Комплексный сравнительный анализ антиSpyWare - подбор "кандидатов" и выбор методик

а kerish Antivirus 2005 то мой AdWare нашел ! показал что это ключ реестра

ну еще парочку российских разработок АнтивирусБлокада [url]http://www.virusblokada.ru/cgi-bin/download.pl[/url] и антивирусный монитор Barricade v1.0 [url]http://freesoft.ru/?id=78856&name=barricade-v1.0[/url]

кстати на сайте [url]http://www.virus.gr/english/fullxml/default.asp?id=69&mnu=69[/url] внизу есть ссылка на архив с подробными резултатами теста по категориям : file/MS-DOS/Windows/Macro/Malware/Scrypt/Troyans-Backdoors/ Total Perfomance вроде Олег хотел знать подробности теста :}

ну уж думал все но нашел еще вот 1 програмулину,я неспециально чесслово : [url]http://www.arovaxshield.com/download.php[/url] .Итого :
1.Yahoo!Toolbar with Antispyware [url]http://toolbar.yahoo.com/[/url]
2.Kerish Antivirus 2005 [url]http://www.kerish.org/indexru.html[/url]
3.Stocona [url]http://www.stocona.ru/download/index.html[/url]
4.VirusBlokada [url]http://www.virusblokada.ru/cgi-bin/download.pl[/url]
5.Barricade v1.0 [url]http://freesoft.ru/?id=78856&name=barricade-v1.0[/url]
6.ArovaxShield [url]http://www.arovaxshield.com/download.php[/url]
4 из 6 --- российские !!! по-моему...

[QUOTE=Гость]ну уж думал все но нашел еще вот 1 програмулину,я неспециально чесслово : [url]http://www.arovaxshield.com/download.php[/url] .Итого :
1.Yahoo!Toolbar with Antispyware [url]http://toolbar.yahoo.com/[/url]
2.Kerish Antivirus 2005 [url]http://www.kerish.org/indexru.html[/url]
3.Stocona [url]http://www.stocona.ru/download/index.html[/url]
4.VirusBlokada [url]http://www.virusblokada.ru/cgi-bin/download.pl[/url]
5.Barricade v1.0 [url]http://freesoft.ru/?id=78856&name=barricade-v1.0[/url]
6.ArovaxShield [url]http://www.arovaxshield.com/download.php[/url]
4 из 6 --- российские !!! по-моему...[/QUOTE]
2. Kerish Antivirus 2005 - это банальная искалка ключей реестра и файлов по именам, в данном тесте находит 0 зверей
4.VirusBlokada - не могу тестировать, т.к. обмениваюсь с создателями образцами заразы. Без цифр могу сказать, что ловит очень хорошо - на SpyWare обгоняет WEB
----
Остальные надо посмотреть

[QUOTE=Гость]а kerish Antivirus 2005 то мой AdWare нашел ! показал что это ключ реестра[/QUOTE]
В ключах реестра не бывает AdWare :)

С Керишем тут уже общались (в отдельной теме). Кажется, он так ничего и не понял.
Стокона, по публиковавшейся здесь же информации, - нечто сугубо эвристическое против макровирусов.

ок , может это и не ключ но очень похож :} но почему тогда 2 antispyware :ЗонАларм и етот пресловутый Кериш обнаружили или якобы обнаружили етот оченно опасный GameSpy Arcade a AVZ-нет . я кстати вспомнил что ето за фигня такая-она была как инсталлятор в какой то игре по ошибке я её заинсталлировал счас лежит отдельной папкой в Programm files , а в Add/Remove Programms её нету так что деинсталлировать нельзя там 2 файла, напомню что Зона присвоила ей рейтинг HIGH !

[QUOTE=Гость]ок , может это и не ключ но очень похож :} но почему тогда 2 antispyware :ЗонАларм и етот пресловутый Кериш обнаружили или якобы обнаружили етот оченно опасный GameSpy Arcade a AVZ-нет . я кстати вспомнил что ето за фигня такая-она была как инсталлятор в какой то игре по ошибке я её заинсталлировал счас лежит отдельной папкой в Programm files , а в Add/Remove Programms её нету так что деинсталлировать нельзя там 2 файла, напомню что Зона присвоила ей рейтинг HIGH ![/QUOTE]
Если файл сохранился - можно прислать его нам (на [email][email protected][/email] в архиве с паролем virus) для анализа - можно точно установить, зверь это или нет.

