» Обзор антивирусов под Windows XP

С удовольствием выслушаю все предложения касательно тестирования и выдачи результатов!

Что касается Панды Платинум я уже писал что с Rar'ом она работает не важно, поэтому результаты таковы:
654 проверено
246 найдено
66 вылечено
46 помещено в карантин

слабовато

Иначе зачем тогда тест проводить.

Вирус может попасть на комп запакованный RARом, и что тогда?

Ничего тогда.Он что,сам вылезет оттуда?Его же запустить надо будет.

Тест проведён неправильно,так как часть файлов находилась в неизвестных антивирусу архивах.Поэтому информация о найденных/ненайденных вирусах сильно искажена.Если Панда Платинум не знает рар,то надо скормить ему вирусы,распаковав их хотя бы

это то есть если говоришь Платинуму проверить архив (в котором возможно сидит вирус), то он всё-равно ничего не найдёт т.к. тупит с рарами и зипами?

а видел ли кто нибудь живьем пресловутый mydoom.B ?

Мне тут подкинули серьезные люди доп. информацию...

о том что он якобы записывает в BIOS код длинной 624байта, который будет управлятся по TCP протоколу после 12 февраля....

Area: AVP.SUPPORT Sun, 01 Feb 2004 17:57:28 +0300
From: Sergey S Bogukovsky 2:5031/26
To: Anatoly Svishev
Subject: RE: New cumulative update AVP0401

AS>>Hезависимый исследователь Juari Bosnikovich juarib@m-net.arbornet.org
опубликовал в списке pассылки новые подpобности pазpушающего действия
виpуса MyDoom.B, <...> Hа самом деле после 12 февpаля MyDoom пеpейдет в новую фазу и будет еще более опасным поскольку появится новая обновленная и мутиpовавшая веpсия. Известно, что MyDoom посpедством shimgapi.dll оставляетоткpытыми поpты 3127-3189, но это используется только для скpытия pеальных намеpений MyDoom.B. До сих поp не было известно, что виpус заpажает BIOS компьютеpа. По словам исследователя, виpус записывает в BIOS код длиной 624 байта, котоpый будет упpавляться по TCP пpотоколу после 12 февpаля. Также нет возможности вылечить виpус записанный в BIOS, кpоме как пеpезаписать в флеш память BIOS заново. Полностью сообщение находится здесь.
_http://lists.netsys.com/pipermail/full-disclosure/2004-January/016353.

SSB> Juari Bosnikovich курит хорошую траву, без которой драйвер для всех
сетевых карт вместе с поддержкой протокола TCP/IP запихнуть в 624 байт просто
нереально. Все желающие могут сами дизассемблировать червя и попытаться в нем
найти код, который работает с BIOS. После чего вынести свое решение по поводу
способностей Juari Bosnikovich.

А все же mydom.B поймал кто ни будь... или это у Касперского (я имею ввиду человка) паранойя...

1. I-Worm.Mydoom: не верьте проходимцам

31 января на множестве сайтов компьютерного андеграунда была
опубликована якобы новая, сенсационная информация
(http://lists.netsys.com/pipermail/full-disclosure/2004-January/016353.html)
о черве Mydoom (http://www.viruslist.com/viruslist.html?id=144488783) от
некоего "независимого исследователя" по имени Юари
Босникович (Juari Bosnikovich).

Согласно высказываниям "исследователя", антивирусные
компании скрывают правду о ряде функций, присутствующих в коде вируса.
Так, по словам Юари, вирус написан на ассемблере, но таким образом,
чтобы выглядеть написанным на языке C++. Из этого факта Юари делает
смелый вывод: раз он написан на ассемблере, значит, бОльшая часть его
функциональности осталась нераспознанной экспертами антивирусных
компаний.

Господин Босникович предупреждает, что на самом деле вирус отнюдь не
прекратит свою активность 12 февраля 2004 года, как сообщают
антивирусные эксперты, а "будет обновлен" и
"мутирует" в версию Mydoom.c.

Затем следуют заявления о заражении червем BIOS компьютера, куда,
якобы, записывается код длиной в 624 байта. Этот код открывает TCP-порт,
если системная дата превышает 12 февраля 2004 года.

В качестве заключения своих "исследований" г-н
Босникович выдвигает предположение о всемирном заговоре антивирусных
компаний, которые "пытаются что-то скрыть", и обвиняет
ведущие антивирусные лаборатории в некомпетентности.

