-
Результаты теста антивирусов на лечение активного заражения (октябрь 2008) на anti-malware
Краткое содержание:
- Введение
- Сравнение антивирусов по возможности лечения
- Итоговые результаты теста и награды
- Анализ изменений в сравнении с предыдущими тестами
- Комментарии партнеров Anti-Malware.ru
http://www.anti-malware.ru/malware_t...est_2008#part2
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Результаты вполне логичны...
Left home for a few days and look what happens...
-
-
1. Налицо разница между качеством антивируса и уровнем/ростом продаж
2. Такие тесты здорово отрезвляют в отношении некоторых производителей...
-
-
Сообщение от
eifory
2. Такие тесты здорово отрезвляют в отношении некоторых производителей...
Я очень спокойно отношусь. В разделе Помогите - все равны, что бы эти результаты ни говорили...
Paul
-
Очень даже здравая мысль) я устанавливаю безопасность своим клиентам, и по количеству нареканий делаю выводы, пока меня устраивает тот выбор, который сделал я) Только непоймите меня неправильно, что я на клиентах тестирую проги) естественно любую программу я юзаю пару месяцев, перед тем как предложить её другим.
Последний раз редактировалось Rampant; 24.10.2008 в 14:56.
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
-
Может кому этот тест и поможет с выбором, например, лекарям незадачливых клиентов. Я не вижу практической пользы от него. Понапропускать вирей, а потом лечиться. Мойте руки перед едой, а не запасайтесь лекарствами от диареи.
-
anti-malware.ru : наш ответ британскому VB100. .
-
-
До того, как флуд (вернее флад) начинается, я хочу привести слова Сергея Ильина, которые можно найти здесь:
Я бы хотел сказать несколько слов в защиту некоторых продуктов, проваливших тест. Дело в том, что у некоторых вендоров пока ещё специальные утилиты для борьбы с руткитами не интегрированы в основной продукт. Например, пользователи могут дополнительно воспользоваться:
1. Avira Rootkit Detection, который скорее всего получил бы очень высокое место в тесте (Gold Anti-Rootkit Protection Award).
2. AVG Anti-Rootkit, который также имеет высокую эффективность (Silver Anti-Rootkit Protection Award).
3. Trend Micro RootkitBuster, также достаочно эффективен (Silver Anti-Rootkit Protection Award).
4. Чуть хуже McAfee Rootkit Detective (Bronze Anti-Rootkit Protection Award).
Как оказалось, свой антируткит есть и у VBA32, но он используется техподдержкой.
В скобках приведены награды антируткитов в недавнем специальном тесте
http://www.anti-malware.ru/node/159
Также я бы настоятельно рекомендовал всех тем, кто использует антивирусы провалившие тест, но не хочет их менять, обзавестись любым из известных антируткитов, например, Rootkit Unhooker (наш победитель прошлого теста). Поклонники Avira, AVG, Trend Micro или McAfee взять за практику использовать дополнительные утилиты от своих производителей.
Вот это мудрые слова по делу.
Paul
-
Сообщение от
ananas
Может кому этот тест и поможет с выбором, например, лекарям незадачливых клиентов. Я не вижу практической пользы от него.
IMHO практический смысл этого теста полностью соответствует тематике проекта Virusinfo.
-
-
Методология любопытная: 1) заражаем систему 2) устанавливаем антивирус. Раньше полагал, что активное заражение-это, собственно, сам процесс запуска зловреда и начало исполнения им либо деструкций либо непосредственных задач.
В данном же случае, мы имеем уже зараженную систему как свершившийся факт ( После ряда перезагрузок ). Не прослеживается ли в этом некого противоречия в терминах?
-
Сообщение от
Wayfarer
Методология любопытная: 1) заражаем систему 2) устанавливаем антивирус. Раньше полагал, что активное заражение-это, собственно, сам процесс запуска зловреда и начало исполнения им либо деструкций либо непосредственных задач.
В данном же случае, мы имеем уже зараженную систему как свершившийся факт ( После ряда перезагрузок ).
Причём тест противоречит практике ещё по другим параметрам - когда приходят в раздел Помогите, то тогда часто с жалобами о том, что ни один из победителей либо ничего не видит, либо установиться даже не хочет когда система уже заражена. В тесте же подобраны всего 15 зловредов из сколько? Миллион уже?
На чистой системе VM Ware всё проще и красивее, естественно. Ряд обстоятельств ещё зависит от того, что ещё установлено на компе, какие драйвера, и т.д. Этого, естественно, в таких тестах учитывать нельзя...
Но всё же - мои поздравления победителям.
Paul
-
Сообщение от
DVi
IMHO практический смысл этого теста полностью соответствует тематике проекта Virusinfo.
Да я какбе в курсе. :)
Сообщение от
Wayfarer
Не прослеживается ли в этом некого противоречия в терминах?
Думаю, нет. То, о чем Вы говорите про процесс запуска, можно сформулировать как предотвращение заражения. АМ уже делает подобный тест. Считаю, что его результаты будут интереснее и познавательнее.
-
Это связано с тем, что для вирусописателей очень важно, чтобы их детища были незаметными для пользователя и как можно долго функционировали на заражённой системе, выполняя в это время свои вредоносные функции.
стоит отметить, что из-за невысокого уровня хак-программистов (таких большинство) действия по скрытию наоборот вынуждают пользователя начать метаться как ошпаренному в поисках того, как бы этот зловред удалить - юзер начинает качать и ставить антивирусы один за другим, качает тулзы, возможно даже идет на ВИ в соответствующий раздел. (подобное может быть вызвано постоянными алертами антивируса (половину он удаляет, а остальная половина восстанавливает первую) - который после подобной сильной пропарки мозга пользователя отправляется в корзину и начинается описанная выше антивирусная чехарда. Также всякие бсоды и долгая загрузка/выключение играют в этом отнюдь не последнюю роль.
