Тестируем антивири
 

Свершилось: я приготовил небольшой тестовый набор для антивирусов. Его я прикреплю к этому посту. Рекомендую прочитать файл Read_ME.txt что в архиве: прояснится почему файлы так названы. Пароль: Interceptor

Мои итоги тестирования:
Я тестировал Каспера и Вэба. Базы обновлены сегодня часа в 2 дня. Результаты:

Каспер:
Чистяк: все три
Упаковщики: все три
Обработка: 10 из 13 (не распознаны: server_hz, server_Pe-patcher+upx и server_hidePE+spoof+StealthPE+ASPack)

Вэб:
Чистяки: 1 из 3 (не обнаружен пинч и logs)
Упаковщики: 0 из 3 (не один упаковщиков не распознан)
Обработка: 8 распознано и 1 под подозрением (не распознаны server_hz, server_StealthPE, server_hidePE+upx+StealthPE+spoof и server_hidePE+StealthPE).

Насчёт пинча у Вэба. В принципе, его он распознаёт... если включить в пинче получение системной инфы. Но я выключил это. Значит, у Вэба с сигнатурами тоже не всё в порядке :rolleyes:

Итог
То, что Вэб распознал меньше Каспера в Обработке вовсе не означает, что у него хуже анализатор. Как раз наоборот!
Неделю назад Каспер при обработке spoof вообще не ловил, а Вэб ловил и тогда и сейчас. Из этого следует, что алгоритм Вэба лучше: Каспер просто обновил сигнатуры спуфки, а Вэб и без этого всё определял. Каспер удачно определил трой, обработанный Pe-patcher'ом. Но после того, как я этот самый распознаный файл упаковал upx оказалось, что Каспер перестаёт детектить. Вывод: плохо обновили сигнатуры и Каспера; анализатор файлов убогий.
Вэб же нехочет распознавать файлы, если шифруется секция с точкой входа.
Можно было эксперементировать и создавать только такие трои, которые Каспером ловились бы, а Вэбом - нет. И наоборот.
В итоге: у меня на компе стоит Каспер и Вэб и оба друг друга дополняют ;)

Вэб порадовал меня своим анализатором файлов: сигнатуры ему написали когда-то один раз и с ними он до сих пор нормально работает.

Жду что скажите ВЫ.
БОЛЬШАЯ ПРОСЬБА: не надо подкладывать свинью, скормив всё нераспознанное антивирусным лабораториям, обновив базы и заявив, мол мой антивирь всё распознал, а у вас одно барахло. Будьте хоть капельку чесными :)

Пользуюсь Каспером 5.0.121, имею ключик. Вопрос нет. :yees:
По моему самый нормальный антивирус, не уверен на 100% так как я ещё не юзал pro версию

TemplarE
В смысле? Всё прекрасно отлавливает?
Я им тоже пользуюсь (и ещё Вэбом). То вот одна неприятность есть: при создании его значка на панели Total Commander и перетаскивании на значок папки отказывается проверять. А версия 4.5 проверяла нормально

И давно стоят? Проблем с сетью, закачками нет?

The Game
Пару месяцев
Нет и не было. Я мониторы не использую: тока сканеры и плагин к мышу от Каспера

ВСЕМ
Что-то многие хотели потестировать, я выложил и никто не оставляет результаты. А для того тады я всё это делал? :confused:

Interceptor
Каспер. тож самое, что и у тебя. тока мой server_Pe-patcher в Обработке словил.

Plague
Я пока возился с тестовыми совсем запутался в названиях ;)
Этот-то у меня тоже ловит. А не ловит server_Pe-patcher+upx
Поправлю свой пост

Interceptor
а зачем, если ты результат знаешь

Rollers
А я не для себя. Я для других. Чтобы наконец-то развеялся миф, что антивирус ихний защитит от любого вируса: мол, ихний антивирус за версту подвох чует ;)
Пущай разуверятся.
Ну, и мне интересны данные тестирования разных антивирусов.
Судя по молчанию в этой теме антивирусы не всё поймали и многие, кто расхваливал свой антивирь теперь сидят и не вспоминают о своих мыслях, что их антивирус лучше :p

Eset NOD32
Информация антивирусной системы NOD32
Версия вирусной базы данных: 1.796 (20040626)
Датирована: 26 июня 2004 г.
Найден тоже только 1 троян
server.exe - Win32/DTR.142.D троян

Что-то есть у меня подозрение что некоторые "эти самые" после их запаковки стали мертвыми.... Поковыряю расскажу результат....

Идиального антивируса нет и не будет потому как есть "гении" которым "слава" вирусописателей спать не дает. И они занимаются всяческой модификацией того что есть и перепаковкой... Это не намек на Вас это просто факты...

Можно вообще накарябать свой упаковщик тогда ни какой антивирус в прямом сканировании не найдет даже Yankee Doodle...

P.S. Официальный представитель PandaSoftware....

По поводу Тренда:
Не распознан Pinch ни в каком из видов. (я его еще по пьяни запустить умудрился!:biggrin: )
Все остальное схавал без проблем.
Я что идеального антивируса не существует, с этим никто никогда и не спорил.