в ЗонАларм в корневой папке я не нашел папку в Program Files с названием Quarantine и куда она их складывает не знаю а у Кериша папка Quarantine есть но он туда ничего не кладет , вот как он етот фаил обозначил The Diagnosis - AdWare"" Path - HKEY_CLASSES_ROOT\CLSID и рисунок обозначения в виде ключа ,но в папке карантин его тоже нет хотя в настроиках я указал чтоб зараженные фаилы он не удалял а складывал в карантин. чего то тестов давно не было по моему :)

Ключи реестра в карантин не положить. Поскольку это не файлы.

[QUOTE=Гость]чего то тестов давно не было по моему :)[/QUOTE]
1. Ты тему наконец прочти сначала, а то постоянно задаешь вопросы, которые уже обсуждались.
2. Возьми себе имя какое-нибудь, а то непонятно, один человек пишет или 10 разных людей.
3. Олег тебе ничего не должен.

[quote=userr]3. Олег тебе ничего не должен.[/quote]
тебе я тоже ничего не должен - ни имя брать ни даже отвечать -ибо лень,
[quote=userr]2. Возьми себе имя какое-нибудь, а то непонятно, один человек пишет или 10 разных людей.[/quote]
не каждому дано :)
[quote=userr]1. Ты тему наконец прочти сначала, а то постоянно задаешь вопросы, которые уже обсуждались.[/quote]
я не обязан читать все ветки и все темы форума,а ЭТУ тему я прочитал достаточно хорошо чтобы предложить для тестов несколко программ (числом 7,из которых 2 отпали но 4 еще не были протестированы)o которых ты скорей всего даже и не подозревал.также я перечитал тему еще раз и нашел всего 1 твоё сообщение которое наверно сильно помогло всем,вот оно :
[quote=userr]Пропустил!
Это какой-то ... позор! ((с) Швондер)
Олег, где берешь таких хитрых зверей?[/quote]
правда может у тебя несколько имен здесь сразу и были какие нибудь и полезные сообщения ? [quote=pig] Ключи реестра в карантин не положить. Поскольку это не файлы.[/quote]
спасибо я так и подумал :good:

[b]Spy Cleaner Gold 9.5[/b]

[url]http://spycleaner-gold.com/[/url]
[url]http://www.download.com/Spy-Cleaner-Gold/3003-8022_4-10380293.html?tag=lst-6-6[/url] ~9mb

[url]http://spywarewarrior.com/rogue_anti-spyware.htm#scgold_note[/url]
Пишут что в новой версии убраны все ложные срабатывания и программа вычеркнута из списка "неблагонадежных".
На сайте производителя заявлено "[b]Number of Spyware signatures Recognized 1000,000[/b]+ daily update
Может опечатка, в конце концов в таком количестве нулей легко заблудиться, -рука дрогнула и вот тебе лишний нолик и припечатался :) , наверное хотели сказать >100'000 сигнатур...
Может проверить?

Ну что-ж, списочек для теста вроде собрался, но цифры уже будет не для зачета (времени с момента формирования коллекции прошло достаточно много, сравнивать цифры уже некорректно).
Итак, список для теста
1. Spy Cleaner Gold 9.5
2.Yahoo!Toolbar with Antispyware [url="http://toolbar.yahoo.com/"]http://toolbar.yahoo.com/[/url]
---
Barricade v1.0 [url="http://freesoft.ru/?id=78856&name=barricade-v1.0"]http://freesoft.ru/?id=78856&name=barricade-v1.0[/url] и
ArovaxShield [url="http://www.arovaxshield.com/download.php"]http://www.arovaxshield.com/download.php[/url] - это не файловые сканеры, а мониторы, работающие по принципу Firewall (только события они отлавнивают не сетевые, а системные).

