Комплексный сравнительный анализ антиSpyWare - подбор "кандидатов" и выбор методик

То: Зайцев Олег
А как на счет тестирования Sophos Anti-Virus и McAfee AntiVirus?

Олег былобы очень не плохо если бы вы провели тест этой программы на мой взгляд она наиболее реальная из имеющихся (не щитая AVZ разумеется) да и распостраняет ее компания создатель agnitum autpost firewall што является определенной гарантией качества ...


[url]http://www.agnitum.com/ru/products/tauscan/index.html[/url]

2Олег:
[url]http://virusinfo.info/showthread.php?p=52834#post52834[/url]
Можно провести тесты по Стокона антивирус?

[QUOTE=Владимир]Олег былобы очень не плохо если бы вы провели тест этой программы на мой взгляд она наиболее реальная из имеющихся (не щитая AVZ разумеется) да и распостраняет ее компания создатель agnitum autpost firewall што является определенной гарантией качества ...
[url]http://www.agnitum.com/ru/products/tauscan/index.html[/url][/QUOTE]
На, читай:
[url]http://www.virus.gr/english/fullxml/default.asp?id=69&mnu=69[/url]
P.S. Результаты тех, кто в шестом десятке, обычно не подтасовываются.

[QUOTE=azza]На, читай:
[url]http://www.virus.gr/english/fullxml/default.asp?id=69&mnu=69[/url]
P.S. Результаты тех, кто в шестом десятке, обычно не подтасовываются.[/QUOTE]
Спасибо, я принял к сведению но тест тесту рознь и tauscan единственый антитроян(а не антивирус) который у меня обнаружил 4 трояна которые не касперский который там занимает 1 место не Ad-Awery также весьма распостраненная прога так и не нашли...

[QUOTE=Владимир]Олег былобы очень не плохо если бы вы провели тест этой программы на мой взгляд она наиболее реальная из имеющихся (не щитая AVZ разумеется) да и распостраняет ее компания создатель agnitum autpost firewall што является определенной гарантией качества ...


[url]http://www.agnitum.com/ru/products/tauscan/index.html[/url][/QUOTE]
Протестировать его можно - правда времени с начала тестов прошло много, это фора для тестируемого продукта ... но базы у него не очень быстно растут, поэтому страшного ничего нет. Тест будет в понедельник. Но я до тестов как-то его проверял - скажем так, из нового он ничего не поймал, из известного - каждый десятый.

[QUOTE=Владимир]Спасибо, я принял к сведению но тест тесту рознь и tauscan единственый антитроян(а не антивирус) который у меня обнаружил 4 трояна которые не касперский который там занимает 1 место не Ad-Awery также весьма распостраненная прога так и не нашли...[/QUOTE]
Тот тестт хорошо, но там детели скрыты - сколько поймано/не поймано, каких типов и т.п. - а это то самое и интересное. А образцы найденных троянов сохранились ?

[QUOTE=Зайцев Олег]Протестировать его можно - правда времени с начала тестов прошло много, это фора для тестируемого продукта ... но базы у него не очень быстно растут, поэтому страшного ничего нет. Тест будет в понедельник. Но я до тестов как-то его проверял - скажем так, из нового он ничего не поймал, из известного - каждый десятый.[/QUOTE]
Спасибо с интересом жду результатов тестирования,только поставте все его в настройки на максимум особенно улучшеный анализатор троянов! Таким образом: Опции,анализатор,и галочку Улучшеный анализатор троянов,в противном случае он если не включить улучшеный анализатор троянов он их не видит.А нещет образцов троянов то для начала вот названия пойманых а если ещо попадутся то я сразу сообщу.

StartPage a

APRE 1.0

Ultimate RAT 2.1.ap

mIRC based .

А вот руссификатор к нему [url]http://www.soft.winsov.ru/showsoft.php?id=3781[/url]

[QUOTE=Гость]Спасибо с интересом жду результатов тестирования,только поставте все его в настройки на максимум особенно улучшеный анализатор троянов! Таким образом: Опции,анализатор,и галочку Улучшеный анализатор троянов,в противном случае он если не включить улучшеный анализатор троянов он их не видит.А нещет образцов троянов то для начала вот названия пойманых а если ещо попадутся то я сразу сообщу.

