Нортон Антивирус, или иллюзия защиты

[Alexey P.]

Не надо никого переубеждать Norton лучше ;D

Он сам убеждает неслабо. Вот сегодня червячок по почте пришел, ДрВеб его знает с drwtoday.vdb (2005-05-10 14:17:21). Ради интереса проверил на вирустотал.
(Базы там у симантека свежие, так что питать иллюзии по поводу версий не стоит).
This is a report processed by VirusTotal on 05/12/2005 at 12:40:27 (CET)
after scanning the file "drweb.quarantine.GOYP4u" file.

Antivirus Version Update Result
AntiVir 6.30.0.12 05.12.2005 no virus found
AVG 718 05.10.2005 no virus found
BitDefender 7.0 05.12.2005 no virus found
ClamAV devel-20050501 05.10.2005 Trojan.W32.PWS.Prostor.A
DrWeb 4.32b 05.12.2005 Win32.HLLW.Eyeveg.2
eTrust-Iris 7.1.194.0 05.11.2005 Win32/Lanieca.A!Worm
eTrust-Vet 11.9.1.0 05.12.2005 Win32.Lanieca.A!ZIP
Fortinet 2.51 05.12.2005 no virus found
Ikarus 2.32 05.11.2005 no virus found
Kaspersky 4.0.2.24 05.12.2005 Worm.Win32.Eyeveg.f
McAfee 4489 05.11.2005 W32/Eyeveg.worm.gen
NOD32v2 1.1093 05.11.2005 Win32/Spy.Agent.AJ
Norman 5.70.10 05.10.2005 Wurmark.J
Panda 8.02.00 05.11.2005 W32/Mugly.M.worm
Sybari 7.5.1314 05.12.2005 Worm.Win32.Eyeveg.f
Symantec 8.0 05.11.2005 no virus found
VBA32 3.10.3 05.11.2005 Trojan-Spy.Win32.Agent.aj

[ALEX(XX)]

ну не знаю как там базы на вирустотал, но сам убеждался не раз, что Nav2005 видит вирь, а он-лайн проверка молчит. так что видать не в базах дело. а вот реакция симантек на отосланные им образцы оставляет желать лучшего. раз было так, что сказали:"это не вирус", а потм через две недели признали, что в том файле был зверь.

[Geser]

This is a report processed by VirusTotal on 05/19/2005 at 20:57:49 (CET) after scanning the file "winhost.exe1" file.
Antivirus Version Update Result
AntiVir 6.30.0.12 05.19.2005 no virus found
AVG 718 05.19.2005 no virus found
Avira 6.30.0.12 05.19.2005 no virus found
BitDefender 7.0 05.19.2005 BehavesLike:Trojan.FirewallBypass
ClamAV devel-20050501 05.18.2005 Trojan.LdPinch-19
DrWeb 4.32b 05.19.2005 no virus found
eTrust-Iris 7.1.194.0 05.19.2005 no virus found
eTrust-Vet 11.9.1.0 05.19.2005 no virus found
Fortinet 2.27.0.0 05.19.2005 suspicious
Ikarus 2.32 05.19.2005 suspicious program sequence found
Kaspersky 4.0.2.24 05.19.2005 Trojan-PSW.Win32.PdPinch.gen
McAfee 4495 05.19.2005 PWS-LDPinch
NOD32v2 1.1100 05.18.2005 a variant of Win32/PSW.LdPinch
Norman 5.70.10 05.16.2005 W32/Malware
Panda 8.02.00 05.19.2005 no virus found
Sybari 7.5.1314 05.19.2005 Trojan-PSW.Win32.PdPinch.gen
Symantec 8.0 05.19.2005 no virus found
VBA32 3.10.3 05.18.2005 suspected of !Trojan.LdPinch.4

[ALEX(XX)]

This is a report processed by VirusTotal on 05/20/2005 at 06:58:00 (CET) after scanning the file "searchdll.dll" file.