Раз вне конкурса тогда может быть еще вот этот продукт потестировать?

[b] RegRun Security Suite[/b]

Not an antivirus. A powerful tool kit against Trojans, viruses, spyware, adware components.It does not scan your disk and detect/cure using signature database. There are a lot of antiviral software that you can choose. RegRun NIVA checks all Windows startup holes and it can detect and remove any UNKNOWN virus.

[url]http://www.greatis.com/security/[/url]
[url]http://www.greatis.com/regrung.zip[/url] ~7mb версия "Gold" 30-day evaluation
[url]http://www.greatis.com/security/rus.exe[/url] ~300kb русская локализация

Всем привет. Читаю форум с мая-июня прошлого года.Спасибо ВСЕМ-научился не переустанавливать систему на чужих компьютарах. На самом деле спасибо.
Но прошу прощения, с первого дня чтения форума, у меня периодически возникает чувство,что форум этот проплачен ЛК (спасибо ей за мои ЛИЧНЫЕ компьютеры).
Виртуальный вопрос к Олегу З.
Наблюдается картина, что близкие конкуренты ЛК имеют пробелы в Ваших тестах в размере 30-40 %.
А если подобные тесты проведёт человек близкий к McAfee, какие результаты покажет например Касперски или тот же Web или Panda (не к слову будет сказана:)))))?

Если Вы внимательнее посмотрите на шапку темы: Комплексный сравнительный анализ антиSpyWare, то увидите, что об антивирусах в названии не говорится ни слова. Сравнение АВ - отдельная песня.

[QUOTE=Iceman]Если Вы внимательнее посмотрите на шапку темы: Комплексный сравнительный анализ антиSpyWare, то увидите, что об антивирусах в названии не говорится ни слова. Сравнение АВ - отдельная песня.[/QUOTE]
Согласен, разговор за жизнь,и место этому посту в флейме.
Извините.

Да ничего страшного - вчера целый день флейм был ;-0)) Просто не всё так просто (каламбур...)

да и вообще, просто Вирусы немного затаились. остались только добрые Spy и AD.

именно ;-)

[QUOTE=Ghost]Всем привет. Читаю форум с мая-июня прошлого года.Спасибо ВСЕМ-научился не переустанавливать систему на чужих компьютарах. На самом деле спасибо.
Но прошу прощения, с первого дня чтения форума, у меня периодически возникает чувство,что форум этот проплачен ЛК (спасибо ей за мои ЛИЧНЫЕ компьютеры).
Виртуальный вопрос к Олегу З.
Наблюдается картина, что близкие конкуренты ЛК имеют пробелы в Ваших тестах в размере 30-40 %.
А если подобные тесты проведёт человек близкий к McAfee, какие результаты покажет например Касперски или тот же Web или Panda (не к слову будет сказана:)))))?[/QUOTE]
Эти тесты являются 100% объективными ... поскольку не делается секрета из того, что проверяется/пропускается и т.п. - и я к примеру всегда могу предъявить то, что не поймал на тестах конкретный продукт. А ЛК не зря не участвует в тествах, равно как VBA и ряд других - просто нечесно сравнивать продукты, находящиеся в неравных условиях с точки зрения получения образцов вирусни. А тенденции сохранились до сих пор. Вот пример:
Antivirus Version Update Result
AntiVir 6.31.1.0 08.19.2005 no virus found
Avast 4.6.695.0 08.19.2005 no virus found
AVG 718 08.19.2005 no virus found
Avira 6.31.1.0 08.19.2005 no virus found
BitDefender 7.0 08.19.2005 Trojan.Win32.Candebe
CAT-QuickHeal 7.03 08.20.2005 no virus found
ClamAV devel-20050725 08.18.2005 no virus found
DrWeb 4.32b 08.19.2005 no virus found
eTrust-Iris 7.1.194.0 08.20.2005 Win32/Candebe!Trojan
eTrust-Vet 11.9.1.0 08.19.2005 Win32.Canbede
Fortinet 2.41.0.0 08.20.2005 suspicious
F-Prot 3.16c 08.19.2005 no virus found
Ikarus 0.2.59.0 08.19.2005 AdWare.Look2Me.U
Kaspersky 4.0.2.24 08.20.2005 not-a-virus:AdWare.Look2Me.ab
McAfee 4563 08.19.2005 potentially unwanted program Adware-Look2Me
NOD32v2 1.1198 08.19.2005 Win32/Adware.Look2Me
Norman 5.70.10 08.18.2005 no virus found
Panda 8.02.00 08.19.2005 Adware/Look2Me
Sophos 3.96.0 08.19.2005 no virus found
Sybari 7.5.1314 08.20.2005 Win32/Candebe!Trojan
TheHacker 5.8.2.091 08.18.2005 no virus found
VBA32 3.10.4 08.19.2005 AdWare.Look2Me.ab
----
Это один из образцов тестовой коллекции - попал он туда в ходе отлова этого самого look2me на одном из ПК обратившихся за помощью пользователей. Картина детектирования за прошедшие пару месяцев не изменилась, только BitDefender его ранее не ловил, теперь ловит - Trojan.Win32.Candebe