По-моему, те зловреды, которые играют по сложным правилам (ставят свой драйвер в систему для скрытия файлов/записей в реестре/процесса, памят длл или создают екзешник - не суть и спокойно и незаметно что-то делают - тырят пароли к примеру) антивирусы сносят достаточно уверенно если знакомы с ними, а вот тех зверей, которые играют "не по правилам" - создают несколько драйверов (возможно и дубликатов), кучу служб, блокируют много чего, блокируют антивирусы, блокируют заходы на сайты определенные, портят систему (но не настолько что бы ее нельзя было восстановить с помощью скриптов АВЗ) - вот с такими антивирусы борятся уже хуже - могут не исправить систему, не все удалить и т.д...
PS: читая текст я сокрушался, что его провели какие-то совсем мне неизвестные люди... но начав переходить на их профили на АМ увидел знакомые ники
Респект огромный! Спасибо за тестирование!
Было очень интересно.
-
А мне интересно, что кроме самого теста существует еще околотестовая непонятная возня. Сергей Ильин, вдруг, как-бы случайно прозрел.
Сообщение от
Сергей Ильин
Я бы хотел сказать несколько слов в защиту некоторых продуктов, проваливших тест. Дело в том, что у некоторых вендоров пока еще специальные утилиты для борьбы с руткитами не интегрированы в основной продукт. Например, пользователи могут дополнительно воспользоваться:
1. Avira Rootkit Detection, который скорее всего получил бы очень высокое место в тесте (Gold Anti-Rootkit Protection Award).
2. AVG Anti-Rootkit, который также имеет высокую эффективность (Silver Anti-Rootkit Protection Award).
3. Trend Micro RootkitBuster, также достаочно эффективен (Silver Anti-Rootkit Protection Award).
4. Чуть хуже McAfee Rootkit Detective (Bronze Anti-Rootkit Protection Award).
Как оказалось, свой антируткит есть и у VBA32, но он используется техподдержкой.
Но и прозрение у него опять же избирательное. У Есета тоже есть отдельные специальные утилиты для лечения отдельных заражений.
Последний раз редактировалось anton_dr; 29.10.2008 в 22:07.
-
Причём тест противоречит практике ещё по другим параметрам
Почти как человеческий фактор, иногда, противоречит здравому смыслу: гром грянул-начали креститься
То, о чем Вы говорите про процесс запуска, можно сформулировать как предотвращение заражения.
Это естественно: как-никак, приоритетная задача. Но я имел в виду, можно ли ситуацию с заражением после двух-трех перезагрузок системы, когда в ряде случаев "дело уже сделано" считать активной фазой заражения.
-
Сообщение от
ananas
У Есета тоже есть отдельные специальные утилиты для лечения отдельных заражений.
Угу. И у Симантека куча спец утилит против конкретных зверей...
Left home for a few days and look what happens...
-
-
Ну тогда до кучи: у победителя теста тоже этого добра хватает (утилит дополнительных). Некоторые вобще уникальные, например, утилита для дешифровки зашифрованных файлов.
Последний раз редактировалось SergM; 25.10.2008 в 04:09.
-
1. Avira Rootkit Detection, который скорее всего получил бы очень высокое место в тесте (Gold Anti-Rootkit Protection Award).
Так ведь у Антивира есть проверка на руткиты! Или туда вставлен другой детектор?!
-
Лечение активного заражения (или, скорее, то, что под этим понимали авторы теста) задача очень специфическая и более присуща для выполнения спец-утилитам (типа CureIt) или даже всеми нами любимому ресурсу, на котором и имеем честь находиться. Для антивирусных решений именно как защиты системы, компьютера и в конечном итоге - информации (то есть, Информационной Безопасности как таковой) этот параметр (лечение..) имеет отношение весьма отдаленное. Тем более, никакого отношения не имеет к, так называемому, "качеству" антивирусов. Если бы это было подчеркнуто авторами исследования, - тест можно было бы считать вполне приемлимым и целесообразным. Но, естественно, этого не произошло и, как всегда, имеем простую рекламу и пиар для несведующих пользователей. Жаль.
Последний раз редактировалось aleksdem; 25.10.2008 в 11:39.
-
А я считаю, что этот тест имеет прямое отношение к качеству антивируса. Лично мне не нужен антивирус, который не может вылечить зараженный компьютер, хотя сигнатура зловреда в базе есть. На мой взгляд для антивируса это самый важный параметр - уметь вылечить зараженный компьютер, потому что антивирусы нередко ставятся на уже зараженную систему именно для лечения. Кроме того, из-за недостатков сигнатурного метода детектирования нередки случая заражения, если антивирус уже установлен, но сигнатуры не было в базе. Так вот, хороший антивирус после попадания сигнатуры в базы должен обнаружить зловреда на компьютере, а не делать вид, что все в порядке.
Зловредов с руткит-технологиями сейчас стало много, и не обращать внимание на эту проблему - значит, просто отстать в технологическом развитии.
Что качается отдельных антируткит-утилит, то не каждый пользователь антивируса будет ими пользоваться и не каждый умеет их использовать.
По поводу утилит против конкретных зверей - как простому пользователю узнать, какой у него зверь, да еще и по классификации отдельного вендора?
Да и утилита против одного зверя как-то не очень гарантирует чистоту компьютера во времена, когда компьютер нередко заражается кучей зловредов различных видов. Здесь утилиты-антируткиты лучше, чем утилиты против отдельных зловредов, т.к. ищут не (только) по сигнатуре, а детектят методы маскировки вредоносных программ.
-