Оффтоп из "Исследование антивирусов"

[polimorf]

Извините, здесь идет сравнение антивирусов, поэтому я считаю, что сравнивать, допустим, Касперский v7.xx и NOD32 v2.xx по меньшей мере, некорректно.

Да? Какие версии нужно сравнивать avp 3 и нод 3?

[priv8v]

В общем думал я думал как сделать более-менее объективную оценку антивирусов, и кое что придумал. Вот в эту тему прошу всех постить результаты проверки зверей которые были пойманы исключительно ручками. Т.е. которых не видел установленный на компютере антивирус. Так выборка будет по настоящему случайной.
Постить в эту тему результаты проверки файлов исключительно пойманных руками на компьютерах.
Не постить результаты проверки файлов найденных на других сайтах или в коллекциях.
Не постить результаты проверки файлов изначально найденных антивирусом.

У меня будет несколько предложений и вопросов, страницы листал, но ответов не нашел, возможно, плохо искал.

1). При посте также писать, что за антивирус его не увидел на компе - просто видел результаты, на которых вирь палили почти все антивирусы за исключеним экзотики - непонятно тогда получается какой антивирус стоит у того, кто запостил.
2). Писать как именно (вкратце) руками был пойман вирь, где и как.
3). Тут есть экземпляры на которые орут только буквально пара антивирусов. Где гарантия, что найденный файл на самом деле зловредный?..
Может в таких спорных случаях советовать посылать файл куда-нибудь на проверку аналитикам и если они подтвердят, что файл зловреден уже постить сюда все как и положено?
4). + что бы было удобочитаемо обговорить стандарт постинга - привести пример в первый пост (запостить туда результаты с вирустотала) и сказать: "вот так от и постите" при этом написать как удалось запостить на форум результаты именно так.

[Rased]

Да? Какие версии нужно сравнивать avp 3 и нод 3?

Ну давайте сравним NOD 1.XX и Касперский 2009 для полного счастья

[senyak]

А что за антивирус "K7AntiVirus" не использует ли он базы Каспера?

[Groft]

Нет, не использует.
http://www.k7computing.com/index.asp

[senyak]

Куда делся "Webwasher-Gateway" и что добавили за место него? Как было 36 продуктов, так и осталось

[Groft]

Куда делся "Webwasher-Gateway" и что добавили за место него? Как было 36 продуктов, так и осталось

Как я понел, так его переименовали в "SecureWeb-Gateway"

[senyak]

А что значит "McAfee+Artemis"?

[Groft]

Компания McAfee начинает внедрять новую технологию под названием Artemis, которая должна будет существенно повысить эффективность обнаружения вредоносных программ продуктами компании.

В McAfee отмечают, что традиционный подход к детектированию вирусов, троянов, шпионских модулей и прочих вредоносных компонентов основан на использовании локальных баз данных с цифровыми подписями. Однако загружаются эти базы данных по определенному расписанию, в связи с чем проходит определенное время между появлением новой угрозы и обновлением защиты. В итоге, в течение какого-то временного интервала ПК остается уязвимым для злоумышленников.

Система Artemis использует для обнаружения вредоносного ПО не локальную базу данных, а онлайновое хранилище цифровых подписей, обновляющееся практически в режиме реального времени. При выявлении подозрительного объекта система Artemis связывается с центральными серверами и проверяет, не представляет ли этот файл угрозы для пользователя. Весь процесс занимает минимум времени и никак не отражается на быстродействии клиентской системы.

Технология Artemis уже доступна в рамках службы McAfee Total Protection Service, ориентированной на предприятия малого и среднего бизнеса. В ближайшее время средства Artemis будут интегрированы в продукты McAfee для корпоративных и домашних пользователей. Дополнительная плата за использование Artemis взиматься не будет
http://www.securitylab.ru/news/359122.php

[senyak]

Эффективность вроде повысила, но я не совсем пойму как. Тоесть если вирус ловит Artemis, то он уже добавлен в базы и будет ловится после обновления?

[senyak]

Ну от этого мне ясней не становится. Любопытство мучает

[Groft]

+ 1 АВ (Comodo)

[Groft]

+ a-squared

[Groft]

Groft, извини, критика была не от тебя :-)

В смысле?

ЗЫ: А что делать с файлами, которые 99,99 % зловреды, и при этом никем не определяются? Каждый час их закидывать на virustotal, чтобы увидеть, кто первым в базы занес?

А это нужно было сразу перенести в эту тему. Модераторы, прием!

[ALEX(XX)]

Модераторы, прием!

Не кричи после праздников... Голова и так квадратная

[Groft]

Не кричи после праздников... Голова и так квадратная

Да никто собственно и не кричит. Говорю шепотом даже.*

Смотрю и думаю, кто же править будет... Нет таких людей, как я вижу*

[Dynamo_Kiev]

У меня возник вопрос. Ну вот взяли люди файл, отнесли его на вирустоутал или куда там еще, какие-то антивири его распознали, какие-то нет. Но ведь это всё справедливо просто В ДАННЫЙ МОМЕНТ времени. Ну, к примеру, не знает Симантек, к примеру Симантек, данную блоху в данный момент, но, может, узнает про неё через день ? Или через неделю. Ведь никто ж, если я правильно понимаю, не подсовывал завирусованный файл ВТОРОЙ РАЗ через некоторое время, пусть, к примеру, дня через три. Ну и что тогда показывает этот рейтинг ?...Что какой-то антивирус УЖЕ знает, а какой-то ЕЩЕ нет... ? Так ?

