» Обзор антивирусов под Windows

George_S
я пролечил машину...о сэмплах не думал
sereja8
7я
Народ....я не рекламлю авг, и на вендоров мне пофиг. причём на всех и сразу. Я описал ситуацию, которая произошла со мной. только и всего.
Мораль? если отбросить лишнее (каспер, вэб, нортон) как необновлённые антивири, то в сухом остатке получим то, что нод с обновами и 2й и 3ей версии слил шаровому авг.

Bonchbruevich
Какой ещё авг, дай сылку на него и с ключём желаьельно. Протестирую его в самых жёстких тестах Сто пудов обламаю его, поверь

sereja8
http://forum.ru-board.com/topic.cgi?forum=5&topic=0660&glp

Цитата:

Какой ещё авг, дай сылку на него и с ключём желаьельно. Протестирую его в самых жёстких тестах Сто пудов обламаю его, поверь

А что вы, как тестер, о каспере можете сказать? KIS 7 в частности.

sereja8

Как обстоят дела с обломом?

pytex
На самом деле VirusTotal не всегда является авторитетом. Важно не только то, сколько вирусов находит антивирус, а и то вирусы ли это на самом деле. А то ведь можно дойти до Ikarus - тот даже запакованный блокнот Windows подозревает в вирусоносительстве.

Webwasher-gateway не антивирус в прямом понимании этого слова, а программируемый шлюз с поддержкой антивирусных функций. То есть, говоря по-русски, это не программа, а железяка. Кстати, мне ещё нравится Fortinet - тот единственный нашёл Rustock.C и правильно его назвал в запароленном (!) архиве, я аж сам прозрел (образчик тут: http://ifolder.ru/6973871 пароль 000, качайте и убедитесь сами).

Мне пока нравится Авира имхо, у меня стоит, но не халявная. АВГ - тоже ничего, но сильно уж монстрообразный (размеры) и отсюда - нестабильный. Ещё уважительно отношусь к Софос, но протестировать лично не могу - шибко дорогой, а Варезник молчит А НОД - отстой полнейший, руткиты не ловит вообще, подставил меня, что две машины работали нестабильно и накушали траффика на $20. Если уж тут вендоры пасутся - как там у нас дела с Trojan.Agent.HU???

Добавлено:
Bonchbruevich
sereja8
Видимо, облома не случилось
Для желающих "обломать" ссылка: # Там вирусов ОЧЕНЬ много, все можно скачать. Дерзайте! Только пользуйтесь по назначению.

gjf
Rustok.C первым детектировал ДрВеб... остальные не верили, что это дело существует... Каспер вообще до сих пор не верит(тяжело, даже статью написали, кому интересно ссылку дам, хотя можете и сами найти)...

Ikarus - дикая параноидальная сила, все порываюсь поставить его третьим антивирем на комп... Хрен с ним, что много ложных срабатываний, главное что видит то, что другие не видят.

Нельзя так против НОДа - несколько раз машины с дрвебом, каспером, нортоном, авирой чистил им(да-да и не надо удивляться) - задолбался на красное окно отвечать, в т.ч. и руткиты были....

Проверил кучу вирусов Stalker2008 с 52-й страницы. Осталось из кучи 380 образчиков дряни. Аккуратно сжал, выложил на Рапиду, а ссылку запостил на форуме поддержки Авиры. Ждём-с...
Кому интересно, список тех 380 образчиков [more] [/more]

Цитата:

Rustok.C первым детектировал ДрВеб... остальные не верили, что это дело существует... Каспер вообще до сих пор не верит

Верит - мне не дал извлечь с архива.. KIS 8.0.357

George_S
А как на счёт сделать проверку той кучей и для Веба, Каспера, НОДа? Я на НОДе лично обжёгся и моё недоверие ему - личное имхо. Когда-то он был очень хорошо, сейчас - нет.

По Вебу... Он его первый начал детектировать как Rustock. А зарубежом никто не знает Rustock, знают Ntldrbot, что одно и то же. А Авира знает Rootkit.gen, и начала его видеть значительно до Веба. И что? Давать пальму первенства за название или за детектирование?

Ссылку я дал, а вот подтверждение слов от VirusTotal для запароленного архива Раз!
и для собственно распакованного файла Два!

И я как-то подозрительно отношусь, когда питерский вирус находит питерский производитель антивирусов первым. Хотя может это всего лишь моя паранойя...

Цитата:

А что вы, как тестер, о каспере можете сказать? KIS 7 в частности.

