VBA32 vs DrWeb

[QUOTE=Гость2]Данный ключ не использовался.
/heuristics_test /M=3 /RW /FC- /FD- /FR- /BC- /HA=2 /MR- /BT- /AS- /OK /AR /VM /r=[/QUOTE]
Читаем экран подсказки, который выдает программа:
[code]
┌─────────────────────────────────────────────────────╖
│ VirusBlokAda (Console scanner) ║
│ Vba32 Windows/CL 3.10.5 beta / 18.08.2005 (Vba32.W) ║
│ Copyright (c) 1993-2005 by VBA Ltd. ║
╘═════════════════════════════════════════════════════╝
User: Official beta tester
License #000000119 Valid till 30.09.2005
...
/?[+|-] - show help screen;
/M=1 - fast check mode;
/M=2 - optimal check mode (/AF+);
/M=3 - thorough check mode (/AF+ /PM+);
/AF[+|-] - all files;
/PM[+|-] - thorough check mode (VERY slow);
...
[/code]
То есть ключ [b]/PM[/b] на самом деле все же использовался (он включается автоматически при задании [b]/M=3[/b]). Согласен, возможно нужно пересмотреть логику настройки параметров сканирования ключами командной строки, чтобы избежать подобных недоразумений. Но обычно консольным сканером пользуются "продвинутые" пользователи. Больше ни у кого подобных проблем пока до сих пор не возникало, будем принимать к сведению и посмотрим, что можно сделать.

Еще на быстродействие проверки влияет уровень настройки эвристики: [b]/HA=0[/b] (отключена) и [b]/HA=1[/b] (оптимален) - самые быстрые режимы с примерно одинаковым быстродействием, [b]/HA=2[/b] (максимален) - работает медленнее, ловит больше, [b]/HA=3[/b] (избыточен) - работает еще чуть медленнее, плюс заметно выше вероятность ложных тревог. Далее, судя по логу сканирования, у Вас в 'Program Files' довольно много архивов, возможно это сказалось на скорости сканирования (но это, конечно, не причина работать заметно медленнее, чем DrWeb, будем разбираться). В любом случае спасибо за предоставленную информацию.

Обнаруженные подозрительные файлы пришлите нам на [email][email protected][/email] в архиве с паролем ([b]heuristics-test.bat[/b] из пакета консольного сканера автоматически запаковывает найденные подозрения в архив [b]susp.zip[/b] с паролем [b]virus[/b]). В течение дня-двух (учитывая, что сейчас выходные), все ложные тревоги эвристика будут исправлены.

Кстати, может быть огласите список ложных тревог? Насколько я понимаю, это всего 5 строк отчета по результатам последнего тестирования.

Спасибо за интерес к нашему антивирусу, надеемся на дальнейшее сотрудничество.

[QUOTE=AndreyKa]Не понятно как у вас со Спайдером получились такие результаты. У меня все не так. Распаковал трояна из архива:
Спайдер выдал предупреждение, я нажал "Лечить":
20-08-2005 19:55:18 E:\Новая папка\kenguuru\kenguuru.jpg .exe инфицирован BackDoor.Pyand - удален

Пришлось отключить Спайдера, распаковать архив и запустить троян.
Стали выскакивать сообщения, о том что троян записывается то в System32, то в ...Автозагрузка\
Я нажимал Лечить пока не надоело, затем снял задачу трояна.
В реестре троян напакостил, а машину не заразил.[/QUOTE]

Уточняю: сначала производилось заражение (при отключенных/выгруженных мониторах). Далее, комп перезагружался и начиналось веселье ;-)).
Я даже намекну - оптимальный режим спайдера, будь он неладен..... Не проверяются файлы, которые уже записаны на диск....
Т.е. мысль такая - поведение монитора на уже заражённой машине после обнаружения заразы.

Чего вы расшумелись, непонятно.
Да, VBA вполне уже неплох, хороший антивирус. Главное их преимущество - лучший, имхо, в мире на настоящий момент эвристик плюс эмулятор, позволяющий распаковывать многие новые крипторы и паковщики, неизвестные программе. Но потребление ресурсов и размер баз почти на уровне KAV, тут плюс один - VBA дешевле.

Преимуществами дрвеба были и будут - движок на ассемблере, обладающий максимально возможным быстродействием, малый размер баз и их дополнений. Плюс в последние полгода - здорово улучшена работа вирус-лаба, их тикеты и ответы я приводил вот тут:
[url]http://virusinfo.info/showpost.php?p=46747&postcount=304[/url] Если кому интересно, могу показать вчерашние, картина примерно та же.
Все это вместе дает одну очень сильную вещь - дрвеб до сих пор способен нормально работать на старом парке машин, коих в нашей России еще тьма тьмущая, особенно в корпоративном секторе. И обновления легко переносятся дискеткой. Вчерашний daily.udb у беты VBA - 5*010*008 байт, это уже круто. Такое качать 24 раза в сутки - неслабо получится даже для сетки, не говоря уж о диалапе. Правда, столько обновлений пока еще и не бывает, а жаль.

