Оффтоп из "Исследование антивирусов"

[Alexey P.]

Насчет "каждый день, если не чаще" - нет, не чаще. Слава богу .

Сглазил.
parad.raw только за сегодняшний вечер обновился уже во второй раз как минимум. Не успели добавить предыдущий вариант - Trojan.PWS.Alachun (тырилка паролей, личной и банковской информации) - как оно снова обновилось, и снова не детектится. Вот такие пироги.
А вы говорите - "LiveUpdate раз в день" - и всего лишь один продукт.
Тут обновления многократно в сутки, и то еле успевают отслеживать. А с такой частотой обновлений, как у симсов - глухо, можно даже не надеяться на детектирование так часто изменяемых троянов.

Во - надо скачать образец, отправить, подождать неделю - другую и проверить. Вот тогда шанс на его детектирование будет. А живую заразу из интернета ловить - сорри, непригодно.

[WaterFish]

Alexey P, зря ты их пытаешся убедить. Чем больше людей пользуются Нортоном, тем больше популярность нашего форума, особенно раздела "Помогите"

Я не думаю, что популярность virusinfo зависит от пользования нортоном или любым другим из существующих сегодня антивирусов.
Популярность будет и так расти, особенно раздела "Помогите".
Я думаю неплохим подтверждением будут слова Alexey P.

Сглазил.
parad.raw только за сегодняшний вечер обновился уже во второй раз как минимум. Не успели добавить предыдущий вариант - Trojan.PWS.Alachun (тырилка паролей, личной и банковской информации) - как оно снова обновилось, и снова не детектится. Вот такие пироги.
А вы говорите - "LiveUpdate раз в день" - и всего лишь один продукт.
Тут обновления многократно в сутки, и то еле успевают отслеживать. А с такой частотой обновлений, как у симсов - глухо, можно даже не надеяться на детектирование так часто изменяемых троянов.

Ни симсы ни касперы не помогут в большинстве случаев заражений ITW. Хорошо если они будут детектить 40-50%
http://virusinfo.info/attachment.php...0&d=1142878599
Есть, конечно, тесты, дающие 90-99,5%, но не о них же мы сейчас говорим?
А если говорить о темпах роста вредоносных програм, то получается вообще тяжёлая и безрадостная картина.
Не кажется ли вам, что споры о том какой из них лучше, а какой хуже хотя и раньше были бессмысленными, но сейчас перестают нести даже малейший практический смысл?
Что не ловит один антивирус, то поймает другой и наоборот. А в большинстве случаев, насколько понимаю пока не подавляющем, не поймает ни один.
Ждём качественных изменений в технологиях?

[Geser]

Понятно что ни один антивирус не даёт 100% гарантии.
Так же понятно, что когда трояны меняются по нескольку раз в день, у антивируса который обновляется каждый час поймать что-то больше шансов чем у того, который обновляется один раз в день(при том в этом обновлении не факт что всё что было прислано за предыдущий день).
А уж про эвристик, поддержку пакеров и т.д. это отдельный разговор. Так что не все антивирусы одинаково полезны.

[Гость]

А можно узнать какие антивирусы вы сами используете?

[Alexey P.]

Dr.Web, KAV. Второй - лишь сканер, изредка для профилактики.

ЗЫ: Лучший антивирус - своя голова на плечах .
Надо делать так, чтобы сама возможность заражения была сведена к минимуму. Антивирус - это скорее похоже на страхование имущества - никто же не рассчитывает, что это страхование спасет от пожара. А на антивирус почему-то надеются, что он все и поймает, и вылечит и т.д.
Из этого треда неплохо видно, что вероятность "не поймать" - совсем не нулевая.
Про лечение - отдельная песня. Далеко не всегда это действительно качественное лечение. Обезвредить заразу - это да, это пожалуйста. А вот вернуть систему в то состояние, в котором она была до заражения - фигушки. И каким боком имевшее место заражение потом обернется - еще вопрос. И ответа на него нет ни у одного антивируса - раз на раз не приходится, грехи есть у всех. И в лицензионных соглашениях это по сути явно и чуть ли не крупными буквами прописано.

