Printable View
[QUOTE=userr]Вот именно :). К drweb можно предъявить разные претензии, но обвинять их, что они не пишут на этом форуме как-то странно. Хотя вот [b]polza[/b] появился и вызвал огонь на себя. :)...
[/QUOTE]
Обвинять?? Где обвинения?
"Заметки на полях шляпы" скорее.... По поводу заявлений некоторых Гостей.
[QUOTE=ALEX(XX)]Хм. По-разному бывает. Но не быстро. День, два. Бывает неделя. Хотя, может где-то образцы по дороге теряются? По правилам, отправлять надо в zip-архиве с паролем infected, но к примеру Касперский лечит такие архивы и с майл.ру не отправишь. Не знаю. Но они гарантируют моментальный ответ, а ответа нет.[/QUOTE]
День-два вполне терпимо если это не чарвь. А апдейты как часто выходят?
Geser задавать можете мне напрямую, чем сможем тем поможем. По поводу источников данных я ориентируюсь на Virus Bulletin. Как мне кажется это заслуженный источник. А по поводу падений из за Spider Guarda в этом году однозначно такого не было и в версии 4.32 тоже не было. Мы говорим о продукте для рабочих станций, который на сервера пользователь ставит на свой страх и риск. Выбрать продукт какой лучше в общих чертах просто принципиально невозможно. Каждый продукт, из приведенных здесь, отвечает своим потребностям и возложенных на него задачам.
Выслушаю с удовольствием все нарекания , существующие и по делу, на продукт Drweb и Sophos. Буду оч. признателен за конструктивный диалог.
[QUOTE=polza]Geser задавать можете мне напрямую, чем сможем тем поможем. По поводу источников данных я ориентируюсь на Virus Bulletin. Как мне кажется это заслуженный источник.[/QUOTE]
Virus Bulletin проверяет антивирусы на коллекциях "зверей" устаревших на месяцы. Но даже и так, ДрВеб провалил там очень много тестов. Так что мне сложно понять каким образом суждения о качестве эвристика ДрВеб связано с тестами Virus Bulletin. А в той теме не которую ссылка проверка идёт на свежих "зверях", так что отлично видно у кого срабатывает эвристик. Файлы выбраны случайным образом из тех что присылают на проверку, так что никакой попытки "подставить" ДрВеб не было. Хотя Вы не обязаны мне верить. Ну тут есть еще люди которые пользовлись и ДрВеб и ВБА. Они могут сказать где эвристик заметен а где нет.
Опять религиозные войны, или давайте завязывать или сейчас воспользуюсь своими правами и отправлю это голосование в полном составе в флейм. Хотя похоже там ему уже и место.
По поводу Веба почему за - хорошее, можно сказать даже уникальное ядро антивируса,
Абсолютно Imho бестолковый эвристический анализатор который способен ковыряться исключительно в VB скриптах.
Жуткий маркетинг.
Единственный на текущий момент антивирус который пока ещё не разучился лечить вирусы (да именно лечить вирусы, поскольку ни К ни Н последнее время не утруждают себя добавлением в базы не только процедур детектирования но и процедур лечения),
на мой вкус как антивирус [b]пока ещё хороший продукт[/b], но развитие и захват новых рынков встраивание во всяческие системы где необходима проверка на вирусы - Nero это хорошо и плюс -
но это ВСЁ на текущий момент - на BAT забили, Spider мыло это попытка создать универсальный фильтр имеющая больше недостатков чем приимуществ, "мыло" надо переквалифицировать на проверку Web траффика и делать это надо было давно :), проверка того-же Outlook где ?
Нужен плагин :( Где взять фаервол "совместимый" с DrWeb ставить отдельно ?
Сейчас становятся популярны комплексные решения,
[b]ГДЕ ГДЕ ГДЕ[/b] ?
Ну и т.д. Я всё-же надеюсь на лучшее .... пока ещё :)
Будет ;-) Все будет...
[QUOTE=Угу :-)]Будет ;-) Все будет...[/QUOTE]
Ага ;-))
Не нужно жить ещё лучше, нужно жить просто хорошо...
У кого-то будет, у кого-то уже есть. В зависимости от этого и происходит выбор.