Давайте разберем заявление "независимого исследователя"
на составные части.

Во-первых, для настоящих антивирусных исследователей не существует
разницы между ассемблером и C++, ведь они изучают вовсе не исходные коды
вредоносной программы, а результаты работы дизассемблера, которые всегда
показывают все заложенные в коде функциональные возможности вне
зависимости от языка программирования, при помощи которого этот код был
создан.

Во-вторых, встроенный в семейство червей Mydoom механизм удаленного
администрирования, продолжающий свою работу и после 12 февраля 2004
года, позволяет злоумышленникам загружать на зараженные компьютеры любые
программы на свое усмотрение. Это может быть и новая модификация вируса
Mydoom, которая, что совершенно логично, будет иметь версию
"c". Однако в данный момент этой версии в интернете не
существует, и никаких выводов о её чрезмерной опасности сделать
невозможно - особенно исходя из анализа кода существующих версий червя.

В-третьих, нельзя записать вредоносный код в 624 байта длиной в BIOS
компьютера. Причин здесь сразу несколько. Для начала придется что-то
стереть из существующей прошивки BIOS, после чего компьютер попросту
откажется запускаться. Далее: на свете существует несметное множество
BIOS от разных производителей, которые изменяются от версии к версии и
от материнской платы к другой материнской плате настолько, что
предусмотреть наличие места даже для 624 байт во всех компьютерах и всех
версиях прошивок представляется совершенно нереальным.

На практике это означает, что если бы Mydoom что-то записывал в
BIOS, почтовые ящики службы технической поддержки "Лаборатории
Касперского" были бы переполнены письмами от пользователей, у
которых попросту перестали включаться компьютеры. Но этого нет. Можно в
силу разных причин не верить экспертам антивирусных компаний, но нельзя
отрицать существование здравого смысла.

Кроме того, г-н Босникович (кстати, нет никакой уверенности, что
подобный человек вообще существует) допустил грубейшую ошибку, написав в
своей провокации об открытии некоего TCP-порта из BIOS компьютера теми
самыми 624 байтами зловредного кода. Опытному пользователю ПК должно
быть известно, что для открытия порта TCP/IP требуется хотя бы наличие
на компьютере соответствующего сетевого протокола, который управляется
вовсе не из BIOS, а только из операционной системы. Другими словами,
"открыть TCP-порт из BIOS" невозможно.

Окончательно "независимого исследователя" обличают
обвинения во всеобщем заговоре и некомпетентности. Подумайте сами, какой
смысл антивирусным компаниям скрывать подробности об особенно опасных
функциях Mydoom? Должны же тому быть логические обоснования! Но логика
утверждает, что всё как раз наоборот - нет и никогда не было у
производителей антивирусного ПО причин скрывать подробности о вирусе,
эпидемия которого уже захлестнула весь интернет.

Сложно сказать, кому понадобилась подобная провокация. Возможно, г-н
Босникович занимается самопиаром? Но больше всего эта история напоминает
чью-то злую шутку.

А ДО этого момента он может ?

Читал что Панда находит вирусы ещё на подходе по сети.

Скорее всего, обе модификации почтового червя Mydoom, вызвавшего одну из самых крупных эпидемий в истории интернета, были созданы одним и тем же человеком. Об этом говорят некоторые особенности кода червя, открытые специалистами McAfee - антивирусного подразделения компании Network Associates. В частности, в коде вируса указаны номера версий программы. Это свидетельствует о том, что автором Mydoom, скорее всего, является профессиональный программист, а не просто любопытный студент.

Еще более интересно то, что в коде червя имеются комментарии, подписанные именем andy. Из этого антивирусные специалисты опять же делают вывод о профессионализме разработчиков. Возможно, полагают в McAfee, вначале код Mydoom был написан одним программистом, а затем подвергся тщательной проверке, за которую и отвечал andy. Комментарии andy имеются в обеих версиях Mydoom. А в Mydoom, кроме них, содержится извинительная фраза на английском языке: I'm just doing my job, nothing personal, sorry ("Я просто делаю свою работу, ничего личного, извините").

Обнаружили в McAfee и другую особенность Mydoom.B. Как выяснилось, в коде червя имеется ошибка, из-за которой в атаке на сайт Microsoft будут участвовать далеко не все зараженные компьютеры, а всего около 7% из них.