[Alexey P.]

Ни симсы ни касперы не помогут в большинстве случаев заражений ITW. Хорошо если они будут детектить 40-50%

Имхо, повыше. У KAV, Dr.Web - не меньше процентов 80 - 90. Про остальных не скажу, потому как действительно вижу их результаты только на virustotal, а у испанцев разгильдяйство - это классика . Но, думаю, процент поменьше будет.

ЗЫ: А их панда - это вообще кино. Несерьезный какой-то антивирус, часто детектят то, что другие антивирусы вообще отказываются включать в базы.

Есть, конечно, тесты, дающие 90-99,5%, но не о них же мы сейчас говорим?

.
Чистая реклама, без нее никуда. К сожалению, это касается и независимых ресурсов, что уж там говорить о продавцах этого софта - у них работа такая, продать побольше.

Не кажется ли вам, что споры о том какой из них лучше, а какой хуже хотя и раньше были бессмысленными, но сейчас перестают нести даже малейший практический смысл?
Что не ловит один антивирус, то поймает другой и наоборот. А в большинстве случаев, насколько понимаю пока не подавляющем, не поймает ни один.
Ждём качественных изменений в технологиях?

Да чего ждать - защищаться-то надо сейчас.
Минимум давно известен - не использовать IE (либо грамотно его настраивать и своевременно обновлять, если знаний хватает), обязательно иметь на компьютере персональный файерволл, обновлять систему от производителя (Windows Update и т.п.).
Ну, и антивирус со свежими базами, куда ж без него.

[K_Mikhail]

This is a report processed by VirusTotal on 03/22/2006 at 16:49:42 (CET) after scanning the file "out_.exe" file.

Antivirus Version Update Result
AntiVir 6.34.0.14 03.22.2006 no virus found
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.21.2006 no virus found
Avira 6.34.0.53 03.22.2006 no virus found
BitDefender 7.2 03.22.2006 no virus found
CAT-QuickHeal 8.00 03.22.2006 (Suspicious) - DNAScan
ClamAV devel-20060126 03.22.2006 no virus found
DrWeb 4.33 03.22.2006 no virus found
eTrust-InoculateIT 23.71.108 03.22.2006 no virus found
eTrust-Vet 12.4.2129 03.22.2006 no virus found
Ewido 3.5 03.22.2006 no virus found
Fortinet 2.71.0.0 03.22.2006 suspicious
F-Prot 3.16c 03.20.2006 no virus found
Ikarus 0.2.59.0 03.22.2006 no virus found
Kaspersky 4.0.2.24 03.22.2006 no virus found
McAfee 4723 03.21.2006 no virus found
NOD32v2 1.1455 03.22.2006 no virus found
Norman 5.70.10 03.22.2006 no virus found
Panda 9.0.0.4 03.21.2006 Suspicious file
Sophos 4.03.0 03.22.2006 no virus found
Symantec 8.0 03.22.2006 no virus found
TheHacker 5.9.6.117 03.21.2006 no virus found
UNA 1.83 03.22.2006 no virus found
VBA32 3.10.5 03.22.2006 no virus found

[azza]

This is a report processed by VirusTotal on 03/22/2006 at 16:49:42 (CET) after scanning the file "out_.exe" file.

Antivirus Version Update Result
CAT-QuickHeal 8.00 03.22.2006 (Suspicious) - DNAScan
Fortinet 2.71.0.0 03.22.2006 suspicious
Panda 9.0.0.4 03.21.2006 Suspicious file

Мне думается, это из серии http://virusinfo.info/showpost.php?p=68968&postcount=66

[RiC]

Мне думается, это из серии http://virusinfo.info/showpost.php?p=68968&postcount=66

Может и нет, но чем-то упакован однозначно.

[WaterFish]

Так же понятно, что когда трояны меняются по нескольку раз в день, у антивируса который обновляется каждый час поймать что-то больше шансов чем у того, который обновляется один раз в день(при том в этом обновлении не факт что всё что было прислано за предыдущий день).