[QUOTE=RiC]Единственный на текущий момент антивирус который пока ещё не разучился лечить вирусы (да именно лечить вирусы, поскольку ни К ни Н последнее время не утруждают себя добавлением в базы не только процедур детектирования но и процедур лечения),
[/QUOTE]
Ну не всё так плохо. К. недавно запросто лечил файлы зашифрованные вирусом который требовал денег за расшифровку :) Но в общем тенденция в основном на детектирование. Сами аналитики К. это признали :)
[QUOTE=Iceman]Обвинять?? Где обвинения? [/QUOTE]Вот:[QUOTE=Iceman]Так же здесь частенько бывают дискуссии и общение с разработчиками продуктов.... Кто из ЛД здесь общался?[/QUOTE]До недавнего времени из АВ здесь был [b]только[/b] VBA. А теперь ты ловко заманил сюда человека из ДН (как я понимаю), за что тебе спасибо. :)
[QUOTE=userr]Вот:До недавнего времени из АВ здесь был [b]только[/b] VBA. А теперь ты ловко заманил сюда человека из ДН (как я понимаю), за что тебе спасибо. :)[/QUOTE]
Шутить изволите? ;-))).
Просто по роду занятий я в настоящее занимаюсь продажами и имею некоторое представление об этом.
[QUOTE=userr]Вот:До недавнего времени из АВ здесь был [b]только[/b] VBA. А теперь ты ловко заманил сюда человека из ДН (как я понимаю), за что тебе спасибо. :)[/QUOTE]
Справедливости ради,Terry из UNA.
1.Стоп по порядку и без флейма. Я являюсь сотрудником ДН, на сайт зашел совершенно случайно, попросили посмотреть и оценить качество ответов, что это не ла...ля,, мне понравилось. Так что меня сюда ни кто не заманивал. Если все так действительно конструктивно то это даже очень хорошо.
2. Да на данный момент комплексные решение это будущее всех антивирусных продуктов, чем мы занимаемся не скажу, ком. тайна.
3.Да признаю что если вы используете drweb то это не защита как в таковом понимании. Но и одним продуктом защититься невозможно это раз, во вторых есть такое понятие как многовендорная защита на различных уровнях, если человек будет этому следовать он достигнет максимума в защите ну и самое главное ком. грамотность, без этого ни куда. Не буду переводить все это во флейм. Я выслушал претензии, огромное спасибо всем кто их высказал конструктивно. Надеемся на дальнейшее сотрудничество.
[QUOTE=saicat]Уважаемый RiC, скажите честно, Вы пробовали пользоваться VBA32? Думаю, что нет. Попробуйте. Возможно, Ваше мнение изменится радикально. [/QUOTE]
Нет, но внимательно изучил мануалы на корпоративную версию, пока Меня не устраивает очень многое, в будующем подумаю, пока Web Imho лучше.
Синих экранов я не видел, хотя мелких багов достаточно. Всё что я нашёл есть в багтракере у Веба, большинство исправлено в пока мифической версии 4.33 ;)
Крупный баг в этом году на самом деле был один, но его поправили минут за 15, поэтому не многие его заметили, в начале года очередное "обновление антивирусных баз" для почтовых серверов вешало почтового Веба, в комплекте с настройкой "не пропускать непроверенные письма" вышел чудный результат :(
[QUOTE=polza]
2. Да на данный момент комплексные решение это будущее всех антивирусных продуктов, чем мы занимаемся не скажу, ком. тайна.
[/QUOTE]
Вот это одна из проблем ЛД, ИМХО. Конечно я не экономист (хотя пару курсов по маркетингу в своё время сдавал) и, возможно, ошибаюсь. Но когда другие компании не боятся заявлять о своих планах, постоянная секретность ЛД мне не кажется разумной.
Извините но я не уполномочен разглашать подобную информацию.
И секретности нет у нас. Мы выдаем информацию по мере ее извесности и правдивости.
[QUOTE=polza]Извините но я не уполномочен разглашать подобную информацию.
И секретности нет у нас. Мы выдаем информацию по мере ее извесности и правдивости.[/QUOTE]
Никто не требует. просто подумайте. Вот у человека заканчивается лицензия на ДрВеб и думает он что делать. Заходит на сайт конкурента, там уже можно пощупать бету нового супер-пупер продукта. А на сайте ДрВеб тишина. Вроде никакой работы не ведётся и никаких перспектив. Каковы шансы что человек сменит антивирус? А если бы был хоть какой-то анонс. Мол ведём работу, предполагаем добавить такие и такие опции, догоним и перегоним... Не совсем же дураки придумали рекламу.
