Ru-Board.club
← Вернуться в раздел «Программы»

» Обзор антивирусов под Windows

Автор: WatsonRus
Дата сообщения: 22.04.2010 18:52
George S
08:47 22-04-2010
Цитата:
однозначно менять модель поведения и юзать платные продукты.

Когда нужен только один сканер, неохота как то покупать полновесный продукт.
Автор: Bobruysk
Дата сообщения: 22.04.2010 19:10

Цитата:
Когда нужен только один сканер, неохота как то покупать полновесный продукт.

так можете и не покупать, можно взять один сканер бесплатный, тот же A-Squared
Автор: WatsonRus
Дата сообщения: 22.04.2010 19:48
Bobruysk
Так и сделал. И уже давно. Просто пытаюсь найти замену Free Avira. Но A-Squared что-то тоже не айс...
Автор: Foss
Дата сообщения: 22.04.2010 20:08
Неужели еще кто-то обращает внимание на подобные тесты при выборе антивируса?! Удивительно до чего сильна в людях вера в 25-й кадр. Пора бы уже осознать, что результат теста будет таков, каким хочет видеть его автор (если автор достаточно грамотен) или случайным (если автор безграмотен). Чего далеко ходить - если мне приспичит устроить тестирование антивирусов на собственной коллекции вирусов (а она немаленькая и насчитывает их несколько десятков тысяч), то смогу организовать выборку вирусов таким образом, что победу одержит любой из антивирусов. Пора уяснить простую вещь - не бывает лучшего антивируса. Бывают просто плохие и приличные антивирусы - но лучшего и худшего среди них нет. Выбор антивируса должен осуществляться на основе результатов его реальной работы (объективное тестирование которой осуществить практически невозможно, ибо потребности каждого пользователя и условия работы антивируса в каждом случае различны), совокупности пользовательских характеристик, скорости работы, ресурсоемкости и т.д.).
Вообще говоря, чтобы тестирование было сколь-нибудь объективно, следует подпрячь большую команду вирусописателей (которые не работают на антивирусные конторы) и озаботить их написанием вирусов, способных обойти известные антивирусы. То есть, сигнатурный поиск будет бесполезен. Помогать этой команде вирусописателей должна бригада писателей крипторов и пакеров (запаковываем и криптуем написанные вирусы). Ну и наконец, используем нестандартные способы доставки этого добра на компы пользователей с последующим исполнением (в случайное время и произвольный, в том числе невредоносный для компа алгоритм) - хоть "Hello word!"
Понятно, что такой тест будет стоить огромных денег (поскольку потребуется оплата большого числа специалистов очень высокой квалификации), но зато он будет иметь какой-то вес. А текущие тесты - это не более чем рекламные агитки для несведущего юзера. Кстати, в этих тестах повторяется из года в год одно и тоже – очередной созданный без году неделя назад герой (антивирус) занимает первые строчки. И эта картина повторяется из года в год. Меняются только новоиспеченные герои…
Автор: RW3DVK
Дата сообщения: 22.04.2010 21:56

Цитата:
что-то много вопросов про аскваред в последнее время...
Да не так уж и много.

Цитата:
Бывают просто плохие и приличные антивирусы - но лучшего и худшего среди них нет. Выбор антивируса должен осуществляться на основе результатов его реальной работы (объективное тестирование которой осуществить практически невозможно, ибо потребности каждого пользователя и условия работы антивируса в каждом случае различны), совокупности пользовательских характеристик, скорости работы, ресурсоемкости и т.д.).
Нет антивируса ни плохих, ни приличных от самого сильного вируса: компьютерной безграмотности пользователя. И нет тестов на эту тему. И как ни выбирай антивирус, хоть по тестам, хоть на основе результатов его реальной работы, сработает человеческий фактор/"фактор юзера". И от этого ни куда не деться.
Автор: gjf
Дата сообщения: 22.04.2010 22:47
Можно я вставлю свои пять копеек? Правда, некоторые страдают ЧСВ, считая всех вокруг ворюгами и бездарями, но это неважно - большинство-то в адеквате Итак, реальная история, которая произошла позавчера.

Предыстория: хозяйка компьютера - блондинго. Нет, волосы не блондинистые - натура такая. Поставила ХР СП2, обновления не включала, потому как задалбывало жёлтым мигать в трее, да и подрассказали ей, что под СП3 СИМСы будут тормозить. В итого Кидо по моим оценкам и по симптомам завёлся приблизительно с месяц назад.

Дальше - лучше. Блондинка лазила по ВКонтакте, там "друг" ей дала ссылку, которую она открыла. В ИЕ6 (обновлений-то нет!) ИЕ6 больше не открывался никогда, и гражданка переехала на Оперу. Со смертью ИЕ6 на комп приехали ТДЛ3 и пара-тройка агентов (видимо им и установленные). Именно на их наличие в памяти жаловался Каспер, которого пытались поставить, но увы - победить не смог (об этом позже).

И тут к блондинге пришёл парень! Очень умный и сообразительный, потому что притащил с собой диск с Каспером, Вебом и Comodo Internet Security. Говорят, ещё что-то было, но этих хвосты я увидел. Набор настоящего джентльмена, только вот ещё с Вирутом и Салити впридачу

Парень ничего не сделал полезного, кроме того, что чрезмерно быстро вытаскивая диск из привода сломал его лоток.

Что поимели в итоге.
1. Компьютер загружался, выкидывал кучу окон консоли, висел примерно минут 5-10, потом работать можно было.
2. Перезагрузки происходили самопроизвольно.
3. Ни один антивирус не работал. Из установленных - не запускались, другие - просто не устанавливались.
4. Сайты хоть как-то связанные с антивирусной безопасностью не открывались.
5. Из заявленной полосы в 10 Мбит доступно было 2 Мбит максимум, связь срывалась регулярно.
6. Кто-то регулярно проверял почту, слал сообщения с аськи и ВКонтакте, менял пароли.
7. Gmer, AVZ, RkU убивались при запуске.
8. Нет привода - LiveCD как бы ой!

Из найденного и вычищенного: TDSS.bb, Sality.ag, Virut.ce, Kido, Zbot, Bagle.beu, ну там Agentы всякие, но с этими пришлось больше всего повозиться.

После наката СП3 удалось вернуть систему на ноги.

К чему это я. Кто в этом случае оказался самый страшный вирус и самый мощный антивирус?
Автор: Erekle
Дата сообщения: 23.04.2010 02:45

Цитата:
Кто в этом случае оказался самый страшный вирус и самый мощный антивирус?

Вирус - не знаю, а антивирус - точно gjf. Кстати, почему его нет в шапке?

Цитата:
на антивирь тут грешить бесполезно

О, avast! Я опять погрешил на тебя...

Хотя имел в виду, что не пользователи убирали логи за собой, а атакующий. Он и инсталляцию виртуалки начинал (я нашел это в setupapi.log, а он пропустил) , и незанятое стандартное пространство в конце диска подозрительно выросло на полтора мега, и многое-многое другое проделал.

Виноват, во-первых, я - не настоял против требования, что должна быть свобода действий, как обычно. В итоге - стандартный СП2 без обновлений плюс администратор (а я - самый страшный вирус ). Теперь там лимитед юзер на одном, на втором оставил админа ради интереса (его и не будут подключать к сети) и с надеждой на имиджы в резерве, - потому что возможно, завтра компы будет опять лежать у меня на столе, и (второй) виновник этому - провайдер.
Дело в том, что провайдер в том штабе, внедривший в Тбилиси оптику, тот же, что у одного сослуживца, которому на двух его домашних компах недавно уже в третий раз в этом году переустанавливал всё (теперь-то для него тоже сделал образы). Ставил или Авиру Фри, или Аваст 4 Про, или 5 Фри. Какой-то период всё в норме, потом он говорит, что вирусы опять начали сыпаться дождём, и в конце получался мёртвый компьютер. В последний раз ставил систему 16-го. Она умерла через три дня, ещё через день умер второй комп. В тот же день - те два компьютера в упомянутом избирательном штабе.

Я подозревал у приятеля скайп - находил у него вирусы, поименные как "это от меня" (по-грузински) или "это тебе, [имя дочки приятеля]". На компах в штабе подозревал сначала молодёжный состав, лазящий по одноклассникам, а потом правящие круги, решившие завладеть тайнами оппозиции. Но посмотрев компы приятеля, нашел, что там лежит абсолютно идентичный состав заразы (разных персон - несколько десятков). Но на одном из них, как и в штабе, не было скайпа вообще, а в отношении приятеля не было политического интереса.

