Тест на лечение активного заражения

http://www.anti-malware.ru/malware_treatment_test_2011

В победителях сами знаете кто и сами знаете почему.

Собственно вопрос. В вашей личной практике вам приходилось встречаться с ситуациями когда вот эти платиновые и золотые программы действительно с чем-то справлялись?

У меня есть свежий пример. На днях приносили протрояненный ноут. Как выяснилось помимо троев (какой-то ринг3 недоруткитес) там стоял как раз один из победителей этого теста - лицензионный Доктор Веб 6.0 с самыми распоследними базами на тот момент. При этом на компе творился ад и израиль и данный золотой победитель не только ничего не видел и мог, но и активно мешал чистке компа пожирая его ресурсы. Естественно первым же делом это гуано было отправлено в мусорку со всеми своими дровами. Комп почистили, а его юзер долго материлил Данилова и Ко за впустую потраченные деньги.

 

Kaspersky - плАтина. йа умир... =\

 

Тот сайт же и создан касперским для самопиара, если не ошибаюсь.
Ничего исключительного в "платине" и "золоте" не вижу, даже наоборот, весьма отстойные аверы (по сравнению с тем же AVG например).

 

Это чисто синтетический тест, который отражает только следующее - соответствие заявленных (явно или нет) возможностей того или иного продукта действительности. Что, собственно, я им и говорил когда шло обсуждение, что брать и как с этим работать.

Рассматривать его как реальный тест на действительно лечение действительно активного заражения вредно для здоровья.

Почему? Смотрим методологию теста (http://www.anti-malware.ru/node/4404), выдержки ниже.

Критерии отбора зверушек.

Т.е. все компоненты зверушки (дроперы, драйверы, длл-ки) должны сигнатурно детектироваться продуктами. Это самое важное требование - о нем чуть ниже. Назовем его критерием А.

Т.е. это еще один критерий так называемых идеальных условий. Назовем критерий Б.

Досвидания винлоки и прочая кибергопота.

Смотрим отобранные зверушки.

Т.е. как видно список соответствует заявленным критериям. Что в нем делает представитель мертвого ботнета и ряд других трупов доподлинно неизвестно - видимо они взяты из-за каких-то выдающихся техник на борту, что в случае оригинального TDL несколько забавно. Бедный ZeroAccess который на голову выше половины вот этого шлака не попал в тест из-за критерия Б (не знаю почему не взяли хотя бы предыдущую версию, хотя вместо того же TDL/Rustock.B+). Из-за того же критерия не попала свежая черная энергия с блэклистом антивирусов на борту, Bagle и прочие. Это объясняется авторами теста тем, что тестирование самозащиты продуктов проводится в другом тесте. Про него я не буду говорить, но и в общем и в целом там полный facepalm.

Теперь сам тест. Берутся реальные тачки с хп (для tdloader'а взяли доп x64 7), на них устанавливается зверье, потом туда ставится продукт, идет сканирование и т.д.

Резюмируем - созданы идеальнейшие условия для демонстрации потенциала того или иного продукта. Так? А вот и нет. Этот тест показывает лишь:

А) Потенциал костылей которые были запилены заинтересованными участниками (поскольку не всем вендорам есть дело до каких-то российских тестов и те же руткиты из серии TDL вообще рекомендуется удалять/лечить в оффлайн режиме, а кто-то считает предупреждение заражения большим приоритетом и так далее - можно долго разводить демагогию).
Б) Простой пользователь намерянно или нет, но вводиться в заблуждение. Маркетинг, куда уж без него.

А что же в реальности? За последний год я видел множество отчетов разнообразных ремуверов для тех или иных руткитов, включая и большинство из списка выше. Забавно, но практически на каждой машине с этими руткитами присутствовал и один из "призеров", как правило еще и самой свежей версии.

Берем все эти сэмплы, делаем новый крипт, морф, что угодно чтобы сбить сигнатурный детект - все у большей части призеров (включая платины и золото) моментально отваливается и детект и лечение.

На мой взгляд подобные тесты напоминают фаллометрию в 3DMark.