[QUOTE=Geser]День-два вполне терпимо если это не чарвь. А апдейты как часто выходят?[/QUOTE]
Каждый день. Размер баз от 40 до 400 Кбайт. Раз в месяц выходит куммулятивное обновление ~3Мб
[QUOTE=Geser]Никто не требует. просто подумайте. Вот у человека заканчивается лицензия на ДрВеб и думает он что делать. Заходит на сайт конкурента, там уже можно пощупать бету нового супер-пупер продукта. А на сайте ДрВеб тишина. Вроде никакой работы не ведётся и никаких перспектив. Каковы шансы что человек сменит антивирус? А если бы был хоть какой-то анонс. Мол ведём работу, предполагаем добавить такие и такие опции, догоним и перегоним... Не совсем же дураки придумали рекламу.[/QUOTE]
Да, Geser тут прав. Проспекты на будущие улучшения необходимы. Людям хочется знать, что их любимая фирма планирует делать в будущем, чего собственно ждать от продуктов компании. Можно взять хотя бы пример с MS(может и не очень удачный), как давно были опубликованы первые сведения о Longhorn(ныне Vista или как там её :) )? Люди увидели первые скриншоты, как это будет выглядеть и т.п. Какая-то ж реклама о будущей версии необходима!
[quote=RiC]Всё что я нашёл есть в багтракере у Веба, большинство исправлено в пока мифической версии 4.33[/quote]
Миф материализовался на [url]http://beta.drweb.com/[/url]
Бета-версия обозначена как "для северов Windows", но я за неимением свободного сервера завёл на Win2K Prof, что под рукой. Первые полдня полёт нормальный (правда, на месте). Обсуждение новинки на [url]http://support.drweb.com/forums/[/url]
[QUOTE=pig]Миф материализовался на [url]http://beta.drweb.com/[/url]
Бета-версия обозначена как "для северов Windows", но я за неимением свободного сервера завёл на Win2K Prof, что под рукой. Первые полдня полёт нормальный (правда, на месте). Обсуждение новинки на [url]http://support.drweb.com/forums/[/url][/QUOTE]
Мда...
[QUOTE=polza]Извините но я не уполномочен разглашать подобную информацию.
[/QUOTE]
Какую информацию? Что Вы знаете там в Диалоге? И о чем? Знают, наверное, только в Doctor Web. И то, видимо, не все ;-)
Отдал голос за DrWeb по следующим причинам:
1. DrWeb обновляется оперативнее чем VBA
2. Корпоративная версия DrWeb более проработана, чем у VBA.
Однако за последний год VBA сильно прибавил и если в 4.33 не будет радикальных улучшений в сторону комплексной защиты, то придется переголосовать ;) В пользу VBA говорят и более доступные цены.
P.S. В "жизни" использую в качестве основного антивируса VBA, DrWeb стоит в качестве дополнительного сканера и на проверке почты.
Качаем новые VBA и DrWeb. Запускаем на директорию C:\WINDOWS\SYSTEM32\
VBA - сканирует 4:35, 14 ложных срабатываний, Dr.Web сканирует 0:38, ложных срабатываний нет.
Ладно, проверяем C:\PROGRAM FILES\
VBA - сканирует:
Directories : 545 Files in archives: Files on disks:
Archives: - total : 9377 - total : 3700
- scanned : 111 - scanned : 9377 - scanned : 3700
- contain viruses : 0 - infected : 0 - infected : 0
- deleted : 0 - suspected : 8 - suspected : 31
Startup : 00:27:23 20-08-2005
End : 00:33:25 20-08-2005
Total time : 00:06:02
Вирусов там нет заведомо :-)
Dr.Web:
Scan report for "C:\Program Files":
Scanned: 16851/13289 Cured: 0
Infected found: 0/0 Deleted: 0
Modifications: 0/0 Renamed: 0
Suspicious: 0/0 Moved: 0
Adware: 0/0 Ignored: 0
Dialers: 0/0
Jokes: 0/0
Riskware: 0/0 Scan time: 0:01:52
Hacktools: 0/0 Scan speed: 9300 Kb/s
Берем вирусную коллекцию всякой дряни, собранную за пару месяцев (1800 экземпляров):
VBA - 1203 инфицированных объекта за 10:33
Dr.Web - 1609 инфицированных объекта за 00:51
Настройки примерно одинаковые. Все файлы. Память, загрузочные секторы и стартапы не проверять. Архивы, упаковщики, адваре, спайваре, рискваре проверять. У VBА максимальные режимы эксперта и эвристика. И ключ /heuristics_test туда же. Хотя пробовались даже самые быстрые режимы поиска, но скорость возрастала несущественно. И ложные срабатывания не прекращались. Нуля не было на чистых директориях.
Дальше что? Это антивирус? Смешные вы, мужики :-)
Где у веба хоть какие-то настройки эвристика? Может вместе поищем?
