Результаты теста антивирусов на лечение активного заражения (октябрь 2008) на anti-malware

[Alex_Goodwin]

Если Sygate уже был установлен, то тогда Касперский молчит о том, что он есть, и что могут быть проблемы. Почему? Видимо потому что Sygate уже ни кем не поддерживается. Но это не значит, что люди его не используют. Online Armor вообще ужас - он оставляет целых 3 драйвера после удаления.

Вы уверены, что проблемы будут именно с лечением? Что других проблем не будет и пользователь ни о чем не догадается? И, о ужас, именно при лечении эти проблемы проявятся?

когда сигнатура зловреда известна, и антивирус среди победителей. Один пример:
Помогите победить BackDoor.Bulknet.240.
В главных ролях: сам Доктор Веб. Называет даже зверя по имени, и не может ничего делать. 'Удалил?' спрашивает у системы. 'Да, удалил'. А в следующий раз зловред опять там.

И вновь вы передергиваете: сигнатура только на один из файлов, а на rs32net.exe детекта нет.

Будет обновления в размере 12 МБ может быть и узнаёт - хотя не факт. А если скачать их нельзя? Тогда придётся уже на качество эвристики рассчитывать.

Это в чей камень огород? И как это относится к обсуждаемому тесту?

[XP user]

Вы уверены, что проблемы будут именно с лечением? Что других проблем не будет и пользователь ни о чем не догадается? И, о ужас, именно при лечении эти проблемы проявятся?

А как если до лечения не идёт дело? Тест пытается доказывать, что на заражённый комп устанавливаем антивирус, обновляем базы, и вперёд. Почему вдруг меняются условия и надо сначала некоторое время работать с антивирусом, чтобы выявить проблемы? (Борис тоже об этом начал)
Касперский застревает в папке Sygate (из-за сильной самозащиты Sygate), система зависает, и надо нажать кнопку 'reset'. Я это заметил, а в он-лайне искал, искал, описания не нашёл. Даже в безопасном режиме это так. Придётся консультироваться со специалистами, которые могут угадать, в чём дело если они сами сталкивались. Если Sygate убрать, всё нормально.

И вновь вы передергиваете: сигнатура только на один из файлов, а на rs32net.exe детекта нет.

Что доказывает именно то, о чём я говорил - не бывает в настоящей жизни то, что тест пытается доказывать.

Это в чей камень огород? И как это относится к обсуждаемому тесту?

Я камнями не бросаю, Alex. Про отредактирование Hosts File зловредом как мера против обновления некоторых продуктов я уже говорил, нет?

Paul

[Alex_Goodwin]

А как если до лечения не идёт дело?

Тогда юзер поставит другой ав, либо будет искать причину и может обратиться в тех. поддержку. Что никак не скажется на уничтожение вирусов после установки ав.

Будет обновления в размере 12 МБ может быть и узнаёт - хотя не факт. А если скачать их нельзя? Тогда придётся уже на качество эвристики рассчитывать.

Повторяю, как это относится к обсуждаемому тесту?

Что доказывает именно то, о чём я говорил - не бывает в настоящей жизни то, что тест пытается доказывать.

Завтра сигнатура придет и Доктор булку вынесет. Если она (булка) не обновится быстрее Доктора.
Но речь не об этом, а о том, что если сигнатура у доктора будет, то он снесет булку, а вот Нод, при наличии сигнатуры не снесет, но даже и ничего не найдет и пользователь не обратится на форум, в тех. поддержку и т.д. Т.е. шанс у юзера Доктора есть, а у юзера Нода его при заражении нет.

[kps]

В тесте проверялась способность антивируса удалить зловреда, если есть детект на все компоненты зловреда. Если хоть на один компонент малвары детекта нет (пример - приведенная тема из "Помогите!") - то это уже не относится к тестированию на способность лечить активное заражение известных зловредов, т.к. недетектируемый компонент просто восстановит другие компоненты.

[XP user]

Тогда юзер поставит другой ав, либо будет искать причину и может обратиться в тех. поддержку. Что никак не скажется на уничтожение вирусов после установки ав.

Угу. Ещё один антвирус удалять без следов.

Повторяю, как это относится к обсуждаемому тесту?

Мы же говорим о применимости результатов данного теста дома, нет? Тогда я тоже повторяю, но в этот раз со ссылкой на источника:
Методология теста антивирусов на лечение активного заражения ( октябрь 2008 )

При установке на зараженную машину учитывались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.).