Я почему-то не сомневаюсь в объективности Ваших тестов)), но вопрос в том,что если подобный тест проведёт человек, обменивающийся базами,например с McAfee, то результаты будут подобными Вашим, будет так же 30-40% провалов, включая Касперски?

[QUOTE=Ghost]Я почему-то не сомневаюсь в объективности Ваших тестов)), но вопрос в том,что если подобный тест проведёт человек, обменивающийся базами,например с McAfee, то результаты будут подобными Вашим, будет так же 30-40% провалов, включая Касперски?[/QUOTE]
Нет, не должен быть.
Я подсчитывал "поправку", учитывающую отправку ITW, входящих в тестовую коллекцию, производителям антивирусов (прикидочно конечно). Так вот в случае с Касперским погрешность составляет не более 5%, в случае VBA/Edwido/Stop эта поправка существенно больше, т.к. обмен с ними гораздо интенсивнее - в данном случае не менее 20%. Однако связать "процент влияния" и "процент промахов" напрямую нельзя ... обмен основан на том, что по мере отлова ITW идет их рассылка, без проверки, детектируют их антивири участников обмена или нет.

Олег, а Вы не могли бы протестировать бета-версию [B]DrWeb 4.33[/B] для серверов?
Хотелось бы узнать насколько она лучше старой версии 4.32, протестированной на 5-й странице.
Как обещают разработчики: "Это новое антивирусное ядро Dr.Web 4.33 с многократно улучшенной антивирусной функциональностью...", кроме того добавлены новые пакеры, поддержка расширенных баз и т.д.

Дистрибутив с ключом можно взять отсюда: [url]http://beta.drweb.com/[/url]
Сам сканер работает и без инсталляции и не только на серверах. Его можно скачать и без дистрибутива, как написано здесь: [url]http://virusinfo.info/showpost.php?p=53409&postcount=10[/url] , выполнив пункты 1-4, и можно запускать сканер 4.33 с последними базами.

[QUOTE=DenZ]Олег, а Вы не могли бы протестировать бета-версию DrWeb [B]4.33[/B] для серверов?
Хотелось бы узнать насколько она лучше старой версии 4.32, протестированной на 5-й странице.
Как обещают разработчики: "Это новое антивирусное ядро Dr.Web 4.33 с многократно улучшенной антивирусной функциональностью...", кроме того добавлены новые пакеры, поддержка расширенных баз и т.д.

Дистрибутив с ключом можно взять отсюда: [url]http://beta.drweb.com/[/url]
Сам сканер работает и без инсталляции и не только на серверах. Его можно скачать и без дистрибутива, как написано здесь: [url]http://virusinfo.info/showpost.php?p=53409&postcount=10[/url] , выполнив пункты 1-4, и можно запускать сканер 4.33 с последними базами.[/QUOTE]

$-)))). А есть ли смысл бета-версию тестировать?

