vidocq89 Опубликовано 16 ноября, 2007 Поделиться Опубликовано 16 ноября, 2007 (изменено) Сравнительный тест антивирусов - борьба с конструкторами зловредов Всем известно насколько сейчас опасно выходить в интернет без антивируса - опасности нас поджидают на каждом шагу. Что-бы сделать вирус, уже не нужно знать языки программирования, достаточно зайти на какой-нибудь хакерский форум и скачать оттуда конструктор вирусов - программу с понятным пользователю интерфейсом и несколькими кнопками, нажимая на которые пользователь сам выберет какие функции должны присутствовать в его вирусе. Т.е ваш компьютер может стать жертвой вашего нехорошего, не разбирающегося в компьютерах знакомого, решившего вам сделать гадость. Также нам всем понятно, что антивирус должен пресекать на корню подобные "поползновения" и находить эти НЕДОвирусы. Посмотрим насколько у популярных в РФ антивирусов это получается. Всем известен такой конструктор vbs вирусов как Apokalipses (тестируется версия 2.5). Вот именно на нем, как на самом популярном конструкторе вирусов в РФ, я и остановил свой выбор и решил протестировать, насколько хорошо популярные у нас антивирусы защищают пользователя от других, таких же пользователей, вооружившихся этим конструктором. Это очень важно, т.к научиться ловить такие вирусы ничуть не менее нужная функция чем вообще поиск вирусов, как таковой) Для тестирования мной был сделан в этом генераторе вирус со следующими функциями: * Минимизировать все окна * Перейти на сайт "http:\\yandex.ru" * Сделать домашней страницу "http:\\google.ru" * Вывести сообщение "лол" * Разослать вирус по всем контактам через Outlook В тесте участвуют следующие антивирусы: KIS 7, Dr.Web, BitDefender, Avast, NOD32, AVG Antivirus и Panda Antivirus. Возможно, вы скажете, что я забыл про Norton и некоторые другие, но я отвечу: про них я не забыл, просто решил их не включать в тест по некоторым своим соображениям. Хотя тут можно еще поспорить, но все же я решил их не включать в тест (если хотите - можете сами их протестировать - направление в котором нужно двигаться я уже указал - читайте статью дальше). Теперь новоиспеченный вирус нужно проверить антивирусами. Вот результаты проверки: KIS 7 - Email-Worm.VBS.SmallDr.Web - modification of VBS.Iam BitDefender - Worm.VBS.Small.B Avast - ничего не нашел NOD32 - ничего не нашел AVG Antivirus - ничего не нашел Panda Antivirus - ничего не нашел Мда... Результаты оставляют желать лучшего. Все пользователи NOD32 и Avast могут очень пожалеть о том, что пользуются этими антивирусами. Любой школьник-семиклассник может создать вирус, который убьет их ОС'и. Это весьма и весьма печально - недосмотреть ТАКОЕ... - это просто выше моего понимания. И после этого можно уже и не слушать, болтовню их разработчиков о множестве функций и т.д их антивируса. Хотя возможно, в скором времени они восполнят этот пробел. Теперь попробуем немного изменить код нашего вируса, но таким образом, как будто мы не знаем этого языка - т.е код мы править не будем, а просто сотрем все комментарии в коде и снова проверим наш вирус. Результаты получились более чем странные, взгляните сами: KIS 7 - Email-Worm.VBS.Small.eDr.Web - modification of VBS.Iam BitDefender - Type_ScriptMailer Avast - ничего не нашел NOD32 - VBS/Small.E AVG Antivirus - ничего не нашел Panda Antivirus - ничего не нашел Сами видите, что nod32 решил "исправиться" и нашел зловреда, а другие, которые не нашли при первой проверке, не нашли и сейчас, а первая тройка антивирусов в нашем списке также исправно работает. Теперь подумаем о том, как же нам еще можно "извратиться" с нашим вирусом, но при этом нужно стараться не выходить за границу знаний человека, не