» Обзор антивирусов под Windows XP

valhalla
Перебор пароля - слишком долго и нецелесообразно. Контрольная сумма? Теоретически возможно, но только для тела не полиморфного вируса. В случае зараженного файла - нереально. Так что по большому счету - пустая трата ресурсов.

Кто нибудь еще с KIS7 может прокомментировать ситуацию?

Добавлено:
valhalla
Дуплет . Думаю, комментарии излишни, хотя политика KIS7 выглядит по меньшей мере странно. Учитывая то, что вирус в запароленном архиве не представляет опасности, считаю, более логичным прибить его при извлечении.

Mylord666

Цитата:

хотя политика KIS7 выглядит по меньшей мере странно

Это политика и KIS6 тоже. Причем только для zip-архивов. Для rar не действует.

Добавлено:
Можно легко проверить самому - взять любой exe, запаковать в zip с паролем и натравить каспера. Вот так легко и просто любой пользователь может создать "вирус"

abz
cracklover
Ребята, в чем проблема? Поставьте 7-ку и зайдите на сцылу, али жЁпу лень оторвать от моника? Все же можно перепроверить

valhalla
Хе-хе, а вот с экзешником и ЗИПом я не пробовал вечером проверю и екзе и картинку с ЗИПом и РАРом

Результаты нового теста от VIRUS.GR
http://www.virus.gr/english/fullxml/default.asp?id=85&mnu=85

...Хотя бы кто-то додумался тестировать антивирусы с максимальными настройками...Но что и как в этом тесте - абсолютно неизвестно...

Цитата:

Любой exe-файл, запакованный в zip-архив с паролем, определяется каспером как вирус "Password-protected-EXE".

Цитата:

Можно легко проверить самому - взять любой exe, запаковать в zip с паролем и натравить каспера. Вот так легко и просто любой пользователь может создать "вирус"

Попробовал.



Не вижу
Цитата:

определяется каспером как вирус "Password-protected-EXE"

Цитата:

Результаты нового теста от VIRUS.GR
http://www.virus.gr/english/fullxml/default.asp?id=85&mnu=85

че то AVIRA AntiVir не видно..

Цитата:

че то AVIRA AntiVir не видно..

Они это обосновали:
Цитата:

Avira uses the exact same engine as AntiVir.

Т.е, по русски это будет "Avira использует тот же самый движок что и AntiVir. Весьма странное обоснование в свете вот этого:

Цитата:

1. Kaspersky version 7.0.0.43 beta - 99.23%

2. Kaspersky version 6.0.2.614 - 99.13%

3. Active Virus Shield by AOL version 6.0.0.308 - 99.13%

4. ZoneAlarm with KAV Antivirus version 7.0.337.000 - 99.13%

Ну там есть и другие очень странные вещи.

RussianNeuroMancer

Цитата:

Не вижу

Возьми arp.exe из Windows/System32. Запакуй в zip с паролем. Проверь.

Цитата:

Возьми arp.exe из Windows/System32. Запакуй в zip с паролем. Проверь.

Пишут что вирусов нет. Есть подозрение на вирус.

Добавлено:
Да, похоже один каспер оказался таким подозрительным :

BOLiK_Ltd

Цитата:

Пишут что вирусов нет. Есть подозрение на вирус.

Речь идет о программе KAV6. А ты о чем?

valhalla

Цитата:

А ты о чем?

А что на скриншоте не видно? Под рукой KAV 6 не было, поэтому проверил на сайте. Если у тебя результат проверки другой, тогда скрин в студию. Но больше чем уверен, что результат проверки версией, которая у тебя установлена на компе ни чем не будет отличатся от результата онлайн проверки на сайте.

BOLiK_Ltd

Цитата:

А что на скриншоте не видно? Под рукой KAV 6 не было, поэтому проверил на сайте. Если у тебя результат проверки другой, тогда скрин в студию. Но больше чем уверен, что результат проверки версией, которая у тебя установлена на компе ни чем не будет отличатся от результата онлайн проверки на сайте.

Результат проверки программой - вирус. Поверь на слово.

Цитата:

Возьми arp.exe из Windows/System32. Запакуй в zip с паролем. Проверь.

Да, проблема действительно есть, отписал разработчикам.

А как вообще устроены антивирусные базы? Я думал что сигнатуры,которые скачиваем и храним,занимаемое ими место будет постоянно увеличиваться. Я вот только что посмотрел локальную папку-зеркало для обновления Нода,так оно не сильно меняется(кажется что было когда-то даже больше,наверное до последнего крупного обновления размером в 6 мегабайт).