Ну если постоянно сидеть в варезниках, порнухе и т.п. злачных местах, то не помогут и ежесекундные обновления
При реально же опасных эпидемиях, при обнаружении червей, эксплуатирующих свежую уязвимость, основные антивирусы выпускают экстренные обновления, насколько помню достаточно оперативно, причём даже быстро, рассылая конкурентам, образцы зверей(когда то об этом в интервью Е.К. читал)
Учитывая это, наверное не стоит делать фетиша из ежечасных обновлений. Хотя раз в час конечно лучше, чем раз в неделю.

ЗЫ: Лучший антивирус - своя голова на плечах.

Не всегда и тем более не всем это помогает

...грехи есть у всех. И в лицензионных соглашениях это по сути явно и чуть ли не крупными буквами прописано.

Сразу вспомнилось старенькое:

Если бы программы были едой. Опус.

1. Повара и кондитеры не отвечали бы за пищевые отравления.
2. Делиться куском было бы в большинстве случаев воспрещено.
3. Во всех столовых на подносах, на тротуарах и в общественных
туалетах лежали бы огрызки булочек, завернутые в бумажки с
надписью "Если вы съели эту булочку, пожалуйста, купите целую!
Купив целую булочку всего за $29.99 вы получаете скидки при
покупке бОльшего количества булочек за один раз и скидки при
покупке булочек следующей выпечки!"
4. К каждому блюду полагалась бы обширная инструкция, как его
есть. Впрочем, попытка съесть продукт, руководствуясь
инструкцией, обычно приводила бы к общему отравлению.
5. К некоторым продуктам прилагался бы список "О
несовместимости следующих продуктов и нашего при совместном
употреблении".
6. Все продукты были бы просто нашпигованы гайками, шурупами,
дохлыми крысами и прочими аппетитными вещами. Звонок на
фирму-производителя:
"Да, мы знаем о наличии некоторого количества стрихнина в
наших тортах и работаем над тем, чтобы его там не было. Пока
что вы можете есть наш торт после двухчасового вымачивания в
соленой воде. Спасибо за звонок."
7. Продукты двухмесячной давности считались бы свежими.

[K_Mikhail]

Может и нет, но чем-то упакован однозначно.

Да нет, файл оказался разрушенным... Так что прошу результаты по нему в статистике не учитывать...

[Alexey P.]

Ну если постоянно сидеть в варезниках, порнухе и т.п. злачных местах, то не помогут и ежесекундные обновления
При реально же опасных эпидемиях, при обнаружении червей, эксплуатирующих свежую уязвимость, основные антивирусы выпускают экстренные обновления, насколько помню достаточно оперативно, причём даже быстро, рассылая конкурентам, образцы зверей(когда то об этом в интервью Е.К. читал)
Учитывая это, наверное не стоит делать фетиша из ежечасных обновлений. Хотя раз в час конечно лучше, чем раз в неделю.

Не согласен.
Раз в час и раз в неделю - слишком серьезная разница. Особенно как в рассматриваемых примерах, когда зараза обновляется раз в день, а то и несколько раз в день.
Первое позволяет свести риск к минимуму, второе - почти гарантирует беззащитность компьютера в большинстве случаев. Неделя - это слишком много. Что толку в полученном раз в неделю обновлении, хоть даже в него и добавлено детектирование всех предыдущих версий заразы за неделю, если вот эта, которая сейчас лежит на сайте и активно с него раздается - не детектится. Сорри, но такое обновление попросту уже бесполезно.
Кстати, довольно многие трояны умеют себя обновлять с сайта - сами идут за обновлением, притаскивают и устанавливают. В таком случае есть серьезный шанс, что они никогда и не будут пойманы - обновления отстают от жизни.

А эпидемия - это когда зараженных компьютеров становится много.
Но нам, если уж честно сказать, глубоко начхать, сколько их там участвует в концерте - куда важнее свой, один (или сколько их там у Вас). И когда уважаемые зубры сочтут наконец необходимым выпустить экстренное обновление - для Вас лично может быть уже поздно - потеряно время, иногда и информация.
Надежнее и спокойнее, если эти обновления выходят постоянно. В конце концов, мы за это платим им деньги.