Прямо относится, значит. Нет баз - нет детекта - нет лечения.

Завтра сигнатура придет и Доктор булку вынесет. Если она (булка) не обновится быстрее Доктора.

Не сомневаюсь, что они это быстро исправят. Об этом речь не шла - чтобы измерить реакцию контор на неизвестных угроз можно другие тесты организовать. Это будет иметь больше значения для простого юзера, чем попытки лечения на виртуальной машине.

Но речь не об этом, а о том, что если сигнатура у доктора будет, то он снесет булку, а вот Нод, при наличии сигнатуры не снесет, но даже и ничего не найдет и пользователь не обратится на форум, в тех. поддержку и т.д. Т.е. шанс у юзера Доктора есть, а у юзера Нода его при заражении нет.

С этим не берусь даже спорить. Мы обсуждаем возможность установить антвирус на уже заражённую систему - моя точка зрения: это может по многим параметрам неблагополучно кончиться. Больше я ничего не хочу говорить, и я никого не атакую.

Paul

[Alex_Goodwin]

Мы же говорим о применимости результатов данного теста дома, нет?

Один частный случай с противодействием одному ав - что будет заметно и вызовет вопросы. В тест не брались специально те зловреды, что противодействуют установке ав (бигль и ко) - смысла в их тестировании нет, до устоновки ав сними надо бороться спец утилитами. Выбранные сэмплы специально не противодействуют ав- не пытаются удалить ав и т.д.

можно другие тесты организовать. Это будет иметь больше значения для простого юзера, чем попытки лечения на виртуальной машине.

Все нормальные тесты имеют значение (вб100 - не нормальный тест). Можно и нужно и будут организованы. для комплексной оценки.

С этим не берусь даже спорить. Мы обсуждаем возможность установить антвирус на уже заражённую систему - моя точка зрения: это может по многим параметрам неблагополучно кончиться. Больше я ничего не хочу говорить, и я никого не атакую.
Paul

Мы здесь обсуждаем результаты теста на лечение активного заражения, а не возможность установки ав на такую машину. Собственно всем понятно, что зараженную машину лучше лечить, при квалификации соответствующей АВЗ и ко, а не ав. Данный тест моделирует ситуацию, когда юзер уже заражен, а сигнатура только пришла, что сейчас и актуально, т.к. сначала появляется новый зловред, а через время - сигнатура. Есть масса технологий, позволяющих избежать заражения, но не об этом речь в этом тесте. Тот же хост КИС не даст поправить.

[zerocorporated]

Тот же хост КИС не даст поправить.

Даст - в автоматическом режиме он вообще очень много дает... слишком много. Как сказал NickGolovko:

В автоматическом режиме "Запрос действия" равен "Разрешить". Почему - вопрос не ко мне

[XP user]

Мы здесь обсуждаем результаты теста на лечение активного заражения, а не возможность установки ав на такую машину. Собственно всем понятно, что зараженную машину лучше лечить, при квалификации соответствующей АВЗ и ко, а не ав. Данный тест моделирует ситуацию, когда юзер уже заражен, а сигнатура только пришла, что сейчас и актуально, т.к. сначала появляется новый зловред, а через время - сигнатура. Есть масса технологий, позволяющих избежать заражения, но не об этом речь в этом тесте. Тот же хост КИС не даст поправить.

Я прекрасно знаю, что мы здесь обсуждаем, Alex. На сам тест как некие абстрактные данные у меня претензии нет. 'Тест проведён, эксперты довольны, всё честно'. (c)
В условиях теста победитель лечит лучше всех - думаю, что вряд ли кто-нибудь это оспорит.
P.S.: Почему придумали такие хитрости с 'Платинум'. В восприятии людей победитель всегда получает золото, нет? А теперь золото получил тот, который на втором месте.

Paul

[DVi]

P.S.: Почему придумали такие хитрости с 'Платинум'. В восприятии людей победитель всегда получает золото, нет? А теперь золото получил тот, который на втором месте.

Причем еще год назад: http://antimalware.ru/node/152
Паул, ну хоть вы-то не спекулируйте на "якобы незнании" методологии.

[Ivaemon]

Кстати, замечательно кто-то из маркетингового отдела придумал: если первый - победитель; если второй - золотой, не хуже первого.