StartPage a

APRE 1.0

Ultimate RAT 2.1.ap

mIRC based .

А вот руссификатор к нему [url="http://www.soft.winsov.ru/showsoft.php?id=3781"]http://www.soft.winsov.ru/showsoft.php?id=3781[/url][/QUOTE]
В ходе тестирования я всегда включаю все опции эвристики/анализа и т.п. по максимуму. Вторая особенность - если продукт говорит по делу "подозрение на ...", то оно защитывается как детектирование.

Пожалуйста проверьте AVIRA [url]http://www.avira.com/en/download/finish_product_form.html[/url] типа очень крутая прога .Распознаёт неизвестные ей гадости по их поведению ! И что насчёт G DATA AntiVirusKit 2005 (AVK) который в тесте [url]http://www.virus.gr/english/fullxml/default.asp?id=69&mnu=69[/url] занял 2 место ?

AntiVirenKit 2005 можно скачать здесь [url]http://antivirus.about.com/gi/dynamic/offsite.htm?zi=1/XJ&sdn=antivirus&zu=http%3A%2F%2Fwww.antiviruslab.com%2Findex.php%3Flang%3Den[/url]

Тест TauScan ([url]http://www.agnitum.com/ru/download/tauscan.html)[/url]. Установка прошла без проблем, обновлена база. Для тестов включены по максимуму все опции (проверять все файлы, расширенный поиск троянов). В режиме расширенного поиска (анализа) работает очень медленно. В алгоритме удаления есть глюки (сообщает, что не может удалить файлы и нужна перезагрузка - хотя файлы естетсвенно не запущены.
Уровень ложных срабатываний очень велик. К примеру, моя программка стат-анализа (которая считает цифры статистики) лежала на диске с коллекцией - она была признана трояном Just Joke 1.2 и APRE 1.0 и уничтожена ! Это наводит на мысль о том, что найденные "трояны" (см. тему выше) может совсем и не трояны ... Явный Backdoor он детектировал как какой-то HDD Crusher.
[B]AdvWare 1136[/B]
Adware 0
[B]Backdoor 292[/B]
Constructor 1
[B]Dialer 468[/B]
Downloader 1
Email-Flooder 0
Email-Worm 30
Exploit 12
HackTool 0
Hoax 1
IM-Worm 6
Net-Worm 25
P2P-Worm 3
Porn-Dialer 2
Porn-Downloader 1
PornWare 1
PSWTool 1
RiskWare 3
[B]Spy 507[/B]
Trojan 198
Trojan-Clicker 65
[B]Trojan-Downloader 775[/B]
Trojan-Dropper 74
Trojan-Proxy 37
Trojan-PSW 29
[B]Trojan-Spy 386[/B]
Virus 14
Worm 3
Общее число файлов: 4071

Это пропустил или поймал?

Пропустил!
Это какой-то ... позор! ((с) Швондер)
Олег, где берешь таких хитрых зверей? :)

Пропустил ... зато поймал мою утилиту для подсчета статистики, пришлось ее искать и копировать на тестовую виртуалку. Еще замечу, что если не включать "углубленный анализ", то сканирует этот TauScan очень быстро, но пости ничего не ловит. Причем я проанализировал промахи - пропускает он классику жанра, напримеру, пропустил множество IstBar

[QUOTE=userr]Пропустил!
Это какой-то ... позор! ((с) Швондер)
Олег, где берешь таких хитрых зверей? :)[/QUOTE]
Места знаю :) На самом деле не менее 1/4 зверей тестовой коллекции были изловлены в ходе анализа ПК пользователей данной конференции.

я дико извиняюсь но всё таки как насчёт AVIRA и AntiVirenKit 2005 .
Ссылки на скачивание приведены чуть выше.

AVIRA - [url]http://www.download.com/AVIRA-Antivirus-for-Windows-Desktop/3000-2239_4-10406658.html?tag=lst-0-1[/url]
AVK 2005 - [url]http://www.antiviruslab.com/d_download.php?lang=de[/url]
заранее спасибо !

