-
[QUOTE=Iceman;89872]В личку.[/QUOTE]
Ага - файл получил, спасибо. сейчас его погоняю
-
Как обычно - результаты ждём с большим интересом ;-)).
-
[QUOTE=Синауридзе Александр;89833]М да. Только зря время потратил - 5 машин прогнал. После NOD32 что-то найти почти нереально.:)[/QUOTE]
Как раз не зря. Ложные срабатывания как раз на чистых машинах и надо искать :)
-
[quote=Ego1st;89667]представитель др.веб говорит что это, что-то типа Софосовского генатипа, только немного реализовано подругому..
[/quote]
"Немного" я не говорил. Вполне возможно, в реализации вообще ничего общего нет :)
-
[QUOTE=ValeryLedovskoy;89884]"Немного" я не говорил. Вполне возможно, в реализации вообще ничего общего нет :)[/QUOTE]
я описал, то как сам эт понял..)) ссылку на тему кинули, я думаю кому интересно из первого источника всё-таки прочитали..
надо было имхо поставить=)))
-
[QUOTE=Iceman;89877]Как обычно - результаты ждём с большим интересом ;-)).[/QUOTE]
Ну, собственно, вот и результаты:
1. Кеш системы с ИР - всякий мусор, явные зловреды оттуда почти все отфильтрованы на 80%. По отчету DrWeb проверено 219361 файлов (файлы без повторов, это то, что ожидает классификацию - реально файлов порядка 27 тыс, там примерно 2 тыс зверей. многие файлы являются дистрибуциями, инсталлами и т.п. - DrWeb работал с опцией "проверять все файлы", что видимо повлияло на его счетчики), так вот из них 90 - "Возможно ..." и 258 - "xxxx.origin". Чаще всего мелькает "Trojan.Resun.origin", "Trojan.DownLoader.origin", "Trojan.Fakealert.origin", "Trojan.Spambot.origin", "Trojan.PWS.GoldSpy.origin", "Dialer.Riprova.origin", "Adware.Shopper.origin", "Dialer.Hot.origin", "Adware.Cdn.origin". Вероятность "попадания в зловред" по ним - порядка 70%. Еще примерно 800-1000 DrWeb детектировал как зловреды сигнатурами
2. Тест по базе чистых объектов - проверил он 280 тыс, из них порядка 60 тыс - исполняемые файлы. 20 ложняков, досталось компонентам ZoneAlarm, NOD, KAV. Срабытываний "Origin" две штуки - на Panda и Ulead DVD Movie Factory 2.
3. Другой кеш ИР анализатора - гарантировано зловреды, без повторов, ITW за последние 2 месяца, 24 тыс штук. Из них примерно 700 он не детектировал, много детектов вида "xxx.based" и [B]906[/B] зверей детектированы именно как "xxx.origin".
Вот такие вот цифры ...
-
Интересно было бы в процентах. Сколько процентов из того что не находит нынешняя версия находит бета.
-
[QUOTE=Geser;89903]Интересно было бы в процентах. Сколько процентов из того что не находит нынешняя версия находит бета.[/QUOTE]
Насколько я понимаю, получается примерно +4..5%. Точнее подсчитать трудно ... но особого расхождения я думаю не будет. Причем пока видно, что origin детект эффективен не для всех зловредов, а для ряда характерных семейств, например зловредов класса Zlob и некоторых порнозвонилок.
-
[QUOTE]Насколько я понимаю, получается примерно +4..5%[/QUOTE]
Не густо...
-
[QUOTE=Geser;89907]Не густо...[/QUOTE]
А я большего и не ожидал ... фокус с в том, что сигнатурная база продолжает работать - порядка 90-92% ITW зверей он детектит именно сигнатурами ... а сигнатурный детект (по моим опытам по крайней мере) имеет приоритет. Вот если бы сигнатурный поиск как-то отключался и работал только "Origin" - тогда цифры были бы намного интереснее и показательнее.
-
У Веба, ИМХО, опять отвалилась возможность лечения активной заразы.
Детект-детектом, а лечить не получается. проверьте, может я ошибся.
-
[QUOTE=Iceman;89909]У Веба, ИМХО, опять отвалилась возможность лечения активной заразы.
Детект-детектом, а лечить не получается. проверьте, может я ошибся.[/QUOTE]
С чего вы решили?
С какой заразой воспроизводится?
-
[QUOTE=Iceman;89909]У Веба, ИМХО, опять отвалилась возможность лечения активной заразы.
Детект-детектом, а лечить не получается. проверьте, может я ошибся.[/QUOTE]
В то время, когда был уже запущен троян sys32.exe, я запустил сканер. Вот результат: (файл трояна был действительно удален)
[Проверяемый путь] e:\virus\collection\trojan\downloader\sys32.exe
e:\virus\collection\trojan\downloader\sys32.exe инфицирован Trojan.DownLoader.11402
[Проверяемый путь] e:\winproxy\winproxy.exe
...
e:\virus\collection\trojan\downloader\sys32.exe - удален
-
[quote=Geser]Сколько процентов из того что не находит нынешняя версия находит бета.[/quote]
Олег привел долю детектирования новым эвристиком - 4..5% из общей массы детектов.
Я понял вопрос Geser иначе. Если судить по цифрам Олега, то новый движок пропускает как минимум в 2 раза меньше. Точную цифру можно получить только, проверив эти же файлы движком нынешней версии.
PS. Слабо верится в такие хорошие результаты. Может я ошибся?
-
[QUOTE=Зайцев Олег;89908]Вот если бы сигнатурный поиск как-то отключался и работал только "Origin" - тогда цифры были бы намного интереснее и показательнее.[/QUOTE]
очень верный ход мысли.
-
Если кто еще захочет потестить новую бету Вэба, то вот ссылка на неё:
[url]http://rapidshare.com/files/10125140/BetaDrWeb.rar.html[/url]
Архив без пароля.
-
Такой вопрос , в CureIt она(технология) встроена или нет ?
А то особо желания нет качать 6 метров :)
-
[B]Surfer[/B]
Нет ... это пока бетта ... идет тестирование.
-
[QUOTE=_HEKTO_;89881]Как раз не зря. Ложные срабатывания как раз на чистых машинах и надо искать :)[/QUOTE]
У меня на работе других дел хватает.:P
[QUOTE=Зайцев Олег;89906]Насколько я понимаю, получается примерно +4..5%.[/QUOTE]
А больше и не следовало ожидать.:)
-
[QUOTE=Синауридзе Александр;90085]У меня на работе других дел хватает.:P[/QUOTE]
А я-то думал, что бета версия для тестирования предназначена...
Page generated in 0.00355 seconds with 10 queries