Если бы программы были едой. Опус.
...
7. Продукты двухмесячной давности считались бы свежими.

Во-во. Я об этом .

[WaterFish]

Неделя - это слишком много.

Абсолютно согласен, достаточно очевидная вещь на сегодня, но симу нужно поддерживать старые версии, которые, видимо, не могут обновляться хотя бы раз в день. Впрочем, я в этом не уверен, поскольку пользовался одним из их продуктов всего 2 дня просто для ознакомления, а этого совсем недостаточно для понимания, и к тому же у symantec могут быть и иные соображения мне совершенно непонятные

Надеюсь на снисходительное отношение к моим околоантивирусным высказываниям.

Возвращась к ссылкам.
Мне кажется, что если бы вопрос детектирования зверей обсуждали бы опытный пользователь и любитель симантека и соответветствующий поклонник, ну например, DrWeb или KAV, то как и в Вашем (Alexey P.) случае каждый из них мог бы привести множество ссылок на ресурсы с обновляемыми вирусами, которые не детектирует антивирус оппонента. Это, конечно, только предположение. Т.е. в нашем случае нужно учитывать и пользователей, которые отсылают в вируслабы образцы зверей из которых можно узнать в том числе и сервера рассылок, а многие, отсылая образец, дают и соответствующие комментарии. Я понимаю, что это не единственный способ пополнения баз
Но скорее всего частное, в том числе и это исследование необходимо корректировать с наличием в нём пользователей того или иного антивируса. А на вирусинфо преобладают известные нам антивирусы. И тем более продвинутые и активные люди, такие как здесь, наверняка оказывают существенный вклад в обновление баз любимых программ

Как то я то ли видел, то ли читал интервью Е.Касперского, где он на вопрос о конкурентах ответил в том смысле, что с Symantec тяжело бороться в том числе и потому, что он занимает такую существенную долю рынка, т.е. доля рынка была в том ЧИСЛЕ, наверно он кроме доли имел ввиду что то ещё?
Не могу утверждать, что дословно передал его мысль, но именно тогда во мне затеплилась крамольная мысль о том, что может Symantec и не такое Г..., как пишут здесь и здесь

[Alexey P.]

Мне кажется, что если бы вопрос детектирования зверей обсуждали бы опытный пользователь и любитель симантека и соответветствующий поклонник, ну например, DrWeb или KAV, то как и в Вашем (Alexey P.) случае каждый из них мог бы привести множество ссылок на ресурсы с обновляемыми вирусами, которые не детектирует антивирус оппонента. Это, конечно, только предположение.

Имхо, беспочвенное. Потому как пользователи SAV/NAV не занимаются поиском зверья. А если начинают искать malware, сравнивать и думать, то просто прекращают использовать такой антивирус :).
Куда чаще среди них преобладает точка зрения вроде - "Если это не детектит симантек, значит, это не вирус".
Да-да, конечно :).

Т.е. в нашем случае нужно учитывать и пользователей, которые отсылают в вируслабы образцы зверей из которых можно узнать в том числе и сервера рассылок, а многие, отсылая образец, дают и соответствующие комментарии. Я понимаю, что это не единственный способ пополнения баз :)

Безусловно, не единственный. Антивирусы получают заразу:
- от пользователей (обратившихся за помощью в саппорт либо просто приславших заразу. Здесь есть разница для лицензионных пользователей и для остальных - к примеру, у KAV существует норматив: зараза, присланная их пользователем, должна быть добавлена в базы в течение трех часов. От остальных - на усмотрение аналитика, могут добавить быстро, могут и нет. Саппорт Др.Веб при обращении за помощью требует предъявить лицензионный ключ. В то же время, если просто отправить подозрительные файлы аналитикам на newvirus, лицензию не требуют, что вполне логично)
- из собственных онлайн-серверов. Мы видим результат проверки лишь их антивирусом, но далее эти файлы практически у всех проверяются линейкой из антивирусов-конкурентов. Задетектированное ими (и не пойманное своим антивирусом) отправляется аналитикам.
- со своих honeypot серверов - т.е. размещают открыто в интернете весь такой из себя беззащитный, без патчей компьютер с OS Windows. Все, чем он будет заражен - отправляется аналитикам.
- с ресурсов вроде virustotal.com, virusscan.jotti.org, malwareupload.com, cert.br
- по обмену. Раз в месяц, а в экстренных случаях и чаще, антивирусы отправляют друг другу обнаруженные образцы.
- сами ищут. Вот это, имхо, довольно редкая вещь - накладно и не очень продуктивно. Имхо, чаще таким занимаются добровольцы вроде активных участников этого форума. Впрочем, среди них есть и активные игроки "с другой стороны".

Но скорее всего частное, в том числе и это исследование необходимо корректировать с наличием в нём пользователей того или иного антивируса.

Не совсем так. Повторюсь (в этом треде), мы честные люди. И даем Вам в руки вполне себе легко проверяемые факты - смотрите, думайте.
Ни у меня, ни у подавляющего большинства активных участников этого форума нет никакой материальной заинтересованности в результатах проверок разными антивирусами. Зачем мне "об..ть мировые бренды", если они и сами это неплохо делают :).
Я был бы только рад, если бы все, что мне попадается, детектилось всеми антивирусами. Если оно не детектится никем - попробуй еще определить, вредна данная программа или нет. С первого взгляда это далеко не всегда можно понять.

А на вирусинфо преобладают известные нам антивирусы. И тем более продвинутые и активные люди, такие как здесь, наверняка оказывают существенный вклад в обновление баз любимых программ:)

Конечно.
С моей подачи в базы Dr.Web в 2005 году было добавлено детектирование 1170 экземпляров malware. Большая часть из этого добра была свежей - от нескольких часов до нескольких суток с момента выкладывания их на троянские сайты. Почти все они были найдены на сайтах в интернете, с которых устанавливались пользователям без их ведома либо обманным путем - под видом полезных программ и т.п.

Как то я то ли видел, то ли читал интервью Е.Касперского, где он на вопрос о конкурентах ответил в том смысле, что с Symantec тяжело бороться в том числе и потому, что он занимает такую существенную долю рынка, т.е. доля рынка была в том ЧИСЛЕ, наверно он кроме доли имел ввиду что то ещё?
Не могу утверждать, что дословно передал его мысль, но именно тогда во мне затеплилась крамольная мысль о том, что может Symantec и не такое Г..., как пишут здесь :)

Ну, эмоции присущи всем - живые же люди, не роботы :).
Доля рынка, как довольно неплохо видно из этого треда, не показатель.

[userr]

Доля рынка, как довольно неплохо видно из этого треда, не показатель.

Тем более что Trend Micro, немалую долю рынка занимающие, вообще не присутствуют на virustotal.com и virusscan.jotti.org. Интересно почему.
Тот факт, что ведущие АВ производитили явно несерьезно относятся к этим сервисам, либо не боятся плохих результатов, либо просто не участвуют, наводит на разные мысли, только не ясно на какие (с) Алиса).

[Geser]

Trend Micro был. Видимо постеснялись результатов

[ALEX(XX)]

Удивили результаты Antivir и Fortinet

[Sunix]

AntiVir в лидерах, хохо
это этот антивир http://www.free-av.com/ ?
так там уже версия 7 написана... вобщем надо скачать посмотреть

[Alexey P.]

Результат по 16 образцам - это круто .
Хотя бы по сотне-другой, меньше вряд ли имеет какой-то смысл.

[UsAr]

Удивили результаты Antivir и Fortinet

а все потому что не совсем честный отбор получается, если высылают вирусы которые не обнаруживаются своим антивирусом, то самые популярные отстают. Например если 50% пользуется касперским и 50% нодом, тогда половину всей заразы они точно не надут