На сайте kpnemo запостил ссылочку на тестовый файл с троями, дык Symantec'овский Corporate с последним обнавлением нашёл 8 из 25 ???
Я в ужасе. Что теперь ставить, KAV 5 только Personal, Drweb что-то расслабился, может чё посоветуете на 2003 Сервер. Нод тож задрал.
Может KAV можно как-то к серверу преручить?

XoxoL
Это очень интересно! Нужно будет скачать его и поковыряться.

Nathan
Ага, XoxoL вон тоже решил проверить ;)

XLink
Нет универсальныз антивирей! Надо это понимать (если разобраться как он работает - так вообще всё поймёшь насчёт антивирей). Можно увеличить кол-во распознанных путём увеличения антивирусов на тачке!
Но я уверен, что сколько бы ни стояло антивирей всегда найдётся такой вирь, который не будет детектиться всеми антивирями!
А лучшее средство против вирей - собственный опыт и мозги: они не дадут тебе заразиться :)

Mcafee VirusScan Ent 8i Beta2
 

Sorry for translit.
Proveril Mcafee poslednyu betku Enterprise - razocharovalsya :confused:

From "Chistak" - 3 obnaruzhil.
From " Upakovshiki" - 2 (server_2.exe and server_neo.exe)
Itogo -5.
:help:

Guest11
В обработке вообще не поймал ничего?

Interceptor
Net - nichego. Dazhe obidno za NAI.
Proveril esho raz VirusScan`om Enterprise 7.1 - tezhe rezultati.
Dat and Engine v oboich sluchayach bili poslednie.

[QUOTE=Interceptor]

Мда, не повести печальнее на свете чем......
Короче.. Обновлял я базу на панде 3 раза за сегоднящний день.

Локально Platinum 7.06 rus

Результат 1 файл был признан родным.
Обнаружен вирус: Backdoor Program Антивирусная проверка по з... 06/28/04 22:10:57 Вылечено Путь: C:\0\vir\Testing1\Чистяки\server.exe

Сетевая Panda EnterpriSecure Antivirus, на клиентских местах спокойно обнаруживает 24 вируса в 25 файлах.

Что за фигня мне не понятно..... :confused:

Обновления в обоих случаях сегодняшние...

Nathan
Может, алгоритмы поиска разные?
Вообще, сдаётся мне, что кто-то тестовый набор скормил в антивирусные лаборатории. Или чел, что сказал (на сайте kpnemo.ru), что NAV распознал всё. кроме упаковщиков врёт?

Последние новости: кто-то сдал Вэбу набор и тот теперь всё детектит.

Ну, и флаг ему в руки. Нужно будет - сделаем неопределяющиеся всё равно!
За сим, тесты можно прекратить, а умника, сделавшего медвежью услугу наградить презрением ;)

я тут как раз тестю родственника Dr.WEB
Virus Chaser называется - движок от ВЕБ , паук в трее (правда красный а не зеленый), базы похоже ваще один в один (называются тока чуть по другому),интерфейс другой
вообщем обновил базы и подсунул ему творение Interceptor
нашел вроде все
если ничего не напутал то там в 3-х директориях 13 файлов с подарками
вот лог
28.06.2004 19:47:42 server_hidePE+StealthPE.exe C:\virus\Testing12\Testing1\Обработка BackDoor.Dtr.142 0
28.06.2004 19:47:42 server_hidePE+upx+StealthPE+spoof.exe C:\virus\Testing12\Testing1\Обработка BackDoor.Dtr.142 0
28.06.2004 19:47:42 server_hidePE+upx+StealthPE.exe C:\virus\Testing12\Testing1\Обработка BackDoor.Dtr.142 0
28.06.2004 19:47:42 server_hz.exe C:\virus\Testing12\Testing1\Обработка BackDoor.Dtr.142 0
28.06.2004 19:47:42 server_StealthPE2.exe C:\virus\Testing12\Testing1\Обработка BackDoor.Dtr.142 0
28.06.2004 19:47:42 server.exe C:\virus\Testing12\Testing1\Упаковщики BackDoor.Dtr.142 0
28.06.2004 19:47:42 server_1.exe C:\virus\Testing12\Testing1\Упаковщики BackDoor.Dtr.142 0
28.06.2004 19:47:42 server_2.exe C:\virus\Testing12\Testing1\Упаковщики BackDoor.Dtr.142 0
28.06.2004 19:47:42 server_fsg.exe C:\virus\Testing12\Testing1\Упаковщики BackDoor.Dtr.142 0
28.06.2004 19:47:42 server_neo.exe C:\virus\Testing12\Testing1\Упаковщики BackDoor.Dtr.142 0
28.06.2004 19:47:42 server_PEComp.exe C:\virus\Testing12\Testing1\Упаковщики BackDoor.Dtr.142 0
28.06.2004 19:47:42 mstasks.exe C:\virus\Testing12\Testing1\Чистяки Trojan.Tofger.16896 0
28.06.2004 19:47:42 Pinch.exe C:\virus\Testing12\Testing1\Чистяки Trojan.PWS.LDPinch.166 0

