-
Тест N3. Все то же самое, только добавлена задержка около 3 минут
перед началом скачивания.
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
[B]Dr.Web Found DLOADER.Trojan (probable variant) [/B]
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
[B]Norman Virus Control Found Sandbox: W32/Downloader; [ General information ][/B]
[QUOTE]
* File length: 24576 bytes.
[ Changes to filesystem ]
* Creates file C:\file.com.
[ Changes to registry ]
* Creates value "Test"="c:\sample.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
[ Network services ]
* Downloads file from http:\\[url]www.([/url] -skip- ).com\file.gif as c:\file.com.
[ Security issues ]
* Starting downloaded file - potential security problem.
[ Process/window information ]
* Will automatically restart after boot (I'll be back...).
* Attemps to open c:\file.com NULL.
[/QUOTE]
UNA Found nothing
VBA32 Found nothing
И с этим Norman легко справился
-
На основании проведённых Олегом тестов можно сделать вывод, что наилучшим эвристиком обладает Dr.Web 4.33. В нём стопроцентное обнаружение реального вируса сочетается с минимальным числом ложных срабатываний на имитаторах.
-
[QUOTE=Mamont]На основании проведённых Олегом тестов можно сделать вывод, что наилучшим эвристиком обладает Dr.Web 4.33. В нём стопроцентное обнаружение реального вируса сочетается с минимальным числом ложных срабатываний на имитаторах.[/QUOTE]
Позволю себе возразить - это не так:)
-
[QUOTE=Mamont]На основании проведённых Олегом тестов можно сделать вывод, что наилучшим эвристиком обладает Dr.Web 4.33. В нём стопроцентное обнаружение реального вируса сочетается с минимальным числом ложных срабатываний на имитаторах.[/QUOTE]
А это не имитаторы. Это настоящие троян даунлоадеры и дроперы :) А то что их написал Олег а не реальный вирусописатель ничего не меняет.
-
Кстати, в КАВ/КИС 2006 тоже улучшили эвристик. Скоро узнаю по делу он ругается или ложняк.
-
[QUOTE=Geser]Кстати, в КАВ/КИС 2006 тоже улучшили эвристик. Скоро узнаю по делу он ругается или ложняк.[/QUOTE]
Это с какого момента? Я как-то пробовал - не особо...
-
[QUOTE=Iceman]Это с какого момента? Я как-то пробовал - не особо...[/QUOTE]
[url]http://forum.kaspersky.com/index.php?showtopic=5274[/url]
-
For Gaser:
Кстати, в КАВ/КИС 2006 тоже улучшили эвристик. Скоро узнаю по делу он ругается или ложняк.
Эвристик кава независит от версии... если они его улучшат то он будет лучше и в 2006 и в 5.0 и в 3.0 :)
Движок в базах - гениально!
-
Т.е., не так давно... Ясно, надо будет попробовать.
-
Вобще как стало известно они работают над "этим" только я пока точно незнаю это - что - жвристик или создание полноценного Code Emulatora (Norman Sandbox / BitDefender Hive)
-
[QUOTE=Sanja]For Gaser:
Кстати, в КАВ/КИС 2006 тоже улучшили эвристик. Скоро узнаю по делу он ругается или ложняк.
Эвристик кава независит от версии... если они его улучшат то он будет лучше и в 2006 и в 5.0 и в 3.0 :)
Движок в базах - гениально![/QUOTE]
Факт в том что старые версии на этот файл не ругаются
Кстати, возможно что тормоза КАВ именно результат движка в базах
-
Нет ибо базы в памяти.. а там у всех скорость одна....
тормоза - в попутках распаковки всего подрять и залезанья в дебри файла
вроде такого изврата :)
Spoolsac.zip\spoolsac.exe/PE_Patch/MewBundle/MEW/PCShrink is infected with Backdoor.Win32.Agent.on
-
[QUOTE=Гость]Нет ибо базы в памяти.. а там у всех скорость одна....
тормоза - в попутках распаковки всего подрять и залезанья в дебри файла
вроде такого изврата :)
Spoolsac.zip\spoolsac.exe/PE_Patch/MewBundle/MEW/PCShrink is infected with Backdoor.Win32.Agent.on[/QUOTE]
Может я не прав, но по моему, если движок компелируется сразу его можно лучше оптимизировать чем когда он собирается из написанных в разное время частей. А большинство файлов на диске ничем не сжаты. Так что от распаковок особо тормоза не должны проявляться.
-
Здравствуйте! Я обычный человек, не професионал в антивирусных программах, увидевши этот диалог, ужаснулся, ведь у меня уже как два года DRWEB 432 стоял,сейчас поменял на 4.33.В связке с ним Ad-Aware SE Professional + Agnitum .
Ну думаю заразы немеряно у меня. Быстренько установил BitDefender8,
обновил антивирусные базы и запустил сканер....
Я сидел 51 минуту, как на иголках....
Просканировав системный с программами диск С ....