Дрвеб у меня прекрасно работает (с монитором) и на старом 486 компьютере с 16 мб RAM - железка специальная, коммутатор транкинговой базовой станции, замена в ближайшие несколько лет на более мощный вряд ли будет, т.к. его вполне хватает. Другой антивирус оно вряд ли вообще потянет, а антивирусную защиту по документации производителя я должен обеспечить сам, раз уж подключил в корпоративную сетку - мне так удобнее, для постоянного контроля за его работой с другого компьютера.

Плюсы дрвеба легко видны на примере DrwebCureIT - а это полный виндовый сканер с графическим интерфейсом, не консоль. Аналогов, имхо, нет.

У команды дрвеба явно есть проблемы, но, надеюсь, все это не приведет к печальным результатам. Во всяком случае, они прилагают к этому все силы, и я, как старый их пользователь, постараюсь им помочь. А не пинать, как некоторые. Другого такого же антивируса нет и, похоже, не будет.

[QUOTE=Iceman]Уточняю: сначала производилось заражение (при отключенных/выгруженных мониторах). Далее, комп перезагружался и начиналось веселье ;-)).
Я даже намекну - оптимальный режим спайдера, будь он неладен..... Не проверяются файлы, которые уже записаны на диск....
Т.е. мысль такая - поведение монитора на уже заражённой машине после обнаружения заразы.[/QUOTE]
Дрвеб очень здорово настраивается, Вы сами ставите тот режим, какой нужен. Раз уж зараза работает - велкам ту безопасный режим, проверка сканером. Смотря что словили.
Имхо, не мне Вас учить - защита должна быть комплексной, нельзя полагаться на один только антивирус. Это "последний рубеж обороны", и плохо, если он единственный. Нужен и файерволл, и прокси, и почтовый сервер с антивирусом, это все не для баловства сделано (и неплохо работает, кстати говоря. Сквид+дрвеб у меня работает уже больше года - хорошая штука.)

[QUOTE=Alexey P.]Дрвеб очень здорово настраивается, Вы сами ставите тот режим, какой нужен. Раз уж зараза работает - велкам ту безопасный режим, проверка сканером. Смотря что словили.
Имхо, не мне Вас учить - защита должна быть комплексной, нельзя полагаться на один только антивирус. Это "последний рубеж обороны", и плохо, если он единственный. Нужен и файерволл, и прокси, и почтовый сервер с антивирусом, это все не для баловства сделано (и неплохо работает, кстати говоря. Сквид+дрвеб у меня работает уже больше года - хорошая штука.)[/QUOTE]

Алексей, я согласен с Вашими доводами. Но своим примером я показал, что может ждать пользователя, когда он не владеет хотя бы базовыми навыками. Да и гости подстегнули своими заявлениями ;-). Мысль, заложенная в полемику (с моей стороны во всяком случае) - нет смысла кричать о крутости и превосходстве, когда многие моменты не реализованы втечение долгого уже времени. При наличии у конкурентов ничуть не худших решений. Это мне напоминает одно знаменитое выражение прошлых лет (Москвичи наверняка поймут меня ;-)))) - "Нашим абонентам этого не нужно" (с)

[QUOTE=Alexey P.]Вчерашний daily.udb у беты VBA - 5*010*008 байт, это уже круто. Такое качать 24 раза в сутки - неслабо получится даже для сетки, не говоря уж о диалапе. Правда, столько обновлений пока еще и не бывает, а жаль.[/quote]
Сейчас daily.udb уже давно не daily, а фактически кумулятив. Обновляется он с помощью механизма патчей, который пришел на смену выпуску множества мелких апдейтов в виде отдельных файлов (в версии 3.11 файлов .udb с цифровыми именами уже вообще не будет). Размер патча обычно 10K-100K (в зависимости от количества добавленных записей о вирусах, 100K - довольно большой апдейт). Проблема со вчерашним обновлением и попыткой выкачать daily.udb целиком, связана с тем, что произошел сбой при закачивании апдейта на сервер и туда не попали файлы патчей. Сейчас уже все исправлено. К слову, обновление вирусных баз у нас как раз imho реализовано довольно оптимально в плане объема скачиваемых данных и это как раз плюс для пользователей диалапа. Не удивлюсь, если механизм использования бинарных патчей в скором времени начнет использоваться и остальными антивирусами :-)

[QUOTE=Alexey P.]Но потребление ресурсов и размер баз почти на уровне KAV, тут плюс один - VBA дешевле.[/QUOTE]

Позволю себе возразить ;) Потребление ресурсов сканером, имхо, не так уж и критично. Обычно сканер запускают на ночь ну или, по крайней мере, на обеденный перерыв. Оно и не может быть низким - это будет означать лажовую эвристику и отсутствие какого бы то ни было эмулятора.