а ваще-то я за Dr.WEB - хотя идеальных вещей и не бывает

хм , да действительно если убрать 22 базу Virus Chaser не видит нифига
надо будет на нормальном ВЕБе посмотреть

NOD32 Последнее обновление: 1.796
В архиве сканировал по одной все папки, затем сканировал по одному все файлы в этих папках: неизменно получал один ответ:
C:\DOCUME~1\*****\LOCALS~1\Temp\Rar$VR13.263\Testing1.rar\Testing1\Чис тяки\server.exe - Win32/DTR.142.D trojan

ВСЕМ
Теперь понятно почему ВЭБ обновил сигнатуры и базу: просто на форуме оффсайта ВЭБа кто-то выложил мой пост и ссылку на тестовый архив.
Ну, что сказать: попарился я 20 минут и снова небольшая коллекция нераспознанного ;)
Поэтому мне плевать, что вири мои сдали. Главное - кое-кто успел понять чего стоит его антивирь!

Interceptor
Ребята, я *уею... Я пользуюсь AntiVir (http://www.free-av.com/). Почему? Да посто на этом же форуме уже выкладывали базы вирусов и сравнивали, кто больше найдёт. Тогда этот антивирусник нашёл всё! НО СЕЙЧАС! Ни одного срабатывания!!! Я проверил все 3 папки, и всё три чистые... :eek: :eek: :eek:
Может я чё не то сделал... Но это жопа просто :confused:

Не понятно, время обновления одинаковое, количество вирусов одинаковое.. А размер sig файла разный! :eek:

Прикольно! :-)
Может они компиляют по разному этот sig файл?!

Boy Genius
Дык, выложили же вири, которым не первый год!
Кстати, в моём архиве тоже не самые свежие (одному уже несколько лет ;) )
то, что не находит запакованные означает, что упаковщики не часто обновляет (или вообще не обновляет)
Ну, а обработка - алгоритм поиска плохой ;)

Esho odna iz proverok.
_hxxp://searchsecurity.techtarget.com/tip/0,289483,sid14_gci967559,00.html?track=NL-362&ad=484307

Guest11
И в чём суть проверки?

Да это много чего означает. Это означает полный п. Дырка а не антивирус.
А сам на какойм сидишь?

Boy Genius
Каспер+Вэб. Но они у меня тока для тестов + иногда систему проверяю. Ну, и плагин Каспера в TheBat!'е торчит.
Хочу ещё Trend опробовать...

Так... Каспер тоже теперь всё сечёт... Тока сегодня начал...
Говорят, и Панда тоже... но сечёт криво: пишет, что заражено чем-то, что не имеет отношения к троям-чистякам.

Кстати, на сайте Кэпа многие "умники" заявили, что их антивирь всё распознал и они все такие крутые-раскрутые. Мда... ладно: это их проблемы

Насчёт Вэба. Я разочаровался. Думал, они разобрались с упаковщиками типа fsg и т.д. т.к. DTr, упакованный fsg 2.0 он распознал.
Каково же было моё удивление, когда я запаковал пинча им: молчит!
То же самое с другими упаковщиками. По ходу, им просто ЛЕНЬ полностью разобраться с упаковщиками.

F-Secure нашёл всё. Он не такой удобный как Касперский, не запрашивает пароли на архивы, потому пришлось разархивировать твой рар. По ходу разархивации вылетали предупреждения и советы, что сними делать. Сделал как советовали, и в разархивированной папке стало пусто, там только остался Read_ME.txt :yees: :biggrin: :claps:

Boy Genius
Дык, чего радуешься? Архив тестовый уже по нескольким антивирусным лабораториям прошёлся! Скорее всего, побывал и у F-Secure.

Мне так кажется что каспер круче всего(сам на вебе сижу но бесит их ЛЕНЬ) а каспер и спуфку разнюхал и даже архив твой проанализировал так что он самый оперативный что значит что он самый лучший( в наше время чистяков и шифрования) :contract:

Я около года висел на Avast
Не плохой. Трои определил все.. Всякие чернобыли тоже.. Я был доволен, пока не понял, что словил dcom вирус, который досит мою машину. Аваст потом нашел его, но почему то уже после того как он меня начал долбать!

Псих
Как сказал один спец по комп безопасности: "Патчи дано ставить тада, когда они вышли, а не тада, когда петух в ж*пу клюнет" ;) И он совершенно прав!

Linker
Ну, он не сразу её разнюхал: тока после того, как разобрался как новая (на то время) версия действует. А Вэб чуял вирь даже там, где спуфка тока созданная потрудилась ;)

Так что мой выбор: несколько антивирей нужно иметь

Имхо, это довольно притормаживает машину!

Псих
Ничего не притормаживает: мониторы от них я вообще не юзаю - не к чему! Тем более оба сразу

А... ну тады это другой вопрос!

Ещё немного информации по теме:
http://obmen.daphouse2.com/obmen/crackvirus.zip (12Kb)