Какую информацию? Что Вы знаете там в Диалоге? И о чем? Знают, наверное, только в Doctor Web. И то, видимо, не все ;-)Сообщение от polza
VBA32 лучше
DrWeb лучше
Какую информацию? Что Вы знаете там в Диалоге? И о чем? Знают, наверное, только в Doctor Web. И то, видимо, не все ;-)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отдал голос за DrWeb по следующим причинам:
1. DrWeb обновляется оперативнее чем VBA
2. Корпоративная версия DrWeb более проработана, чем у VBA.
Однако за последний год VBA сильно прибавил и если в 4.33 не будет радикальных улучшений в сторону комплексной защиты, то придется переголосоватьВ пользу VBA говорят и более доступные цены.
P.S. В "жизни" использую в качестве основного антивируса VBA, DrWeb стоит в качестве дополнительного сканера и на проверке почты.
Да уж!
Качаем новые VBA и DrWeb. Запускаем на директорию C:\WINDOWS\SYSTEM32\
VBA - сканирует 4:35, 14 ложных срабатываний, Dr.Web сканирует 0:38, ложных срабатываний нет.
Ладно, проверяем C:\PROGRAM FILES\
VBA - сканирует:
Directories : 545 Files in archives: Files on disks:
Archives: - total : 9377 - total : 3700
- scanned : 111 - scanned : 9377 - scanned : 3700
- contain viruses : 0 - infected : 0 - infected : 0
- deleted : 0 - suspected : 8 - suspected : 31
Startup : 00:27:23 20-08-2005
End : 00:33:25 20-08-2005
Total time : 00:06:02
Вирусов там нет заведомо :-)
Dr.Web:
Scan report for "C:\Program Files":
Scanned: 16851/13289 Cured: 0
Infected found: 0/0 Deleted: 0
Modifications: 0/0 Renamed: 0
Suspicious: 0/0 Moved: 0
Adware: 0/0 Ignored: 0
Dialers: 0/0
Jokes: 0/0
Riskware: 0/0 Scan time: 0:01:52
Hacktools: 0/0 Scan speed: 9300 Kb/s
Берем вирусную коллекцию всякой дряни, собранную за пару месяцев (1800 экземпляров):
VBA - 1203 инфицированных объекта за 10:33
Dr.Web - 1609 инфицированных объекта за 00:51
Настройки примерно одинаковые. Все файлы. Память, загрузочные секторы и стартапы не проверять. Архивы, упаковщики, адваре, спайваре, рискваре проверять. У VBА максимальные режимы эксперта и эвристика. И ключ /heuristics_test туда же. Хотя пробовались даже самые быстрые режимы поиска, но скорость возрастала несущественно. И ложные срабатывания не прекращались. Нуля не было на чистых директориях.
Дальше что? Это антивирус? Смешные вы, мужики :-)
Где у веба хоть какие-то настройки эвристика? Может вместе поищем?
Если бы это было один раз, я бы даже не стал об этом упоминать. Спайдер падал с завидной регулярностью, иногда по паре раз в день, причем на всем парке машин - от старых iPIII до новых Athlon64. Именно, то, что вы говорите я и слышал от техподдержки: "Этого просто не может быть!" Ну что мне фотоаппаратом скриншоты делать и пересылать в ЛД? В логах Спайдера ни гу-гу. Полет нормальный, проверен такой-то файл и... больше ничего. По милости DrWeb я ЗА СВОЙ СЧЕТ должен был объехать ВСЕХ клиентов фирмы (пол Норд-Райн Вестфалии) и всем заменить ключи, так как ваш представитель в Германии InSoft, будь они неладны, лажанулся и не выслал новые ключи вообще. Все что они смогли на тот момент, это пробормотать какие-то извинения по поводу того, что ключи (генератор?) мол еще не получены и т.п. В результате, полтора десятка клиентов, честно купивших продукт, оказались ВООБЩЕ без антивирусной защиты... Для Германии это просто немыслимо... Крайним был я. Тот человек, который имел неосторожность посоветовать своему шефу надежный, по его мнению, продукт. Вместо того, чтобы извиниться и замять прецедент, г-н Бачинский, до которого мы все-таки добрались, стал "лезть в бутылку", обвиняя на самих во всем произошедшем... Потом нам стали отвечать, что его нет на рабочем месте. Его не было никогда... Для нас. Противно вспоминать, если честно. Надеюсь, вы получили подробный ответ на ваши вопросы?