[QUOTE]Все это вместе дает одну очень сильную вещь - дрвеб до сих пор способен нормально работать на старом парке машин, коих в нашей России еще тьма тьмущая, особенно в корпоративном секторе. [/QUOTE]

VBA32 отлично работает и на iP100. Только не нужно на таких машинах увлекаться высоким уровнем эвристика. Кроме того, если пользователь мало-мальски грамотен и время от времени пользуется сканером, то в мониторе VBA можно включить опцию "Проверять только новые файлы". Тогда вообще проблем с "тормозами" не должно быть.

[QUOTE]И обновления легко переносятся дискеткой. Вчерашний daily.udb у беты VBA - 5*010*008 байт, это уже круто. Такое качать 24 раза в сутки - неслабо получится даже для сетки, не говоря уж о диалапе. Правда, столько обновлений пока еще и не бывает, а жаль.[/QUOTE]

Кто в наше время носит обновления дискеткой? Несколько раз в день?

Ну, а размер daily.udb пусть вас не смущает. VBA пользуется Delta (бинарным) Patching'ом, так что размеры обновлений вполне устраивают даже диалапщиков. Качается лишь малая часть этого файла. Это я говорю, как человек, который отвечает за немецкое зеркало обновлений VBA32. Мы знаем, сколько у нас здесь пользователей и сколько траффика потребляется серверами при ежечасных проверках обновлений со стороны клиентов. Жить вполне можно ;)

[QUOTE=Alexey P.]
Преимуществами дрвеба были и будут - движок на ассемблере, обладающий максимально возможным быстродействием[/QUOTE]
Хоть это тривиально и не раз писалось, но это реальность. Переведи спайдер из оптимального режима в режим проверки файлов при открытии (а именно такой режим по умолчанию у ВБА) и посмотри что будрт. У меня он подвешивал АМД 2600+ с RAID 0. А если у ВБА включить режим проверки только при записи и изменении то будет он так же незаметен как и ДрВеб. Так что тут они равноценны.

[QUOTE=Iceman]Где у веба хоть какие-то настройки эвристика? Может вместе поищем?[/QUOTE]


Что значит - настройки эвристика? У эвристика может быть только одна настройка: вкл/выкл. Нельзя быть немного беременной. Это ненастраиваемо.

[QUOTE=Alexey P.]
Преимуществами дрвеба были и будут - движок на ассемблере, обладающий максимально возможным быстродействием[/QUOTE]


Это не преимущество, это позор и бельмо, от которого они никак не могут избавиться. Т.к. кроме как на x86 больше ни на чем работать не могут. Они уже чертисколько пытаются переписать этот движок на C, но всё никак... Мдя...

[QUOTE=Гость]Что значит - настройки эвристика? У эвристика может быть только одна настройка: вкл/выкл. Нельзя быть немного беременной. Это ненастраиваемо.[/QUOTE]
Это демонстрирует глубокие познания в принципах работы антивирусов :)

[QUOTE=Гость]Что значит - настройки эвристика? У эвристика может быть только одна настройка: вкл/выкл. Нельзя быть немного беременной. Это ненастраиваемо.[/QUOTE]

Тогда смысл вообще сравнивать эти продукты и слова говорить? У одного нет, у другого есть. Воля, так сказать, разработчиков.
Ещё раз повторюсь, долгое время принцип Вебовцев был - "Нашим абонентам этого не нужно". Жаль :-(((.
Тем более, пример реакции АВ на заражённой машине я достаточно чётко показал. Эвристик участия там не принимал :-))). Сплошные чётко прописанные сигнатуры.