[santy]

Завтра сигнатура придет и Доктор булку вынесет. Если она (булка) не обновится быстрее Доктора... Но речь не об этом, а о том, что если сигнатура у доктора будет, то он снесет булку, а вот Нод, при наличии сигнатуры не снесет, но даже и ничего не найдет и пользователь не обратится на форум, в тех. поддержку и т.д. Т.е. шанс у юзера Доктора есть, а у юзера Нода его при заражении нет.

Несколько лет назад, ЛК проводила показ своего инструмента AdminKit (в составе KAV Workstation 5.0) по сибирским городам. Был на этой встрече и даже немного пообщался в перерыве со специалистами ЛК. (У... масса впечатлений была... впервые увидел сотрудников настоящей антивирусной компании.) А. Никишин тогда рисовал диаграммы роста сигнатур. На тот момент количество сигнатур в КАВ было 250.000 и диаграмма имела вид экспоненты. Сколько сейчас сигнатур выпущено ЛК? 1... 2 миллиона? Представим себе, что роботы вирусописателей используя пакеры и крипторы, а так же базовые вирусные наборы работают по 24часа в сутки, как гастарбайтеры, автоматически проверяют реакцию антивирусных продуктов и добившись отрицательного для них исхода (недетекта), размещают файлы на своих ресурсах, а так же "заряжают" в спамашины и боты линки на зараженные ресурсы и рассылают по миллионам электронных адресов... Успеют антивирусные лаборатории выпускать сигнатуры для лечения зараженных компьютеров? При таком исходе можно будет смело переименовать AVPTool в AVPLargeTool. (В связи с этим неплохо было бы комплектовать AVPTool не полным набором баз, (которая будет расти по экспоненте), а самыми рейтинговыми по классификации вирусами за определенный период, чем значительно бы сократился размер этой тулзы... возможно тогда бы она чаще использовалась юзерами при лечении системы).... по поводу тестирования: похоже, прав, ananas... маркетинговый vb100 с коллекцией тысяч вирусных тел плох и ненормален, маркетинговый же тест anti-malware с коллекцией несколько десятков - хорош и современен... детект и лечение: здесь похоже работает правило, которое в физике называют соотношением Гейзенберга... Всегда будут востребованы продукты, которые лучше всего детектируют_блокируют (проактивно, эвристически, сигнатурно) вируса и которые лучше всего лечат системы от заражения.... противодействие активному заражению... то, что делает p2u - понятно, максимально использовать для безопасности возможности настройки системы, то что делает Олег Зайцев - тоже понятно, вылечить систему за минимальное время, то что делает DrWeb - понятно: выпуск CureIt-а, инструмента с идентичным интерфейсу сканера основного антивируса с лучшим лечением делает его узнаваемым, и здесь работает правило - не создавать новых сущностей без необходимости..., то что делают Avira, Eset понятно - максимально проактивно обезопасить систему на стадии детекта... Что можно пожелать ЛК, которая не является лучшей ни в сигнатурном лечении, ни в проактивном детекте...? Найти золотую середину между детектом и лечением. Двух крайностей одновременно достигнуть невозможно.

[XP user]

Причем еще год назад: http://antimalware.ru/node/152
Паул, ну хоть вы-то не спекулируйте на "якобы незнании" методологии.

Не знал. Я в тестах anti-malware и других по поиску и лечению/удалению зловредов никогда особо не углублялся. Я больше интересуюсь файрволами. Мне казалось странным, что если кто-то говорит, что он/она 'выиграл(а) золото', что это не первый приз. Извините за офф-топ.

Paul

[herzn]

Найти золотую середину между детектом и лечением. Двух крайностей одновременно достигнуть невозможно.

Что есть интересно.
И ЛК и Dr.Web являются далеко не самыми худшими представителями антивирусной промышленности в вопросе скорости реакции и детекта.
P.S. Я не обращаю внимания на известные всем тесты на детект.
К ним вопросов намного больше, чем к обсуждаемому.

[borka]

Нет, необязательно. Если у вас остался старый модуль или драйвер от Симантека, допустим, не думайте, что хоть кто-нибудь вам сообщит об этом. Мне приходится регулярно такие вещи убрать у людей. Именно поэтому и знаю.
P.S.: Если Sygate уже был установлен, то тогда Касперский молчит о том, что он есть, и что могут быть проблемы. Почему? Видимо потому что Sygate уже ни кем не поддерживается. Но это не значит, что люди его не используют. Online Armor вообще ужас - он оставляет целых 3 драйвера после удаления.

