» Обзор антивирусов под Windows XP

Walkman

Цитата:

Жевать видимо надо вам...

Это относится не к Вам,я просто привёл цитату в подтверждение,что уже подобное спрашивали.

Цитата:

Это подразумевает, что есть основа вилдлист и ест надстройка о которой я и вопрошал.

Какая "надстройка",простите?О чём Вы?Нету никакой надстройки!

Провел свое небольшое тестирование.
База по вирусам у меня собралась небольшая, всего вместе с приколами собралось около 500 файлов. Файлы специально не подбирались. Выкачивал из Интернета и так попадались изредка на дискетах.
Протестил 4 антивируса. (базы свежие, кроме Stop, который дополнительно не обновлял)
NOD32 v.2 (1.557)
F-Secure Anti-Virus Client Security v5.50.9331
Dr.Web 4.30a
Stop! 4.10.12

Результаты следующие:
F-Secure 458-вирусов
Dr.Web - 443 найдено, 10 модификаций, 28 подозрительных
Stop! - 131 найдено, 8 модификаций, 30 подозрительных
NOD32 - 361 найдено.

Теперь немного коментариев по результатам тестов.
Отсюда http://hackzone14.stsland.ru/virus.exe
скачал коллекцию вирусов (130 шт.)
Так вот, из этой коллекции у меня результаты получились следующие:
F-Secure 13-вирусов
Dr.Web - 10 найдено, 1 модификация
Stop! - не тестировал, по количеству найденных вирусов он меня не устроил (может у кого он лучше справляется)
NOD32 - 108!!! найдено.

Может кто сможет скачать данную сборку и какие-либо замечания сделать.

Я в основном сравнивал результаты двух антивирусов - F-Secure и NOD32. (Они в данном рейтинге стоят на разных сторонах таблицы).
Так вот, у NODa выявился недостаток по поиску BOOT- вирусов. Из моей коллекции он не нашел 30 таких вирусов!!!
С другой стороны F-Secure - отнес к категории вирусов 12 файлов-приколов, которые вирусами не являются, а производят различные эффекты на экране и т.д. и другие файлы не заражающие.
И еще, NOD32 не взял у меня коллекцию вирусов в самораспаковывающемся архиве, пришлось его распаковать - видно есть некоторые проблемы с поддержкой некоторых архивов. Раньше НОД не брал и архивы RAR.
По скорости антивирусы не сравнивал, но можно отметить большую разницу между скоростью НОДа и F-Secure. По загрузке памяти также НОД существенно меньше "жрет".
Причем похоже F-Secure забирате не 25.6 мега, а около 70-80 (надо сделать деинсталл, чтобы правильно определить занимаемый им размер, завтра поточнее скажу когда его удалю). Особой разницы в загрузке процессора не видел (у меня Duron 1100), резидентно стоят и НОД и F-Secure. Хотя из-за большого объема занимаемой в памяти - длительность загрузки компьютера увеличилась секунд на 20.
Но больше всего меня поразила разница по ссылке http://hackzone14.stsland.ru/virus.exe, может там специально подобраны вирусы которые AVP и ему подобные не определяют?

Тестирование я проводил лично для себя. Те файлы которые F-Secure и NOD32 не нашли я проанализировал не до конца. Хотя пропусков вирусов в общем количестве у НОДа больше.

Хочу немного разъяснить свою позицию насчет тестовых наборов вирусов.
Буду человеком, занимающимся продажей и поддержкой антивирусных продуктов компании Panda Software (велком на хоум пейдж) я столкнулся со следующим моментом.
Люди звонят/пишут и спрашивают :
"У меня тут коллекция вирусов 1000шт. (условно). Так вот антивирус Х нашел 900 а антивирус Y только 850, почему? "
Начинаю копаться. (сразу замечу, что не обладаю экстрапрофессиональными знаниями о вирусах).
Даже будучи не гуру, замечаю , что часть файлов в такой колекции является текстовыми описаниями к вирусам, часть их - исходным кодом вирусов на Асемблере, а другая часть находится в запароленом архиве (причем пароля нигде нет).
Причем нередка ситуация когда файл считается вирусом потому что так его обозвал антивирус Х, а на самом деле это текстовый файл например с описанием вируса и его действий. Например строча format c: /y достаточна для того чтобы считать этот файл вирусом. Еще один вариант, когда в файле находится недобитый вирус, т.е. остался только фрагмент кода достаточный для определения этого файла как зараженного каким-то одним вирусом.(Антивирус не всегда удаляет код вируса целиком, иногда просто вырезается его активная часть)

Вот почему я с большим подозрением отношусь к частным опытам по проведению сравнений.