Кис 7 расчитан в основном на сигнатурный метод+ПДМ, на сегодняшний день с вирусом Русток он не способен справиться.
В основном в каспере база сигнатур огромная, но как мы все уже знам обомануть сигнаруры очень легко, описывать метод я сейчас не стану. В КИС 2009 реализована защита, а именно HIPS способный защитить от кражи ваших данных, ПДМ хорошо ловит троян, которые регистрируются в автозагрузку, ловит Worm p2p, ловит вирусов, которые скрытно устанавливаются. + эвристика хоть и не самая лучшая, но хорошо справляется со своей работой.
Самое главное нужно правельно настроить HIPS. Одним словом на сегодняшний день аналогов не существует!!!


Цитата:

Webwasher-gateway не антивирус в прямом понимании этого слова, а программируемый шлюз с поддержкой антивирусных функций. То есть, говоря по-русски, это не программа, а железяка. Кстати, мне ещё нравится Fortinet - тот единственный нашёл Rustock.C и правильно его назвал в запароленном (!) архиве, я аж сам прозрел (образчик тут: http://ifolder.ru/6973871 пароль 000, качайте и убедитесь сами).

По поводу Рустка единственный, кто видит все его версии это Доктор Веб

gjf
Никто не рубит сук на которм сидит.... ДрВеб не способен на подлянку...

George_S
Тем не менее господин Данилов в прошлом - известный вирусописатель и автор даже нескольких книг на эту тему. А на счёт сук... Как вы думаете, каково денежное выражение повышения рейтинга и спроса программного продукта? не знаете - спросите Билла Гейтса И картина с повальными слухами о Мегавирусе, который-то мегавирусом в итоге не оказался, и о Счастливом Избавлении при помощи Супер-Мега-Антивируса ДрВеб очень похоже на любую пиар-компанию. Хотя, конечно, "я не волшебник, я только учусь..."©

Кстати, а кто вам сказал про ДрВеб и все версии Рустока? Вы вообще смотрели рапорт ВирусТотала в моём предыдущем сообщении? Повторяю: все версии Рустока уже ловятся. Ну разве что кроме тех, которые создала компания Данилова и ещё не выложила в сеть

И как-то быстро вы мнение о "другом российском производителе" поменяли

sereja8
Если Каспер претендует на занятие ниши HIPS - что же, удачи! На данный момент имеется достаточно много брендов, имеющих большой опыт в реализации HIPS, из бесплатных - Comodo, из отечественных - Safe'n'Sec и так далее. Совать нос в ту область, где всё и без тебя занято... Лучше бы, как справедливо отметили, эвристику подтянули да код оптимизировали на быстродействие и ресурсо-экономию.



Добавлено:
P.S. Кому интересна тема развития "ненайденных" Авирой вирусов - она здесь: Avira Forum Немцы очень боятся антирекламы - поудаляли все скрины, сволочи! Но мы-то знаем правду...

Цитата:

Лучше бы, как справедливо отметили, эвристику подтянули да код оптимизировали на быстродействие и ресурсо-экономию

Быстродействие и ресурсо-экономию в 8-ке подтянули (с 7-ой не сравнимо), а эвристику хз покажет время..

На 7-и машинах, как основной стоит Доктор, у мну две недели как Кис 8.0.357, до этого 7.0.125 был.
Про НОД в качестве основного даже слышать не хочу - дырявый, как решето!
Авира - вери гуд, особенно его эвристика - она у него лучшая!

З.Ы. старый тезис - одному антивирю доверять незя! надо периодически проверяться другими.

Цитата:

Повторяю: все версии Рустока уже ловятся.

А вот и нет
http://www.virustotal.com/ru/analisis/3ed2863289aac53d566a56d7c7f693ad
http://www.virustotal.com/ru/analisis/7d19464a7f07a742fe96fe3276d53c06
http://www.virustotal.com/ru/analisis/a1a7d3d5a778c63563136f024dd39b2f
Касперский и Нод в треьем случае ни ловят

sereja8
Ну во-первых это не Русток, а во-вторых - перепакован шибко, а это - слабое место НОДа (сам знал), и, как показал твой пример, Каспера.

serg_272
Ну кто же сравнивает разные версии одного продукта! Ты сравни 8-ку с другими антивирями - тогда можно о чём-то говорить.
Я не приверженец любителей двух антивирусов, поскольку это чревато конфликтами и торможением системы в целом, а в случае нахождения вируса - некорректным его удалением. Я - сторонник наличия антивируса+антируткита+файервола+HIPS. Сейчас на машинах стоят Comodo, Avira Professional, Rootkit Unhacker (люблю его, хотя проект и закрыт), GMER и UnHackMe, плюс USB Disk Security. Повторяю: в этом я - параноик, но система стабильна и не сильно жрёт ресурсы.