Еще раз - эта проблема всплывет на этапе инсталляции и запусков антивируса ДО заражения.

Почему тогда, если всё так солнечно, столько обращений к таким ресурсам как virusinfo?

Коллега Alex_Goodwin объяснил.

Будет обновления в размере 12 МБ может быть и узнаёт - хотя не факт. А если скачать их нельзя? Тогда придётся уже на качество эвристики рассчитывать.

Еще раз - при чем здесь обновления?

Добавлено через 5 минут

А как если до лечения не идёт дело? Тест пытается доказывать, что на заражённый комп устанавливаем антивирус, обновляем базы, и вперёд. Почему вдруг меняются условия и надо сначала некоторое время работать с антивирусом, чтобы выявить проблемы? (Борис тоже об этом начал)

Про обновление баз речь не идет. В этом тесте зловред известный. А насчет того, кто на чем застревает, то при сканировании системных папок, где и обитает зловред, нет необходимости сканировать папку сюгате.

Добавлено через 5 минут

Мы же говорим о применимости результатов данного теста дома, нет? Тогда я тоже повторяю, но в этот раз со ссылкой на источника:
Методология теста антивирусов на лечение активного заражения ( октябрь 2008 )
Прямо относится, значит. Нет баз - нет детекта - нет лечения.

Такое впечатление, что методологию вы не читали. Там русским по сайту написано:

1. детектирование компонентов вредоносной программы всеми участвующими в тесте антивирусами;

Мы обсуждаем возможность установить антвирус на уже заражённую систему - моя точка зрения: это может по многим параметрам неблагополучно кончиться. Больше я ничего не хочу говорить, и я никого не атакую.

Для каждого антивируса всегда можно найти зловреда, который бы никогда не дал бы ему не то чтобы проверить систему, но и сесть в нее...

[XP user]

@ borka

Все аргументы уже выяснили во время вашего отсутствия. Дальнейшее обсуждение приведёт только к излишнему повторению и флуду.

Только один вопрос для понимания по поводу этого:

Про обновление баз речь не идет. В этом тесте зловред известный.

Если базы не требуются для лечения данных зловредов, почему тестеры тогда время потратили на обновление? (Вопрос чисто технический, чтобы все поняли).

При установке на заражённую машину учитывались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.).

Paul

[borka]

Если базы не требуются для лечения данных зловредов, почему тестеры тогда время потратили на обновление? (Вопрос чисто технический, чтобы все поняли).

Во-первых, а зачем передергивать? Никто не говорил, что для лечения базы не требуются. Во-вторых, вы все еще не прочитали методологию:

2. отсутствие целенаправленного противодействия работе антивируса;

Если после установки антивируса вендор рекомендует обновить базы, то, безусловно, это нужно сделать. Как показывает практика, если в системе сидит серьезный зловред, то антивирус даже не установится, не говоря про обновится.
А вот если антивирус не устанавливается, то пользователь либо обращается в Суппорт, либо идет за помощью на форум.

ЗЫЖ Только к рассматриваемой теме это по-прежнему не имеет ни малейшего отношения.

[XP user]

@ borka

Если строго остаться в рамках данного теста, на что вы сами настаиваете, то тогда поясните, плиз.

С одной стороны вы говорите:

Про обновление баз речь не идёт. В этом тесте зловред известный.

С другой стороны вы говорите:

Никто не говорил, что для лечения базы не требуются.

Не доходит до меня.

P.S.: Про то, что я не прочитал методологию можно уже не писать, спасибо. Два раза вполне достаточно для того, чтобы все это поняли. Скорее у меня что-то либо с русским языком, либо с логикой.

Paul

[santy]

Еще раз - эта проблема всплывет на этапе инсталляции и запусков антивируса ДО заражения.
(

Ну, не факт, что вплывет эта проблема ни на этапе инсталляции нового антивируса, ни на этапе сканирования системы. Paul здесь прав... и драйвера встречаются от старых версий (4.5) КАВ, который не всегда нормально деинсталлируется, и модули от Симантек, не исключенные из автозагрузки.... (скажем, если Симантек был установлен через центр управления с паролем, а пароль забыт_утрачен_унесен с собой другим админом, то приходится не деинсталлировать, а исключать многочисленные службы из загрузки). Проявляют же себя_визуально становятся видны эти модули например при запуске АВЗ в виде перехватчиков. А вот как они влияют на работу антируткитов - не могу сказать.