AntiVir 6.30.0.12 05.19.2005 TR/Drop.Small.UT.1
AVG 718 05.19.2005 no virus found
Avira 6.30.0.12 05.19.2005 TR/Drop.Small.UT.1
BitDefender 7.0 05.20.2005 Trojan.Globoserv
ClamAV devel-20050501 05.18.2005 no virus found
DrWeb 4.32b 05.19.2005 no virus found
eTrust-Iris 7.1.194.0 05.20.2005 no virus found
eTrust-Vet 11.9.1.0 05.19.2005 no virus found
Fortinet 2.27.0.0 05.20.2005 W32/Globoserv-tr
Ikarus 2.32 05.19.2005 AdWare.Serch.A
Kaspersky 4.0.2.24 05.20.2005 not-a-virus:AdWare.Serch.a
McAfee 4495 05.19.2005 potentially unwanted program Adware-Serch
NOD32v2 1.1100 05.18.2005 Win32/Adware.Serch
Norman 5.70.10 05.16.2005 no virus found
Panda 8.02.00 05.19.2005 Trj/Downloader.BCK
Sybari 7.5.1314 05.20.2005 Adware.Serch.A1
Symantec 8.0 05.19.2005 no virus found
VBA32 3.10.3 05.20.2005 AdWare.Serch.a

AVZ 3.43
3. Сканирование дисков
D:\WORK\!\searchdll.dll>>>>> Вирус !! AdvWare.Serch.a

NAV2005 18.05.2005
AdWare.CWSConyc

Файлы проверены Dr.Web® для FreeBSD версии 4.32.2 (2004-11-01)
Copyright © Igor Daniloff, 1992-2004

Время последнего обновления: 2005-05-19,21:26:03
в файле >searchdll.dll обнаружен вирус not a virus Adware.GloboSearch
DrWEb видит с расширенными базами.

Тут, его описание http://securityresponse.symantec.com....cwsconyc.html

Ув. Geser, может я не прав, что в качестве контрпримера привёл AdWare, но факт остаётся фактом.

[Geser]

Ув. Geser, может я не прав, что в качестве контрпримера привёл AdWare, но факт остаётся фактом.

Действительно адварь не лучший пример (можно предположить что SAV 8 не имеет адварей в базах), но тот факт что корпоративная версия не обнаруживает то что обнаруживает персональная говорит вовсе не в пользу Семантека. Получается что там где защита нужна больше, её на самом деле меньше. Подождём пока на Вирустотале поставят SAV 9. Но я уверен что ситуация не изменится.
А кроме того, уже сам тот факт что они не заставляют Вирустотал поставить новую версию, что бы не создавать себе антирекламу, говорит о том что им на всё наплевать.

[ALEX(XX)]

Да, в этом я с Вами согласен, по идее корпоративная версия должна содержать более расширенные базы, с большим количеством зверей. Хотя, меня уверяли, что и SAV, и NAV используют одни и те же базы, но это не совсем так. Вот тут
http://securityresponse.symantec.com...es/US-N95.html
сказано, что эта версия баз не может быть использована для обновления серверной части SAV, а для клиентской, подойдёт. Так что, всё хитро. Получается, что клиентская часть обладает более полными базами, нежели серверная? Не вижу логики. По идее вирусы не должны пройти дальше сервера.
Ладно, если я найду что-то более опасное чем AdWare, что не увидит SAV8, а NAV2005 обнаружит, то сообщу об этом.

[ALEX(XX)]

А вот это уже интереснее

This is a report processed by VirusTotal on 05/20/2005 at 07:46:02 (CET) after scanning the file "ScreenSaver.rar" file.

Antivirus Version Update Result
AntiVir 6.30.0.12 05.19.2005 no virus found
AVG 718 05.19.2005 no virus found
Avira 6.30.0.12 05.19.2005 no virus found
BitDefender 7.0 05.20.2005 Trojan.Delf.EW
ClamAV devel-20050501 05.18.2005 Trojan.Delf-10
DrWeb 4.32b 05.19.2005 Trojan.Disabler
eTrust-Iris 7.1.194.0 05.20.2005 no virus found
eTrust-Vet 11.9.1.0 05.19.2005 no virus found
Fortinet 2.27.0.0 05.20.2005 no virus found
Ikarus 2.32 05.19.2005 no virus found
Kaspersky 4.0.2.24 05.20.2005 Trojan.Win32.Delf.ew
McAfee 4495 05.19.2005 no virus found
NOD32v2 1.1100 05.18.2005 Win32/Delf.EW
Norman 5.70.10 05.16.2005 no virus found
Panda 8.02.00 05.19.2005 Trj/Delf.LE
Sybari 7.5.1314 05.20.2005 Trojan.Win32.Delf.ew
Symantec 8.0 05.19.2005 no virus found
VBA32 3.10.3 05.20.2005 Trojan.Disabler

This is a report processed by VirusTotal on 05/20/2005 at 07:48:42 (CET) after scanning the file "ScreenSaver.exe" file.