gjf

Нет никакой пиар-компании... ДрВеб наверное единственная компания у которой нет агрессии в маркетинге и рекламе, а жаль.... По поводу Рустока - а чтобы сделали Вы, если б знали, что есть уже зараженные бот-сети, и никто с этим не борется, так как не хочет просто жопу поднять и проанализировать семпл, который доктор всем разослал в середине 2007, но некоторые только в мае этого года поймали... Мне не сильно нравится доктор, но в данном случае я на стороне ребят из питерской лаборатории....

Цитата:

Я не приверженец любителей двух антивирусов, поскольку это чревато конфликтами и торможением системы в целом, а в случае нахождения вируса - некорректным его удалением

Вы не внимательно прочитали, я говорил:

Цитата:

одному антивирю доверять незя! надо периодически проверяться другими.

И это не значит, что они должны стоять одновременно


Цитата:

Я - сторонник наличия антивируса+антируткита+файервола+HIPS

+1

George_S
Ещё раз: некоторые антивирусы стали ловить Русток ещё до того, как его поймал Веб и назвал Рустоком в своих сигнатурах. Некоторые поймали его самостоятельно (пусть и позже), но назвали Ntldrbot. Важно, чтобы вирус ловился, а не чтобы его правильно называли. Ещё раз обратите внимание на отчёт ВирусТотала - там все называют по-разному, но ловят все. Это и важно.

serg_272
Ну хорошо, что мы друг друга наконец-то поняли. Просто каждое решение обычно бывает хорошим, если оно специализированное. Редко флаконы "всё-в-одном" бывают стоящими. Потому и держу на машине столько разных "ловцов снов".

Добавлено:
Короче, Avira признала, что довольно много вирусов она не знает форум., обещают всё добавить, но поскольку зверьков много - работы им прибавилось и надолго Как-то аж самому приятно...

Назван топ-5 разработчиков защитного ПО:
http://www.cnews.ru/news/top/index.shtml?2008/06/20/305926

x25
Это - по объёму продаж. Ничего общего с эффективностью.

А что, никто кроме меня и pytex и sereja8 не потрудился проверить эффективность антивируса с помощью архивчика? Уже поняли, что НОД конкретно слил, Авира в процессе улучшений, а что касательно Касперского, Веба, АВГ и прочих? Неужели никому не интересно или все боятся?

Цитата:

Это - по объёму продаж. Ничего общего с эффективностью

Каких только перлов не встретишь в Рунете.

gjf
Авира в процессе улучшений....ХА-ХА... если бы Вы не закинули к ним...
Сделал то же самое, ЧТО И Вы, скинул базу НОДовцам...

George_S
Ну если мне кто-то покажет антивирус, который найдёт 100% заразы в том архиве с установленным средним уровнем эвристики - сниму шляпу.

gjf

Цитата:

...проверить эффективность антивируса с помощью архивчика? ...Неужели никому не интересно или все боятся?

если до понедельника никто не проверит, то в понедельник устрою тест Доктору и КИСу

serg_272
Ну ждём с нетерпением!

gjf
А нет стопроцентной защиты и не будет никогда... поэтому и есть хорошая здоровая конкуренция между вендорами антивирусными(между собой) и вирусописателями(со всем честным народом)....

George_S
Ну вот первым помогаем, а с вторыми боремся

gjf
Цитата:

И я как-то подозрительно отношусь, когда питерский вирус находит питерский производитель антивирусов первым. Хотя может это всего лишь моя паранойя...

Цитата:

...Тем не менее господин Данилов в прошлом - известный вирусописатель и автор даже нескольких книг на эту тему...

Высказываясь подобным образом (как в первой цитате) желательно иметь что-нибудь более существенное чем ваше, IMHO
Касательно второй цитаты - вас чем-то смущает то что разработчик антивируса умеет писать еще и вирусы? , IMHO, было бы странно если бы он не умел!

Поскольку кроме собственного мнения вы никаких фактов не привели - посмотрим на остальные ваши IMHO...
1.
Цитата:

Я не приверженец любителей двух антивирусов, поскольку это чревато конфликтами и торможением системы в целом, а в случае нахождения вируса - некорректным его удалением. Я - сторонник наличия антивируса+антируткита+файервола+HIPS. Сейчас на машинах стоят Comodo, Avira Professional, Rootkit Unhacker (люблю его, хотя проект и закрыт), GMER и UnHackMe, плюс USB Disk Security...