[QUOTE=polza]saicat, падение было один раз в действительности . И произошло из за вирусной базы. Я понимаю что на вкус и цвет товарищей нет. Но нарекание на тех. под. мы еще не находили. лучше чем у Drweb нет ни у одного продукта, это заявление мировых аналитиков. Хотелось бы узнать из- за чеговы отказались от Drweb и ваш выбор пал именно на другой продукт.[/QUOTE]
Если бы это было один раз, я бы даже не стал об этом упоминать. Спайдер падал с завидной регулярностью, иногда по паре раз в день, причем на всем парке машин - от старых iPIII до новых Athlon64. Именно, то, что вы говорите я и слышал от техподдержки: "Этого просто не может быть!" Ну что мне фотоаппаратом скриншоты делать и пересылать в ЛД? В логах Спайдера ни гу-гу. Полет нормальный, проверен такой-то файл и... больше ничего. По милости DrWeb я [B]ЗА СВОЙ СЧЕТ[/B] должен был объехать ВСЕХ клиентов фирмы (пол Норд-Райн Вестфалии) и всем заменить ключи, так как ваш представитель в Германии InSoft, будь они неладны, лажанулся и не выслал новые ключи вообще. Все что они смогли на тот момент, это пробормотать какие-то извинения по поводу того, что ключи (генератор?) мол еще не получены и т.п. В результате, полтора десятка клиентов, честно купивших продукт, оказались [B]ВООБЩЕ[/B] без антивирусной защиты... Для Германии это просто немыслимо... Крайним был я. Тот человек, который имел неосторожность посоветовать своему шефу надежный, по его мнению, продукт. Вместо того, чтобы извиниться и замять прецедент, г-н Бачинский, до которого мы все-таки добрались, стал "лезть в бутылку", обвиняя на самих во всем произошедшем... Потом нам стали отвечать, что его нет на рабочем месте. Его не было никогда... Для нас. Противно вспоминать, если честно. Надеюсь, вы получили подробный ответ на ваши вопросы?
Ну, а насчет эвристики... блажен тот, кто верует... Продолжайте и дальше так считать. Нам это будет только на руку ;)
З.Ы. Больше развивать эту тему не буду. Надоело. Как вы заметили, каждый сам себе буратино, а выбор антивируса вопрос во многом религиозный.
Гость2
На сайте VBA лежит дистрибутив от 05.04.05. Обновлять пробовали?
Я полгода назад тестировал VBA на папках Windows от 98SE, 2000, 2000Serv, XP, 2003Serv ни одного ложного срабатывания не было. :)
[QUOTE=Geser]Мда...[/QUOTE]
В такой ситуации закройте все окна IE и зайдите на сайт снова.
[QUOTE=Гость2]Качаем новые VBA и DrWeb. Запускаем на директорию C:\WINDOWS\SYSTEM32\
VBA - сканирует 4:35, 14 ложных срабатываний[/QUOTE]
Ложные срабатывания эвристика это норма. Нет ложных срабатываний эвристика только у антивирусов у которых эвристика нет вообще. А если Вы качали бету, то у неё ложных срабатываний эвристика значительно больше чем у нормальной версии.
Потом, отправьте-ка ваши "заведомо чистые" файлы на которые сработал эвристик на проверку. Еще неизвестно насколько они действительно чистые :)
А вот когда с год назад ДрВеб начал определять как вирус и удалять ntldr, вот это было ложное срабатывание :)
Потом, Вы сами файлы из вашей коллекции не отправляли в ДрВеб?
[QUOTE=Гость2]У VBА максимальные режимы эксперта и эвристика. И ключ /heuristics_test туда же. Хотя пробовались даже самые быстрые режимы поиска, но скорость возрастала несущественно. И ложные срабатывания не прекращались. Нуля не было на чистых директориях.[/QUOTE]
Так, все ясно. Можно привести источник, откуда взята информация об использовании недокументированного, чисто отладочного ключа [b]/heuristics_test[/b]? Я так полагаю, что там написано, что программа [b]будет[/b] ругаться на некоторые заведомо чистые файлы и эти самые файлы неплохо бы прислать разработчикам антивируса. Надеюсь, Вы сделали это?
Далее, есть такой ключик [b]/pm[/b], при его использовании в разы замедляется скорость сканирования. В документации написано, что его использование не рекомендуется (остался со старых времен, плюс может пригодиться в качестве крайней меры, если есть подозрение, что на компе что-то живет, а антивирус ничего не находит). Для монитора данная настройка недоступна вообще с целью "защиты от дурака". Надо полагать, что этот ключ тоже использовался в данном тестировании.
