.com/Spyware-Doctor/3000-8022_4-10377263.html[/url][/QUOTE]
Уже потестил, но цифры не скажу :) Причина этого проста - он нашел около 184 объектов (посчитать точно сложно, но порядок таков - он рапортует именно эту цифру), но лечить он отказался - денег требует :)
Кстати, проблемы не только с ним - WinPatrol и SpywareBlaster не прошли тест, т.к. у них не обнаружен файловый сканер в прямом понимании этого слова.

Оттестировался Spy Sweeper
Сканирует он сравнительно быстро, но удаляет долго ...
На тестах он показал весьма неплохие результаты - из 4528 он поймал 1366 "зверей", что весьма неплохой показатель - целых 30% :) При этом он всетаки проигрывает текущему лидеру тестов A2, который изловил 1574 "зверей" (34.6%).

AdvWare 615
Adware 2
Backdoor 422
Constructor 1
Dialer 316
Downloader 0
Email-Flooder 1
Email-Worm 29
Exploit 12
HackTool 1
Hoax 0
IM-Worm 6
Net-Worm 25
P2P-Worm 3
Porn-Dialer 2
Porn-Downloader 1
PornWare 0
PSWTool 1
RiskWare 4
Spy 286
Trojan 137
Trojan-Clicker 46
Trojan-Downloader 631
Trojan-Dropper 56
Trojan-Proxy 32
Trojan-PSW 30
Trojan-Spy 479
Virus 21
Worm 3
Общее число файлов: 3162

Я знаю что в этой теме тестируются имено AntiSpyware софт, но очень хочется посмотреть как с таким тестом справится KAV 5 Personal Pro, если конечно на это есть время.

[url]http://virusinfo.info/showpost.php?p=48558&postcount=38[/url]

[QUOTE]AVP с расширенной базой выбивает почти всех зверей из данного списка[/QUOTE]

[QUOTE=pig][url]http://virusinfo.info/showpost.php?p=48558&postcount=38[/url][/QUOTE]
Проблема только в том, что Олег обычно посылает в ЛК всё новое. Так что тест в этом случае необъективен.

[QUOTE=Geser]Проблема только в том, что олех обычно посылает в ЛК всё новое. Так что тест в этом случае необъективен.[/QUOTE]
Да, большинстиво новых зверей я отсылаю в ЛК, поэтому тест будет необъективен. Аналогично с Ewido security suite - он поймал 3356 файлов из 4528, но состою с авторами Ewido security suite в одной команде по обмене ITW, поэтому в вирлаб Ewido ушли многие из зверей, участвующих в тестах.

[QUOTE=Зайцев Олег]Да, большинстиво новых зверей я отсылаю в ЛК, поэтому тест будет необъективен...[/QUOTE]А что по другим антивирусам, декларирующим(внедряющим) ловлю данной категории зверей?
Dr.Web+nasty; BitDefender; NOD32; VBA; etc...
Было бы очень интересно, но наверно маловероятно, что есть время на подобное исследование. Как вариант... что из подборки определят онлайн проверки?

[QUOTE=shu_b]А что по другим антивирусам, декларирующим(внедряющим) ловлю данной категории зверей?
Dr.Web+nasty; BitDefender; NOD32; VBA; etc...
Было бы очень интересно, но наверно маловероятно, что есть время на подобное исследование. Как вариант... что из подборки определят онлайн проверки?[/QUOTE]
OnLine проверку провести почти нереально - размер применяемых образцов очень велик, около 500 МБ. С VBA тест тоже будет некорректным - с ними тоже идет обмен "зверями". А вот NOD32, Dr.Web и BitDefender можно проверить

Олег, a Avast можно проверить?

Нет проблем - нужен прямой URL на его закачку (чтобы не было разночтения в версиях) и я прогоню его по своему "полигону"

avast! 4 Home - Russian version (length 8.69 MB)
[url]http://files.avast.com/iavs4pro/setuprus.exe[/url]

[QUOTE=anton_dr]avast! 4 Home - Russian version (length 8.69 MB)
[url="http://files.avast.com/iavs4pro/setuprus.exe"]http://files.avast.com/iavs4pro/setuprus.exe[/url][/QUOTE]
Готово, вот результат теста - из 4528 он нашел 1635 штук. Вот пропуски:
AdvWare 933
Adware 1
[b]Backdoor 223
[/b]Constructor 1
[b]Dialer 394
[/b]Downloader 1
Email-Flooder 0
Email-Worm 8
Exploit 9
HackTool 2
Hoax 1
IM-Worm 2
Net-Worm 2
P2P-Worm 2
Porn-Dialer 2
Porn-Downloader 1
PornWare 1
PSWTool 1
RiskWare 3
Spy 347
[b]Trojan 137
[/b]Trojan-Clicker 43
[b]Trojan-Downloader 454
[/b]Trojan-Dropper 49
Trojan-Proxy 29
Trojan-PSW 19
[b]Trojan-Spy 225
[/b]Virus 2
Worm 1
Общее число файлов: 2893