1.1 Rootkit Unhacker - я правильно понял что под этим названием скрывается Rootkit Unhooker? Если не секрет, то почему же именна она стала вашей любимой? Вас же выручила другая:
18:01 01-06-2008
Цитата:

Посоветовал мне один знакомый провериться утилиткой UnHackMe - дескать, может у тебя руткит завёлся. Я посмеялся сквозь слёзы, рассказал про третий НОД, файервол и прочее, но проверился... Хехе... В системной папке жил файлик thut59.sys, который немедленно был пойман и остановлен.

1.2 Вы вот считаете что наличие двух и более антивирусов снижает стабильность системы - оно и правильно, теоретически любая дополнительная программа снижает стабильность, тем более такие как антивирусы..., но при этом у вас три антируткита каждый из которых по своей разрушительной способности в плане стабильности системы превосходит многие антивирусы, в силу специфики своего назначения... Вот подвел вас Нод, вы поставили Авиру, и вы считаете, что она все видит и все знает? Сами же недавно убедились в обратном... или вы надеетесь на три антируткита? Вы их как часто запускаете? При старте? Все три по очереди? И сидите анализируете результаты того что они вам показали? ..., я верю вашим словам, что вы параноик, но думаю не до такой степени...
Цитата:

Я на НОДе лично обжёгся и моё недоверие ему - личное имхо. Когда-то он был очень хорошо, сейчас - нет.

Через год-полтора случится прокол с Авирой и она тоже удосужится этой фразы, верно?

2.18:52 03-06-2008
Цитата:

Сейчас стоит Avira Antivir Professional (поскольку НОДу я ошибку не простил), UnHackM, Comodo. Чем AVZ4 и HiJackThis лучше? AVZ у меня вообще вызывает ещё большие сомнения, ну да не буду оффтопить.

13:04 04-06-2008
Цитата:

AVZ4: Ну не верю я, что бесплатная утилита будет мощнее платной, а продукт "всё-в-одном" - лучше отдельных специализированных! И вообще Архив с утилитой содержит базу вирусов от 6.04.2008 157571 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, 370 микропрограмм эвристики, 9 микропрограмм ИПУ, 115 микропрограмм поиска и устранения проблем, 70476 подписей безопасных файлов - количество сигнатур - яплакалъ! Где тот AVZ4 на VirusTotal?

HiJackThis: это вообще только для IE, коим не пользуюсь. Руткиты на kernel-уровне не ловит и иже с ними. ЗАЧЕМ?

2.1 По поводу бесплатности..., в приведенном вами в этом топике списке из 6 программ - минимум три бесплатные (про последнюю не знаю)..., вы все еще считаете что стоимость программы это тот критерий которым надо руководствоваться при выборе программ, в том числе и из области безопасности?
2.2 Судя по вашим высказываниям вы не знаете для чего именно нужны эти программы, хотя вам и подсказывали об этом, в AVZ есть справка на русском, в начале автор рассказывает предназначение своей программы - прочтите, далее тоже почитайте..., преднаначение HiJackThis, в принципе, аналогичное.


3. Ну и наконец о вашем мнении о Докторе

Цитата:

По Вебу... Он его первый начал детектировать как Rustock. А зарубежом никто не знает Rustock, знают Ntldrbot, что одно и то же...
...
Ещё раз: некоторые антивирусы стали ловить Русток ещё до того, как его поймал Веб и назвал Рустоком в своих сигнатурах. Некоторые поймали его самостоятельно (пусть и позже), но назвали Ntldrbot. Важно, чтобы вирус ловился, а не чтобы его правильно называли. Ещё раз обратите внимание на отчёт ВирусТотала - там все называют по-разному, но ловят все. Это и важно.

или вы перепутали или я ..., вы сами смотрели вами же приведенные отчеты VT из того же поста что и ваша первая часть цитаты? Именно Ntldrbot его обзывает как раз Доктор, а почти все остальные его кличут Rustock
Цитата:

А Авира знает Rootkit.gen, и начала его видеть значительно до Веба

Вы можете как то подтвердить свое высказывание? Откуда у вас такая информация? Вы лично на VT проверяли файл который потом Доктор стал обзывать Ntldrbot? Поделитесь информацией...
Я пока что располагаю информацией взятой в основном с одного из форумов, здесь ссылка уже пробегала, но вы ее возможно не заметили, т.к. наверное, до прокола Нода в этот топик не заглядывали..., так вот там есть отчет с VT на котором видно что на тот момент то что Доктор обзывает как Ntldrbot не видит Авира (в принципе можно сказать что никто не видит). Там же, кстати, среди, к сожалению, не многих поздравлений в адрес Доктора, есть "пара словечек" от одного из создателей ваше любимой программы . Там тоже было немало желающих уличить Доктора в нечистоплотности...