[QUOTE]Дальше что? Это антивирус? Смешные вы, мужики :-)[/QUOTE]
Результат вполне закономерный. Что хотели получить, то и было получено. Кому-то антивирус нужен для защиты от вирусов, а кому-то - для того, чтобы посмеяться. Рад за Вас :-)
PS. Пишу из дома, пароль забыл, поэтому и не залогинился
Да, и на всякий случай, чтобы убедиться, что тестировалось именно то, что нужно. Консольную бета-версию сканера VBA32 можно взять тут: [url]http://anti-virus.by/en/beta.html[/url]. После установки ее нужно [b]обязательно[/b] обновить с помощью [b]update.bat[/b]. Запускать сканирование нужно с помощью [b]heuristics-test.bat[/b] либо без параметров (будут просканированы все жесткие диски), либо с указанием нужного каталога для проверки в командной строке. Весь набор необходимых ключей там уже подобран. Да, все сообщения программы, которые заканчиваются суффиксом '(paranoid heuristics)', слабонервные могут игнорировать. Либо можно сделать копию файла heuristics-test.bat и в ней заменить [b]/ha=3[/b] на [b]/ha=2[/b] (понизить уровень эвристики с параноидального до максимального). Результат можно обсудить здесь в форуме (но наверное лучше не в этой ветке). Если Вас пугает бета-версия, можно написать нам на саппорт с просьбой выслать полнофункциональный регистрационный ключ с ограниченным сроком действия, думаю, Вам пойдут на встречу. Хотя отличия бета-версии от релиза 3.10.4 в данный момент минимальны. Все более-менее существенные, новые и интересные разработки появятся в версии 3.11, которая сейчас разрабатывается. Естественно, как обычно, сначала эти усовершенствования будут добавляться в бета-версии, но пока они все еще дорабатываются и проходят внутреннее тестирование.
[QUOTE=serge (guest)]Все более-менее существенные, новые и интересные разработки появятся в версии 3.11, которая сейчас разрабатывается. [/QUOTE]
А можно анонс? :)
[QUOTE=serge (guest)]Далее, есть такой ключик [b]/pm[/b], при его использовании в разы замедляется скорость сканирования. В документации написано, что его использование не рекомендуется (остался со старых времен, плюс может пригодиться в качестве крайней меры, если есть подозрение, что на компе что-то живет, а антивирус ничего не находит). Для монитора данная настройка недоступна вообще с целью "защиты от дурака". Надо полагать, что этот ключ тоже использовался в данном тестировании.
[/QUOTE]
Данный ключ не использовался.
/heuristics_test /M=3 /RW /FC- /FD- /FR- /BC- /HA=2 /MR- /BT- /AS- /OK /AR /VM /r=
Анонсы не выпускают, но будет интересно ;-)
[QUOTE=serge (guest)]
Результат вполне закономерный. Что хотели получить, то и было получено. Кому-то антивирус нужен для защиты от вирусов, а кому-то - для того, чтобы посмеяться. Рад за Вас :-)
[/QUOTE]
Ну что же. Я внял Вашим советам и сделал все, как Вы велели. С:\PROGRAM FILES\ теперь сканировался 5:34 при 5 ложных срабатываниях. А вот на коллекции из 1800 вирусов результаты теперь намного хуже. Ранее он "ловил" 1203 вируса за 10:33. Теперь же 1166 за 09:25. Неинтересно :-)
[QUOTE=Гость2]Ну что же. Я внял Вашим советам и сделал все, как Вы велели. С:\PROGRAM FILES\ теперь сканировался 5:34 при 5 ложных срабатываниях. А вот на коллекции из 1800 вирусов результаты теперь намного хуже. Ранее он "ловил" 1203 вируса за 10:33. Теперь же 1166 за 09:25. Неинтересно :-)[/QUOTE]
Пожалуйста ответьте на вопросы
1. Как собиралась данная коллекция. По срабатываниям антивируса? Какого?
2. Посылали ли вы файлы из коллекции в ДрВеб?
3. Прикрепите пожалуйста лог сканирования ДрВеб. Интересен состав коллекции.
Спасибо.
[QUOTE=Гость2]Ну что же. Я внял Вашим советам и сделал все, как Вы велели. С:\PROGRAM FILES\ теперь сканировался 5:34 при 5 ложных срабатываниях. А вот на коллекции из 1800 вирусов результаты теперь намного хуже. Ранее он "ловил" 1203 вируса за 10:33. Теперь же 1166 за 09:25. Неинтересно :-)[/QUOTE]
Итак, перейдём к практике:
В прикреплении файлы: логи ВБА и Спайдера. Собственно, запытуемое тело в архиве (пароль virus) по адресу: webfile.ru/469991, пароль 123.
Это обычный, не самый опасный StartPage.b. Рассмотрим реакцию 2-х антивирусов на его появление в системе. Начальные условия: Мониторы грузятся при старте системы. Основные параметры - по умолчанию. Действия: При обнаружении - лечить, при невозможности - удалять.
Реакцию Веба можно посмотреть в логе SPIDERNT.log. После спайдера
зачистка проводилась консолной версией ВБА и результат в логе susp.rpt.