знающего vbs. Попробуем заменить комментарии стоящие "по умолчанию" на пустой набор букв и посмотрим, что из этого выйдет. А вышло следующее: KIS 7 - Email-Worm.VBS.Small.eDr.Web - ничего не нашел BitDefender - Worm.VBS.Small.B Avast - ничего не нашел NOD32 - ничего не нашел AVG Antivirus - ничего не нашел Panda Antivirus - ничего не нашел Как видим, после таких несложных манипуляций без всякого знания языка, мы получаем вот такую удручающую картину. С этим смогли справиться лишь KIS 7 и BitDefender, а другие антивирусы скромно промолчали. Ну что ж? Усложним задачу? Предлагаю забить все тело вируса несколькими килобайтами комментариев. Т.е между всеми блоками, а также вначале и в конце напишем по 5 строк одинаковых комментариев - простой набор букв и цифр. Приступим... А вот и сами результаты: KIS 7 - Email-Worm.VBS.Small.eDr.Web - ничего не нашел BitDefender - ничего не нашел Avast - ничего не нашел NOD32 - ничего не нашел AVG Antivirus - ничего не нашел Panda Antivirus - ничего не нашел Дальнейшую "криптовку" проводить смысла не вижу - я больше не могу представить, как можно еще "извратиться" без знаний vbs. Все выводы делать только вам. Я никакой продукт не рекламирую, я просто показал насколько антивирусы "дружат" с "апокалипсесом". И мы увидели, что из тестируемых продуктов, только антивирус Касперского может противостоять смекалке человека "нешарящего" в vbs и криптовании. Дата написания статьи: 17 ноября 2007 г. В тесте участвовали KIS 7,Dr.Web, BitDefender, Avast, NOD32, AVG Antivirus, Panda Antivirus с последними обновлениями на момент написания статьи. Автор: vidocq89 Изменено 16 ноября, 2007 пользователем vidocq89 2 Ссылка на комментарий Поделиться на другие сайты Поделиться
Mona Sax Опубликовано 16 ноября, 2007 Поделиться Опубликовано 16 ноября, 2007 неплохо Ссылка на комментарий Поделиться на другие сайты Поделиться
starik Опубликовано 17 ноября, 2007 Поделиться Опубликовано 17 ноября, 2007 Вообщето NOD32 ругается на vbs сценарий который рассылает себя через "Аутглюк" Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandynist Опубликовано 17 ноября, 2007 Поделиться Опубликовано 17 ноября, 2007 (изменено) Вполне можно было бы продолжить подобные изыскания с конструктором пинчей. Некоторые пользователи, часто отмечающиеся на портале Антималвар.ру считают, что их антивирус не обязан детектировать все модификации пинчей созданных при помощи такого контструктора.. Изменено 17 ноября, 2007 пользователем Sandynist Ссылка на комментарий Поделиться на другие сайты Поделиться
Mona Sax Опубликовано 17 ноября, 2007 Поделиться Опубликовано 17 ноября, 2007 Некоторые пользователи, часто отмечающиеся на портале Антималвар.ру считают, что их антивирус не обязан детектировать все модификации пинчей да-да, есть такое Ссылка на комментарий Поделиться на другие сайты Поделиться
vidocq89 Опубликовано 17 ноября, 2007 Автор Поделиться Опубликовано 17 ноября, 2007 поподробнее про конструкторов пинчей, и плиз если можно ссылки на антималвере, что бы я лучше понял про что речь в личку или в асю, пинч - самый юзаемый псв-троян в РФ, так что... статья будет актуальна думаю, если у меня руки дойдут..) Ссылка на комментарий Поделиться на другие сайты Поделиться
Константин Опубликовано 18 ноября, 2007 Поделиться Опубликовано 18 ноября, 2007 Независимый российский информационно-аналитический портал Anti-Malware.ru, специализирующийся на программном обеспечении в области защиты информации, объявил результаты очередного тестирования 15 наиболее популярных антивирусных продуктов на возможность лечения заражённых компьютеров. Тест проводился на выборке из 17 наиболее сложных вредоносных программ, отобранных экспертами Anti-Malware.ru. Для каждого экземпляра вируса выделялась отдельная виртуальная машина под управлением Microsoft Windows XP SP2, которая намеренно заражалась. После этого делались попытки её лечения тестируемыми антивирусами. Ссылка на результаты теста. Ссылка на комментарий Поделиться на другие сайты Поделиться