Олег сколько у вас всего троянов в базе,и зачем вы некоторые трояны написали выделеным шрифтом ведь как как я понял все написаные трояны в колличестве 4071 были пропущены так вот было бы интересно узнать 4071 трояна из скольки tauscan пропустил ?? И так же вот ссылка на программы предположительно зараженные троянами

[url]http://www.wenet.ru/downloads/files[/url]

mIRC 6.16 с точки зрения tauscan заражена троянами "Institution 2004 0.3.0" и "Tequila Bandita 1.3b2.a" А по этой ссылке

[url]http://www.wenet.ru/downloads/files/mirc/mirc61.exe[/url]

программа mIRC опять таки с точки зрения tauscan заражена трояном "Tequila Bandita 1.3b2.a"

И вот ещо ссылка на программу
[url]http://download.bt2net.com/en/?wm=&sub=0[/url] которая с точки зрения tauscan заражена трояном "Ultimate RAT 2.1.ap"

Кто такой RAT, сейчас не вспомню (а может, и не знаю), но есть целое семейство mIRC-based троянов; они mIRC притаскивают с собой и запускают под управлением нужного скрипта - получается Backdoor.

[QUOTE=Владимир]Олег сколько у вас всего троянов в базе,и зачем вы некоторые трояны написали выделеным шрифтом ведь как как я понял все написаные трояны в колличестве 4071 были пропущены так вот было бы интересно узнать 4071 трояна из скольки tauscan пропустил ?? И так же вот ссылка на программы предположительно зараженные троянами

[url="http://www.wenet.ru/downloads/files"]http://www.wenet.ru/downloads/files[/url]

mIRC 6.16 с точки зрения tauscan заражена троянами "Institution 2004 0.3.0" и "Tequila Bandita 1.3b2.a" А по этой ссылке

[url="http://www.wenet.ru/downloads/files/mirc/mirc61.exe"]http://www.wenet.ru/downloads/files/mirc/mirc61.exe[/url]

программа mIRC опять таки с точки зрения tauscan заражена трояном "Tequila Bandita 1.3b2.a"

И вот ещо ссылка на программу
[url="http://download.bt2net.com/en/?wm=&sub=0"]http://download.bt2net.com/en/?wm=&sub=0[/url] которая с точки зрения tauscan заражена трояном "Ultimate RAT 2.1.ap"[/QUOTE]

Те цифры, что я привел - это промахи ... всего в тестововй коллекции 4526 зверей, TauScan [b]не поймал[/b] 4071 заверя и поймал соответственно 455 зверей (10% от общего количества). Статистика по коллекции есть тут [url="http://virusinfo.info/showpost.php?p=48545&postcount=35"]http://virusinfo.info/showpost.php?p=48545&postcount=35[/url] ... т.е. исходно в коллекции 1203 AdWare, а пропущено в данном случае 1136 - т.е. AdWare он не ловит вообще.
-----
По поводу RAT - это сокращение от Remote Admin Tool. Это не троян - это утилита удаленного управления. Судя по моим наблюдениям TauScan дает очень много опасных ложных срабатывания - среагировал же он на стат-анализатор как на две разновидности троянов (хотя там точно нет опасного программного кода, "подозритетельных" импортов)

Досадно конечно что tauscan так облажался,а те программы на которые я ссылки написал вы проверили действительно там трояны или ложное срабатывание??

[QUOTE=Владимир]Досадно конечно что tauscan так облажался,а те программы на которые я ссылки написал вы проверили действительно там трояны или ложное срабатывание??[/QUOTE]
Я проверил MIRC по приведенной выше ссылке - файл чистый и не опасный, никакого "Tequila Bandita 1.3b2.a" там нет ...

[QUOTE=Гость]Пожалуйста проверьте AVIRA [url]http://www.avira.com/en/download/finish_product_form.html[/url] типа очень крутая прога .Распознаёт неизвестные ей гадости по их поведению ! И что насчёт G DATA AntiVirusKit 2005 (AVK) который в тесте [url]http://www.virus.gr/english/fullxml/default.asp?id=69&mnu=69[/url] занял 2 место ?[/QUOTE]
Тест этих программ наверное нужно включать в тестирование антивирусов, а не антиспайверов ... а такое тестирование я проведу - несмного позже

уважаемый Олег !не хочу настаивать но AVIRA - не простой антивирус а что то вроде Sandboxa то есть он имитирует для всех устанавливаемых программ и файлов искуственную среду до их инсталляции якобы они уже запущены и смотрит на их поведение.Как антивирус он появился недавно но прошёл подряд 3 теста Virusbulletin ! так как он мало известен мне как то стрёмно переходить на него на постоянной основе но если он ловит шпионов лучше чем Касперский или NOD рапознавая их по мерзкому поведению то почему бы и нет ????????? То что Вы потестите его как антивирь - отлично ! но не возвращаться же потом назад к тестам Antispyware - вдруг ета прога окажется тем универсальным средством которое ищут все юзеры в том числе и я ?

Олег спасибо за тесты,и для тех кому интересно пишу ссылку на статью про троян Tequila Bandita 1.3b2.a

[url]http://www.securitylab.ru/46560.html[/url]

[QUOTE=Гость]уважаемый Олег !не хочу настаивать но AVIRA - не простой антивирус а что то вроде Sandboxa то есть он имитирует для всех устанавливаемых программ и файлов искуственную среду до их инсталляции якобы они уже запущены и смотрит на их поведение.Как антивирус он появился недавно но прошёл подряд 3 теста Virusbulletin ! так как он мало известен мне как то стрёмно переходить на него на постоянной основе но если он ловит шпионов лучше чем Касперский или NOD рапознавая их по мерзкому поведению то почему бы и нет ????????? То что Вы потестите его как антивирь - отлично ! но не возвращаться же потом назад к тестам Antispyware - вдруг ета прога окажется тем универсальным средством которое ищут все юзеры в том числе и я ?[/QUOTE]
ну, можно и его до кучи протестировать - завтра ...

Авира это вроде бы АнтиВир немецкий?

[B]Тест AVIRA[/B]
Инсталлируется без проблем и не требует перезагрузки, обновляет базы и код через Инет. Для поиска SpyWare и прочих Malware нужно обязательно настраивать его - по дефолту их детектирование отключено. Сканирует достаточно шустро, понимает архивы. Вот промахи:
[B]AdvWare 543[/B]
Adware 1
Backdoor 99
Constructor 1
[B]Dialer 315[/B]
Downloader 0
Email-Flooder 0
Email-Worm 4
Exploit 8
HackTool 1
Hoax 1
IM-Worm 0
Net-Worm 1
P2P-Worm 1
Porn-Dialer 0
Porn-Downloader 1
PornWare 0
PSWTool 0
RiskWare 2
Spy 257
Trojan 37
Trojan-Clicker 16
[B]Trojan-Downloader 216[/B]
Trojan-Dropper 17
Trojan-Proxy 3
Trojan-PSW 12
Trojan-Spy 101
Virus 1
Worm 0
Общее число файлов: 1638
Общий вывод - достаточно качественно ловит, явных ложных срабатываний нет. Но 1638 пропусков, с учетом того, что с момента формирования коллекции прошло почти два месяца ...

[b]EMCO Malware Destroyer [/b]
Размер апдейта - 5 МБ :) Создатели явно не знают термина "архиватор".
Ищет врагов по именам файлов и именам ключей реестра (99% поиска - именно по реестру). Крайне опасен, т.к. выдает не подозрения, а вердикт об однозначном детектировании - при этом сигнатруры файлов никак не проверяются.
Для пробы я создал в ключе Run два строковых параметра с именами tbps и loadhtml. Первый ссылался на explorer.exe, второй - на notepad.exe. Тут же сканирование нашло два AdWare. Намного опаснее другое - чистка обнаруженных "SpyWare" предполагает список действий (удаление файлов по именам, ключей реестра и т.п.). Например, для пробы в папке Windows был создан Fash.exe, он без всяких запросов уничтожается при удалении вышеописанных "Spyware".