Реакция ВБА: Логи в архиве VBA32.zip
Краткие выводы: 1. При использовании Спайдера с настройками по умолчанию, в отдельных случаях (рядового пользователя) заражённый компьютер так и отаётся заражённым. То есть реакции монитора просто нет. Замечу, что это наблюдается в текущей версии. В ранних версиях Веба 4.3(1) реакция была несколько другой. Доказывать не буду - лень.
Не просто неинтересно - приводит к тяжёлым последствиям.
2. Монитор ВБА идентифицирует и нейтрализует заразу на стадии загрузки. Собственно, как и должно быть.
что скажете по поводу VDA vs NOD, и DrWeb vs NOD? а то админ нашей сети ничего не хочет слышать кроме как нод32 и хоть ты тресни :((
[QUOTE=Гость]что скажете по поводу VDA vs NOD, и DrWeb vs NOD? а то админ нашей сети ничего не хочет слышать кроме как нод32 и хоть ты тресни :(([/QUOTE]
Можете сами попробовать и проверить все антивири, как я описал выше
;-))). Тест простой, но действенный.
Интересно не только, как АВ работает с неизвестными источниками заражения, но и как он справляется с уже известными (возможно даже по факту заражения компа).
[QUOTE=Гость]а то админ нашей сети ничего не хочет слышать кроме как нод32[/QUOTE]
А у нас админы на NAV (Norton AV) помешаны. Просто ужас какой то, жизни никакой :(
Тут говорили о лучшем в мире эвристике.Хорошо,тогда очень прошу разъяснить результаты реагирования известнейших антивирусов мира на последнюю заразу-вирус Zotob и его варианты,обнародованные Андреасом Марксом [url]www.av-test.org[/url] на [url]http://www.pcwelt.de/news/sicherheit/118264/index5.html[/url]
[url]http://www.pcwelt.de/news/sicherheit/118264/index4.html[/url]
[url]http://www.pcwelt.de/news/sicherheit/118264/index3.html[/url]
[url]http://www.pcwelt.de/news/sicherheit/118264/index2.html[/url]
Proactively detected означает,что вирус был пойман эвристиком(zero-time)
Далее указаны даты и время,когда та или иная компания выпустила защиту от Зотоба с вариантами.
Dr.Web c ЛД кажутся большими любителями поспать-одна из самых поздних реакций;даже Symantec оперативней оказался...
Ни в одном! случае Dr.Web не поймал Зотоба и его формы proactively(zero-time).Так чей же эвристик лучший в мире?...Разъясните ситуацию,будьте добры.
Zotob-Variante: Bozari-A
Bei dieser Variante können sich die Anwender von folgenden Tools freuen. Denn diese Programme blockten den Schädling auch ohne ein Update:
BitDefender
eSafe
Fortinet
F-Prot
Nod32
Norman
Panda
Hier finden Sie die komplette Liste geordnet nach der schnellsten Reaktionszeit. Tools, die kein Update benötigten erscheinen am Anfang der Tabelle mit dem Zusatz „proactively detected“
Programm
Datum
Uhrzeit
ursprüngliche Bezeichnung
BitDefender
proactively detected
eSafe
proactively detected
Fortinet
proactively detected
F-Prot
proactively detected
Nod32
proactively detected
Norman
proactively detected
Panda
proactively detected
Proventia-VPS
proactively detected
TruPrevent
proactively detected
Kaspersky
2005-08-16
21:57
Net-Worm.Win32.Small.d
QuickHeal
2005-08-16
22:48
Small.d
ClamAV
2005-08-16
23:12
Worm.RBot.CBQ
eTrust-INO
2005-08-16
23:51
Win32/MS05-039!exploit!Worm
F-Secure
2005-08-17
00:03
Net-Worm.Win32.Small.d
AntiVir
2005-08-17
00:19
Worm/Zotob.E
Sophos
2005-08-17
00:44
W32/Tpbot-A
Trend Micro
2005-08-17
00:44
WORM_RBOT.CBQ
McAfee
2005-08-17
01:34
W32/IRCbot.worm!MS05-039
eTrust-VET
2005-08-17
01:53
Win32.MS05-039!exploit
Symantec
2005-08-17
03:05
W32.Zotob.E
Command