Antivirus Version Update Result
AntiVir 6.30.0.12 05.19.2005 TR/Delf.EW
AVG 718 05.19.2005 no virus found
Avira 6.30.0.12 05.19.2005 TR/Delf.EW
BitDefender 7.0 05.20.2005 Trojan.Delf.EW
ClamAV devel-20050501 05.18.2005 Trojan.Delf-10
DrWeb 4.32b 05.19.2005 Trojan.Disabler
eTrust-Iris 7.1.194.0 05.20.2005 no virus found
eTrust-Vet 11.9.1.0 05.19.2005 no virus found
Fortinet 2.27.0.0 05.20.2005 W32/Delf.EW-tr
Ikarus 2.32 05.19.2005 Constructor.Win32.Greap
Kaspersky 4.0.2.24 05.20.2005 Trojan.Win32.Delf.ew
McAfee 4495 05.19.2005 no virus found
NOD32v2 1.1100 05.18.2005 Win32/Delf.EW
Norman 5.70.10 05.16.2005 no virus found
Panda 8.02.00 05.19.2005 Trj/Delf.LE
Sybari 7.5.1314 05.20.2005 Trojan.Win32.Delf.ew
Symantec 8.0 05.19.2005 Trojan Horse
VBA32 3.10.3 05.20.2005 Trojan.Disabler

Проверен один и тот же файл, только первый раз он заархивирован, а второй скан, это распакованный, как видно, картина существенно изменилась. Так что, часть антивирусов с архиваторами не дружат?

[Geser]

Проверен один и тот же файл, только первый раз он заархивирован, а второй скан, это распакованный, как видно, картина существенно изменилась. Так что, часть антивирусов с архиваторами не дружат?

Возможно не все знают новую версию rar. Попробуй запаковать zip, должно быть одинаково.
Это, кстати, одна из причин по коториой антивирус, показывающий хорошие результаты на коллекциях, может оказаться никаким в реальной жизни.

[ALEX(XX)]

Ха, всё гораздо интереснее, прямо картина Репина "Приехали"
Итак, что у нас есть. Есть файл screensaver.exe с Trojan.Win32.Delf.ew.
Первый раз пакуем WinRar3.2(Ru), без всяких наворотов, все параметры по умолчанию. Проверяем на www.virustotal.com.

Результат (негативный):

This is a report processed by VirusTotal on 05/20/2005 at 08:02:44 (CET) after scanning the file "ScreenSaver.rar" file.

AntiVir 6.30.0.12 05.19.2005 no virus found
AVG 718 05.19.2005 no virus found
Avira 6.30.0.12 05.19.2005 no virus found
eTrust-Iris 7.1.194.0 05.20.2005 no virus found
eTrust-Vet 11.9.1.0 05.19.2005 no virus found
Fortinet 2.27.0.0 05.20.2005 no virus found
Ikarus 2.32 05.19.2005 no virus found
McAfee 4495 05.19.2005 no virus found
Norman 5.70.10 05.16.2005 no virus found
Symantec 8.0 05.19.2005 no virus found

Теперь пакуем WinRar3.2(Ru) в формате zip. Всё by default.
Сканируем, видим:

Результат (негативный):

This is a report processed by VirusTotal on 05/20/2005 at 08:01:21 (CET) after scanning the file "ScreenSaver.zip" file.

AVG 718 05.19.2005 no virus found
eTrust-Iris 7.1.194.0 05.20.2005 no virus found
eTrust-Vet 11.9.1.0 05.19.2005 no virus found
Ikarus 2.32 05.19.2005 no virus found
McAfee 4495 05.19.2005 no virus found
Norman 5.70.10 05.16.2005 no virus found

Итак, проснулись AntiVir, Avira, Fortinet, Symantec.

