» Обзор антивирусов под Windows

George S
08:47 22-04-2010
Цитата:

однозначно менять модель поведения и юзать платные продукты.

Когда нужен только один сканер, неохота как то покупать полновесный продукт.

Цитата:

Когда нужен только один сканер, неохота как то покупать полновесный продукт.

так можете и не покупать, можно взять один сканер бесплатный, тот же A-Squared

Bobruysk
Так и сделал. И уже давно. Просто пытаюсь найти замену Free Avira. Но A-Squared что-то тоже не айс...

Неужели еще кто-то обращает внимание на подобные тесты при выборе антивируса?! Удивительно до чего сильна в людях вера в 25-й кадр. Пора бы уже осознать, что результат теста будет таков, каким хочет видеть его автор (если автор достаточно грамотен) или случайным (если автор безграмотен). Чего далеко ходить - если мне приспичит устроить тестирование антивирусов на собственной коллекции вирусов (а она немаленькая и насчитывает их несколько десятков тысяч), то смогу организовать выборку вирусов таким образом, что победу одержит любой из антивирусов. Пора уяснить простую вещь - не бывает лучшего антивируса. Бывают просто плохие и приличные антивирусы - но лучшего и худшего среди них нет. Выбор антивируса должен осуществляться на основе результатов его реальной работы (объективное тестирование которой осуществить практически невозможно, ибо потребности каждого пользователя и условия работы антивируса в каждом случае различны), совокупности пользовательских характеристик, скорости работы, ресурсоемкости и т.д.).
Вообще говоря, чтобы тестирование было сколь-нибудь объективно, следует подпрячь большую команду вирусописателей (которые не работают на антивирусные конторы) и озаботить их написанием вирусов, способных обойти известные антивирусы. То есть, сигнатурный поиск будет бесполезен. Помогать этой команде вирусописателей должна бригада писателей крипторов и пакеров (запаковываем и криптуем написанные вирусы). Ну и наконец, используем нестандартные способы доставки этого добра на компы пользователей с последующим исполнением (в случайное время и произвольный, в том числе невредоносный для компа алгоритм) - хоть "Hello word!"
Понятно, что такой тест будет стоить огромных денег (поскольку потребуется оплата большого числа специалистов очень высокой квалификации), но зато он будет иметь какой-то вес. А текущие тесты - это не более чем рекламные агитки для несведущего юзера. Кстати, в этих тестах повторяется из года в год одно и тоже – очередной созданный без году неделя назад герой (антивирус) занимает первые строчки. И эта картина повторяется из года в год. Меняются только новоиспеченные герои…

Цитата:

что-то много вопросов про аскваред в последнее время...

Да не так уж и много.

Цитата:

Бывают просто плохие и приличные антивирусы - но лучшего и худшего среди них нет. Выбор антивируса должен осуществляться на основе результатов его реальной работы (объективное тестирование которой осуществить практически невозможно, ибо потребности каждого пользователя и условия работы антивируса в каждом случае различны), совокупности пользовательских характеристик, скорости работы, ресурсоемкости и т.д.).

Нет антивируса ни плохих, ни приличных от самого сильного вируса: компьютерной безграмотности пользователя. И нет тестов на эту тему. И как ни выбирай антивирус, хоть по тестам, хоть на основе результатов его реальной работы, сработает человеческий фактор/"фактор юзера". И от этого ни куда не деться.

Можно я вставлю свои пять копеек? Правда, некоторые страдают ЧСВ, считая всех вокруг ворюгами и бездарями, но это неважно - большинство-то в адеквате Итак, реальная история, которая произошла позавчера.

Предыстория: хозяйка компьютера - блондинго. Нет, волосы не блондинистые - натура такая. Поставила ХР СП2, обновления не включала, потому как задалбывало жёлтым мигать в трее, да и подрассказали ей, что под СП3 СИМСы будут тормозить. В итого Кидо по моим оценкам и по симптомам завёлся приблизительно с месяц назад.

Дальше - лучше. Блондинка лазила по ВКонтакте, там "друг" ей дала ссылку, которую она открыла. В ИЕ6 (обновлений-то нет!) ИЕ6 больше не открывался никогда, и гражданка переехала на Оперу. Со смертью ИЕ6 на комп приехали ТДЛ3 и пара-тройка агентов (видимо им и установленные). Именно на их наличие в памяти жаловался Каспер, которого пытались поставить, но увы - победить не смог (об этом позже).

И тут к блондинге пришёл парень! Очень умный и сообразительный, потому что притащил с собой диск с Каспером, Вебом и Comodo Internet Security. Говорят, ещё что-то было, но этих хвосты я увидел. Набор настоящего джентльмена, только вот ещё с Вирутом и Салити впридачу

Парень ничего не сделал полезного, кроме того, что чрезмерно быстро вытаскивая диск из привода сломал его лоток.

Что поимели в итоге.
1. Компьютер загружался, выкидывал кучу окон консоли, висел примерно минут 5-10, потом работать можно было.
2. Перезагрузки происходили самопроизвольно.
3. Ни один антивирус не работал. Из установленных - не запускались, другие - просто не устанавливались.
4. Сайты хоть как-то связанные с антивирусной безопасностью не открывались.
5. Из заявленной полосы в 10 Мбит доступно было 2 Мбит максимум, связь срывалась регулярно.
6. Кто-то регулярно проверял почту, слал сообщения с аськи и ВКонтакте, менял пароли.
7. Gmer, AVZ, RkU убивались при запуске.
8. Нет привода - LiveCD как бы ой!

Из найденного и вычищенного: TDSS.bb, Sality.ag, Virut.ce, Kido, Zbot, Bagle.beu, ну там Agentы всякие, но с этими пришлось больше всего повозиться.

После наката СП3 удалось вернуть систему на ноги.

К чему это я. Кто в этом случае оказался самый страшный вирус и самый мощный антивирус?

Цитата:

Кто в этом случае оказался самый страшный вирус и самый мощный антивирус?

Вирус - не знаю, а антивирус - точно gjf. Кстати, почему его нет в шапке?

Цитата:

на антивирь тут грешить бесполезно

О, avast! Я опять погрешил на тебя...

Хотя имел в виду, что не пользователи убирали логи за собой, а атакующий. Он и инсталляцию виртуалки начинал (я нашел это в setupapi.log, а он пропустил) , и незанятое стандартное пространство в конце диска подозрительно выросло на полтора мега, и многое-многое другое проделал.

Виноват, во-первых, я - не настоял против требования, что должна быть свобода действий, как обычно. В итоге - стандартный СП2 без обновлений плюс администратор (а я - самый страшный вирус ). Теперь там лимитед юзер на одном, на втором оставил админа ради интереса (его и не будут подключать к сети) и с надеждой на имиджы в резерве, - потому что возможно, завтра компы будет опять лежать у меня на столе, и (второй) виновник этому - провайдер.
Дело в том, что провайдер в том штабе, внедривший в Тбилиси оптику, тот же, что у одного сослуживца, которому на двух его домашних компах недавно уже в третий раз в этом году переустанавливал всё (теперь-то для него тоже сделал образы). Ставил или Авиру Фри, или Аваст 4 Про, или 5 Фри. Какой-то период всё в норме, потом он говорит, что вирусы опять начали сыпаться дождём, и в конце получался мёртвый компьютер. В последний раз ставил систему 16-го. Она умерла через три дня, ещё через день умер второй комп. В тот же день - те два компьютера в упомянутом избирательном штабе.

Я подозревал у приятеля скайп - находил у него вирусы, поименные как "это от меня" (по-грузински) или "это тебе, [имя дочки приятеля]". На компах в штабе подозревал сначала молодёжный состав, лазящий по одноклассникам, а потом правящие круги, решившие завладеть тайнами оппозиции. Но посмотрев компы приятеля, нашел, что там лежит абсолютно идентичный состав заразы (разных персон - несколько десятков). Но на одном из них, как и в штабе, не было скайпа вообще, а в отношении приятеля не было политического интереса.

Если в штабе Аваста вынесли вчистую (там дело вообще зашло очень далеко), у приятеля тот же 5 Фри присутствовал физически. И приступив к созданию образа, пошел очищать сначала диск С от мусора. И во Всех юзерах вижу непривычно много. Оказалось, это папка Аваста. Там несколько тысяч файлов. Неужели это карантин? Я пошел открывать Аваст - он открывается и система работает как обычно, после чистки (комп из штаба так и не удалось) - да, это его зверинец. Молодец, Антивирус, ты бил направо и налево, ещё и складывая в карантин, как я наказал, пока не выдохся. Никакой антивирус не выдержит, если будет отражать атаку по сети каждые 5-6 секунд, сколько ведь можно? Потом я заметил, что папка размером 256 мб только из-за того, что по недосмотру сам оставил этот уровень в настройках. Будь без лимита, там, возможно, покоились бы десятки тысяч.
Что не детектировалось авастом и авирой, отослал на вирустотал. Практически все - пройзводства последних двух дней, судя по датам получения. Многие оказались совсем новыми. Лучший результат - 20. Гранды и бренды тоже не всегда видели всё.

В итоге вирусы - я и пров, который надо вешать вверх ногами, ака кабелями (лучше - на его же кабелях). Многие (но не все) его клиенты жалуются, что как только включают систему, не запуская браузер и не имея скайпы с ему подобными, вирусы "начинают идти не переставая". У приятеля такое тоже бывало, хотя и периодами, а я не верил.
Уотт...

gjf
Отличная история, улыбнула с утра (пятница все таки ) вопрос у меня вот в чем, а какими средствами можно побороть тот самый список который вы выложили

TDSS.bb, Sality.ag, Virut.ce, Kido, Zbot, Bagle.beu, ну там Agentы всякие...

Может есть заплатки какие нить?

всем
Давно хотел рассказать, и вот только после вчера, расскажу. Раз уж пошли рассказы.

Третий раз (если считать в общем количестве - то раз десять, потому что ящиков почтовых много) подвергся атаке, совершенно с вирусами не связанной, но раз уж в антивири повсеместно встроен антиспам расскажу - приходит на почтовый ящик хостера письмо - обычный спам на русском про описание финансовой пирамиды и какая она хорошая(либо какое-нибудь описание будущего семинара об уходе от налогов) - всё бы ничего, но во вложении его файл(без расширения или с ним типа .doc) около 10-15 мегабайт. Так вот качается даннное письмо и качается - и так до бесконечности(видимо где-то зацикливается) - если траффик платный(а он платный - можно попасть на бабло). Решается проблема просто - заходишь вне почтовой программы на почтовый ящик онлайн, выделяешь письмо и удаляешь, потом еще с корзины удаляешь - и проблем нет.

Ладно у меня инет тормозной(сразу видно, что что-то качается, можно глянуть в аутпост на сетевую активность - какое из приложений принимает траффик), и DuTraffic постоянно показывает диаграмму качается или нет... но у многих DuTraffic не стоит, будут грешить на провайдера, что скорость маленькая, а в это время траффик будет продолжать гоняться, списывая кровные денежки(абонентам безлимитных тарифов проще конечно)....

Так вот у кого такое было и как с этим бороться?

К сожалению метод уменьшения размера разрешенного приходящего письма не подойдет - есть клиенты, которые и по 30 мегабайт вложение делают и ничего страшного... Метод просмотра онлайн ящика тоже - неудобно.

George S
Почтовую программу настроить на приём только заголовка. По заголовку решать - качать или нет, или вообще удалить.

Хотя спам таких объёмов - это экзотика.

setwolk

Цитата:

TDSS.bb, Sality.ag, Virut.ce, Kido, Zbot, Bagle.beu, ну там Agentы всякие...

Kido - уже говорил страницей раньше. Это - чтобы закрыть сетевой вариант заражения. Салити, Багл и Вирут - постоянно работающий резидент антивируса. Остальные постоянно перепаковываются, единого решения нет. Только мозг, хипс и элементарные правила безопасности.

А как удалять - при таких масштабах я бы рекомендовал реинстал системы. Мне просто интересно было - вот и провозился часа три-четыре, хотя реально за это время давно бы уже установил всё заново.

Перелом, кстати, произошёл, когда SalityKiller и VirutKiller смогли вылечить заразу. Ни АВПТул ни Курит даже не запустились. Так что благодаря им двоим, дальше уже ручками....

gjf
Понятно спасибо большое.
И вопрос такой вам, подскажите вот по этой ссылке http://support.kaspersky.ru/viruses/utility все эти итилки обновляются, как узнать где дата обновления? Все перерыл а найти не могу, подскажите пож-ста!

gjf

Цитата:

Можно я вставлю свои пять копеек?

Снимаю шляпу..., я бы давно систему переставил, тем более на домашнем компе...

ALL
Держите копию LiveCD на флехе..., помогает при дохлом (отсутствующем) CD-ROM

setwolk
Сбоку видите красным "Новая" возле вируткиллера и салитикиллера? Только так. Или скачать и глянуть дату файла (они-то совсем малёхонькие, эти утилитки).
serg53

Цитата:

Держите копию LiveCD на флехе..., помогает при дохлом (отсутствующем) CD-ROM

Раньше так и делал, но не у всех бут с флехи был успешным. Особенности железа.

gjf

Цитата:

Почтовую программу настроить на приём только заголовка. По заголовку решать - качать или нет, или вообще удалить.

Хотя спам таких объёмов - это экзотика.

Не прет - на читку заголовка(легких путей не ищу...). Нужно, чтобы сразу было вложение, чтобы оперативно передавать вложения по фирме исполнителям, без инета которые... А инет тормоз - тратить время на читание письма, а потом скачку, а потом только передать - жесть(потери времени не нужны).

Уже не экзотика... знать бы еще какая тварь на меня это несет... И знать бы как создать такой файл, чтобы этой твари отослать такое же.

George S
Для начала можно попробовать, хотя это и не совсем то, пройти спамрелей тесты Раз, Два, Три

Интересно , если на вирустотал присылают новый вирус ,то всем антивирусным компаниям уходит копия на анализ ?
Извините если это

Цитата:

sasha_2

,
Цитата:

Интересно , если на вирустотал присылают новый вирус ,то всем антивирусным компаниям уходит копия на анализ ?

Да, вирустотал очень тесно связан с многими антивирусными компаниями, и оттуда они получают много интересного. Так что если проверять свой собственный вирус или криптор, то лучше на других сайтах, иначе срок его жизни будет очень маленьким.

А фолсами они случаем не обмениваются?

А не мешало бы. Больно уж много развелось слепых, сходу объявляющих все что не могут распаковать зловредами.

algris
всё нормально по этим тестам. ладно буду думать на досуге... скорей всего просто запрещу принимать то, что опередилось как спам...(но тоже хреново - бывают нечасто, но метко фолсы на нормальные письма)...

gjf
Ну понятно, я думал что есть другой способ не качать...Спасибо

Кто из двух антивирусов - Авира или НОД 4 - распознает больше пакеров? Что оба хреновые в этом смысле понятно, но все же?

Цитата:

Кто из двух антивирусов - Авира или НОД 4 - распознает больше пакеров? Что оба хреновые в этом смысле понятно, но все же?

Интересный вопрос. Может вообще по антивирусам есть такая статистика, никто не встречал?
Я предположу, что примерно равные или NOD чуть больше знает.

redwhiterus

Цитата:

Может вообще по антивирусам есть такая статистика, никто не встречал?

Я боюсь, что это страшная тайна всех разрабов, иначе окажется что большинство антивирусов - красивые быстрые слепцы, могущие ловить только самое очевидное.

Цитата:

Я предположу, что примерно равные или NOD чуть больше знает.

Недавно здесь была инфа, что год назад Авира знала всего 35 пакеров. Судя по ее лаю на все и вся упакованное и сейчас, ситуация мало изменилась.

All
Как бы не хаяли Каспера с Дохтуром, но в этом компоненте немногие сравнятся с ними. Заметьте, я не говорю, что они верх совершенства. Но ИМХО с другой стороны и большинство их тормозов именно из-за глубокого сканирования.

WatsonRus Я смотрю что в последнее время Вы только и пишите тут про пакеры коих не знает Авира..... Может тему сменим? Или Авиру глупую?Или вообще Антивирус?Или Форум? Или комп? Или все вместе? Честно говоря Ваши посты надоели...


Добавлено:

Цитата:

год назад Авира знала всего 35 пакеров

ТАК езжайте туда и донесите Глас Вопиющего к Авире....?????

ua3vui
Давайте без фанатизма.

redwhiterus

Цитата:

Может вообще по антивирусам есть такая статистика, никто не встречал?

Единственный мне известный тест (2006 г.):
http://anti-malware.ru/node/142

PhoenixUA

Цитата:

Давайте без фанатиз

А как без него? Может быть товарищу пояснить в вирлабе Авиры о 36-ом пакере коих они не знают?...

Уважаемые гуру борьбы с вредными животными, подскажите пожалуйста - есть ли на сегодня хоть один адекватный независимый свежий тест 15+ антивирусов?

В ветке есть опытные пользователи новых версий NIS и 360?

ua3vui

Цитата:

Может тему сменим? Или Авиру глупую?

Я бы сменил ее, если бы было на что, ибо остальные (искючая Каспера и Дохтура) в отношении пакеров оказываются еще хуже.

А распознавание пакеров сейчас в условиях того, что практически все файлы и зловреды идут упакованными (а то и не один раз), все более становится актуальным. Но те, у кого сейчас с этим плохо, не хотят изменить ситуацию, иначе они сразу станут такими же неповоротливыми монстрами, как Каспер и Дохтур.

Цитата:

Может быть товарищу пояснить в вирлабе Авиры о 36-ом пакере коих они не знают?

Они не знают минимум о нескольких десятках пакеров. Но все равно они не станут менять ситуацию. (почему - см. выше)

Если вы сектант Авиры, то это не значит, что это лучший антивирус в мире. У Авиры ИМХО единственное достоинство - легкость (вкупе с очень хорошим детектом неупакованных зловредов, что и ставит Авиру в первые ряды хит-парадов). Но легкость Авиры исключительно из-за того, что она ничего не видит, а просто априори объявляет все троянами/вирями. Абсолютно так же и с другими "легкими" антивирусами.

Потому и приходится пользоваться четырьмя антивирусными сканерами - Каспером, Дохтуром, Авирой и БитДефом. Попытка заменить Авиру в этом списке пока что оказывается безрезультатной. Но Авира в числе этой четверке по авторитету для меня именно четвертая.

All
Результаты теста http://anti-malware.ru/node/142 показывают то же самое. F-Secure за счет нескольких движков добился приличного результата, но с 2006 они не меняли ли состав движков?

Напомните только, хто спонсор AntiMalware (вроде где-то тут проскакивало что-то)... Настораживает присутствие НОДа 2.x в верхних рядах...


Кстати, кто знает, как у 4-го НОДа обстоят дела с распознаванием пакеров?

У Авиры есть ещё одно слабое место: это процедуры лечения файловых вирусов. Как правило, такая зараза не лечится, а удаляется. Кто не верит - могу дать пруфы.