Ну, а насчет эвристики... блажен тот, кто верует... Продолжайте и дальше так считать. Нам это будет только на руку
З.Ы. Больше развивать эту тему не буду. Надоело. Как вы заметили, каждый сам себе буратино, а выбор антивируса вопрос во многом религиозный.
Гость2
На сайте VBA лежит дистрибутив от 05.04.05. Обновлять пробовали?
Я полгода назад тестировал VBA на папках Windows от 98SE, 2000, 2000Serv, XP, 2003Serv ни одного ложного срабатывания не было.
В такой ситуации закройте все окна IE и зайдите на сайт снова.
Ложные срабатывания эвристика это норма. Нет ложных срабатываний эвристика только у антивирусов у которых эвристика нет вообще. А если Вы качали бету, то у неё ложных срабатываний эвристика значительно больше чем у нормальной версии.
Потом, отправьте-ка ваши "заведомо чистые" файлы на которые сработал эвристик на проверку. Еще неизвестно насколько они действительно чистые
А вот когда с год назад ДрВеб начал определять как вирус и удалять ntldr, вот это было ложное срабатывание
Потом, Вы сами файлы из вашей коллекции не отправляли в ДрВеб?
Так, все ясно. Можно привести источник, откуда взята информация об использовании недокументированного, чисто отладочного ключа /heuristics_test? Я так полагаю, что там написано, что программа будет ругаться на некоторые заведомо чистые файлы и эти самые файлы неплохо бы прислать разработчикам антивируса. Надеюсь, Вы сделали это?
Далее, есть такой ключик /pm, при его использовании в разы замедляется скорость сканирования. В документации написано, что его использование не рекомендуется (остался со старых времен, плюс может пригодиться в качестве крайней меры, если есть подозрение, что на компе что-то живет, а антивирус ничего не находит). Для монитора данная настройка недоступна вообще с целью "защиты от дурака". Надо полагать, что этот ключ тоже использовался в данном тестировании.
Результат вполне закономерный. Что хотели получить, то и было получено. Кому-то антивирус нужен для защиты от вирусов, а кому-то - для того, чтобы посмеяться. Рад за Вас :-)Дальше что? Это антивирус? Смешные вы, мужики :-)
PS. Пишу из дома, пароль забыл, поэтому и не залогинился
Да, и на всякий случай, чтобы убедиться, что тестировалось именно то, что нужно. Консольную бета-версию сканера VBA32 можно взять тут: http://anti-virus.by/en/beta.html. После установки ее нужно обязательно обновить с помощью update.bat. Запускать сканирование нужно с помощью heuristics-test.bat либо без параметров (будут просканированы все жесткие диски), либо с указанием нужного каталога для проверки в командной строке. Весь набор необходимых ключей там уже подобран. Да, все сообщения программы, которые заканчиваются суффиксом '(paranoid heuristics)', слабонервные могут игнорировать. Либо можно сделать копию файла heuristics-test.bat и в ней заменить /ha=3 на /ha=2 (понизить уровень эвристики с параноидального до максимального). Результат можно обсудить здесь в форуме (но наверное лучше не в этой ветке). Если Вас пугает бета-версия, можно написать нам на саппорт с просьбой выслать полнофункциональный регистрационный ключ с ограниченным сроком действия, думаю, Вам пойдут на встречу. Хотя отличия бета-версии от релиза 3.10.4 в данный момент минимальны. Все более-менее существенные, новые и интересные разработки появятся в версии 3.11, которая сейчас разрабатывается. Естественно, как обычно, сначала эти усовершенствования будут добавляться в бета-версии, но пока они все еще дорабатываются и проходят внутреннее тестирование.
А можно анонс?
Данный ключ не использовался.
/heuristics_test /M=3 /RW /FC- /FD- /FR- /BC- /HA=2 /MR- /BT- /AS- /OK /AR /VM /r=
Анонсы не выпускают, но будет интересно ;-)
Да уж снова!
Ну что же. Я внял Вашим советам и сделал все, как Вы велели. С:\PROGRAM FILES\ теперь сканировался 5:34 при 5 ложных срабатываниях. А вот на коллекции из 1800 вирусов результаты теперь намного хуже. Ранее он "ловил" 1203 вируса за 10:33. Теперь же 1166 за 09:25. Неинтересно :-)
Пожалуйста ответьте на вопросы
1. Как собиралась данная коллекция. По срабатываниям антивируса? Какого?
2. Посылали ли вы файлы из коллекции в ДрВеб?
3. Прикрепите пожалуйста лог сканирования ДрВеб. Интересен состав коллекции.
Спасибо.
Итак, перейдём к практике:
В прикреплении файлы: логи ВБА и Спайдера. Собственно, запытуемое тело в архиве (пароль virus) по адресу: webfile.ru/469991, пароль 123.
Это обычный, не самый опасный StartPage.b. Рассмотрим реакцию 2-х антивирусов на его появление в системе. Начальные условия: Мониторы грузятся при старте системы. Основные параметры - по умолчанию. Действия: При обнаружении - лечить, при невозможности - удалять.
Реакцию Веба можно посмотреть в логе SPIDERNT.log. После спайдера
зачистка проводилась консолной версией ВБА и результат в логе susp.rpt.
Реакция ВБА: Логи в архиве VBA32.zip
Краткие выводы: 1. При использовании Спайдера с настройками по умолчанию, в отдельных случаях (рядового пользователя) заражённый компьютер так и отаётся заражённым. То есть реакции монитора просто нет. Замечу, что это наблюдается в текущей версии. В ранних версиях Веба 4.3(1) реакция была несколько другой. Доказывать не буду - лень.
Не просто неинтересно - приводит к тяжёлым последствиям.
2. Монитор ВБА идентифицирует и нейтрализует заразу на стадии загрузки. Собственно, как и должно быть.
Последний раз редактировалось Iceman; 20.08.2005 в 15:21. Причина: Дополнение
что скажете по поводу VDA vs NOD, и DrWeb vs NOD? а то админ нашей сети ничего не хочет слышать кроме как нод32 и хоть ты тресни(
Можете сами попробовать и проверить все антивири, как я описал вышечто скажете по поводу VDA vs NOD, и DrWeb vs NOD? а то админ нашей сети ничего не хочет слышать кроме как нод32 и хоть ты тресни
;-))). Тест простой, но действенный.
Интересно не только, как АВ работает с неизвестными источниками заражения, но и как он справляется с уже известными (возможно даже по факту заражения компа).
А у нас админы на NAV (Norton AV) помешаны. Просто ужас какой то, жизни никакой
Тут говорили о лучшем в мире эвристике.Хорошо,тогда очень прошу разъяснить результаты реагирования известнейших антивирусов мира на последнюю заразу-вирус Zotob и его варианты,обнародованные Андреасом Марксом www.av-test.org на http://www.pcwelt.de/news/sicherheit/118264/index5.html
http://www.pcwelt.de/news/sicherheit/118264/index4.html
http://www.pcwelt.de/news/sicherheit/118264/index3.html
http://www.pcwelt.de/news/sicherheit/118264/index2.html
Proactively detected означает,что вирус был пойман эвристиком(zero-time)
Далее указаны даты и время,когда та или иная компания выпустила защиту от Зотоба с вариантами.
Dr.Web c ЛД кажутся большими любителями поспать-одна из самых поздних реакций;даже Symantec оперативней оказался...
Ни в одном! случае Dr.Web не поймал Зотоба и его формы proactively(zero-time).Так чей же эвристик лучший в мире?...Разъясните ситуацию,будьте добры.
Zotob-Variante: Bozari-A
Bei dieser Variante können sich die Anwender von folgenden Tools freuen. Denn diese Programme blockten den Schädling auch ohne ein Update:
BitDefender
eSafe
Fortinet
F-Prot
Nod32
Norman
Panda
Hier finden Sie die komplette Liste geordnet nach der schnellsten Reaktionszeit. Tools, die kein Update benötigten erscheinen am Anfang der Tabelle mit dem Zusatz „proactively detected“
Programm
Datum
Uhrzeit
ursprüngliche Bezeichnung
BitDefender
proactively detected
eSafe
proactively detected
Fortinet
proactively detected
F-Prot
proactively detected
Nod32
proactively detected
Norman
proactively detected
Panda
proactively detected
Proventia-VPS
proactively detected
TruPrevent
proactively detected
Kaspersky
2005-08-16
21:57
Net-Worm.Win32.Small.d
QuickHeal
2005-08-16
22:48
Small.d
ClamAV
2005-08-16
23:12
Worm.RBot.CBQ
eTrust-INO
2005-08-16
23:51
Win32/MS05-039!exploit!Worm
F-Secure
2005-08-17
00:03
Net-Worm.Win32.Small.d
AntiVir
2005-08-17
00:19
Worm/Zotob.E
Sophos
2005-08-17
00:44
W32/Tpbot-A
Trend Micro
2005-08-17
00:44
WORM_RBOT.CBQ
McAfee
2005-08-17
01:34
W32/IRCbot.worm!MS05-039
eTrust-VET
2005-08-17
01:53
Win32.MS05-039!exploit
Symantec
2005-08-17
03:05
W32.Zotob.E
Command
2005-08-17
03:40
W32/Zotob.E (exact)
Dr Web
2005-08-17
07:04
Win32.HLLW.Stamin
Ikarus
2005-08-17
07:41
Net-Worm.Win32.Small.D
Avast
2005-08-17
08:04
Win32otob-E [Wrm]
AVG
2005-08-17
11:33
I-Worm/Mytob.WM
Hauri
2005-08-17
13:45
Worm.Win32.Bozori.10366
VirusBuster
2005-08-17
14:32
I-Worm.Zotob.C
Proland
2005-08-18
11:16
W32/Zotob.E.Worm
--Zotob-Variante: Win32/Drudgebot.B
Bei dieser Variante können sich die Anwender von folgenden Tools freuen. Denn diese Programme blockten den Schädling auch ohne ein Update:
BitDefender
eSafe
Fortinet
F-Prot
Nod32
Proventia-VPS
TruPrevent
Hier finden Sie die komplette Liste geordnet nach der schnellsten Reaktionszeit. Tools, die kein Update benötigten erscheinen am Anfang der Tabelle mit dem Zusatz „proactively detected“
Programm
Datum
Uhrzeit
ursprüngliche Bezeichnung
BitDefender
proactively detected
eSafe
proactively detected
Fortinet
proactively detected
F-Prot
proactively detected
Nod32
proactively detected
Proventia-VPS
proactively detected
TruPrevent
proactively detected
AntiVir
2005-08-16
20:46
Worm/Zotob.D
Kaspersky
2005-08-16
21:57
Backdoor.Win32.IRCBot.et
Command
2005-08-16
22:02
W32/Zotob.D (exact)
QuickHeal
2005-08-16
22:27
IRCBot.et
eTrust-INO
2005-08-16
23:51
Win32/Zotob.D!Worm
F-Secure
2005-08-17
00:03
Backdoor.Win32.IRCBot.et
Sophos
2005-08-17
00:44
W32/Dogbot-A
Trend Micro
2005-08-17
00:44
WORM_ZOTOB.D
eTrust-VET
2005-08-17
01:53
Win32.Zotob.D
Symantec
2005-08-17
03:05
W32.Zotob.D
Panda
2005-08-17
05:24
W32/Zotob.D.worm
Ikarus
2005-08-17
07:41
Backdoor.Win32.IRCBot.ET
Avast
2005-08-17
08:04
Win32
ClamAV
2005-08-17
09:02
Worm.Zotob.D
Norman
2005-08-17
09:14
W32/Zotob.D
Dr Web
2005-08-17
11:27
BackDoor.IRC.Sdbot.127
AVG
2005-08-17
11:33
I-Worm/Mytob.WN
Hauri
2005-08-17
13:45
Backdoor.Win32.IRCBot.51326
VirusBuster
2005-08-17
14:32
Worm.SdBot.BDD
McAfee
2005-08-17
15:29
W32/Sdbot.worm!MS05-039
Proland
2005-08-18
11:16
W32/Zotob.E.Worm
Zotob-Variante: Win32/Zotob.A
Bei dieser Variante können sich die Anwender von folgenden Tools freuen. Denn diese Programme blockten den Schädling auch ohne ein Update:
BitDefender
Fortinet
McAfee
Nod32
QuickHeal
TruPrevent
Hier finden Sie die komplette Liste geordnet nach der schnellsten Reaktionszeit. Tools, die kein Update benötigten erscheinen am Anfang der Tabelle mit dem Zusatz „proactively detected“
Programm
Datum
Uhrzeit
ursprüngliche Bezeichnung
BitDefender
proactively detected
Fortinet
proactively detected
McAfee
proactively detected
Nod32
proactively detected
QuickHeal
proactively detected
TruPrevent
proactively detected
Kaspersky
2005-08-14
12:01
Net-Worm.Win32.Mytob.cd
F-Secure
2005-08-14
12:03
W32/Zotob.A
VirusBuster
2005-08-14
13:20
Worm.IRCBot.DL
Norman
2005-08-14
13:38
W32/Zotob.A
Panda
2005-08-14
13:47
W32/Bozor.A.worm
AntiVir
2005-08-14
13:52
Worm/Zotob.A
eSafe
2005-08-14
15:59
Win32.Zotob.a
Sophos
2005-08-14
16:17
W32/Zotob-A
F-Prot
2005-08-14
17:56
W32/Zotob.A (exact)
Command
2005-08-14
18:37
W32/Zotob.A (exact)
AVG
2005-08-14
19:36
I-Worm/Mytob.LY
eTrust-INO
2005-08-14
19:54
Win32/Zotob.A!Worm
Symantec
2005-08-14
20:04
W32.Zotob.A
ClamAV
2005-08-14
21:51
Worm.Zotob.A
Dr Web
2005-08-14
21:52
Win32.HLLM.MyDoom
eTrust-VET
2005-08-15
00:44
Win32.Zotob.A
Trend Micro
2005-08-15
02:56
WORM_ZOTOB.A
Hauri
2005-08-15
08:58
Worm.Win32.Mytob.FR
Avast
2005-08-15
10:50
Win32
Proland
2005-08-15
12:01
W32/Zotob.A.Worm
Ikarus
2005-08-16
11:18
Net-Worm.Win32.Mytob.CD
Zotob-Variante: Win32/Zotob.B
Bei dieser Variante können sich die Anwender von folgenden Tools freuen. Denn diese Programme blockten den Schädling auch ohne ein Update:
AntiVir
BitDefender
ClamAV
Fortinet
McAfee
Nod32
QuickHeal
TruPrevent
Hier finden Sie die komplette Liste geordnet nach der schnellsten Reaktionszeit. Tools, die kein Update benötigten erscheinen am Anfang der Tabelle mit dem Zusatz „proactively detected“
Programm
Datum
Uhrzeit
ursprüngliche Bezeichnung
AntiVir
proactively detected
BitDefender
proactively detected
ClamAV
proactively detected
Fortinet
proactively detected
McAfee
proactively detected
Nod32
proactively detected
QuickHeal
proactively detected
TruPrevent
proactively detected
Symantec
2005-08-15
01:05
W32.Zotob.B
Sophos
2005-08-15
08:22
W32/Zotob-B
Kaspersky
2005-08-15
08:26
Net-Worm.Win32.Mytob.cf
F-Secure
2005-08-15
08:47
W32/Zotob.B.Worm
Trend Micro
2005-08-15
08:50
WORM_ZOTOB.B
Hauri
2005-08-15
08:58
Worm.Win32.Mytob.FS
eTrust-VET
2005-08-15
09:28
Win32.Zotob.B
Avast
2005-08-15
10:50
Win32
Panda
2005-08-15
10:52
W32/Zotob.B.worm
Dr Web
2005-08-15
10:57
BackDoor.IRC.HellBot
F-Prot
2005-08-15
13:46
W32/Zotob.B (exact)
eTrust-INO
2005-08-15
14:20
Win32/Zotob.B!Worm
Command
2005-08-15
14:25
W32/Zotob.B (exact)
VirusBuster
2005-08-15
15:24
Worm.Zotob.B
Proland
2005-08-15
15:51
W32/Zotob.B.Worm
AVG
2005-08-15
16:14
I-Worm/Mytob.LZ (Trojan horse)
eSafe
2005-08-16
13:21
Win32.Zotob.b
Ikarus
2005-08-16
15:32
Net-Worm.Win32.Mytob.CF
Norman
2005-08-17
09:14
W32/Zotob.B
P.S.Чтобы предупредить обвинения в адрес Андреаса Маркса в предвзятости-еще никто не ставил (судя по отзывам в нете) под сомнение результаты его анализа АВ реакций на новые угрозы.
Не понятно как у вас со Спайдером получились такие результаты. У меня все не так. Распаковал трояна из архива:
Спайдер выдал предупреждение, я нажал "Лечить":
20-08-2005 19:55:18 E:\Новая папка\kenguuru\kenguuru.jpg .exe инфицирован BackDoor.Pyand - удален
Пришлось отключить Спайдера, распаковать архив и запустить троян.
Стали выскакивать сообщения, о том что троян записывается то в System32, то в ...Автозагрузка\
Я нажимал Лечить пока не надоело, затем снял задачу трояна.
В реестре троян напакостил, а машину не заразил.
Ваши права в разделе