[QUOTE=serge (guest)]Сейчас daily.udb уже давно не daily, а фактически кумулятив. Обновляется он с помощью механизма патчей, который пришел на смену выпуску множества мелких апдейтов в виде отдельных файлов (в версии 3.11 файлов .udb с цифровыми именами уже вообще не будет). Размер патча обычно 10K-100K (в зависимости от количества добавленных записей о вирусах, 100K - довольно большой апдейт). Проблема со вчерашним обновлением и попыткой выкачать daily.udb целиком, связана с тем, что произошел сбой при закачивании апдейта на сервер и туда не попали файлы патчей. Сейчас уже все исправлено. К слову, обновление вирусных баз у нас как раз imho реализовано довольно оптимально в плане объема скачиваемых данных и это как раз плюс для пользователей диалапа. Не удивлюсь, если механизм использования бинарных патчей в скором времени начнет использоваться и остальными антивирусами :-)[/QUOTE]

Однако....
_http://www.wilderssecurity.com/showthread.php?t=91636
"What is the incremental VDF update?

Up to now all VDF updates have been made available in one large VDF file. In the future this large VDF file will be split up into one larger base VDF and several smaller VDF files. The large VDF file is usually downloaded only once and then gets updated regularly (daily, weekly, monthly) with smaller VDF files that are only a few hundred KB in size. Thus the size of the VDF as well as the time needed to download the file will be drastically reduced."

[QUOTE=Iceman]Однако....
_http://www.wilderssecurity.com/showthread.php?t=91636
"What is the incremental VDF update?

Up to now all VDF updates have been made available in one large VDF file. In the future this large VDF file will be split up into one larger base VDF and several smaller VDF files. The large VDF file is usually downloaded only once and then gets updated regularly (daily, weekly, monthly) with smaller VDF files that are only a few hundred KB in size. Thus the size of the VDF as well as the time needed to download the file will be drastically reduced."[/QUOTE]

Судя по описанию, AntiVir только начинает переходить на технологию, от которой мы уже отказываемся :)

Если проследить историю обновления антивирусов, то вырисовывается следующая картина (по поводу того, что касается других антивирусов могу и ошибиться, если что - поправьте :)):
1. записи о вирусах "зашиты" в код антивируса (пример - aidstest), для поиска новых вирусов нужно заменить exe-шник антивируса
2. записи о вирусах вынесены в отдельный файл, для поиска новых вирусов нужно его скачать целиком (пример - теперешний AntiVir)
3. записи о вирусах разбиты на один большой файл - кумулятив и много мелких - дополнения (пример - KAV, DrWeb, пока еще частично VBA32), для обновления нужно скачать файлы дополнений
4. записи о вирусах опять находятся в одном большом файле, но этот файл обновляется с помощью бинарных патчей (пример - VBA32, но полный переход на эту систему будет завершен в следующей версии).

То есть AntiVir переходит с [b]2.[/b] на [b]3.[/b], мы переходим с [b]3.[/b] на [b]4.[/b] :)

Fresh, с данным источником я не знаком и не могу по поводу приведенной в нем информ. ни чего конкретного сказать. Было сказано одна из лучших эвристик.
А вопрос что лучше что хуже, вопрос сугубо личных предпочтений, как в большинстве своем и работа самого продукта у пользователя зависит сугубо от пользователя. Если у кого то что то падало и в логах продукта этого нет, то сущест. системные логи , журналы в которых все видно. Уж если в них нет, то можно сделать дамп. Если ни чего подобного нам не высылать по конкретной проблеме то врят ли мы вам сможем помочь. Нужно более тесно взаимодействовать и без эмоций. Как уже говорилось примерно все продукты идентичны, каждый нужно настраивать под конкретную задачу, а не установить по умолчанию и кричать продукт дрянь.

[QUOTE=polza]Fresh, с данным источником я не знаком и не могу по поводу приведенной в нем информ. ни чего конкретного сказать. Было сказано одна из лучших эвристик.
[/QUOTE]
Значит нужно познакомиться. Конечно легче повторять "у нас самый лучший эвристик" вместо того что бы его совершенствовать. Однако результат этого будет для фирмы плачевным.

[QUOTE=polza]Как уже говорилось примерно все продукты идентичны[/QUOTE]
На такое утверждение сразу напрашивается вопрос, зачем платить больше если эффект тот-же? Если все продукты одинаковые логичнее купить тот что подешевле. Не так ли?

[QUOTE=serge]
4. записи о вирусах опять находятся в одном большом файле, но этот файл обновляется с помощью бинарных патчей [/QUOTE]
Иными словами с помощью кряков. :)

[QUOTE=Geser]Я вот подумал, похоже в последнее время VBA32 делает DrWeb по всем позициям. Эвристик лучше, универсальный распаковщик лучше чем добавление подержки новых пакеров раз в пол года. Какие приемущества остались у ДрВеб?[/QUOTE]
Я пользуюсь Dr.Web уже много лет, и он меня никогда не подводил. Я сравнивал его с другими антивирусами в том числе и сVBA. Ненашел не одного стоящиго, это либо тормоза типа Каспера и Нортона либо те которые не видят ничего. А Dr.Web.- быстрый неприхотливый к ОС и вирусы ищит отлично. Я ставил другие антивири в том числе и VBA и они ничего за пауком не находили, а он за ними частенько.
Я часто посещаю антивирусные форумы и пстоянно вижу как обливают помоями Dr.Web. Народ может хватит обливать паука помоями, причем абсолютно незаслуженно.