[QUOTE=Iceman]$-)))). А есть ли смысл бета-версию тестировать?[/QUOTE]
Эта бета вряд ли будет отличаться от релиза! Если верить баг-трекеру DrWeb в тест-лабе ее "вылизывают" уже с марта месяца!
Вот и хотелось бы узнать, а есть ли "прорыв" в отлове вирусов по сравнению со старой версией (см. стр.5 этой ветки) или это только очередная правка старых багов... тогда и не стоит ждать релиза...

[QUOTE=DenZ]Эта бета вряд ли будет отличаться от релиза! Если верить баг-трекеру DrWeb в тест-лабе ее "вылизывают" уже с марта месяца!
Вот и хотелось бы узнать, а есть ли "прорыв" в отлове вирусов по сравнению со старой версией (см. стр.5 этой ветки) или это только очередная правка старых багов... тогда и не стоит ждать релиза...[/QUOTE]
Так базы те же. Какой прорыв может быть? В лучшем случае паковщиков добавили.

[QUOTE=Geser]В лучшем случае паковщиков добавили.[/QUOTE]
А этого мало? Пакеров добавили несколько десятков и "новые вирусные базы, размер которых уменьшен в связи с технологическим усовершенствованием самого ядра" (цитата с сайта производителя).

[QUOTE=DenZ]А этого мало? Пакеров добавили несколько десятков и "новые вирусные базы, размер которых уменьшен в связи с технологическим усовершенствованием самого ядра" (цитата с сайта производителя).[/QUOTE]
Потестить можно ... если есть прямой линк для закачки, чтобы мне не искать - то нет проблем

[B]Spy Cleaner Gold 9.5[/B]
Размер около 9 МБ, инсталлятор. В базе 489 компонентов ... (и 430 CLSID).
Сканирует быстро, ищет "замечательно" - из 4528 пропущено 4277 и поймано соответственно 251 зверь (наиболее избитые и распространенные)
Промахи:
[B]AdvWare 1094[/B]
Adware 2
[B]Backdoor 431[/B]
Constructor 1
[B]Dialer 446[/B]
Downloader 1
Email-Flooder 1
Email-Worm 31
Exploit 12
HackTool 2
Hoax 1
IM-Worm 6
Net-Worm 25
P2P-Worm 3
Porn-Dialer 2
Porn-Downloader 1
PornWare 1
PSWTool 1
RiskWare 4
[B]Spy 438
Trojan 202[/B]
Trojan-Clicker 68
[B]Trojan-Downloader 825[/B]
Trojan-Dropper 85
Trojan-Proxy 38
Trojan-PSW 32
[B]Trojan-Spy 499[/B]
Virus 22
Worm 3
Общее число файлов: 4277

[QUOTE=Зайцев Олег]Потестить можно ... если есть прямой линк для закачки, чтобы мне не искать - то нет проблем[/QUOTE]
О.К. Вот сюда: [url]http://rapidshare.de/files/4251317/433_Scanner.rar.html[/url]
закачал отдельно Сканер от [b]Dr.Web 4.33[/b] (~ 2,4 Мб).
Просто скачиваем, распаковываем и запускаем. Инсталляция не нужна, работает на всех Windows-системах, полнофункциональный ключ на месяц (для бета-тестеров), актуализация баз (с расширенными) на 2005-08-22 (18:21).

Олег, очень интересно получить результаты тестирования.

[QUOTE=DenZ]О.К. Вот сюда: [url="http://rapidshare.de/files/4251317/433_Scanner.rar.html"]http://rapidshare.de/files/4251317/433_Scanner.rar.html[/url]
закачал отдельно Сканер от [b]Dr.Web 4.33[/b] (~ 2,4 Мб).
Просто скачиваем, распаковываем и запускаем. Инсталляция не нужна, работает на всех Windows-системах, полнофункциональный ключ на месяц (для бета-тестеров), актуализация баз (с расширенными) на 2005-08-22 (18:21).