Если в штабе Аваста вынесли вчистую (там дело вообще зашло очень далеко), у приятеля тот же 5 Фри присутствовал физически. И приступив к созданию образа, пошел очищать сначала диск С от мусора. И во Всех юзерах вижу непривычно много. Оказалось, это папка Аваста. Там несколько тысяч файлов. Неужели это карантин? Я пошел открывать Аваст - он открывается и система работает как обычно, после чистки (комп из штаба так и не удалось) - да, это его зверинец. Молодец, Антивирус, ты бил направо и налево, ещё и складывая в карантин, как я наказал, пока не выдохся. Никакой антивирус не выдержит, если будет отражать атаку по сети каждые 5-6 секунд, сколько ведь можно? Потом я заметил, что папка размером 256 мб только из-за того, что по недосмотру сам оставил этот уровень в настройках. Будь без лимита, там, возможно, покоились бы десятки тысяч.
Что не детектировалось авастом и авирой, отослал на вирустотал. Практически все - пройзводства последних двух дней, судя по датам получения. Многие оказались совсем новыми. Лучший результат - 20. Гранды и бренды тоже не всегда видели всё.

В итоге вирусы - я и пров, который надо вешать вверх ногами, ака кабелями (лучше - на его же кабелях). Многие (но не все) его клиенты жалуются, что как только включают систему, не запуская браузер и не имея скайпы с ему подобными, вирусы "начинают идти не переставая". У приятеля такое тоже бывало, хотя и периодами, а я не верил.
Уотт...
Автор: setwolk
Дата сообщения: 23.04.2010 06:18
gjf
Отличная история, улыбнула с утра (пятница все таки ) вопрос у меня вот в чем, а какими средствами можно побороть тот самый список который вы выложили

TDSS.bb, Sality.ag, Virut.ce, Kido, Zbot, Bagle.beu, ну там Agentы всякие...

Может есть заплатки какие нить?
Автор: George S
Дата сообщения: 23.04.2010 08:08
всем
Давно хотел рассказать, и вот только после вчера, расскажу. Раз уж пошли рассказы.

Третий раз (если считать в общем количестве - то раз десять, потому что ящиков почтовых много) подвергся атаке, совершенно с вирусами не связанной, но раз уж в антивири повсеместно встроен антиспам расскажу - приходит на почтовый ящик хостера письмо - обычный спам на русском про описание финансовой пирамиды и какая она хорошая(либо какое-нибудь описание будущего семинара об уходе от налогов) - всё бы ничего, но во вложении его файл(без расширения или с ним типа .doc) около 10-15 мегабайт. Так вот качается даннное письмо и качается - и так до бесконечности(видимо где-то зацикливается) - если траффик платный(а он платный - можно попасть на бабло). Решается проблема просто - заходишь вне почтовой программы на почтовый ящик онлайн, выделяешь письмо и удаляешь, потом еще с корзины удаляешь - и проблем нет.

Ладно у меня инет тормозной(сразу видно, что что-то качается, можно глянуть в аутпост на сетевую активность - какое из приложений принимает траффик), и DuTraffic постоянно показывает диаграмму качается или нет... но у многих DuTraffic не стоит, будут грешить на провайдера, что скорость маленькая, а в это время траффик будет продолжать гоняться, списывая кровные денежки(абонентам безлимитных тарифов проще конечно)....

Так вот у кого такое было и как с этим бороться?

К сожалению метод уменьшения размера разрешенного приходящего письма не подойдет - есть клиенты, которые и по 30 мегабайт вложение делают и ничего страшного... Метод просмотра онлайн ящика тоже - неудобно.

Автор: gjf
Дата сообщения: 23.04.2010 11:01
George S
Почтовую программу настроить на приём только заголовка. По заголовку решать - качать или нет, или вообще удалить.

Хотя спам таких объёмов - это экзотика.

setwolk

Цитата:
TDSS.bb, Sality.ag, Virut.ce, Kido, Zbot, Bagle.beu, ну там Agentы всякие...

Kido - уже говорил страницей раньше. Это - чтобы закрыть сетевой вариант заражения. Салити, Багл и Вирут - постоянно работающий резидент антивируса. Остальные постоянно перепаковываются, единого решения нет. Только мозг, хипс и элементарные правила безопасности.

А как удалять - при таких масштабах я бы рекомендовал реинстал системы. Мне просто интересно было - вот и провозился часа три-четыре, хотя реально за это время давно бы уже установил всё заново.

Перелом, кстати, произошёл, когда SalityKiller и VirutKiller смогли вылечить заразу. Ни АВПТул ни Курит даже не запустились. Так что благодаря им двоим, дальше уже ручками....
Автор: setwolk
Дата сообщения: 23.04.2010 12:40
gjf
Понятно спасибо большое.
И вопрос такой вам, подскажите вот по этой ссылке http://support.kaspersky.ru/viruses/utility все эти итилки обновляются, как узнать где дата обновления? Все перерыл а найти не могу, подскажите пож-ста!
Автор: serg53
Дата сообщения: 23.04.2010 12:43
gjf

Цитата:
Можно я вставлю свои пять копеек?

Снимаю шляпу..., я бы давно систему переставил, тем более на домашнем компе...

ALL
Держите копию LiveCD на флехе..., помогает при дохлом (отсутствующем) CD-ROM
Автор: gjf
Дата сообщения: 23.04.2010 13:17
setwolk
Сбоку видите красным "Новая" возле вируткиллера и салитикиллера? Только так. Или скачать и глянуть дату файла (они-то совсем малёхонькие, эти утилитки).
serg53

Цитата:
Держите копию LiveCD на флехе..., помогает при дохлом (отсутствующем) CD-ROM

Раньше так и делал, но не у всех бут с флехи был успешным. Особенности железа.
Автор: George S
Дата сообщения: 23.04.2010 16:46
gjf

Цитата:
Почтовую программу настроить на приём только заголовка. По заголовку решать - качать или нет, или вообще удалить.

Хотя спам таких объёмов - это экзотика.

Не прет - на читку заголовка(легких путей не ищу...). Нужно, чтобы сразу было вложение, чтобы оперативно передавать вложения по фирме исполнителям, без инета которые... А инет тормоз - тратить время на читание письма, а потом скачку, а потом только передать - жесть(потери времени не нужны).

Уже не экзотика... знать бы еще какая тварь на меня это несет... И знать бы как создать такой файл, чтобы этой твари отослать такое же.
Автор: algris
Дата сообщения: 23.04.2010 18:34
George S
Для начала можно попробовать, хотя это и не совсем то, пройти спамрелей тесты Раз, Два, Три
Автор: sasha_2
Дата сообщения: 23.04.2010 18:45
Интересно , если на вирустотал присылают новый вирус ,то всем антивирусным компаниям уходит копия на анализ ?
Извините если это
Автор: amcenter
Дата сообщения: 23.04.2010 19:46

Цитата:
sasha_2
,
Цитата:
Интересно , если на вирустотал присылают новый вирус ,то всем антивирусным компаниям уходит копия на анализ ?

Да, вирустотал очень тесно связан с многими антивирусными компаниями, и оттуда они получают много интересного. Так что если проверять свой собственный вирус или криптор, то лучше на других сайтах, иначе срок его жизни будет очень маленьким.
Автор: WatsonRus
Дата сообщения: 23.04.2010 22:13
А фолсами они случаем не обмениваются?

А не мешало бы. Больно уж много развелось слепых, сходу объявляющих все что не могут распаковать зловредами.
Автор: George S
Дата сообщения: 24.04.2010 14:04
algris
всё нормально по этим тестам. ладно буду думать на досуге... скорей всего просто запрещу принимать то, что опередилось как спам...(но тоже хреново - бывают нечасто, но метко фолсы на нормальные письма)...
Автор: setwolk
Дата сообщения: 26.04.2010 07:26
gjf
Ну понятно, я думал что есть другой способ не качать...Спасибо
Автор: WatsonRus
Дата сообщения: 27.04.2010 18:05
Кто из двух антивирусов - Авира или НОД 4 - распознает больше пакеров? Что оба хреновые в этом смысле понятно, но все же?
Автор: redwhiterus
Дата сообщения: 27.04.2010 19:04

Цитата:
Кто из двух антивирусов - Авира или НОД 4 - распознает больше пакеров? Что оба хреновые в этом смысле понятно, но все же?

Интересный вопрос. Может вообще по антивирусам есть такая статистика, никто не встречал?
Я предположу, что примерно равные или NOD чуть больше знает.
Автор: WatsonRus
Дата сообщения: 27.04.2010 21:26
redwhiterus

Цитата:
Может вообще по антивирусам есть такая статистика, никто не встречал?

Я боюсь, что это страшная тайна всех разрабов, иначе окажется что большинство антивирусов - красивые быстрые слепцы, могущие ловить только самое очевидное.

Цитата:
Я предположу, что примерно равные или NOD чуть больше знает.

Недавно здесь была инфа, что год назад Авира знала всего 35 пакеров. Судя по ее лаю на все и вся упакованное и сейчас, ситуация мало изменилась.

All
Как бы не хаяли Каспера с Дохтуром, но в этом компоненте немногие сравнятся с ними. Заметьте, я не говорю, что они верх совершенства. Но ИМХО с другой стороны и большинство их тормозов именно из-за глубокого сканирования.

Автор: ua3vui
Дата сообщения: 27.04.2010 22:15
WatsonRus Я смотрю что в последнее время Вы только и пишите тут про пакеры коих не знает Авира..... Может тему сменим? Или Авиру глупую?Или вообще Антивирус?Или Форум? Или комп? Или все вместе? Честно говоря Ваши посты надоели...


Добавлено:

Цитата:
год назад Авира знала всего 35 пакеров
ТАК езжайте туда и донесите Глас Вопиющего к Авире....?????
Автор: PhoenixUA
Дата сообщения: 27.04.2010 22:25
ua3vui
Давайте без фанатизма.

redwhiterus

Цитата:
Может вообще по антивирусам есть такая статистика, никто не встречал?

Единственный мне известный тест (2006 г.):
http://anti-malware.ru/node/142
Автор: ua3vui
Дата сообщения: 27.04.2010 22:29
PhoenixUA

Цитата:
Давайте без фанатиз
А как без него? Может быть товарищу пояснить в вирлабе Авиры о 36-ом пакере коих они не знают?...
Автор: Farch
Дата сообщения: 28.04.2010 15:05
Уважаемые гуру борьбы с вредными животными, подскажите пожалуйста - есть ли на сегодня хоть один адекватный независимый свежий тест 15+ антивирусов?
Автор: gjf
Дата сообщения: 28.04.2010 15:15
В ветке есть опытные пользователи новых версий NIS и 360?
Автор: WatsonRus
Дата сообщения: 28.04.2010 16:04
ua3vui

Цитата:
Может тему сменим? Или Авиру глупую?

Я бы сменил ее, если бы было на что, ибо остальные (искючая Каспера и Дохтура) в отношении пакеров оказываются еще хуже.

А распознавание пакеров сейчас в условиях того, что практически все файлы и зловреды идут упакованными (а то и не один раз), все более становится актуальным. Но те, у кого сейчас с этим плохо, не хотят изменить ситуацию, иначе они сразу станут такими же неповоротливыми монстрами, как Каспер и Дохтур.

Цитата:
Может быть товарищу пояснить в вирлабе Авиры о 36-ом пакере коих они не знают?

Они не знают минимум о нескольких десятках пакеров. Но все равно они не станут менять ситуацию. (почему - см. выше)

Если вы сектант Авиры, то это не значит, что это лучший антивирус в мире. У Авиры ИМХО единственное достоинство - легкость (вкупе с очень хорошим детектом неупакованных зловредов, что и ставит Авиру в первые ряды хит-парадов). Но легкость Авиры исключительно из-за того, что она ничего не видит, а просто априори объявляет все троянами/вирями. Абсолютно так же и с другими "легкими" антивирусами.

Потому и приходится пользоваться четырьмя антивирусными сканерами - Каспером, Дохтуром, Авирой и БитДефом. Попытка заменить Авиру в этом списке пока что оказывается безрезультатной. Но Авира в числе этой четверке по авторитету для меня именно четвертая.

All
Результаты теста http://anti-malware.ru/node/142 показывают то же самое. F-Secure за счет нескольких движков добился приличного результата, но с 2006 они не меняли ли состав движков?

Напомните только, хто спонсор AntiMalware (вроде где-то тут проскакивало что-то)... Настораживает присутствие НОДа 2.x в верхних рядах...


Кстати, кто знает, как у 4-го НОДа обстоят дела с распознаванием пакеров?
Автор: gjf
Дата сообщения: 28.04.2010 16:14
У Авиры есть ещё одно слабое место: это процедуры лечения файловых вирусов. Как правило, такая зараза не лечится, а удаляется. Кто не верит - могу дать пруфы.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145

Предыдущая тема: System Mechanic Professional/Standard 9.5.3.3 fix and speed


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.