BitDefender8 не обнаружил ни одной заразы!!!
а вот Бранндмауэр и вирусный щит так тормозят машину, что мама не горюй!!!!(я не забыл конечно своего Веба отключить на время тестирования).
Я в нете с утра до вечера, по разным сайтам хожу, где заразы много,
хочу сказать, что лучше Веба, для обычного пользователя нет!!!!
Отлавливает всё! МОЛОДЕЦ! И главное машину не тормозит!
-
[QUOTE=Гоша7]Здравствуйте! Я обычный человек, не професионал в антивирусных программах ...[/QUOTE]
Ну и как это открытие связано с темой обсуждения ?!
-
Открытия ни какого, извиняйте если что, я просто по тестам посмотрел,
что BitDefender практически всё в Ваших опытах находит, а Веб пропускает, ...
и просто так сказать высказал свою точку зрения, что Веб лучший!
Так как за два года ничего не пропустил.
-
[QUOTE=Гоша7]и просто так сказать высказал свою точку зрения, что Веб лучший!
Так как за два года ничего не пропустил.[/QUOTE]
Этот тест почти ничего ни говорит о качестве антивируса для конечного пользователя,
для конечного пользователя качеством является [b]стабильность/полнота баз/Время реакции supporta на новую заразу[/b]
с этим у Web`a всё более/менее нормально на тек. момент :)
Но я бы не сказал что он лучший, но явно не худьший выбор для пользователя.
Так-же как и Касперский, имеет на тек. момент успехи в этом тесте явно ниже среднего :)
-
:idea:
[b]Гоша7[/b]
[url=http://virusinfo.info/showthread.php?t=3244]Проголосовал?[/url]
:)
-
[QUOTE=RiC]Этот тест почти ничего ни говорит о качестве антивируса для конечного пользователя,
для конечного пользователя качеством является [b]стабильность/полнота баз/Время реакции supporta на новую заразу[/b]
с этим у Web`a всё более/менее нормально на тек. момент :)
Но я бы не сказал что он лучший, но явно не худьший выбор для пользователя.
Так-же как и Касперский, имеет на тек. момент успехи в этом тесте явно ниже среднего :)[/QUOTE]
Дак вот о чем и речь - тестируется эвристик, причем в достаточно узких направлениях. Делать по этому тесту глобальные выводы естественно нельзя...
-
В дополнение теста [url]http://virusinfo.info/showpost.php?p=56927&postcount=31[/url] я провел еще один тест - тот-же дроппер, но теперь "зверь" в ресурсе зашифрован при помощи элементарного XOR 55.
Результат:
AntiVir 6.32.0.6 10.14.2005 no virus found
Avast 4.6.695.0 10.14.2005 no virus found
AVG 718 10.13.2005 no virus found
Avira 6.32.0.6 10.14.2005 no virus found
[B]BitDefender 7.2 10.14.2005 Dropped:Trojan.Lowzones.AD [/B]
CAT-QuickHeal 8.00 10.14.2005 no virus found
ClamAV devel-20050917 10.14.2005 no virus found
DrWeb 4.32b 10.14.2005 no virus found
eTrust-Iris 7.1.194.0 10.14.2005 no virus found
eTrust-Vet 11.9.1.0 10.14.2005 no virus found
[B]Fortinet 2.48.0.0 10.14.2005 suspicious [/B]
F-Prot 3.16c 10.14.2005 no virus found
Ikarus 0.2.59.0 10.13.2005 no virus found
Kaspersky 4.0.2.24 10.14.2005 no virus found
McAfee 4604 10.13.2005 no virus found
NOD32v2 1.1254 10.14.2005 no virus found
Norman 5.70.10 10.14.2005 no virus found
Panda 8.02.00 10.14.2005 no virus found
Sophos 3.98.0 10.14.2005 no virus found
Symantec 8.0 10.13.2005 no virus found
TheHacker 5.8.2.123 10.13.2005 no virus found
VBA32 3.10.4 10.13.2005 no virus found
интересно, как его Bitbefender изловил - полная эмуляция машинного кода что-ли ... ?!