2005-08-17
03:40
W32/Zotob.E (exact)
Dr Web
2005-08-17
07:04
Win32.HLLW.Stamin
Ikarus
2005-08-17
07:41
Net-Worm.Win32.Small.D
Avast
2005-08-17
08:04
Win32:Zotob-E [Wrm]
AVG
2005-08-17
11:33
I-Worm/Mytob.WM
Hauri
2005-08-17
13:45
Worm.Win32.Bozori.10366
VirusBuster
2005-08-17
14:32
I-Worm.Zotob.C
Proland
2005-08-18
11:16
W32/Zotob.E.Worm
--Zotob-Variante: Win32/Drudgebot.B
Bei dieser Variante können sich die Anwender von folgenden Tools freuen. Denn diese Programme blockten den Schädling auch ohne ein Update:
BitDefender
eSafe
Fortinet
F-Prot
Nod32
Proventia-VPS
TruPrevent
Hier finden Sie die komplette Liste geordnet nach der schnellsten Reaktionszeit. Tools, die kein Update benötigten erscheinen am Anfang der Tabelle mit dem Zusatz „proactively detected“
Programm
Datum
Uhrzeit
ursprüngliche Bezeichnung
BitDefender
proactively detected
eSafe
proactively detected
Fortinet
proactively detected
F-Prot
proactively detected
Nod32
proactively detected
Proventia-VPS
proactively detected
TruPrevent
proactively detected
AntiVir
2005-08-16
20:46
Worm/Zotob.D
Kaspersky
2005-08-16
21:57
Backdoor.Win32.IRCBot.et
Command
2005-08-16
22:02
W32/Zotob.D (exact)
QuickHeal
2005-08-16
22:27
IRCBot.et
eTrust-INO
2005-08-16
23:51
Win32/Zotob.D!Worm
F-Secure
2005-08-17
00:03
Backdoor.Win32.IRCBot.et
Sophos
2005-08-17
00:44
W32/Dogbot-A
Trend Micro
2005-08-17
00:44
WORM_ZOTOB.D
eTrust-VET
2005-08-17
01:53
Win32.Zotob.D
Symantec
2005-08-17
03:05
W32.Zotob.D
Panda
2005-08-17
05:24
W32/Zotob.D.worm
Ikarus
2005-08-17
07:41
Backdoor.Win32.IRCBot.ET
Avast
2005-08-17
08:04
Win32:Zotob-D [Wrm]
ClamAV
2005-08-17
09:02
Worm.Zotob.D
Norman
2005-08-17
09:14
W32/Zotob.D
Dr Web
2005-08-17
11:27
BackDoor.IRC.Sdbot.127
AVG
2005-08-17
11:33
I-Worm/Mytob.WN
Hauri
2005-08-17
13:45
Backdoor.Win32.IRCBot.51326
VirusBuster
2005-08-17
14:32
Worm.SdBot.BDD
McAfee
2005-08-17
15:29
W32/Sdbot.worm!MS05-039
Proland
2005-08-18
11:16
W32/Zotob.E.Worm
Zotob-Variante: Win32/Zotob.A
Bei dieser Variante können sich die Anwender von folgenden Tools freuen. Denn diese Programme blockten den Schädling auch ohne ein Update:
BitDefender
Fortinet
McAfee
Nod32
QuickHeal
TruPrevent
Hier finden Sie die komplette Liste geordnet nach der schnellsten Reaktionszeit. Tools, die kein Update benötigten erscheinen am Anfang der Tabelle mit dem Zusatz „proactively detected“
Programm
Datum
Uhrzeit
ursprüngliche Bezeichnung
BitDefender
proactively detected
Fortinet
proactively detected
McAfee
proactively detected
Nod32
proactively detected
QuickHeal
proactively detected
TruPrevent
proactively detected
Kaspersky
2005-08-14
12:01
Net-Worm.Win32.Mytob.cd
F-Secure
2005-08-14
12:03
W32/Zotob.A
VirusBuster
2005-08-14
13:20
Worm.IRCBot.DL
Norman
2005-08-14
13:38
W32/Zotob.A
Panda
2005-08-14
13:47
W32/Bozor.A.worm
AntiVir
2005-08-14
13:52
Worm/Zotob.A
eSafe
2005-08-14
15:59
Win32.Zotob.a
Sophos
2005-08-14
16:17
W32/Zotob-A
F-Prot
2005-08-14
17:56
W32/Zotob.A (exact)
Command
2005-08-14
18:37
W32/Zotob.A (exact)
AVG
2005-08-14
19:36
I-Worm/Mytob.LY
eTrust-INO
2005-08-14
19:54
Win32/Zotob.A!Worm
Symantec
2005-08-14
20:04
W32.Zotob.A
ClamAV
2005-08-14
21:51
Worm.Zotob.A
Dr Web
2005-08-14
21:52
Win32.HLLM.MyDoom
eTrust-VET
2005-08-15
00:44
Win32.Zotob.A
Trend Micro
2005-08-15
02:56
WORM_ZOTOB.A
Hauri
2005-08-15
08:58
Worm.Win32.Mytob.FR
Avast
2005-08-15
10:50
Win32:Zotob [Wrm]
Proland
2005-08-15
12:01
W32/Zotob.A.Worm
Ikarus