Без полного и комплексного тестирования всех компонентов продуктов и их противодействия зверушкам на всех стадиях (drop, install, work) такие тесты бессмысленны как и все эти награды. Критерии А и Б в топку - они не имеют с жизнью ничего общего.

 

Тесты в сферическом вакууме.

Вот это точно.

 

На данный момент ДрВеб явяется лучшим антивирусом. Странно, что кто-то это не понимает. Ведь туда стремятся все хеккеры с васма, но даже их уровня оказывается недостаточно...

 

Такой вопрос напрашивается, на этих так называемых тестах был кто нить не из их банды ?! о_О
зы.: Макафе отлично справился со всеми всеми вышеперечисленными гуано троями и руткитосами (можете собственноручно прогнать сэмплы на virustotal).
зы.зы.: это не реклама нашего ав, это всего лишь правда, которую почему то банда косперского так не хочет признавать... )=

 

В Мкафее есть вакансии?

 

Satsura
погоди сатсура, какое вт? ты о чем вообще? Это был не тест на детект тупо тушек, лежащих в папочке collection, это динамик тест. И уж че че, а мкафе никогда шибко не блистал при детекте и лечении чего-либо сложнее длл в осле или хидрага в ехе.

табличку "сарказм" забыл
дырвеб не имеющий никаких превентивных технологий, который будет выражаясь языком sww "сосо" за обе щеки при первом же неизвестном ему трое - да это сила. почему он еще не подох кстати? доля рынка то считанные проценты даже в Рф

 

кто нибудь читал каменты ??? - там крадуться мелкомягкие намереваясь вытеснить всех,
имхо методология у них вобщем неплохая - сделать слепок чистой системы и потом загрузя ревизора с другой архитектурой так сказать с имунитетом искать отличия и проводить разборки

не за горами тот момент когда они определят в каких случаях минидампы будут делаться виндой автоматически и отправляться прямиком на анализ

 

Rockphorr
Там мс комент единственно валидный #5. Остальные не вменяемые.

 

phoukait
напиши мне в приват на сколько верны мои нубские соображения по твоему сэмплу (если не впадлу)

сори за офтоп

 

Rockphorr
Это вроде как облаком называется. В комоде реализовано.

 

Можете взять парочку образцов и проверить. Заражаете машину, потом ставите продукт, сканируете. Вот мы тут уже нашли полное расхождение в результатах с АМ по некоторым вещам.

 

intel_x128

недавно друг заразил свою вынь конфикером со старой флэшки. у него стояли др.веб, нод32, мс(не помню как зовется)антивирус. все с последгими обновлениями.
в момент заражения свиснул только мс. (хотя, он несколько параноидален, имхо). поверив, что мс его грохнул не стал отрубаться от инета.
через некоторое время пошла жара.
для эксперимента было поставлено и касперский и мкафе (Satsura). мкафе его, вроде, увидел, но на этом все.
помог только полный формат и переустановка.

имхо, др веб в основном чтобы думать, что в системе все гут.

 

qqwe

И шо, не конфликтуют? Странно.

Каждый выбирает по вкусу. Кому-то нужен параноидальный, кому-то нет. Но абсолютно безопасных всё равно нет, так что пример не показателен. Некоторое время назад попался экземплярчик, пробил FF под ограниченным юзером, nod32 палил только его отдельные мутации, будет время - поанализирую.

 

Booster

мс и нод - вроде нет. дрвеб не знаю. но мне было сказано, что все было норм.

насчет параноидальности это я о том, что мс может найти и грохнуть и нормальный прог. так что я его опасаюсь.
насчет непоказательности примера я не понял.

 

В Windows 95 антивирус вообще самый примитивный обновления 2005 года сойдет - все остальное рухнет само по себе

 

На счет ДрВеб-а - это был сарказм О_о
Перестал им пользоваться после выхода 4й версии, когда тот стал тормозить машину сильнее, чем касперский.

 

К черту касперского, кто нибудь может, сказать что либо о COMODO? Как об антивирусе и как о файерволле.