Выкидываю код запуска зловреда:
Antivirus Version Update Result
AntiVir 6.32.0.6 10.14.2005 no virus found
Avast 4.6.695.0 10.14.2005 no virus found
AVG 718 10.13.2005 no virus found
Avira 6.32.0.6 10.14.2005 no virus found
[B]BitDefender 7.2 10.14.2005 Dropped:Trojan.Lowzones.AD [/B]
CAT-QuickHeal 8.00 10.14.2005 no virus found
ClamAV devel-20050917 10.14.2005 no virus found
DrWeb 4.32b 10.14.2005 no virus found
eTrust-Iris 7.1.194.0 10.14.2005 no virus found
eTrust-Vet 11.9.1.0 10.14.2005 no virus found
[B]Fortinet 2.48.0.0 10.14.2005 suspicious [/B]
F-Prot 3.16c 10.14.2005 no virus found
Ikarus 0.2.59.0 10.13.2005 no virus found
Kaspersky 4.0.2.24 10.14.2005 no virus found
McAfee 4604 10.13.2005 no virus found
NOD32v2 1.1254 10.14.2005 no virus found
Norman 5.70.10 10.14.2005 no virus found
Panda 8.02.00 10.14.2005 no virus found
Sophos 3.98.0 10.14.2005 no virus found
Symantec 8.0 10.13.2005 no virus found
TheHacker 5.8.2.123 10.13.2005 no virus found
VBA32 3.10.4 10.13.2005 no virus found
Выкидываю запуск, дешифрацию и сохранение (в этом случае просто считывается зашифрованный код из ресурса и все):
AntiVir 6.32.0.6 10.14.2005 no virus found
Avast 4.6.695.0 10.14.2005 no virus found
AVG 718 10.13.2005 no virus found
Avira 6.32.0.6 10.14.2005 no virus found
BitDefender 7.2 10.14.2005 no virus found
CAT-QuickHeal 8.00 10.14.2005 no virus found
ClamAV devel-20050917 10.14.2005 no virus found
DrWeb 4.32b 10.14.2005 no virus found
eTrust-Iris 7.1.194.0 10.14.2005 no virus found
eTrust-Vet 11.9.1.0 10.14.2005 no virus found
Fortinet 2.48.0.0 10.14.2005 suspicious
F-Prot 3.16c 10.14.2005 no virus found
Ikarus 0.2.59.0 10.13.2005 no virus found
Kaspersky 4.0.2.24 10.14.2005 no virus found
McAfee 4604 10.13.2005 no virus found
NOD32v2 1.1254 10.14.2005 no virus found
Norman 5.70.10 10.14.2005 no virus found
Panda 8.02.00 10.14.2005 no virus found
Sophos 3.98.0 10.14.2005 no virus found
Symantec 8.0 10.13.2005 no virus found
TheHacker 5.8.2.123 10.13.2005 no virus found
VBA32 3.10.4 10.13.2005 no virus found
Т.е. получается, что отлов "зверя" просходил по анализу буфера, который формировал дешифратор
-
BitDefender показывает хорошие результаты. Учитывая что текущая версия 9, и по утверждениям разработчиков в ней много усовершенствований. Жалко с ними сложно пообщаться
-
[QUOTE=Geser]BitDefender показывает хорошие результаты. Учитывая что текущая версия 9, и по утверждениям разработчиков в ней много усовершенствований. Жалко с ними сложно пообщаться[/QUOTE]
да, я как-то не ожидал такой реакции ... зашифрованный зверь, да еще в неизвестном для типе дроппера. Другое удивительно - почему Sanbox у Norman молчит - он же вроде как обязан отреагировать.
Я повторил опыт с последним образцом на [url]http://virusscan.jotti.org/[/url] :
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
[B]BitDefender Found Dropped:Trojan.Lowzones.AD [/B]
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
[COLOR="Red"]Norman Virus Control Found nothing !!![/COLOR]
UNA Found nothing
VBA32 Found nothing
Вот это странно ...
-
Norman вообще странный зверь :) И Sanbox у него срабатывает совсем не часто
-
[QUOTE=Geser]Может я не прав, но по моему, если движок компелируется сразу его можно лучше оптимизировать чем когда он собирается из написанных в разное время частей. А большинство файлов на диске ничем не сжаты. Так что от распаковок особо тормоза не должны проявляться.[/QUOTE]
Ты неправ :)
-
Gaser, Oleg
[url]http://forum.kaspersky.com/index.php?showtopic=5311&hl=[/url]
:)
-
Хотелось бы узнать результаты тестирования антивирусных программ, работающих по проактивному принципу, а не реактивному. Например Proventia от ISS и Safe'n'Sec от Protection Technology.
-
[QUOTE=ASMax]Хотелось бы узнать результаты тестирования антивирусных программ, работающих по проактивному принципу, а не реактивному. Например Proventia от ISS и Safe'n'Sec от Protection Technology.[/QUOTE]
Это точно , или например Panda True Prevent 2006 (говорят , что ловит всё)
[b]Зайцев Олег[/b]
А почему в 10.2005 использовался старый каспер , тогда уже был 5.0
-
[QUOTE=Surfer56]Это точно , или например Panda True Prevent 2006 (говорят , что ловит всё)
[b]Зайцев Олег[/b]
А почему в 10.2005 использовался старый каспер , тогда уже был 5.0[/QUOTE]
Panda True Prevent я тестировал - честно скажу, разочарование полнейшее ... вся "супертехнология" построена на двух десятках перехватов UserMode, которые обходятся элементарнейшим образом. После этого Panda теряет контроль над системой и приложение может делать что угодно.
В тестах применялся тот KAV, что имеется на Virustotal ... но это не играет роли, т.к. дивжек у них по сути размещен в базе.
Page generated in 0.01589 seconds with 10 queries