[b]Max Secure Spyware Detector[/b]

[url]http://www.spywaredetector.net/[/url]
[url]http://www.spywaredetector.biz/spywaredetector.exe[/url] ~3.7 mb

Есть в списке [url]http://spywarewarrior.com/rogue_anti-spyware.htm[/url]
с пометкой "false positives work as goad to purchase"

[QUOTE=HATTIFNATTOR][b]Max Secure Spyware Detector[/b]

[url="http://www.spywaredetector.net/"]http://www.spywaredetector.net/[/url]
[url="http://www.spywaredetector.biz/spywaredetector.exe"]http://www.spywaredetector.biz/spywaredetector.exe[/url] ~3.7 mb

Есть в списке [url="http://spywarewarrior.com/rogue_anti-spyware.htm"]http://spywarewarrior.com/rogue_anti-spyware.htm[/url]
с пометкой "false positives work as goad to purchase"[/QUOTE]

[b]Max Secure Spyware Detector[/b]
Инсталлируется без проблем, сканирует весьма шустро. Просканировал всю тестовую коллекцию за 1 минуту. Обнаружил 0 (число прописью - [b]ноль[/b] файлов).
Ищет файл по именам. Для теста notepad.exe переименован в subsuq.exe (это первое попавшееся имя из его базы), после этого он был немедленно задетектирован как TrojanDownloader.Win32.VB.em. Дает массу очень опасных ложных срабатываний - например, троянами признаны
wpa.dbl - там найден якобы червь
urlmon.dll, ntdll.dll, msvcrt.dll, user32.dll - некие трояны или AdWare ... -
Вывод: абсолютно бесполезен и крайне опасен ...

Вот ещо один образец для теста называется антивирус но по имеющийся информации народ его ставит именно для удаления троянов и прочих вредоносных программ которые он по отзывам на некоторых форумах довольно шустро и проффесионально вылавливает...

[url]http://www.proantivirus.com/ru/index.php[/url]

[QUOTE=Владимир]Вот ещо один образец для теста называется антивирус но по имеющийся информации народ его ставит именно для удаления троянов и прочих вредоносных программ которые он по отзывам на некоторых форумах довольно шустро и проффесионально вылавливает...

[url]http://www.proantivirus.com/ru/index.php[/url][/QUOTE]
Я не могу его тестировать - я обмениваюсь образцами ITW заразы с его создателями ...

спасибо за AVIRU !то что она пропустила 1500 - значит ли это что она поймала 2500 ?тогда по моему это на уровне dr.weba ,насколко я помню Вы его хвалили.теперь у меня вопрос - новая ZONE ALARM PRO 60.631.003 нашла и послала в карантин ADWARE-GameSpy Arcade с уровнем риска High я восстановил его из карантина и проверил всё AVZ но он ничего не нашёл .к сожалению ZONE ALARM не пишет к какой программе относится этот ADWARE и как сам этот файл называется ,чтоб я его мог выслать вам на проверку.ZONE ALARM PRO можно бесплатно тестить 2 недели по моему,не помню вы её проверяли или нет,а ели да то какую версию - сейчас в неё добавлен Антиспай.кстати вспомнил ещё 1 штуку : YAHOO TOOLBAR with ANTISPY.потесьте пожалуйста.и ещё 1 просьба чтоб не просматривать весь форум может вы приведёте весь список протестированных продуктов без результатов тестов чтоб можно было окинуть взглядом так сказать всю поляну и предложить что то новое :)

тест ZoneAlarm -
[url]http://www.virusinfo.info/showpost.php?p=50031&postcount=14[/url]

то была бета версия и старая притом и я не просил тестировать новую ZoneAlarm ,просто спросил,а был ли мальчик :)
вот список всего что было-пришлоь таки самому полазить:
Anvir
A2
Microsoft Antispyware
Ad-Aware
Spybot
PestPatrol
McAFEE
SpywareDoctor
SpySweeper
Ewido
AVAST
Spypry
dr.Web
ZoneAlarm
Steganos Antispyware
diamond cs
Bitdefender
CounterSpy
SpyEmrgency
SpywareNuker
NOD32
tauskan
AVIRA
EMCO MALWARE DESTROYER
MAX SECURE SPYWARE DETEKTOR

Yahoo toolbar with Antispy : [url]http://toolbar.yahoo.com/[/url]

а вот похоже конкурент [url]http://www.kerish.org/indexru.html[/url] надо бы потестит

да сколко же их развелось [url]http://www.stocona.ru/download/index.html[/url] вот еще 1 отечественная разработка !