Теперь проверим не заархивированный файл.


Результат (негативный):

This is a report processed by VirusTotal on 05/20/2005 at 08:03:50 (CET) after scanning the file "ScreenSaver.exe" file

AVG 718 05.19.2005 no virus found
eTrust-Iris 7.1.194.0 05.20.2005 no virus found
eTrust-Vet 11.9.1.0 05.19.2005 no virus found
McAfee 4495 05.19.2005 no virus found
Norman 5.70.10 05.16.2005 no virus found

К "Врачам" теперь подключился и Ikarus. Не думаю, что надо обладать даром Нострадамуса, чтобы понять, что к чему. Конечно, на одном вирусе тесты не делаются но просто факт налицо. Я думаю, таких примеров можно найти ещё тучу.

[Geser]

Да это еще ерунда. Ты возьма паковщик исполняемых файлов. Вот там будет весёлая картина. Половина даже UPX не знает.

[ALEX(XX)]

Да это еще ерунда. Ты возьма паковщик исполняемых файлов. Вот там будет весёлая картина. Половина даже UPX не знает.

Да, это я знаю. Но просто обидно, что такие бабки дерут, пену гонят и прочую лобуду, расхваливают, а реально даже простым архиватором можно обломать.

[orvman]

Geser Точно, прямо в цель.

[Geser]

Последнее доказательства качества работы НАВ. На Yahoo стоит NAV 2005. И пропускает он вирусы как ни в чем не бывало.

[nowhere]

Нортон, нортон.. Вот Симантек 10 кто-нибудь пробовал? Что-нибудь позитивное со времён восьмой версии появилось?

[Lvn]

Господа здравствуйте! Прошу прощения, что прерываю Вашу беседу. Есть вопрос: Как же удалить чудесный Symantec Norton AntiVirus 2005?
В установке-удалении программ Нортона не было. Автоматически Касперский не смог его. Вобщем удалил вручную. Вычистил реестр. Кажется ни чего не осталось от "красавца" Нортона. Но Касперский при установке упорно предлагает удалить Symantec Norton AntiVirus 2005.
Подскажите плиз люди добрые, что нужно еще сделать а?

[Палыч]

Господа здравствуйте! Прошу прощения, что прерываю Вашу беседу. Есть вопрос: Как же удалить чудесный Symantec Norton AntiVirus 2005?
В установке-удалении программ Нортона не было. Автоматически Касперский не смог его. Вобщем удалил вручную. Вычистил реестр. Кажется ни чего не осталось от "красавца" Нортона. Но Касперский при установке упорно предлагает удалить Symantec Norton AntiVirus 2005.
Подскажите плиз люди добрые, что нужно еще сделать а?

http://www.virusinfo.info/showthread.php?t=4918

[Kuzz]

Нортон, нортон.. Вот Симантек 10 кто-нибудь пробовал? Что-нибудь позитивное со времён восьмой версии появилось?

Хм-м... Пользуем Симантек 10 корп. - пока ничего не подцепил, но из того, что лежит со старых времен многое не нашел...

Только-что просмотрел консоль центрального изолятора: 5 из 15 машин от чего-то отбивались... жаль, что RAdmin детектится как Remacc.Radmin, некоторым он требуется.
Посканил с компакта (те 5 машин) КАВ-ом, все ОК. Мож у Симантек че наладится...

[Kuzz]

Ничего не изменилось. Сегодня симантек поймал 1 трояна, и то - с трудом.
Два других легко словились руками (и АВЗ).

[SuperBrat]

Сегодня симантек поймал 1 трояна, и то - с трудом.
Два других легко словились руками (и АВЗ).

Вы проводили свое собственное исследование антивируса? Испытывали на коллекции, тогда на какой? Какие были условия тестирования?
Что есть "и то - с трудом"? Антивирус или ловит, или нет. Когда начинаются труды, надо писать так "остались следы заражения". По-моему, так работают антивирусные аналитики.

[Kuzz]

Что есть "и то - с трудом"?

Это выдача 4-х вот таких сообщений: