Результаты теста антивирусов на лечение активного заражения (октябрь 2008) на anti-malware

[aleksdem]

Лично мне не нужен антивирус, который не может вылечить зараженный компьютер, хотя сигнатура зловреда в базе есть.

А мне не нужен антивирус (точнее весь комплекс защиты), который дает возможность "заразить" систему, установить троянскую программу и дать ей соединиться с "заказчиком". Причем, мне, как пользователю, абсолютно все-равно, есть в базах сигнатуры этого конкретного вируса или нет. Есть масса других технологий, кроме сигнатурного детекта. Не спорю, иногда лечение действительно необходимо для спасения какой-то информации и т.п. Но все это уже "махание руками после боя". Да и луше это выполнят спец-утилиты. Мне, повторюсь, не нужен антивирус, который дал возможность "спереть" важные данные, а потом при появлении в базах новых сигнатур успешно убрал зловреда и все следы его пребывания...(Это, к стати, делают и многие современные вирусы самостоятельно).

[kps]

А мне не нужен антивирус (точнее весь комплекс защиты), который дает возможность "заразить" систему, установить троянскую программу и дать ей соединиться с "заказчиком".

Ну, если следовать этой мысли, то Вам вообще не нужен никакой антивирус Потому что 100% - ой защиты не существует и никакой из методов защиты - ни сигнатурный, ни проактивный, ни какой другой не может гарантировать Вам, что заражения не произойдет. Особенно учитывая, что вредоносные программы постоянно развиваются и появляются в большом количестве.
Я не спорю, что предотвратить заражение очень важно, но и лечение уже зараженного компьютера не менее важно. Не делать же людям, у которых много всего важного на компьютере, format и fixmbr. Я с лечением компьютеров знаком немного по разделу "Помогите!" И людям, которые проходят у нас лечение, необходимо именно лечение активного заражения.

[Ivaemon]

С точки зрения простого юзера - согласен с Aleksdem`ом.

[Wayfarer]

aleksdem
К сожалению, злоумышленники всегда на шаг впереди всех технологий

[aleksdem]

aleksdem
К сожалению, злоумышленники всегда на шаг впереди всех технологий

И вот "кто" из антивирусов наиболее успешно может противостоять этим злоумышленникам, тот и более качественный. 100% защиты никогда небыло и не будет, но стремится к удовлетворительному результату всегда нужно. И "умение лечить" в этой борьбе далеко не главное. Не те времена и совсем не те задачи стоят перед антивирусными решениями. Кому нужны "вылеченные" системные файлы или система после серьезного заражения? Спасти важные данные -другое дело. Поэтому хорошие "лекари" обязательно нужны. Но ИБ - это несколько другое, намного более широкое понятие. К стати, победители тестирования не "пасут задних" в этой всей круговерти. Меня просто в очередной раз "не устраивает" подача авторами своей интересной (в этот раз) работы.

[Cmeliy]

Чего Авира так плохо там себя показала?

[santy]

...Я не спорю, что предотвратить заражение очень важно, но и лечение уже зараженного компьютера не менее важно. Не делать же людям, у которых много всего важного на компьютере, format и fixmbr. Я с лечением компьютеров знаком немного по разделу "Помогите!" И людям, которые проходят у нас лечение, необходимо именно лечение активного заражения.

Имхо, данный тест имел бы большую ценность, если бы тестирование проводилось при установленном антивирусе (запуск зловреда + лечение заражения сканером с антируткитом, если пропущен монитором)... Кстати, сам тест противоречит методике лечения, которая применяется на ВирусИнфо.... поскольку пользователям рекомендуется вылечить зараженный компьютер специализированными утилитами и сканерами, типа CureIt, avptool, а далее ставить антивирусный монитор на чистую систему....

[rav]

К сожалению, злоумышленники всегда на шаг впереди всех технологий

Не всегда так. Есть технологии, которые позволяют быть на один шаг впереди в некоторых аспектах.

Добавлено через 1 минуту

И вот "кто" из антивирусов наиболее успешно может противостоять этим злоумышленникам, тот и более качественный.

Стоит подождать результатов теста на противодействие активному заражению.

[Wayfarer]

Есть технологии, которые позволяют быть на один шаг впереди в некоторых аспектах.

... и, как мне кажется, оставляя потенциальным злоумышленникам поле для экспериментов в рамках уже готовых решений, с "заточкой противодействия" конкретной технологии.

[rav]

... и, как мне кажется, оставляя потенциальным злоумышленникам поле для экспериментов в рамках уже готовых решений, с "заточкой противодействия" конкретной технологии.

Что, безусловно, увеличит стоимость разработки малвар, ибо такие "заточки" нужны под каждый продукт отдельно и они время от времени будут дохнуть из-за вендорских улучшений продуктов. Пионэры, при этом, отвалятся нафиг.

[Wayfarer]

Нельзя списывать со счетов и энтузиастов вирусописания, действующих по неким принципам самоутверждения.

[kps]

Кстати, сам тест противоречит методике лечения, которая применяется на ВирусИнфо.... поскольку пользователям рекомендуется вылечить зараженный компьютер специализированными утилитами и сканерами, типа CureIt, avptool, а далее ставить антивирусный монитор на чистую систему....

И в чем противоречие? CureIt! - основан на сканере антивируса Доктор Веб, а AVPTool - на сканере антивируса Касперского. Если бы эти антивирусы были слабы в лечении активного заражения, то мы бы ни их ни их утилиты (которые по сути представляют собой соответствующий сканер без дополнительных модулей) не рекомендовали для лечения активного заражения.

[vaber]

Методология любопытная: 1) заражаем систему 2) устанавливаем антивирус. Раньше полагал, что активное заражение-это, собственно, сам процесс запуска зловреда и начало исполнения им либо деструкций либо непосредственных задач.

Не верно полагаете. Лечение активного заражения - процесс обнаружения и удаления активной (работающей) вредоносной программы в системе.
То, что Вы предложили называется инсталляция вредоносной программы.

Причём тест противоречит практике ещё по другим параметрам - когда приходят в раздел Помогите, то тогда часто с жалобами о том, что ни один из победителей либо ничего не видит, либо установиться даже не хочет когда система уже заражена. В тесте же подобраны всего 15 зловредов из сколько? Миллион уже?

Опять же, путаница в определениях и неверная трактовка происходящего в разделе "Помогите".
Антивирус у пользователей может не обнаруживать вредоносный код (победители теста в том числе) в системе потому, что просто-напросто отсутствует детект на компоненты вредоносной программы. Что лечить ему спрашивается? Или еше вариант: не может вылечить вредоносный код потому, что есть детект на часть ее компонентов. Пример:
Есть exe файл, который прописан в автозапуске. При старте системы стартует exe и из ресурсов достает dll, ложит ее в system32 и внедряет в системный процесс. У некоего антивируса есть сигнатура дял детекта этой dll, но отсутствует детект на exe. Что мы видим в итоге? Антивирус постоянно при каждой загрузки будет обнаруживать и удалять эту dll. Какая картина получается глазами пользователя? Конечно та, что антивирус просто не может вылечить вредоносную программу, хотя реально антивирус может удалить такого трояна, если бы была сигнатура на exe файл. Затем пользователь смотрит результат теста где у такого антивируса отличные результаты и говорит что это все неправда "у меня был троян, которого антивирус не лечил". Таких примеров или аналогичных по смыслу может быть куча и они постоянно встречаются.
Что касается невозможности установить антивирус на зараженную систему, то в абсолютном большинстве случаев это связано с целенаправленным противодействием установки антивируса - завершения процессов, удаление файлов или же ключей реестра. Такие вредоносные программы не использовались в тесте. Нет смысла. Да,вендоры могут делать некую защиту от убиения своих процессов из User Mode, но если вредоносная программа имеет при себе драйвер, тот установки не видать. Пример - червь Bagle. Подобных вредоносных программ стоит лечить специальными утилитами, которые "не входят в список на убиение" в этом черве. Такие вредоносные программы не интересны, тупы. Смысла борется нет, если используется драйвер у малвары. И вторая проблема связанная с такими семплами - трудность отбора такого семпла, который бы идентичным образом бы мешал работе всех используемых в тесте антивирусов.
Если бы не учитывались все эти требования к побору семплов в тесте, то не было бы никаких проблем подобрать вредоносов так,чтобы сделать победителем любой антивирус.

Имхо, данный тест имел бы большую ценность, если бы тестирование проводилось при установленном антивирусе (запуск зловреда + лечение заражения сканером с антируткитом, если пропущен монитором)... Кстати, сам тест противоречит методике лечения, которая применяется на ВирусИнфо.... поскольку пользователям рекомендуется вылечить зараженный компьютер специализированными утилитами и сканерами, типа CureIt, avptool, а далее ставить антивирусный монитор на чистую систему....

Это был бы совсем другой тест - проверка способности (теоретической) антивирусных продуктов предотвратить активацию вредоносной программы. И задача у такого теста совсем иная. Почему теоретической? Да потому, что нельзя предугадать, как поведет себя пользователь при инсталляции вредоноса (исключения составляют продукты, которые не задают никаких вопросов пользователю). Ведь прекрасно видно же из того же "Помогите", что зараженными оказываются пользователи всех без исключения продуктов.
Да и сам тест проводился не с целью максимально приближения к реальности, а скорее проверка технологий современных антивирусов в плане лечения. На что они,так сказать, способны.
Что касается CureIt и avptool - Вы не задумывались почему используются именно они? Эти утилиты и предназначены для лечения тех, у кого стоит антивирус, не способный лечить. И их спосбоности в плане лечения мало чем отличаются от способности лечить самих антивирусов (разница в том. что в них реализована некоторая защита от вредоносных программ, убивающих антивирусы).

[santy]

И в чем противоречие? CureIt! - основан на сканере антивируса Доктор Веб, а AVPTool - на сканере антивируса Касперского. Если бы эти антивирусы были слабы в лечении активного заражения, то мы бы ни их ни их утилиты (которые по сути представляют собой соответствующий сканер без дополнительных модулей) не рекомендовали для лечения активного заражения.

Противоречие в том, чтобы использовать установку антивируса для лечения зараженной системы. (Лично я никогда это не делаю, следуя рекомендациям ВирусИнфо.) Вначале лечение активного заражения с помощью утилит и сканеров, далее, установка антивирусного монитора на чистую систему. Другое дело, что не все антивирусные компании выпускают сканеры (это им в минус) подобные CureIt или AVPTool... (И за это огромное спасибо ДрВеб и ЛК). Для полного же (комплексного) представления о защите системы как раз хотелось бы и увидеть - способны ли были мониторы тех компаний, которые не достигли 100%результата (или 0%) в пост_лечении противодействовать на стадии детекта активному заражению. (Пример недавний: массовая рассылка линков на вредоносный код через ICQ : Eset (на стадии Imon), определил scr-файл внутри zip-файла как вариант Injector... и чуть позднее на ВирусТотал *. scr был определен как вариант Ldpinch, товарищ же решил протестировать scr-файл с помощью монитора DrWeb и поймал свои данные только с помощью Comodo Firewall), потому... новый тест - противодействие активному заражению будет с новым подбором вирусных программ... и о результатах теста на лечение активного заражения можно будет забыть... точнее, он уже уйдет в тираж...

[aleksdem]

Да и сам тест проводился не с целью максимально приближения к реальности, а скорее проверка технологий современных антивирусов в плане лечения. На что они,так сказать, способны.

Спасибо Вам за подробные объяснения. Но очень бы хотелось видеть в конце Вашей фразы "На что они,так сказать, способны" маленькое уточнение: "в плане лечения". А то проверка проводится технологий современных антивирусов "в плане лечения", а оценка дается общая. Вроде как невинная игра слов, а в результате "мгновенные" отклики типа "так вот где настояшие качественные антивирусы!" Все это было бы просто смешно, если бы небыло так грустно...