[DVi]

Ведь никто ж, если я правильно понимаю, не подсовывал завирусованный файл ВТОРОЙ РАЗ через некоторое время, пусть, к примеру, дня через три. Ну и что тогда показывает этот рейтинг ?...Что какой-то антивирус УЖЕ знает, а какой-то ЕЩЕ нет... ? Так ?

Именно так.
Такой опыт время от времени кто-нибудь да проводит. Вот пример: http://antivirus.ru/VirAnalizA.html

[VirCode]

Файл innounp.exe получен 2009.01.12 17:19:17 (CET)
Текущий статус: закончено
Результат: 25/37 (67.57%)

Код:

Антивирус Версия Обновление Результат
a-squared 4.0.0.73 2009.01.12 Virus.Win32.Trojan!IK
AhnLab-V3 2009.1.10.0 2009.01.12 Packed/Upack
AntiVir 7.9.0.54 2009.01.12 -
Authentium 5.1.0.4 2009.01.12 W32/Heuristic-210!Eldorado
Avast 4.8.1281.0 2009.01.12 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.12 Generic10.XFN
BitDefender 7.2 2009.01.12 -
CAT-QuickHeal 10.00 2009.01.12 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.01.12 -
Comodo 919 2009.01.12 -
DrWeb 4.44.0.09170 2009.01.12 -
eSafe 7.0.17.0 2009.01.12 Suspicious File
eTrust-Vet 31.6.6304 2009.01.12 -
F-Prot 4.4.4.56 2009.01.12 W32/Heuristic-210!Eldorado
F-Secure 8.0.14470.0 2009.01.12 W32/Packed_Upack.A
Fortinet 3.117.0.0 2009.01.11 PossibleThreat
GData 19 2009.01.12 Win32:Trojan-gen {Other}
Ikarus T3.1.1.45.0 2009.01.12 Virus.Win32.Trojan
K7AntiVirus 7.10.584 2009.01.09 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.01.12 -
McAfee 5492 2009.01.11 Generic.dx
McAfee+Artemis 5492 2009.01.11 Generic.dx
Microsoft 1.4205 2009.01.12 -
NOD32 3759 2009.01.12 -
Norman 5.93.01 2009.01.12 W32/Packed_Upack.A
Panda 9.4.3.3 2009.01.11 Trj/Lineage.BZE
PCTools 4.4.2.0 2009.01.12 Packed/Upack
Prevx1 V2 2009.01.12 Malicious Software
Rising 21.12.02.00 2009.01.12 -
SecureWeb-Gateway 6.7.6 2009.01.12 Trojan.PSW.LooksLike.Sagic
Sophos 4.37.0 2009.01.12 Sus/ComPack-C
Sunbelt 3.2.1831.2 2009.01.09 Trojan.Win32.Packed.gen (v)
TheHacker 6.3.1.4.218 2009.01.11 W32/Behav-Heuristic-060
TrendMicro 8.700.0.1004 2009.01.12 TROJ_PACKED.ECJ
VBA32 3.12.8.10 2009.01.12 -
ViRobot 2009.1.12.1554 2009.01.12 -
VirusBuster 4.5.11.0 2009.01.12 Packed/Upack

Дополнительная информация
File size: 94564 bytes
MD5...: 8a93c3415a3ebc7cf4ebd5ace6cb062d
SHA1..: c812b4f41d318a83e6ae71375e01c8a644fab697
SHA256: 9f13fd5d3cac4362c0523c98b6411b1f576049017f262783bc 0e5c8cc566db55
SHA512: 63f02e4d508329898188444929a390489404bb32aa1b47ca53 60b3bba73dbea9
3c9e21a85ed69237833734f9a1508a0bda9a8357fad5c21487 b92aeb0cfc2b7e
ssdeep: 1536mvVpfBxOTguIN7EhleATSP4cy01Ys/3ar6BY/0hNqY0NYLBKb/KkCtou40
89rv7mXfbxlWOAOX1P/3a0WNYLBO/ru4089P
PEiD..: -
TrID..: File type identification
DOS Executable Generic (100.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401018
timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
PS 0x1000 0x63000 0x1f0 5.41 dc08bdd8c711d73e0dbdca444ea5a54b
@_G 0x64000 0x1f000 0x16f64 8.00 03a2623cf8965f89c51fd96c96ca768b
8F@ 0x83000 0x1000 0x1f0 5.41 dc08bdd8c711d73e0dbdca444ea5a54b

( 0 imports ) 

( 0 exports ) 
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=8a93c3415a3ebc7cf4ebd5ace6cb062d' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=8a93c3415a3ebc7cf4ebd5ace6cb062d</a>
packers (Kaspersky): PE_Patch, UPack
packers (Authentium): UPack
packers (F-Prot): UPack
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=D5F7FF8364CF5375711701B8D DD94100EB95778A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=D5F7FF8364CF5375711701B8D DD94100EB95778A</a>

Хотел раньше про этот пост написать.
Это не малваре а утилита которая распаковывает файлы инсталяторов Inno Setup. Из-за того что он упакован Upack'ом происходит такая реакция антивирусов (хотя уважающие себя вендоры детект убрали).

ЗЫ утилита идёт в составе последних сборок ZverCD

[DABbID]

Хотел раньше про этот пост написать.
Это не малваре а утилита которая распаковывает файлы инсталяторов Inno Setup. Из-за того что он упакован Upack'ом происходит такая реакция антивирусов (хотя уважающие себя вендоры детект убрали).

ЗЫ утилита идёт в составе последних сборок ZverCD

И правда Zver стоит
Спасибо, буду иметь ввиду