-
Результаты теста антивирусов на обнаружение современных полиморфных вирусов
На портале www.anti-malware.ru 26.02.2008 г. были опубликованы результаты тестирования антивирусных продуктов на обнаружение полиморфных вирусов проведённый специалистами этого ресурса. Подробно http://antimalware.ru/index.phtml?pa...st=polymorphic
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 59
Неглядя предположу, что везде попедила Avira
Я угадал?
-
Аха. Она действительно хорошо ловит вирусы или это реклама?
-
-
Немцы жгут, никакой подставы
Кстати странно что аваст лучше avg =)
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
-
-
Junior Member
- Вес репутации
- 59
Незнаю. Но у них он всегда побеждает.
-
авира - параноик. видит криптованный файл - и начинает ругаться
(от этого, кстати много ложных срабатываний)
...хм...интересный тест, кстати
-
-
Я не мог просто прочитать и ничего не написать, так как не только коллекционирую полиморфные вирусы, но и одно время занимался их изучением.
По формированию коллекции у меня особых нареканий нет (вот только семейство Allaple - это сетевые черви). Но вполне возможно, что и в нем присутствует элемент полиформизма (я просто с этим экземпляром не знаком). Для каждого семейства не плохо было указать уровень полиформизма (то на сколько изменяется код вируса). Максимальный, кажется, 5.
По методике тестирования нареканий нет вообще. Тут сработано четко.
Кроме этого качество обнаружения полиморфных вирусов, как наиболее сложных, может косвенно свидетельствовать об уровне профессионализма специалистов антивирусных лабораторий. Им необходимо не только тщательно проанализировать сложнейшие образцы вирусов, но и выработать надежные процедуры и методы по их 100% обнаружению.
Это очень важный момент.
При проверке находящихся на компьютере файлов классическим способом производится поиск соответствий определенной сигнатуре (вирусному следу). Если изменить код вируса, на который была сделана сигнатура, то обнаружить его данной сигнатурой уже будет невозможно. Подобные изменения полиморфный вирус делает в любой своей части.
Еще один важный момент. Именно поэтому, очень важно определить уровень полиформизма.
Цель данного теста - проверить качество работы специальных алгоритмов по обнаружению современных полиморфных вирусов.
А вот здесь покритикую. Важно не только проверить качество алгоритмов по обнаружению, но и качество алгоритмов по лечению. Ведь это не троянцы, которых можно просто удалять и все. К моему большому сожалению и удивлению это сделано не было. На практике выясняется, что не все антивирусы могут качественно лечить не только полиморфные, но даже файловые вирусы.
Результаты теста удивлений не вызывают. Очень интересно было бы увидеть результат на качество лечения. Это я высказал в качестве пожелания. Заодно и определить был ли тест предвзятым.
P. S. За ссылку конечно спасибо SDA!
-
-
Сообщение от
Синауридзе Александр
На практике выясняется, что не все антивирусы могут качественно лечить не только полиморфные, но даже файловые вирусы.
Не то что не все, а большинство. Расслабились, так сказать, вендоры. Главное запихнуть в базу, задетектить и удалить.
Очень интересно было бы увидеть результат на качество лечения.
Ага, так сразу и сделают. Тогда совсем другие результаты будут Так не интересно будет
Left home for a few days and look what happens...
-
-
Сообщение от
Синауридзе Александр
Максимальный, кажется, 5.
5 чего?
З.Ы. Что касается этого теста - то он очень сложен. Много сложнее любого другого. И времени на проведение теста на лечение зараженных файлов просто не оказалось. Да и тогда тест окажется еще сложнее - будет необходимо проверять на работоспособность все пролеченные файлы, а их там очень много.
Добавлено через 4 минуты
Сообщение от
ALEX(XX)
Ага, так сразу и сделают. Тогда совсем другие результаты будут
Так не интересно будет
Да, результаты будут совсем иные. Но не поэтому такой тест не провели
Последний раз редактировалось vaber; 30.03.2008 в 23:54.
Причина: Добавлено
anti-malware.ru
-
-
Сообщение от
vaber
5 чего?
5 - максимальный уровень полиформизма.
Сообщение от
vaber
З.Ы. Что касается этого теста - то он очень сложен.
Соглашусь.
Сообщение от
vaber
Много сложнее любого другого.
И тут соглашусь.
Сообщение от
vaber
И времени на проведение теста на лечение зараженных файлов просто не оказалось. Да и тогда тест окажется еще сложнее - будет необходимо проверять на работоспособность все пролеченные файлы, а их там очень много.
Во-первых, по логу антивируса видно сколько он удалил. Было такое, что один антивирус удалял, а другой успешно лечил. Во-вторых, проверить можно часть файлов. Я проверял в среднем от 20 до 30 вылеченных файлов.
Сообщение от
vaber
Да, результаты будут совсем иные. Но не поэтому такой тест не провели
Мы с Вами знаем какими они будут.
Добавлено через 8 минут
Сообщение от
ALEX(XX)
Не то что не все, а большинство. Расслабились, так сказать, вендоры. Главное запихнуть в базу, задетектить и удалить.
Были случаи когда аналитики с первого раза не могли определить, что присланный файл заражен! У нас на форуме тут инфа проскакивала. Сейчас просто искать лень.
Последний раз редактировалось Синауридзе Александр; 31.03.2008 в 00:27.