Walkman
Это очень интересно, значит нужно проверять антивири на коллекциях, предварительно удалив текствые файлы, и с опцией Delete, а не Disinfect (или как там у кого называется).

Walkman

Цитата:

Вот почему я с большим подозрением отношусь к частным опытам по проведению сравнений.

Замечу,что коллекция распространённых вирусов (КРВ) содержит вирусы в "нормальном" состоянии,а не их фрагменты.Это раз.
Во-вторых,Панда показала очень неплохие результаты в наших тестах.Вы не находите?Тогда в чём Ваше подозрение?
Severin

Цитата:

База по вирусам у меня собралась небольшая, всего вместе с приколами собралось около 500 файлов. Файлы специально не подбирались.

В отличие от Вас,база вирусов для тестов тщательно подбиралась.В неё вошли все вирусы из Вайлдлиста,которые я смог собрать/достать.

Цитата:

Теперь немного коментариев по результатам тестов.
Отсюда http://hackzone14.stsland.ru/virus.exe
скачал коллекцию вирусов (130 шт.)
Так вот, из этой коллекции у меня результаты получились следующие:
F-Secure 13-вирусов
Dr.Web - 10 найдено, 1 модификация
Stop! - не тестировал, по количеству найденных вирусов он меня не устроил (может у кого он лучше справляется)
NOD32 - 108!!! найдено.

Может кто сможет скачать данную сборку и какие-либо замечания сделать.

Делаю замечания,как Вы и просили.
1.База по ссылке-в основном,старьё.Оценять антивирус по результатам тестирования этой базы я бы не осмелился.
2.В этой коллекции вирусов совсем не 130,как Вы пишете.Там,кроме вирусов,имеются текстовые,вордовские и нфо-файлы.
3.DrWeb 4.30а у меня нашёл 111 вирусов,а не 10.Не знаю,как Вы проверяли.
4.KAV 4.5.0.49 нашёл 112 вирусов (F-Secure я не задействовал)

Для информации:
Ещё я прогнал eTrust Antivirus 7.0.142,он нашёл 112 вирусов.
В принципе,то,что НОД32 не нашёл даже здесь всех вирусов,ещё раз подтверждает его ненадёжность.

Да и не только.
Лучше Rename а не Dеlеlе .
Я могу сказать одно.. Я еще не видел ни одного сообщения с криком о том, что поставил Панду а она тут все сквозь пальцы пропускает.
Вернее было, но это отдельные индивидумы, которые надеются, что поставив древнюю бета версии с пиратской компашки и с базой,возраст которой полтора года, можно оценивать антивирусы.

DrInvizzi
McAfee 7.1 Ent тоже нашел 112 вирей

Liberty_2000
Спасибо.
Я думаю,толку обсуждать эту коллекцию (по ссылке) нет.Это-старьё.Все вирусы из неё входят в Большую коллекцию.

Добавлено
1. ОБНАРУЖЕНИЕ И ОБЕЗВРЕЖИВАНИЕ ВИРУСОВ

Severin

Цитата:

Теперь немного коментариев по результатам тестов.
Отсюда http://hackzone14.stsland.ru/virus.exe

Цитата:

Dr.Web - 10 найдено, 1 модификация

ti 4ego bez baz testil? ja sha prognal drweb - 111 virey nasel

Добавлено

Цитата:

Но больше всего меня поразила разница по ссылке http://hackzone14.stsland.ru/virus.exe, может там специально подобраны вирусы которые AVP и ему подобные не определяют?

Цитата:

4.KAV 4.5.0.49 нашёл 112 вирусов (F-Secure я не задействовал)

vse 4to posle KAVa ostalos eto SS1-623.COM + kuda *.nfu + boot.asm

SS1-623.COM ne detectit ni 1 AV drweb / nav / kav
SS1-623.COM poslal na support@kaspersky.com zdem otveta

На указанной здесь коллекции SAV managed Client v. 8.1 нашел 114 вирей. Не реагировал на файлы Asylum.com, Boot.asm, Dirii.scr. База антивирусная от 13.11.2003 г.

Добавлено
Уточняю - http://hackzone14.stsland.ru/virus.exe

Доктору

Цитата:

Замечу,что коллекция распространённых вирусов (КРВ) содержит вирусы в "нормальном" состоянии,а не их фрагменты.Это раз.
Во-вторых,Панда показала очень неплохие результаты в наших тестах.Вы не находите?Тогда в чём Ваше подозрение?

Я просто высказал свое мнение.

Пробовал ли кто из Вас китайский антивирус Rising Antivirus?
Я вот поставил,прогнал сканер по КРВ-он нашёл 98.55% вирусов!Неплохо!
Монитор же нашёл 92.75% вирусов.
Работает с ZIP,RAR,ACE.

SS1-623.COM одним из наших вирусных аналитиков был назван "возможным остатком от вируса" (здесь и далее своими словами близко к тексту). В файле присутствуют черты, характерные для вируса, но из него были вероятно удалены (если они там были) функции размножения и непосредственно вредоносные действия. Вполне возможно, что удалены они были каким-то АВ или файл был поврежден другим способом. Также существует вероятность того, что это не вирус

З.Ы. Когда мне это все рассказывали, то я половины не понял, поскольку не силен в программировании... передал только смысл.
З.З.Ы. при запуске файла SS1-623.COM просто шел ребут машины, других попыток совершения противоправных действий выявлено не было, а исходный код выглядит порезанным...

Добавлено
DrInvizzi
http://dmoz.com/Computers/Security/Anti_Virus/Products/
это далеко не полный список АВ-компаний, их на самом деле больше...
Кстати, не помню, упоминали или нет здесь VBA (VirusBlokAda) - белорусская разработка. И таких проектов есть очень много...

Bespeka

Цитата:

это далеко не полный список АВ-компаний, их на самом деле больше...

Ну это понятно.
Я спросил о "китайце",так как его триальной версии в сети нигде не мог найти.Я так понял,её и нету.А тут случайно наткнулся-и поставил.

Цитата:

Кстати, не помню, упоминали или нет здесь VBA (VirusBlokAda) - белорусская разработка.

Вроде Вы и упоминали.Кстати,встречал отдельную тему по этому антивирусу.

2 DrInvizzi.http://www.softarena.ru/board/index.php?s=d4e48f0b1f4b895bb8e8d58660709f2f&act=ST&f=3&t=407

Добавлено
Там Ваш "китаец".Если попробуете его,напишите впечатления,ок?

Должен сказать, что антивирус VBA (ВирусБлокАда) год назад показывал себя совсем даже и не плохо. Лежит на _www.vba.com.by_. C интерфейсом - не комментирую т.к. наверное все изменилось. А лечил без натуги.

posle kava ostalsa 1 com fail

SS1-623.COM

vot otvet

all files in package are text files (virus descriptions) except one COM file - it is some game cracker.

no viruses/trojans found.

Regards, Eugene
Kaspersky Lab
http://www.kaspersky.com
http://www.viruslist.com


> Attachment: virus.zip

> maybe there is more viruses?

rayoflight

Цитата:

Там Ваш "китаец".

Я отсюда и брал.Спасибо.

Цитата:

Если попробуете его,напишите впечатления,ок?

Да я бы вроде уже кратко написал выше.Что ещё добавить?Заметил,что подгружает систему.

Спасайте
Каспер посл. не сработал, веб не сработал, ТОЛЬКО АККУРАТНО, 100% вирус, скачайте, попробуйте сканером это, те, у кого не последний каспер и не последний веб (которые молчат), я подцепил теперь сам незнаю что.

http://62.213.75.40/temp/test.exe

PS: То, что вирус 100%, т.к. человек кинувший это как выяснилось чуть позже, лишился аськи, т.е. под ним сидел злоумышленник.

Мне нужно название виря, если у вас кто-то на это отреагирует, что бы знать как и чем чистить.

PPS:

Цитата:

1. Kaspersky AV 4.5.0.49 96,30

Тфу блин

Ruben

Вот что по твоей ссылке лежит:

Цитата:

ERROR 404 !


Уважаемые дамы и господа,
запрашиваемая страница отсутствует.

Уверяю тебя, это точно не вирус!!!

Тьфу блин, сор, поправка
http://bk.ru-board.com/temp/test.exe

Добавлено
Архивировал Винар3, пароль без кавычек "newvirus@kaspersky.com"

Добавлено
http://ruben.ru/temp/test.rar

Зеркало.

Ruben

А что он творит, собственно? Почему ты уверен, что это вирус?

andrex
Я не утверждаю, я скорее подозреваю с большой долей вероятности.

Т.к. всему контакту похищенной аськи, в числе которых оказался и я, кидалась одна и таже ссылка http://www.sdeath.com/CD_28.rar в архиве то, что я выложил выше.

Человек же сидевший под контактом моего знакомого, соотв. и увел у него аську, не из добрых намерений, понятное дело.

В дополнение хочу сказать, что понятно, не спорю, сам виноват что запустил, но я привык доверять КАВу, тем более подстраховался онлайн-проверкой Др.Веба (как выяснилось позже нод32 тоже ничего не видит). Как результат, через некоторое время я обнаружил что остался без файрвола в прямом смысле этого слова. Стоял Outpost 2, с всеми апдейтами, он оказался выгружен (сервис не запущен), при попытке загрузить его, я получил сообщение об ошибке:

Цитата:

Outpost Firewall
Can't load high-level plugin: F:\...\Outpost Firewall\engine.dll, error 32

Что вроде как расставляет все на свои места...


Добавлено
ЗЫ: Касперскому послал, жду его ответа.

Добавлено

Цитата:

А что он творит, собственно? Почему ты уверен, что это вирус?

Ничего не говорит, запускается и ничего не происходит.

Ruben

Очень интересная история! Тем более, что все проги, что ты перечислил для борьбы с микробами у меня те же!!! Обязательно сообщи, что тебе ответят. Если это вирус, то ужж действительно будут мрачные размышления!!!
А в автозагрузку себя эта прога не прописывает? (По понятным причинам я ее не запускаю у себя потому и спрашиваю у тебя, как человека опытного!)

andrex мы с тобой начинаем выходить за рамки этого топа, будут новости - напишу в ПМ. Просьба к участникам, не поленитесь, скачайте экзешник, и прогоните по нему антивирусный сканер, сообщив результаты мне в ПМ, интересно поймает эту пакость кто нибудь (если есть что ловить) или нет.

На правах "update" - NAV2004 (+все апдейты) тоже ничего не видит. Ну и жду ответа от касперов.

Ruben
poslal takze na support

redpolzoenie

Trojan.PSW.ldPinch + FW killer

pakovan FSG 1.33

sha raspakuyu....

Ruben

Вот что теперь KAV распознает:

kstati firewalli etot zver kotsaet mra4no posle ego zapuska sygate skazal error i zdoh

zoneAlarm ne proboval no on nesmog zagruzitsa posle etogo backdoora

Собственно вот переписка с каспером. Ответили примерно через 12 часов после того, как письмо с файлом было послано. Чес говоря не оч. оперативно.


Цитата:

Hello,

это новый троянец типа "Backdoor",
добавлен в следующий апдейт (выйдет примерно в 17:00 по Москве).

Regards, Eugene
Kaspersky Lab
http://www.kaspersky.com
http://www.viruslist.com


> Attachment: test.rar

> Доброй ночи, newvirus.
> Получил по ICQ, от человека которого хорошо знал, как выяснилось позже
> аську у него увели. Стоит постоянно включенный и обновляемый (4 раза в
> день) KAV PersPro 4.5.0.94, который промолчал, зашел на онайл
> проверку, онлайн проверка на вашем сайте сказала "Ок", онлайн проверка
> дрвеба тоже ничего не нашла. Запустил - ничего не произошло. Что и
> насторожило.
>
> Прошу вас развейте или подтвердите мои опасения.
> Архивировал Винар3, пароль без кавычек "newvirus@kaspersky.com"
>
> PS: После запуска, файрвол сам выгружается и "ломается".
>
> ____________________________
> С Уважением Ruben
> E-mail: ruben@ru-board.com

Небольшое дополнение. Я откатил систему на неск. месяцев назад (с помощью образа), тогда стоял NAV2004, обновил базы итп, но он в упор не видит мой, ставший уже любимым test.exe. Только сейчас, послал им, посмотрим что они ответят.

Вот свезло, так свезло (с)

И последнее, так что именно ворует этот троян, мне так и не написали.
Т.к. это представляется мне все же интересным, пытался найти его на
http://www.viruslist.com/viruslist.html?id=3225 и по поиску по "Backdoor.Haxdoor.i" - "Найдено записей: 0".

Цитата:

Чес говоря не оч. оперативно.

esli bi ti bil legalnim userov vse bilo bi bistrey oni zanosat zaregennih userv (mail) v bazu s pets bazu i pisma ot nih obrabativayutsa bistree