[QUOTE=Гость]Я пользуюсь Dr.Web уже много лет, и он меня никогда не подводил. Я сравнивал его с другими антивирусами в том числе и сVBA. Ненашел не одного стоящиго, это либо тормоза типа Каспера и Нортона либо те которые не видят ничего. А Dr.Web.- быстрый неприхотливый к ОС и вирусы ищит отлично. Я ставил другие антивири в том числе и VBA и они ничего за пауком не находили, а он за ними частенько.
Я часто посещаю антивирусные форумы и пстоянно вижу как обливают помоями Dr.Web. Народ может хватит обливать паука помоями, причем абсолютно незаслуженно.[/QUOTE]

Во-первых, никто никого не обливает.... А критика ещё никому не мешала. Выбор АВ - религия, доказано наукой ;-)).
Во-вторых, сравните что сделано на движке Веба: _http://viruschaser.com/enwi/2_01.jsp - описание;
_http://www.viruschaser.com.hk/download/demo/VirusChaserDemo.exe - ссылка на закачку и сравните с тем, что продаётся у нас.... Небо и земля...
В-третьих, каждый выбирает сам для себя по совокупности каких-либо свойств продукта и решает, во что выгоднее вложить деньги.
В-четвёртых, это изначально было всё-таки голосование (с комментариями). Оно (голосование) показало, что явного лидера (или явного аутсайдера) нет.

Я рад,что упоминули корейский клон Др.Веба-VirusChaser.Сам пользовался им и могу сказать,что находил он заразу,которую и ВБА и Касперский со всеми обновлениями пропускали.Интерфейс красивый и простой.Сайт вообще новороченный-даже не верится,что они имеют что-то общее с Др.Вебом.Я бы советовал фанам Др.Веба временно перейти на VirusChaser-продукт почти тот же,но в красивой упаковке и кроме баз Доктора корейцы добавляют свои.
Я уважаю Др.Веб-это легенда.Но нельзя жить прошлыми заслугами.5-ю версию ВСЕ заждались;она нужна-нож острый!
Все антивирусные компании готовят сюрпризы на 2006 год- Micro$oft One Care дышит в затылок.О 5-й версии Доктора ни слуху ,ни духу.
Вот Bitdefender сделал русскую локализацию продукта-антивирус мощнейший и по слухам крякается.Если уважаемый Доктор в ближайшее время не опомнится и не выпустит революционную 5-ю версию,то никто не гарантирует ,что даже самые заядлые фаны помашут ему платочком.Было бы обидно...
ВБА-необходимо много работать.Интерфейс не для XP или Vista...Шпиончиков программки за ним подбирают,но в целом-МОЛОДЦЫ!
Надеюсь,что в следующем 2006 году на virusinfo будет нитка на тему:"VBA vs Norton","VBA vs Macafee","VBA vs Kaspersky",а также,что ВБА будет лидировать в скорости реакции на новую заразу в нете+ловить ВСЮ нечисть эвристиком (zero-time detection).
Желаю удачи обоим антивирусам!

$-)))
Позитивно. Респект!

Возвращаясь к напечатанному...
Итак, выражаю благодарность Alexey'ю P. за предоставленные материалы
;-))) : _http://forum.drweb.ru/view/110353.
Скачал, поставил, попробовал. Ощущения сильно двойственные: с одной строны, есть некий прогресс (доп. базы). С другой - продукт стал медлительным и неповоротливым (на моём компе). Возможно, проявляется его "сырость". Не ощутил я комфорта при работе :-(((. Как Доктор "мочит" заразу попробую чуть позже... На текущий момент смысла вкладывать деньги, честно говоря не вижу. А официальный ключик подходит к концу...

Проголосовал за Vba32, по моему он лучше "паутиныча", да и вирусов больше ловит. Вот только с ключами полная ж..., хоть и не дорогой, но тяга у нас к халяве видно в крови.

[QUOTE=Niks]Проголосовал за Vba32, по моему он лучше "паутиныча", да и вирусов больше ловит. Вот только с ключами полная ж..., хоть и не дорогой, но тяга у нас к халяве видно в крови.[/QUOTE]

Так может бета ключик поможет?(в прикреплении; расширение сделать *.key). В отличие от других АВ бетки более стабильны и их прекрасно можно использовать. Естественно, делится результатами работы и мыслями с разработчиками (желательно :-)).

[QUOTE=RiC]Опять религиозные войны, или давайте завязывать или сейчас воспользуюсь своими правами и отправлю это голосование в полном составе в флейм. Хотя похоже там ему уже и место.
По поводу Веба почему за - хорошее, можно сказать даже уникальное ядро антивируса,
Абсолютно Imho бестолковый эвристический анализатор который способен ковыряться исключительно в VB скриптах.
Жуткий маркетинг.
Единственный на текущий момент антивирус который пока ещё не разучился лечить вирусы (да именно лечить вирусы, поскольку ни К ни Н последнее время не утруждают себя добавлением в базы не только процедур детектирования но и процедур лечения),
на мой вкус как антивирус [b]пока ещё хороший продукт[/b], но развитие и захват новых рынков встраивание во всяческие системы где необходима проверка на вирусы - Nero это хорошо и плюс -
но это ВСЁ на текущий момент - на BAT забили, Spider мыло это попытка создать универсальный фильтр имеющая больше недостатков чем приимуществ, "мыло" надо переквалифицировать на проверку Web траффика и делать это надо было давно :), проверка того-же Outlook где ?
Нужен плагин :( Где взять фаервол "совместимый" с DrWeb ставить отдельно ?
Сейчас становятся популярны комплексные решения,

[b]ГДЕ ГДЕ ГДЕ[/b] ?

Ну и т.д. Я всё-же надеюсь на лучшее .... пока ещё :)[/QUOTE]

ммм...
"мухи отдельно, котлеты отдельно" (с)

Например, у DrWeb есть разработки, которых у многих таки нет...
DrWeb-ICAPd - аналог есть у VBA, но я его не пробовал.
CureIT! есть. Удобная штука.
Для *nix серверов версии DrWeb очень удобны, просты и стабильны. Только позитивные эмоции. На десктопе DrWeb уверенно занимает второе-третье место. Первое - КАВ. В корпоративном секторе (DrWeb ES) - уверенно занимает лидирующее положение (особенно в гос.структурах, коммерческих банках - плавали, знаем).
Кстати, из нового: DrWeb ES - действительно актуальная вещь, которая была создана за последние год-полтора.
И не нужно кричать, что дело стоит на месте.

Да, у DrWeb - маркетинг не очень. Но за последний год (с момента образования ООО "Доктор ВЕБ") сделано очень многое, проделан коллосальных труд.
Вир.лаб. расширен, работает прилично быстро.

По поводу эвристики... А не кажеться Вам странным, что все популярные антивирусы в том тесте не были в лидерах определения по эвристику только лишь из-за своей популярности? Что КАВ, что Веб - ни один не распознал. Почему-то в моей голове устойчиво задержалась мысль - вирусописатели не совсем идиоты и иногда стремяться избегать эвристики распространённых антивирусов. Вполне закономерно, что на всех АВ проверят смысла нет, достаточно избежать детектирования в распрострянённых вещях.

По поводу BSODa... было какое-то дело, год назад, но я ни на одной и 20 вверенных мне машин (от p2-233 Mhz до AMD Athlon 2400+) проблемы так и не наблюдал.

ИМХО, мой выбор - DrWeb.
DrWeb for UNIX-servers.


P.S. Всё хочу поставить два squid'а и icapd'ы от DrWeb'а и от VBA32.
Alexey. P. есть мысли?
И кстати, может кто ещё реализации icap видел? (clamAV не предлагать)

Забыл добавить...

А вот проверка всего траффика (http/ftp/smtp/pop3/imap4....) - сложная штука - нужно разбирать все протоколи и доводить поток до состояния фалов - неимоверно трудная и ресурсо-ёмкая задача.
Это всё равно что брать весь TCP-поток и проверять на вирусы... только одно НО, поверх TCP работает куча других протоколов, в том числе и шифрования, и множество других.
Например, протоколы eDonkey или ICQ, как предложите их "поднимать", если они закрытые? Или редко используемые протоколы? Например не стандартын ftp. Есть и такие, поверьте.

Так что анализ потока данных (грубо говоря, не типизированного потока, а антивирусы ориентированны на анализ типизированных данных - файлов, например) - не тривиальная, и чаще всего не нужная задача.

IMHO.

[QUOTE=Гость (umask)]ммм...
"мухи отдельно, котлеты отдельно" (с)

Например, у DrWeb есть разработки, которых у многих таки нет...
DrWeb-ICAPd - аналог есть у VBA, но я его не пробовал.
CureIT! есть. Удобная штука.
Для *nix серверов версии DrWeb очень удобны, просты и стабильны. Только позитивные эмоции. На десктопе DrWeb уверенно занимает второе-третье место. Первое - КАВ. В корпоративном секторе (DrWeb ES) - уверенно занимает лидирующее положение (особенно в гос.структурах, коммерческих банках - плавали, знаем).
Кстати, из нового: DrWeb ES - действительно актуальная вещь, которая была создана за последние год-полтора.
И не нужно кричать, что дело стоит на месте.

Да, у DrWeb - маркетинг не очень. Но за последний год (с момента образования ООО "Доктор ВЕБ") сделано очень многое, проделан коллосальных труд.
Вир.лаб. расширен, работает прилично быстро.

По поводу эвристики... А не кажеться Вам странным, что все популярные антивирусы в том тесте не были в лидерах определения по эвристику только лишь из-за своей популярности? Что КАВ, что Веб - ни один не распознал. Почему-то в моей голове устойчиво задержалась мысль - вирусописатели не совсем идиоты и иногда стремяться избегать эвристики распространённых антивирусов. Вполне закономерно, что на всех АВ проверят смысла нет, достаточно избежать детектирования в распрострянённых вещях.

По поводу BSODa... было какое-то дело, год назад, но я ни на одной и 20 вверенных мне машин (от p2-233 Mhz до AMD Athlon 2400+) проблемы так и не наблюдал.

ИМХО, мой выбор - DrWeb.
DrWeb for UNIX-servers.

P.S. Всё хочу поставить два squid'а и icapd'ы от DrWeb'а и от VBA32.
Alexey. P. есть мысли?
И кстати, может кто ещё реализации icap видел? (clamAV не предлагать)[/QUOTE]

Никто и не спорит...
Просто, кроме пользователей Новелла, никс' систем и т.д оказывается есть некоторое количество пользователей Воркстейшенов и других обычных систем.... Может быть это открытие?

[QUOTE=Iceman]Никто и не спорит...
Просто, кроме пользователей Новелла, никс' систем и т.д оказывается есть некоторое количество пользователей Воркстейшенов и других обычных систем.... Может быть это открытие?[/QUOTE]

Вроде как нет... :P
А что с воркстейшенами-то? У меня 20 воркстейшенов, от win95 до Win2003 Adv.server.
Плюс ко всему 6 серверов с *nix.
Проблем не было вообще.
(проблемы только с бетами случались, да и то не значительные и испрявляли их в следующем же билде в течение нескольких дней).

Хе хе... сегодня с ответа робота до ответа вир.аналитика DrW прошло 22 минуты :)
и ответ что именно добавлены, а не то что ужо были...

[QUOTE=umask]Вроде как нет... :P
А что с воркстейшенами-то? У меня 20 воркстейшенов, от win95 до Win2003 Adv.server.
Плюс ко всему 6 серверов с *nix.
Проблем не было вообще.
(проблемы только с бетами случались, да и то не значительные и испрявляли их в следующем же билде в течение нескольких дней).[/QUOTE]

Да собственно мелочи, после того как словил гада, которого нет в базах, можно долго ещё жить с такими "подарками". И совершенно всё равно, как быстро их добавляют в базу...

[QUOTE=Гость (umask)]

По поводу эвристики... А не кажеться Вам странным, что все популярные антивирусы в том тесте не были в лидерах определения по эвристику только лишь из-за своей популярности? Что КАВ, что Веб - ни один не распознал. Почему-то в моей голове устойчиво задержалась мысль - вирусописатели не совсем идиоты и иногда стремяться избегать эвристики распространённых антивирусов. Вполне закономерно, что на всех АВ проверят смысла нет, достаточно избежать детектирования в распрострянённых вещях.

[/QUOTE]
ЛК признали что эвристик у них плохой и написали что ведут работы по разработке нового механизма. И вряд ли американские вирусописатели будут прятать вирусы от ДрВеб. Слишком мало людей им там пользуется. Вряд-ли больше чем БитДефендер, который определил эвристиком всех подопытных червей.

[QUOTE=Iceman]Да собственно мелочи, после того как словил гада, которого нет в базах, можно долго ещё жить с такими "подарками". И совершенно всё равно, как быстро их добавляют в базу...[/QUOTE]
Потому многие сейчас кроме эвристики добавляют в антивирусы поведенческие анализаторы. Могу поспорить что ДрВеб сделают это одними из последних. Так же как и защиту реестра, которая уже есть у мнегих, а скоро будет у всех.