Причина: Добавлено
-
-
Сообщение от
Синауридзе Александр
5 - максимальный уровень полиформизма.
Во-первых, по логу антивируса видно сколько он удалил. Было такое, что один антивирус удалял, а другой успешно лечил. Во-вторых, проверить можно часть файлов. Я проверял в среднем от 20 до 30 вылеченных файлов.
5 чего? Не бананов же
Так в таком тесте нас не интересует принципиальна возможность лечения/нелечения - было бы важно определить, насколько антивирус А качественнее лечит, чем Б. То есть один лечит 99,9% а другой 95,1% зараженных файлов на выборке в десятки тысяч файлов. 20-30 тут ничего не покажешь.
-
-
Сообщение от
vaber
5 чего? Не бананов же
А какая разница? Баллов по шкале Рихтера, пунктов NASDAQ, попугаев, в конце концов...
-
-
Угу, так бы и записали в методике теста: полиморфные вирусы выбирались в соответствии с попугаями - а именно, имеющие 4 и 5 попугаев )))
-
-
Сообщение от
vaber
5 чего? Не бананов же
5 уровней! Изволите продолжить. Хорошо, давайте.
Выделяют несколько уровней полиморфизма (мне известны 5), используемых в вирусе. Каждый из них по-разному реализует неодинаковый размер файлов, которые были им заражены.
Уровень 1. Простые полиморфные вирусы. Они используют постоянные значения для своих расшифровщиков, поэтому легко определяются антивирусами.
Уровень 2. Вирусы, имеющие одну или две постоянные инструкции, которые используются в расшифровщике. Могут определяться по сигнатуре, но имеют более сложное строение, чем представители уровня 1.
Уровень 3. Вирусы, использующие в своем коде команды-мусор. Это помогает запутать собственный код.
Уровень 4. Использование взаимозаменяемых инструкций с перемешиванием в коде, без дополнительного изменения алгоритма расшифровки. Это помогает запутать антивирус. При этом невозможно поймать такой вирус по стандартной маске. Антивирусу нужно выполнять перебор, после которого нужная сигнатура будет найдена.
Уровень 5. Реализация всех вышеизложенных уровней с поддержкой различных алгоритмов в расшифровщике помогает достичь высокого уровня полиморфизма. Также, при этом может существовать несколько параллельных процессов расшифровки, когда один будет преобразовывать код другого или наоборот. Распознать такой вирус очень сложно. Для этого нужно произвести тщательный анализ кода самого расшифровщика. С лечением еще сложнее. Тут нужно трассировать не только сам генератор, но и тело самого вируса.
Сообщение от
vaber
Так в таком тесте нас не интересует принципиальна возможность лечения/нелечения - было бы важно определить, насколько антивирус А качественнее лечит, чем Б. То есть один лечит 99,9% а другой 95,1% зараженных файлов на выборке в десятки тысяч файлов.
Вы сами себе противоречите?
Сообщение от
vaber
20-30 тут ничего не покажешь.
Ну, хоть так.
-
-
Сообщение от
Синауридзе Александр
5 уровней! Изволите продолжить.
Вот теперь понятно,ч то за уровни полиморфизма Вы имели ввиду. Понятное дело, что в тесте должны быть сложные полиморфы и при этому свежие - например до годовой давности. Что и было сделано
Сообщение от
Синауридзе Александр
Вы сами себе противоречите?
Где?
Сообщение от
Синауридзе Александр
Ну, хоть так.
Если следующий тест будет - то будет и лечение
-
-
Сообщение от
vaber
Понятное дело, что в тесте должны быть сложные полиморфы и при этому свежие - например до годовой давности. Что и было сделано
А тут все было сделано четко.
Сообщение от
vaber
Где?
Здесь:
Сообщение от
vaber
Так в таком тесте нас не интересует принципиальна возможность лечения/нелечения - было бы важно определить, насколько антивирус А качественнее лечит, чем Б. То есть один лечит 99,9% а другой 95,1% зараженных файлов на выборке в десятки тысяч файлов.
Сообщение от
vaber
Если следующий тест будет - то будет и лечение
А он должен быть. Иначе смысл первого вообще пропадает.
P. S. Я проводил свой тест не на старой коллекции по методике аналогичной Вашей. Тестировались KAV, Symantec, Dr.Web, NOD32 и VBA32 (других в наличии у меня не было). Скажу по-секрету, мой любимый NOD32 облажался по полной программе, но показал не самый худший результат.
-
-
Junior Member
- Вес репутации
- 59
Было бы гораздо интересней узнать, кто показал лучшее результаты...
-
Александр, не поведаете нам результаты своего теста?
-
Сообщение от
Синауридзе Александр
\
Здесь:
Я имел ввиду, что важно не просто знать лечит или не лечит - а важно знать насколько качественно он это делает.
-
-
Ну что же, хорошо. По моим тестам, наилучшие результаты в плане лечения показал Dr.Web. VBA32 оказался на втором месте. Однако он существенно уступает Dr.Web. Про остальных промолчу.
Добавлено через 3 минуты
Сообщение от
vaber
Я имел ввиду, что важно не просто знать лечит или не лечит - а важно знать насколько качественно он это делает.
И это очень важный момент.
Последний раз редактировалось Синауридзе Александр; 31.03.2008 в 02:29.
Причина: Добавлено
-