2005-08-16
11:18
Net-Worm.Win32.Mytob.CD
Zotob-Variante: Win32/Zotob.B
Bei dieser Variante können sich die Anwender von folgenden Tools freuen. Denn diese Programme blockten den Schädling auch ohne ein Update:
AntiVir
BitDefender
ClamAV
Fortinet
McAfee
Nod32
QuickHeal
TruPrevent
Hier finden Sie die komplette Liste geordnet nach der schnellsten Reaktionszeit. Tools, die kein Update benötigten erscheinen am Anfang der Tabelle mit dem Zusatz „proactively detected“
Programm
Datum
Uhrzeit
ursprüngliche Bezeichnung
AntiVir
proactively detected
BitDefender
proactively detected
ClamAV
proactively detected
Fortinet
proactively detected
McAfee
proactively detected
Nod32
proactively detected
QuickHeal
proactively detected
TruPrevent
proactively detected
Symantec
2005-08-15
01:05
W32.Zotob.B
Sophos
2005-08-15
08:22
W32/Zotob-B
Kaspersky
2005-08-15
08:26
Net-Worm.Win32.Mytob.cf
F-Secure
2005-08-15
08:47
W32/Zotob.B.Worm
Trend Micro
2005-08-15
08:50
WORM_ZOTOB.B
Hauri
2005-08-15
08:58
Worm.Win32.Mytob.FS
eTrust-VET
2005-08-15
09:28
Win32.Zotob.B
Avast
2005-08-15
10:50
Win32:Zotob-B [Wrm]
Panda
2005-08-15
10:52
W32/Zotob.B.worm
Dr Web
2005-08-15
10:57
BackDoor.IRC.HellBot
F-Prot
2005-08-15
13:46
W32/Zotob.B (exact)
eTrust-INO
2005-08-15
14:20
Win32/Zotob.B!Worm
Command
2005-08-15
14:25
W32/Zotob.B (exact)
VirusBuster
2005-08-15
15:24
Worm.Zotob.B
Proland
2005-08-15
15:51
W32/Zotob.B.Worm
AVG
2005-08-15
16:14
I-Worm/Mytob.LZ (Trojan horse)
eSafe
2005-08-16
13:21
Win32.Zotob.b
Ikarus
2005-08-16
15:32
Net-Worm.Win32.Mytob.CF
Norman
2005-08-17
09:14
W32/Zotob.B
P.S.Чтобы предупредить обвинения в адрес Андреаса Маркса в предвзятости-еще никто не ставил (судя по отзывам в нете) под сомнение результаты его анализа АВ реакций на новые угрозы.
[QUOTE=Iceman]Итак, перейдём к практике:
В прикреплении файлы: логи ВБА и Спайдера. Собственно, запытуемое тело в архиве (пароль virus) по адресу: webfile.ru/469991, пароль 123.
Это обычный, не самый опасный StartPage.b. Рассмотрим реакцию 2-х антивирусов на его появление в системе. Начальные условия: Мониторы грузятся при старте системы. Основные параметры - по умолчанию. Действия: При обнаружении - лечить, при невозможности - удалять.
Реакцию Веба можно посмотреть в логе SPIDERNT.log. После спайдера
зачистка проводилась консолной версией ВБА и результат в логе susp.rpt.
Реакция ВБА: Логи в архиве VBA32.zip
Краткие выводы: 1. При использовании Спайдера с настройками по умолчанию, в отдельных случаях (рядового пользователя) заражённый компьютер так и отаётся заражённым. То есть реакции монитора просто нет. Замечу, что это наблюдается в текущей версии. В ранних версиях Веба 4.3(1) реакция была несколько другой. Доказывать не буду - лень.
Не просто неинтересно - приводит к тяжёлым последствиям.
2. Монитор ВБА идентифицирует и нейтрализует заразу на стадии загрузки. Собственно, как и должно быть.[/QUOTE]
Не понятно как у вас со Спайдером получились такие результаты. У меня все не так. Распаковал трояна из архива:
Спайдер выдал предупреждение, я нажал "Лечить":
20-08-2005 19:55:18 E:\Новая папка\kenguuru\kenguuru.jpg .exe инфицирован BackDoor.Pyand - удален
Пришлось отключить Спайдера, распаковать архив и запустить троян.
Стали выскакивать сообщения, о том что троян записывается то в System32, то в ...Автозагрузка\
Я нажимал Лечить пока не надоело, затем снял задачу трояна.
В реестре троян напакостил, а машину не заразил.