[XP user]

@ All

Общее замечание. Мне кажется, что для практической применимости данного теста для чайников тестеры надо бы оговорить, что тест носит чисто теоретический характер.
Типа -
- 'Не пытайтесь повторить это дома на реальной машине - есть большая вероятность, что вам не удастся из-за множества причин'.
- 'Мы обновили базы, но это чисто формальное действие. В данном случае это не требовалось. Если мы НЕ обновили бы базы, то тогда мы всё равно убили бы эти зловреды из-за того, что система ДО заражения была девственной, и что все зловреды даже без баз опознаются, и, конечно, такое не бывает в реальной жизни когда вы пытаетесь ставить новый антивирус на уже заражённую машину'.

и т.д., и т.п.

Повторяю - для того, чтобы защищать методику и результаты, тестеры и вендоры-победители приведут аргумент, что всё делается для простых юзеров. Если эти же простые юзеры (и вендоры, проигравших тест) используют разумные аргументы чтобы доказать несостоятельность абсолютных выводов, сделанных из данного теста, то тогда их посылают куда подальше с надсмешкими всякими.

Кроме того, аргументы, изпользованные юзерами, чтобы доказать свою точку зрения приведут сами же победители когда потребуется доказать свою точку зрения. Даётся впечатление, что использование разумных аргументов - привилегия победивших данного теста; всем остальным следовало бы молчать и ахнуть от восхищения.

Это некорректно. Ссылки давать даже не буду. Слово 'активное заражение' в Гугл достаточно - сами найдёте обсуждения и аргументы за и против выводов, которые на самом деле можно делать из этого теста.

Paul

[Зайцев Олег]

Что можно пожелать ЛК, которая не является лучшей ни в сигнатурном лечении, ни в проактивном детекте...? Найти золотую середину между детектом и лечением. Двух крайностей одновременно достигнуть невозможно.

И эта "золотая середина" гораздо лучше параноидального детекта, эвристики и т.п. Приведу пример в ответ на то, что будет, когда вирлаб не справится с потоком зловредов и набивкой сигнатурных баз - http://www.virustotal.com/ru/analisi...835a0786bb6dde. Тогда придется делать "эвристику" (кавычки не случайны), основанную на тупом детекте констант и тому подобных вещах. По этой ссылке р-ты проверки ужасного злобного вируса, написанного минуту назад на коленке - он при запуске выводит на консоль строки в цикле вида "Я вот сейчас как вызову "+"Имя[i]", где имя[1..7] - массив констант типа "URLDownloadToFileA" и "trojan.exe". В заключении этот EXE выводит фразу "И юзер помрет со смеху" Как нетрудно видеть, два антивируса тут-же детектировали эту злобную заразу Смешно, хотя по идее плакать надо -безобидная программа по выводу строк в цикле на консоль сразу заподозрена двумя известными антивирусами, хотя она ничем не упакована, совершенно безвредна и не делает вообще ничего опасного. Далее еще тест - второй написанный на коленке "ужасный и кровожадный вирус" - EXE, который статически импортирует две функции - URLDownloadToFileA и ShellExecute. И все - вместо тела EXE заглушка, которая не делает ровнум счетом ничего (т.е. EXE стартует и тут-же завершается с exitcode=0) - вот результат проверки - http://www.virustotal.com/ru/analisi...aa7bc47cc3c6fc (на него совсем тошно смотреть Не содержащий никакого программного кода EXE был заклеймен как злобный вирус только за статический импорт)
Мораль - сигнатуры были и есть основным методом детекта, плюс может некие "результаты поведенческого анализа" типа рейтинга опасности в KIS (с последним тоже не все так просто - там оценка всегда объективна и рейтинг заслужен, но многие приложения ведут себя неадекватно - при старте начинают требовать себе права отладчика, пытаться управлять службами, дропать файлы в системные папки и творить прочие безобразия). Плюс со временем явно приоритет получат технологии типа UDS в KIS и Sonar в NIS - т.е. системы, которые столкнувшись с подозрительной программой немедленно свяжутся с разработчиком, и получат из некоей мега-базы ответ, что делать. В такой ситуации качество детекта может быть весьма высоким при небольшом объеме баз - не придется таскать огромадные базы чистых и зловредных на каждый ПК