Crazy_Master

Цитата:

А как вообще устроены антивирусные базы? Я думал что сигнатуры,которые скачиваем и храним,занимаемое ими место будет постоянно увеличиваться.

Под BitDefender : замена файла на более новые или иногда меняют сами EXE.
Изредка EXE добавляют или добавляют новые файлы - но немного.
Но думаю, что у каждого антивируса базы устроены по своему.

valhalla
Ответ разработчиков таков:
Цитата:

Это детектирование было добавлено из-за того, что в последнее время участились случаи распространения зловредов в архивах, защищенных паролем.

KUSA

Цитата:

Под BitDefender : замена файла на более новые или иногда меняют сами EXE.
Изредка EXE добавляют или добавляют новые файлы - но немного.

Что-то я ничего не понял. Можно поподробнее, как у BD устроены вирусные базы и что меняется при добавлении сигнатур?

Цитата:

Это детектирование было добавлено из-за того, что в последнее время участились случаи распространения зловредов в архивах, защищенных паролем.

они там что совсем того ?

Panzer

Цитата:

Можно поподробнее, как у BD устроены вирусные базы

Я не разработчик , описал и так подробно.

Trojan-PSW.LdPinch
http://slil.ru/24396521
пароль - viruses


Цитата:

AhnLab-V3 2007.5.24.0 05.23.2007 no virus found
AntiVir 7.4.0.27 05.23.2007 TR/Agent.27769
Authentium 4.93.8 05.23.2007 Possibly a new variant of W32/new-malware!Maximus
Avast 4.7.997.0 05.22.2007 no virus found
AVG 7.5.0.467 05.23.2007 no virus found
BitDefender 7.2 05.23.2007 DeepScan:Generic.Malware.SFYd!ldldg.A7BF8C0C
CAT-QuickHeal 9.00 05.23.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 05.23.2007 Trojan.Spy-5453
DrWeb 4.33 05.23.2007 no virus found
eSafe 7.0.15.0 05.21.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3655 05.23.2007 no virus found
Ewido 4.0 05.23.2007 no virus found
FileAdvisor 1 05.23.2007 Low threat detected
Fortinet 2.85.0.0 05.23.2007 suspicious
F-Prot 4.3.2.48 05.23.2007 W32/new-malware!Maximus
F-Secure 6.70.13030.0 05.23.2007 LdPinch.JVR
Ikarus T3.1.1.8 05.23.2007 Trojan-Spy.Win32.Agent.DI
Kaspersky 4.0.2.24 05.23.2007 no virus found
McAfee 5037 05.23.2007 no virus found
Microsoft 1.2503 05.22.2007 no virus found
NOD32v2 2287 05.23.2007 no virus found
Norman 5.80.02 05.23.2007 LdPinch.JVR
Panda 9.0.0.4 05.23.2007 Suspicious file
Prevx1 V2 05.23.2007 no virus found
Sophos 4.17.0 05.23.2007 Mal/Basine-C
Sunbelt 2.2.907.0 05.17.2007 VIPRE.Suspicious
Symantec 10 05.23.2007 no virus found
TheHacker 6.1.6.121 05.23.2007 no virus found
VBA32 3.12.0 05.22.2007 MalwareScope.Trojan-PSW.Pinch.42
VirusBuster 4.3.23:9 05.23.2007
Webwasher-Gateway 6.0.1 05.23.2007 Trojan.Agent.27769

Каспер и Нод в пролёте

Alien999

Цитата:

Каспер и Нод в пролёте

Ну а что ты хотел?! Они бы ещё 1.0 версию юзали!

Добавлено:

Alien999
NOD32 2.70.37 в пролете...а что, собственно делает этот троян?

Mylord666

Цитата:

а что, собственно делает этот троян?

Цитата:

Семейство "троянских коней", ворующих пароли пользователя.

viruslist.com

abz


Цитата:

Ну а что ты хотел?! Они бы ещё 1.0 версию юзали!

abz

Цитата:

Ну а что ты хотел?! Они бы ещё 1.0 версию юзали!

Молодец каспер. Эвристика или PDM ? На virustotal только файловые сканеры, как ты понимаешь.

Цитата:

Эвристика или PDM ?

Эвристика

Alien999

Ну, у меня же поймал! 7-ка. Так, что я даже больше рад, что без сигнатур он смог сдетектить правильно. Раньше у KAV была в этой части ахиллесова пята. Теперь всё значительно лучше.

abz


Очень рад за тебя

Наконец в каспере проявились зачатки эвристики, жаль только 7-ка - бэта версия.
Всё равно касперу(6) не зачёт

Alien999

Цитата:

жаль только 7-ка - бэта версия.

Она уже тех.релиз.