[QUOTE=shu_b]Хе хе... сегодня с ответа робота до ответа вир.аналитика DrW прошло 22 минуты :)
и ответ что именно добавлены, а не то что ужо были...[/QUOTE]
Это не рекорд сегодня вот:
[drweb.com #124206] Создан: 16:49
[drweb.com #124206] Обработано: 17:02
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Adware.Nexus

Итого 13 мин
Отпуска закончились, видимо :)

Кстати, тут много кто пользуется virustotal, скажите, много ли вы видите фраз "подозрение на..." и пр.? Вот это и есть работа эвристика. А сейчас работа антивирей, в основном заключается в "знает-не знает". Прям как в анекдоте:
Кто там?
- КГБ.
-Никого нет дома.
-А кто говорит?
-Радио. Московское время 12-36

Опознал - хорошо, отмазался вирь, не опознал его антивирус и бог с ним. Редко кто ругнётся. В основном наблюдал ругню VBA, NOD, McAfee, BitDefender. Вот и всё. (может пропустил чего?) Кстати, AVZ усиленно выдаёт подозрения.

[QUOTE=Гость (umask)]ммм...
"мухи отдельно, котлеты отдельно" (с)[/QUOTE]

Не мухи и котлеты, а крики и визги, голословные А лучше Б абсолютно не интересны :( Вообще спор без критериев оценки - пустая болтовня.

[QUOTE=Гость (umask)]По поводу эвристики... А не кажеться Вам странным, что все популярные антивирусы в том тесте не были в лидерах определения по эвристику только лишь из-за своей популярности? Что КАВ, что Веб - ни один не распознал. Почему-то в моей голове устойчиво задержалась мысль - вирусописатели не совсем идиоты и иногда стремяться избегать эвристики распространённых антивирусов. Вполне закономерно, что на всех АВ проверят смысла нет, достаточно избежать детектирования в распрострянённых вещях.[/QUOTE]

Не узнать LDPinch может Imho только слепой на ОБА глаза, В любой "упаковке". У Web`a эвристика на Win32 EXE файлы работает отвратительно :( Я за 2 года активного использования видел срабатывание эвристика 1 раз (и похоже это был глюк), хотя на всякие VB и Jaba скрипты материться регулярно и по делу, умудряясь вылавливать даже зашифрованные скрипты, единствинный кстати, кто исправно давит BankFraud и компанию, похоже не без участия эвристика.

[QUOTE=Гость (umask)]По поводу BSODa... было какое-то дело, год назад, но я ни на одной и 20 вверенных мне машин (от p2-233 Mhz до AMD Athlon 2400+) проблемы так и не наблюдал.[/QUOTE]

За 4.32b не замечал.

OFF
Тут пришёл Штирлиц и началась драка.... ;-)))).

А в общем, через пол года-год у всех антивирусов будут (а у многих уже есть) комплексные решения в ключающие антивирус, защиту реестра, стенку, проактивную защиту, антифишинг и еще всякое другое анти. Какие шансы что у ДрВеб тоже это будет? Мне кажется никакие. Да, комбайны обычно не лучшее решение, но большинство пользователей предпочтут не морочить себе голову с подбором отдельных компонентов и поставить антивирус дающий комплексную защиту.

[QUOTE=Geser]А в общем, через пол года-год у всех антивирусов будут (а у многих уже есть) комплексные решения в ключающие антивирус, защиту реестра, стенку, проактивную защиту, антифишинг и еще всякое другое анти. Какие шансы что у ДрВеб тоже это будет? Мне кажется никакие. Да, комбайны обычно не лучшее решение, но большинство пользователей предпочтут не морочить себе голову с подбором отдельных компонентов и поставить антивирус дающий комплексную защиту.[/QUOTE]

Если бы да кабы, так в саду б росли бобы... (с)

У меня вот лично нету антивируса на десктопе. Нету файрволла. И не жалуюсь.
А ещё есть такая поговорка про длинноногих (предположительно девушек 8)): если ноги от ушей, то руки из з@дницы.
Она к сожалению подходит к 95% пользователей ПК. Это я к тому, что без минимальной грамотности какой комплекс не ставь, всё равно эффект будет стремиться к нулю.

Так вот же, давайте тогда формулировать недостатки антивирусов и DrWeb в частности? А не просто флейм разводить.

По вопросам эвристики - ложные срабатывания тоже мало кому нужны.
Из вопросов недостатков - я закончил.
Детектирование заразы и добавление онной у DrWeb, может и не на 1-м месте, но уж точно не на последнем.
Мне (_лично_) идеология DrWeb нравиться, и сколько раз я не пытался поставить касперского на линуксовый сервер, так процесс до конца и не дошёл... Ни разу.

Выше - моё сообщение...
Что-то я не заметил состояние logout'а...