Тест на лечение активного заражения

EP_X0FF
Несколько часов, хм.
Ну ok, уговорили!
Какие продукты будем тестировать и на каких malware?
Дистры AV сам скачаю, семплы можете кидать в личку.

 

Тест на лечение активного заражения

А не парадокс ли такого рода тест вообще? Лечение подразумевает что "злобное" (malware) программное обеспечение хорошо осело в системе а стало быть успешно преодолело первый "рубеж обороны" - hips/чексуммы/heuristic/etc. Следовательно на тот момент детекции (как выше сказано - "тушек") не было но дезинфекция была?? Экзотические сценарии типа "приходи с винтом лечицца" как бы не являются основной задачей - ?

 

NTarakanov

Все TDL, Русток (Bubnix), Cutwail могу кинуть хоть сейчас. Остальное надо искать
Продукт - да наш выбор. Ну возьмите ту же платину или золото, так как у них большее покрытие "успехов".
Если они покрывают хотя бы теже TDL и Русток значит с более слабыми соперниками у них не должно возникнуть больших проблем.

edit:

Отправлено.

 

EP_X0FF
Принял.Эх, лучше было бы по почте через gpg, ну ладно, скачиваю с этого обменника.
Тестировать буду: KIS 2011, Avast!,AVG, Comodo.
TermoSINteZ

Тут ключевой момент, что исправляются быстро, после того, как были сообщены вендору.
Данный драйвер VBEngNT.sys, кстати, присутствует не только в Agnitum Outpost!

 

NTarakanov

Ок, ваши результаты будут интересны. Напоследок, чтобы не создать лишних вопросов - посмотрите файл (http://www.anti-malware.ru/files/active_infection_test5.xls) там указаны точные версии продуктов, какие были использованы в их тесте. Это для того чтобы исключить возможность костылей за время, что прошло после теста. Кроме того в этом файле также указано как обстояли дела с каждым образцом у того или иного продукта - например почему у него сняли баллы и так далее. Тестирование проводилось на реальных машинах, XP SP3 и x64 Win7 для TDL4. Шаги тестирования описаны здесь - http://www.anti-malware.ru/node/4404

 

офтоп

Вот скажите мне уваж модератор, что Вы ко мне прицепились?
Я уже не первый раз читаю такие выпады в свой адрес причем только от Вас.
Если у Вас не задался день, Вас постоянно мучает клеркус, я то при чем?
Да тема глупая шо вабще. Зато остальные темы в хипе тут просто полны глубинного смысла и няшек.

 

Да ладно вам ссориться би куул)

 

Под конфликтом понимается обычно наличие характерного запаха с валящим из системника дымом или регулярные BSOD'ы как минимум. А, например, когда один продукт наставит хуков, а второй половину из них заменит своими, а половину своих не сможет выставить из-за первого — это ж ни разу не конфликт. Потому что в результате этого всего лишь прекратится детект проактивкой/поведенческим анализатором.

А пользователь вообще в восторге, потому что теперь ему никто не задаёт глупых вопросов на тему разрешения отправки трёхэтажного RPC-запроса от gxcmgr.exe к svchost.exe. Сразу видно: два антивируса могут между собой и без него такую проблему обсудить и решить.

 

l_inc
+1 И еще удивляются, что только один что-то детектирует, когда трое СТОЯТ...

 

valterg
я приводил ситуацию. попробуйте на разных комбинациях ав. учитывая, что еще попадаются такие флешки, действенную комбинацию было бы полезно знать. например мне.

 

qqwe действенная комбинация - отключение службы автозапуска

 

Rockphorr

возможно, но меня интересует именно антивирь эффективный против этого старого червяка. (и работоспособный сэмпл в архиве. такой чтоб можно было заразить виртуаль и там повоевать с им. ато когда успеваю - уже потерто все)

 

1. Любой продукт (не только антивирусный, и не только программный) необходимо тестировать независимо. Это законы рынка. Потенциальный потребитель (если он сознательно совершает свой выбор) имеет потребность в независимой информации о продуктах, среди которых он выбирает. Информация от вендора - это "кот в мешке", и такую информацию необходимо подвергать независимому аудиту.
2. В лечение от заражения необходимость есть. Ибо пропускают все антивирусы (не сработала проактивка, не успели добавить детект новой модификации, обошли эвристик и пр.). Собственно, большинство авторов вредоносных программ (если хотят добиться успеха) добиваются того, чтобы их сэмплы проходили все антивирусы. Но когда данный сэмпл попадает в вирлаб, а затем в виде обновления к антивирусу попадает на компьютер пользователя, то необходимо компьютер вылечить. Тем не менее, некоторые производители антивирусов, не желая тратить ресурсы на организацию лечения, пропогандируют зомбо-мысль о том, что "главное - предотвратить заражение, а не лечить". Это несколько лукаво, но многие ведутся. И, кстати, подобные тестирования проводит только АМ.
3. Да, результаты каждого из синтетических тестирований достаточно сложно использовать для того, чтобы что-то сказать о продукте в целом. Но чем больше делается таких "срезов", тем более объективную общую картину можно составить.
4. Если гипотетически АМ прекратит тестирования, то останутся вообще недотестирования типа "просканировали архив вирусов из Интернета". И эта информация будет использоваться пользователями в качестве единственной доступной информации в рунете. Потому что другой не будет, а потребность в независимом аудите будет сохраняться. Мне кажется, что отказ АМ от тестов повлияет на антивирусную индустрию негативно.
5. На счёт независимости АМ и объективности результатов тестирования. Вендорам предоставляются сэмплы, а методология предоставляется вообще всем. Все результаты воспроизводимы и проверяемы. Кроме того, перед тестами на АМ обычно несколько месяцев идёт обсуждение методологии предстоящих тестов, в котором можно принимать участие, если что-то не нравится или кажется неправильным.

 

ValeryLedovskoy
Чтобы вылечить нужно потратить время, чтобы добавить сигнатуру можно сделать тупой diff. Время деньги, к тому же не факт что лечение будет корректным.

l_inc

А я думал теперь есть механизм подписки на события и подписка разрешена только подписанным приложениям, по крайней мере до меня доходили слухи об этом.

 

Я не совсем понял, Вы за то, что я написал, или против? И на что и за что Вы написали?
Извиняюсь за непонятливость

 

ValeryLedovskoy
Это я к тому, что для организации лечения нужно потратить какое-то человеко время, сигну же можно вообще автоматом добавить. Ну а в общем случае вылечить довольно затруднительно, главное ведь что - найти ОЕР, а это далеко не всегда просто сделать статическим анализом. И когда терабайты информации уже заражены, был у меня инцидент, антивирь лечил, но то что сидело глубоко в недрах он вылечить не мог, хоть и указывал на проблему. В общем когда зараза очень глубока, то лучше и правильнее не лечить, а ампутировать(не касательно людей конечно), imho конечно. Если зараза уже проникла, то вряд ли уже кто даст гарантии благополучного исхода.

 

Вот вероятность "благоприятного исхода" и показывается в результатах данного теста.
Есть и ещё один ценный момент, который показывает тест (при просмотре подробных результатов в xls). Многие антивирусы, даже после того как вредоносная программа попадает в базу сигнатур, не могут определить наличие инфекции. Из-за тех самых технологий скрытия в системе (наверное, про них Вы пишете "сидит глубоко"). В итоге пользователь компьютера в течение длительного времени может не узнать, что его компьютер заражён и используется как один из узлов бот-сети. Ради этого тоже стоит постоянно заниматься доработкой технологий, противодействующих технологиям скрытия. Иначе грош цена такому антивирусу. По результатам теста видно, что многие антивирусы даже "не видят" наличие заражения, даже если "знают" вредоносные программы.