Олег, очень интересно получить результаты тестирования.[/QUOTE]
Файл я забрал - результат прогона по тестовой коллекции будет завтра, но пока он интересен - я пустил его по домашним коллекциям, а он мне ПК намертво повесил (в момент зависания стремительно растет объем ОЗУ, потребленного сканером, загрузка системы 100%). Анализ показал, что он доходит до одного из файлов и зависает (файл я могу подарить, я его вычислил - надо его наверное разработчикам отправить, чтобы они баг смогли изловить)
---------
После удаления этого файла все пошло гораздо лучше - мне стало очень любопытно провести еще тесты, так вот не дожидаясь затрашнего дня и изготовил коллекцию на 5000 ITW - из них Web пропустил 816 файлов. Визуально наблюдается хороший прогресс в области отлова SpyWare/AdWare. Т.е. в прошлом тесте он пропустил 28%, на данном - уже 16%. Но в данном тесте SpyWare/AdWare/порнозвонилок было меньше меньше, а доминировали трояны/TrojanDownloader разных видов

[QUOTE=Зайцев Олег]изготовил коллекцию на 5000 ITW - из них Web пропустил 816 файлов. Визуально наблюдается хороший прогресс в области отлова SpyWare/AdWare. Т.е. в прошлом тесте он пропустил 28%, на данном - уже 16%.[/QUOTE]
Интересно потестировать этот сканер на прежней коллекции вирусов (4528 файлов)...
Перечитал все страницы данного топика и пришел к выводу, что 16% - это пока лучший результат среди антивирусов, что были допущены к тестированию (без учета тех, с которыми налажен обмен образцами).
Или я что-то упустил?

[QUOTE=DenZ]Интересно потестировать этот сканер на прежней коллекции вирусов (4528 файлов)...
Перечитал все страницы данного топика и пришел выводу, что 16% - это пока лучший результат среди антивирусов, что были допущены к тестированию (без учета тех, с которыми налажен обмен образцами). Или я что-то упустил?[/QUOTE]
да, это именно так и есть - из протестированных Web был лидером и им остается. Завтра с утра будет тест базовой по коллекции (те самые 4528), очень интересно сравнить цифры

Ещё интереснее повторить тест также и для версии 4.32, чтобы выяснить, насколько повлияло улучшение движка, а насколько - банальное пополнение баз.

я может что то упустил но по-моему почти 100 % результат был у Касперыча,но объяснялось это тем что Олег делится с ними образцами заразы,но какая собственно разница ? Как тогда узнать реально какой из них лучше ? по моему ловить вирусы по базам-это то же самое что и Spyware-по именам ,по поведению надо ловить ! Будущее-за "умными" антивирусами без всяких баз :)

[QUOTE=Leon]я может что то упустил но по-моему почти 100 % результат был у Касперыча,но объяснялось это тем что Олег делится с ними образцами заразы,но какая собственно разница ?[/QUOTE]Разница в объективности тестирования. Если бы DrWeb получил все эти образцы, то и у него было бы 100% отлова. Результаты тестирования антивирусов сильно зависят от того как и кем составлялась вирусная коллекция. Например, всегда можно составить коллекцию так, что DrWeb обойдет Касперского на десятки процентов. Это вопрос честности тестера...
[QUOTE=Leon]по моему ловить вирусы по базам-это то же самое что и Spyware-по именам ,по поведению надо ловить ! Будущее-за "умными" антивирусами без всяких баз :)[/QUOTE]Это очень далекое будущее... :) К сожалению, эвристика без баз пока мало эффективна.

[QUOTE=pig]Ещё интереснее повторить тест также и для версии 4.32, чтобы выяснить, насколько повлияло улучшение движка, а насколько - банальное пополнение баз.[/QUOTE] Да, было бы интересно понаблюдать битву DrWeb 4.32 vs 4.33.
Олег, если будет время, может потестишь еще раз утилитку CureIT:
[url]ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe[/url]

А если кто то из них вовремя не получит образцы-тогда что-прощай компьютер ? Меня как пользователя это не устраивает.Надо или антивирус ставить нормальный типа НОДА 32 ,разработчики которого утверждают что он ловит и неизвестные ему вирусы или использовать так называемые Sandbox-это программы без всяких баз определяют вирусы по поведению эмулируя для каждой новой программы ситуацию как будто она уже запущена на компьютере и удаляют заразу до того как та причинит какой то вред, например : Safe'n'Sec