Проверил Доктором архив с 52 страницы (у меня в нем оказалось 972 файла ) 401 из них сегодня-завтра перешлю Доктору (из этих 401 файла, к 170-сти у него вообще нет каких-либо претензий, остальные подозревает ) проверял CureIt'ом скаченными 13 июня.

DJ makrus
1. А я кого-то обвинял? Если кто-то сильно обиделся - пусть подаст на меня в суд. И на многих таких же, которые присоединяются к моему мнению на различных форумах. Я лично сказал что подозрительно отношусь. Или это является грубым правонарушением?

2. Ну даже не знаю... Вы меня просто поймали! Попытаюсь кратко ответить, но тут можно поэму писать. Итак...

Раз Из программ, что я привёл, платная одна - Avira Professional. Стоимость программы - не критерий её качества. Но я считаю, что антивируса это не касается. К моему собственному глубочайшему сожалению. Просто вряд ли один-парочка энтузиастов будут поспевать писать сигнатуры, обрабатывать новый образчики и подтягивать эвристик быстрее, чем это будет делать группа оплачиваемых специалистов.
Есть Avira и бесплатная - но она не ловит троянов. Функционал ограничен по понятным причинам.

Два Судя по всему, я знаю, для чего эти программы, иначе бы губами не шлёпал. Из AVZ для себя нашёл одну хорошую вещь - это скрипт-редактор, удобно им пользоваться. Сам же антивирус слабый. Почему слабый - поищите в сети, вы ведь очень удачно форумы находите, так займитесь собственным ликбезом, раз вам моё "имхо" не нравится.
Что касается моего списка (спасибо за поправку с unhOOkerом), то ни одна из них не работает без головы пользователя. ну разве что только Avira. При помощи GMER и Unhooker систему можно невосстановимо убить. Если постараться, то же можно сделать и UnHackMe - достаточно просто заблокировать пару системных "подозрительных" процессов. UnHackMe запускаю каждые десять стартов, поточная автопроверка каждые 10 минут. GMER и Unhooker запускаю каждый месяц и действительно внимательно изучаю логи. Обоих держу, поскольку дополняют функционал одна другой. Любимой стала по той причине, что она раньше логи читал невнимательно и нерегулярно, а читал бы - не подхватил бы заразу ещё с НОДом. Любимой и продолжала бы быть, но проект продан Microsoft. Поэтому постепенно переезжаю на GMER, но ещё до конца не привык.
Если и Авира проколется - буду писать то же самое. Если полистаете назад, то уже увидите, что я критично отнёсся к тому, как суппорт подтёр список файлов, не найденных Авирой как вирусы. В целом же, поддержка мне отвечает в течение дня и довольно вразумительно. ЭСЕТ мне ответил в течение недели, а модуль StartUp Faster! как рассматривался вирусом, так до сих пор и рассматривается - итога ноль. Кто мне в итоге должен нравится больше?
Кстати, вы нам хоть расскажите ответ Лаборатории Данилова на ваши 170-401 файлов, ответ Авиры я процитировал...

Три Если вы очень внимательно читали приведённую статью, то увидели источник - http://www.drweb.com/upload/56d8247826582537818c3a7de8949928_1210053981_DDOCUMENTSArticales_PRDrWEB_Rustock_rus.pdf
Как вы думаете, что ДрВЕБ напишет о себе любимом?
А о Авире скажу просто. Русток она детектирует как TR/Rootkit.gen (проверил и процитировал точно персонально для вас). Что это - можете прочитать здесь. Преведу и поясню персонально: с 2 июля 2006 года детекируется семейство руткитов, которое постоянно пополняется новыми образчиками и общая процедура обнаружения обновляется. К сожалению, нет возможности подтвердить мои слова, что эта процедура ловила Русток до триумфа ДрВЕБа, потому как базы держу в актуальном состоянии. Но об этом писалось - погуглите и найдёте.

Ещё раз подчеркну для ярых фанатов антивирусов: я выражаю свою собственную точку зрения, никого не унижая и не оскорбляя. Не верите - пользуйтесь своим любимым антивирусным продуктом. У меня есть приятель, он вообще без антивирусов работает, а вирусы не верит в принципе. Правда, у него установлена ALTLinux Так что у каждого своя голова и свой выбор.