Тест на лечение активного заражения

Тема в разделе "WASM.HEAP", создана пользователем reader323, 30 июл 2011.

Статус темы:
Закрыта.
  1. NTarakanov

    NTarakanov New Member

    Публикаций:
    0
    Регистрация:
    19 ноя 2010
    Сообщения:
    94
    EP_X0FF
    Несколько часов, хм.
    Ну ok, уговорили!
    Какие продукты будем тестировать и на каких malware?
    Дистры AV сам скачаю, семплы можете кидать в личку.
     
  2. PSR1257II

    PSR1257II New Member

    Публикаций:
    0
    Регистрация:
    25 июн 2011
    Сообщения:
    228
    Тест на лечение активного заражения

    А не парадокс ли такого рода тест вообще? Лечение подразумевает что "злобное" (malware) программное обеспечение хорошо осело в системе а стало быть успешно преодолело первый "рубеж обороны" - hips/чексуммы/heuristic/etc. Следовательно на тот момент детекции (как выше сказано - "тушек") не было но дезинфекция была?? Экзотические сценарии типа "приходи с винтом лечицца" как бы не являются основной задачей - ?
     
  3. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    NTarakanov

    Все TDL, Русток (Bubnix), Cutwail могу кинуть хоть сейчас. Остальное надо искать :)
    Продукт - да наш выбор. Ну возьмите ту же платину или золото, так как у них большее покрытие "успехов".
    Если они покрывают хотя бы теже TDL и Русток значит с более слабыми соперниками у них не должно возникнуть больших проблем.

    edit:

    Отправлено.
     
  4. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    NTarakanov
    Ну про эту уязвимость я знал, читаю всеже багтреки, но она закрыта, о чем я и говорил - такие вещи закрываются довольно быстро. А сам доступ к устройству - как правило заблокирован теми же проактивками. А вывод какой??? А оч простой: Что если вирь осел в системе - аверы уже ничего как правило поделать не могут.
    Поэтому смысла никакого нету в этой очень глупой теме поднятой ТС-ом.
    Вот и все.
     
  5. NTarakanov

    NTarakanov New Member

    Публикаций:
    0
    Регистрация:
    19 ноя 2010
    Сообщения:
    94
    EP_X0FF
    Принял.Эх, лучше было бы по почте через gpg, ну ладно, скачиваю с этого обменника.
    Тестировать буду: KIS 2011, Avast!,AVG, Comodo.
    TermoSINteZ
    Тут ключевой момент, что исправляются быстро, после того, как были сообщены вендору.
    Данный драйвер VBEngNT.sys, кстати, присутствует не только в Agnitum Outpost!
     
  6. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    NTarakanov

    Ок, ваши результаты будут интересны. Напоследок, чтобы не создать лишних вопросов - посмотрите файл (http://www.anti-malware.ru/files/active_infection_test5.xls) там указаны точные версии продуктов, какие были использованы в их тесте. Это для того чтобы исключить возможность костылей за время, что прошло после теста. Кроме того в этом файле также указано как обстояли дела с каждым образцом у того или иного продукта - например почему у него сняли баллы и так далее. Тестирование проводилось на реальных машинах, XP SP3 и x64 Win7 для TDL4. Шаги тестирования описаны здесь - http://www.anti-malware.ru/node/4404
     
  7. reader323

    reader323 New Member

    Публикаций:
    0
    Регистрация:
    8 июл 2009
    Сообщения:
    134
    офтоп

    Вот скажите мне уваж модератор, что Вы ко мне прицепились?
    Я уже не первый раз читаю такие выпады в свой адрес причем только от Вас.
    Если у Вас не задался день, Вас постоянно мучает клеркус, я то при чем?
    Да тема глупая шо вабще. Зато остальные темы в хипе тут просто полны глубинного смысла и няшек.
     
  8. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    reader323
    Не надо читать между строк, я говорил о теме, и что на ровном месте чуть не началось поливание грязью, о вас конкретно речи не шло.
     
  9. Phyber

    Phyber New Member

    Публикаций:
    0
    Регистрация:
    27 мар 2010
    Сообщения:
    96
    Да ладно вам ссориться :) би куул)
     
  10. l_inc

    l_inc New Member

    Публикаций:
    0
    Регистрация:
    29 сен 2005
    Сообщения:
    2.566
    Под конфликтом понимается обычно наличие характерного запаха с валящим из системника дымом или регулярные BSOD'ы как минимум. А, например, когда один продукт наставит хуков, а второй половину из них заменит своими, а половину своих не сможет выставить из-за первого — это ж ни разу не конфликт. Потому что в результате этого всего лишь прекратится детект проактивкой/поведенческим анализатором.

    А пользователь вообще в восторге, потому что теперь ему никто не задаёт глупых вопросов на тему разрешения отправки трёхэтажного RPC-запроса от gxcmgr.exe к svchost.exe. Сразу видно: два антивируса могут между собой и без него такую проблему обсудить и решить.
     
  11. valterg

    valterg Active Member

    Публикаций:
    0
    Регистрация:
    19 авг 2004
    Сообщения:
    2.105
    l_inc
    +1 И еще удивляются, что только один что-то детектирует, когда трое СТОЯТ...
     
  12. qqwe

    qqwe New Member

    Публикаций:
    0
    Регистрация:
    2 янв 2009
    Сообщения:
    2.914
    valterg
    я приводил ситуацию. попробуйте на разных комбинациях ав. учитывая, что еще попадаются такие флешки, действенную комбинацию было бы полезно знать. например мне.
     
  13. Rockphorr

    Rockphorr Well-Known Member

    Публикаций:
    0
    Регистрация:
    9 июн 2004
    Сообщения:
    2.622
    Адрес:
    Russia
    qqwe действенная комбинация - отключение службы автозапуска
     
  14. qqwe

    qqwe New Member

    Публикаций:
    0
    Регистрация:
    2 янв 2009
    Сообщения:
    2.914
    Rockphorr
    возможно, но меня интересует именно антивирь эффективный против этого старого червяка. (и работоспособный сэмпл в архиве. такой чтоб можно было заразить виртуаль и там повоевать с им. ато когда успеваю - уже потерто все)
     
  15. ValeryLedovskoy

    ValeryLedovskoy New Member

    Публикаций:
    0
    Регистрация:
    4 авг 2011
    Сообщения:
    3
    1. Любой продукт (не только антивирусный, и не только программный) необходимо тестировать независимо. Это законы рынка. Потенциальный потребитель (если он сознательно совершает свой выбор) имеет потребность в независимой информации о продуктах, среди которых он выбирает. Информация от вендора - это "кот в мешке", и такую информацию необходимо подвергать независимому аудиту.
    2. В лечение от заражения необходимость есть. Ибо пропускают все антивирусы (не сработала проактивка, не успели добавить детект новой модификации, обошли эвристик и пр.). Собственно, большинство авторов вредоносных программ (если хотят добиться успеха) добиваются того, чтобы их сэмплы проходили все антивирусы. Но когда данный сэмпл попадает в вирлаб, а затем в виде обновления к антивирусу попадает на компьютер пользователя, то необходимо компьютер вылечить. Тем не менее, некоторые производители антивирусов, не желая тратить ресурсы на организацию лечения, пропогандируют зомбо-мысль о том, что "главное - предотвратить заражение, а не лечить". Это несколько лукаво, но многие ведутся. И, кстати, подобные тестирования проводит только АМ.
    3. Да, результаты каждого из синтетических тестирований достаточно сложно использовать для того, чтобы что-то сказать о продукте в целом. Но чем больше делается таких "срезов", тем более объективную общую картину можно составить.
    4. Если гипотетически АМ прекратит тестирования, то останутся вообще недотестирования типа "просканировали архив вирусов из Интернета". И эта информация будет использоваться пользователями в качестве единственной доступной информации в рунете. Потому что другой не будет, а потребность в независимом аудите будет сохраняться. Мне кажется, что отказ АМ от тестов повлияет на антивирусную индустрию негативно.
    5. На счёт независимости АМ и объективности результатов тестирования. Вендорам предоставляются сэмплы, а методология предоставляется вообще всем. Все результаты воспроизводимы и проверяемы. Кроме того, перед тестами на АМ обычно несколько месяцев идёт обсуждение методологии предстоящих тестов, в котором можно принимать участие, если что-то не нравится или кажется неправильным.
     
  16. Booster

    Booster New Member

    Публикаций:
    0
    Регистрация:
    26 ноя 2004
    Сообщения:
    4.860
    ValeryLedovskoy
    Чтобы вылечить нужно потратить время, чтобы добавить сигнатуру можно сделать тупой diff. Время деньги, к тому же не факт что лечение будет корректным.

    l_inc
    А я думал теперь есть механизм подписки на события и подписка разрешена только подписанным приложениям, по крайней мере до меня доходили слухи об этом.
     
  17. ValeryLedovskoy

    ValeryLedovskoy New Member

    Публикаций:
    0
    Регистрация:
    4 авг 2011
    Сообщения:
    3
    Я не совсем понял, Вы за то, что я написал, или против? И на что и за что Вы написали? :)
    Извиняюсь за непонятливость :)
     
  18. Booster

    Booster New Member

    Публикаций:
    0
    Регистрация:
    26 ноя 2004
    Сообщения:
    4.860
    ValeryLedovskoy
    Это я к тому, что для организации лечения нужно потратить какое-то человеко время, сигну же можно вообще автоматом добавить. Ну а в общем случае вылечить довольно затруднительно, главное ведь что - найти ОЕР, а это далеко не всегда просто сделать статическим анализом. И когда терабайты информации уже заражены, был у меня инцидент, антивирь лечил, но то что сидело глубоко в недрах он вылечить не мог, хоть и указывал на проблему. В общем когда зараза очень глубока, то лучше и правильнее не лечить, а ампутировать(не касательно людей конечно), imho конечно. Если зараза уже проникла, то вряд ли уже кто даст гарантии благополучного исхода.
     
  19. ValeryLedovskoy

    ValeryLedovskoy New Member

    Публикаций:
    0
    Регистрация:
    4 авг 2011
    Сообщения:
    3
    Вот вероятность "благоприятного исхода" и показывается в результатах данного теста.
    Есть и ещё один ценный момент, который показывает тест (при просмотре подробных результатов в xls). Многие антивирусы, даже после того как вредоносная программа попадает в базу сигнатур, не могут определить наличие инфекции. Из-за тех самых технологий скрытия в системе (наверное, про них Вы пишете "сидит глубоко"). В итоге пользователь компьютера в течение длительного времени может не узнать, что его компьютер заражён и используется как один из узлов бот-сети. Ради этого тоже стоит постоянно заниматься доработкой технологий, противодействующих технологиям скрытия. Иначе грош цена такому антивирусу. По результатам теста видно, что многие антивирусы даже "не видят" наличие заражения, даже если "знают" вредоносные программы.
     
Статус темы:
Закрыта.