[santy]

... Да и сам тест проводился не с целью максимально приближения к реальности, а скорее проверка технологий современных антивирусов в плане лечения. На что они,так сказать, способны.
Что касается CureIt и avptool - Вы не задумывались почему используются именно они?

Что касается CureIt и AVPTool, то я не задумываюсь на этот счет. Я их использую при лечении (часто в качестве "контрольного выстрела"). AVPTool реже, ввиду его большего размера. Было бы неплохо, если и другие АВ_компании выпускали бы подобные сканеры.

[XP user]

Опять же, путаница в определениях и неверная трактовка происходящего в разделе "Помогите".

Не сомневаюсь, что я ОПЯТЬ неправильно трактую...

Меня научили на специальных супер-пупер курсах от Майкрософта, что противопоказано хоть что-либо установить на уже заражённую систему - такая система лечится специальными тулзами, после чего можно уже установить резидентный антивирус, хотя метод 'Flatten & Rebuild' (то есть форматирование + установка системы заново) - лучше. Неправильно учили?

Paul

[Alexey P.]

А мне не нужен антивирус (точнее весь комплекс защиты), который дает возможность "заразить" систему, установить троянскую программу и дать ей соединиться с "заказчиком". Причем, мне, как пользователю, абсолютно все-равно, есть в базах сигнатуры этого конкретного вируса или нет. Есть масса других технологий, кроме сигнатурного детекта. Не спорю, иногда лечение действительно необходимо для спасения какой-то информации и т.п. Но все это уже "махание руками после боя". Да и луше это выполнят спец-утилиты. Мне, повторюсь, не нужен антивирус, который дал возможность "спереть" важные данные, а потом при появлении в базах новых сигнатур успешно убрал зловреда и все следы его пребывания...(Это, к стати, делают и многие современные вирусы самостоятельно).

К сожалению, это несколько наивно. Такую точку зрения можно часто встретить, как ни странно, у спецов по ИБ, админов и т.п.
И ещё у домохозяек, но тут вроде всё понятно и логично .
Нет защиты без дыр. Их может быть меньше или больше, но они всегда есть. Неуязвимая система - это выключенный из сети и закрытый в сейф под вооруженной охраной компьютер.
Имхо, предмет теста - один из важнейших параметров антивируса и напрямую связан с его качеством.

P.S. А набор малвари взят очень неслабый, впечатляет. Цвет вражеской мысли .

[Ivaemon]

И ещё у домохозяек, но тут вроде всё понятно и логично .

В качестве домохозяйки (вернее, домохозяина, т.к. у себя дома хозяин я) скажу: за 4 с половиной года не было НИ ОДНОГО заражения, хотя в инете бывал ВЕЗДЕ. Просто стояли антивири с очень хорошим детектом.

[aleksdem]

К сожалению, это несколько наивно. Такую точку зрения можно часто встретить, как ни странно, у спецов по ИБ, админов и т.п.
И ещё у домохозяек, но тут вроде всё понятно и логично .
Нет защиты без дыр. Их может быть меньше или больше, но они всегда есть. Неуязвимая система - это выключенный из сети и закрытый в сейф под вооруженной охраной компьютер.
Имхо, предмет теста - один из важнейших параметров антивируса и напрямую связан с его качеством.

P.S. А набор малвари взят очень неслабый, впечатляет. Цвет вражеской мысли .

Стремиться к более-менее надежной защите, - это, конечно, наивно. (Бесспорно, даже для домохозяек ). Но какими терминами тогда можно охарактеризовать способность антивирусов "лечить" систему после активного заражения, а значит уже после выполнения зловредом своих функций (в большинстве заслуживающих внимания случаев)? А не простое ли это очковтирательство и обман пользователя?
Чтобы прекратить этот спор, предлагаю каждому ответить самому себе (на кровати под одеялом) на один простой вопрос: Вы какой себе установите антивирус: тот, который не пустит в систему 90 из 100 зловредов, или тот, который не пропустит в систему 89, но зато, как нибудь потом, вылечит систему от всех 100?
Для меня лично и один лишний остановленный вовремя вирус важнее стопроцентного лечения в будущем (что, к стати, априори тоже невозможно).