Предлагаю протестировать еще Bazooka Adware and Spyware Scanner

[url]http://www.kephyr.com/spywarescanner/index.html[/url]

Скачать можно отсюда [url]http://www.download.com/Bazooka-Adware-and-Spyware-Scanner/3000-8022_4-10377953.html?tag=lst-3-6[/url]

[QUOTE=kps]Предлагаю протестировать еще Bazooka Adware and Spyware Scanner

[url]http://www.kephyr.com/spywarescanner/index.html[/url]

Скачать можно отсюда [url]http://www.download.com/Bazooka-Adware-and-Spyware-Scanner/3000-8022_4-10377953.html?tag=lst-3-6[/url][/QUOTE]

А нет, лучше не стоит - скачал - вроде у него чуть больше 500 сигнатур... и вообще не произвел на меня никакого впечатления...

Тогда предлагаю потестить Steganos AntiSpyware
[url]http://www.steganos.com/?product=SASPY7&language=en&layout=default[/url]

Скачать можно отсюда: [url]http://www.download.com/Steganos-AntiSpyware/3000-8022_4-10363174.html?tag=lst-3-25[/url]

Совершенно новая версия AntiVir:

[url]http://www.free-av.com/[/url]

Достойна проверки

Может ещё Ewido потестить - буржуи хвалят - [url]http://www.ewido.net/en/download/[/url]
Known threats in database: 152 640
Даже Касперского переплюнула по количеству "зверей" в базе.
Неужто и правда чего-то стоит ?

Для RiC:
[QUOTE=Зайцев Олег]... тест будет необъективен. Аналогично с Ewido security suite - он поймал 3356 файлов из 4528, но состою с авторами Ewido security suite в одной команде по обмене ITW, поэтому в вирлаб Ewido ушли многие из зверей, участвующих в тестах.[/QUOTE]

А вот еще одна новая программа: SpyPry

[url]http://www.download.com/SpyPry/3000-8022_4-10404067.html?tag=lst-0-12[/url]

[QUOTE=Novosib]А вот еще одна новая программа: SpyPry

[url="http://www.download.com/SpyPry/3000-8022_4-10404067.html?tag=lst-0-12"]http://www.download.com/SpyPry/3000-8022_4-10404067.html?tag=lst-0-12[/url][/QUOTE]
Программа прошла тесты ... и вот результат -
Программа написана на Basic. По непонятным причинам (вероятно, чтобы не раскрывать секретную технологию поиска :) ) базы размещаются в папке Windows\System32 под именами CompanyList.dll, ESignature.dll, FSignature.dll, List.dll, RSignature.dll, SKNames.dll. Несмотря на расширение "DLL" это обычные текстовые файлы, в котором данные хранятся в примитивно зашифрованном текстовом виде без намека на архивацию. При этом рапортуется, что в базе у него имеется 93585 "fingeprints".
После долгого и ожесточенного сканирования с ее помощью на тестовом ПК обнаружено 0 (число прописью - [i][b]ноль штук[/b][/i] :)) из 4528 зверей. Я так и не понял шутки юмора - тем более что он в ходе "сканирования" показывает имена "проверяемых" файлов, там мелькают имена типа unit1.dcu, main.dfm, je.asm, nmap-service ... таких файлов у меня на тестовом ПК точно нет. Понимая, что быть может он реагирует на "зверей" в случае их запуска или размещения в определенных папках я выпустил штук 20-30 разных образцов, типа IstBar, SideFind, FreeSexDownloader ... короче говоря, результаты поиска по файлам нулевые, по реестру - найдено 10 ключей (5 без повторов, типа Software\IstBar).
Уже понимая, к чему идет дело, я переименовал первый попавшийся под руку exe (кажется, это был AVZ или утилита статистики, которой я считаю кол-во найденных файлов ... - короче, типовой exe файл) в C:\Program Files\couponsandoffers\wjview.exe (такое имя есть в базах этого суперпродукта) - и он был однозначно задетектирован как "CouponsandOffers" (это на фоне примерно 5000 зверей - 4528 в коллекции, плюс около 500 разбросаны по папкам типа Windows, System32 и т.п.) - из них нет вообще подаданий !
Короче говоря, общий вывод - программа как минимум бесполезна, как максимум -опасна, т.к. ловит файлы по именам и может запросто уничтожить что-то полезное.

[QUOTE=Зайцев Олег] программа как минимум бесполезна, как максимум -опасна, т.к. ловит файлы по именам и может запросто уничтожить что-то полезное.[/QUOTE]

Ловить по именам это уже, похоже, становится традицией >:(

Олег потестируй пожалуйста Web`a, интересно насколько эффективен сканер с "довеском". :) Сам сканер - [url]ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe[/url]

[QUOTE=RiC]Олег потестируй пожалуйста Web`a, интересно насколько эффективен сканер с "довеском". :) Сам сканер - [url]ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe[/url][/QUOTE]
Нет проблем - завтра в обед протестирую ...