vidocq89 Опубликовано 18 ноября, 2007 Автор Поделиться Опубликовано 18 ноября, 2007 НЕ В ТЕМУ... я вам про козу, а вы мне про Ерему... я тестил не на лечение а на обнаружение) могли бы создать и отдельную тему) Ссылка на комментарий Поделиться на другие сайты Поделиться
Константин Опубликовано 18 ноября, 2007 Поделиться Опубликовано 18 ноября, 2007 vidocq89, извините меня за то, что что вы сочли моим флудом в вашей теме. Но ссылка была дана на четыре теста: лечение, самозащита, детектирование и поддержку упаковки. Чуть больше чем вы просили. Ссылка на комментарий Поделиться на другие сайты Поделиться
vidocq89 Опубликовано 18 ноября, 2007 Автор Поделиться Опубликовано 18 ноября, 2007 Константин, не нужно ссориться)) цель моего тестирования было не узнавание детекта сложных вирусов, а наоборот - протестировать насколько какой антивирус может защитить ваш компьютер от криворуких школьников юзающих конструкторы вирусов (взял самый распространенный - апокалипсес) было бы интересно если бы кто нибудь еще провел подобный тест, но допустим с другим конструктором ... или может у кого есть еще какая нибудь идея по тестированию антивирусов на дектект зловредов - всех таких людей жду в асе или ПМ - обсудим и т.д... предоставлю также нужный для этого софт если надо и расскажу как проще проводить данный тест, также могу написать с кем-нибудь в соавторстве если у кого есть желание и идеи - кам хее плиз Ссылка на комментарий Поделиться на другие сайты Поделиться
Константин Опубликовано 14 января, 2008 Поделиться Опубликовано 14 января, 2008 В ссылке, что я дал раньше появился новый тест от 28.12.2007 На поиск современных руткитов. Ссылка на комментарий Поделиться на другие сайты Поделиться
R.S.M. Опубликовано 7 мая, 2008 Поделиться Опубликовано 7 мая, 2008 Читал, что чтобы защититься от пинча, Касперский дожен быть защищён паролем. это правда? и вроде только зимой нашли автора пинча... Ссылка на комментарий Поделиться на другие сайты Поделиться
vidocq89 Опубликовано 7 мая, 2008 Автор Поделиться Опубликовано 7 мая, 2008 (изменено) Читал, что чтобы защититься от пинча, Касперский дожен быть защищён паролем. это правда? по-моему пинч на касперского не нападает, это все таки псв-трой... и вроде только зимой нашли автора пинча... в каком танке вы вообще сидели?.. сто раз уже обсуждалось на всех форумах, что это просто неизвестно кто решил погнуть пальцы ... ни автора, ни его соавторов не ловили - они как сидели на форумах и в асе так до сих пор и сидят там... искать и тоже не нужно было - ники, аси, и т.д их всем известны - хотели бы давно поймали бы и подвесили за яйца... значит не хотят ловить... PS: но почему для своего поста вы выбрали именно эту тему?) вроде она к пинчу не имеет отношения...хотя смотря с какой стороны посмотреть) Изменено 7 мая, 2008 пользователем vidocq89 Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 мая, 2008 Поделиться Опубликовано 7 мая, 2008 Интересно, но можно было использовать Кузю и криптор который с ним идет....результат намного интереснее получиться. Ссылка на комментарий Поделиться на другие сайты Поделиться
ojiga Опубликовано 8 мая, 2008 Поделиться Опубликовано 8 мая, 2008 (изменено) Читал, что чтобы защититься от пинча, Касперский дожен быть защищён паролем. это правда?и вроде только зимой нашли автора пинча... это так пинч хитровымученно добавляет себя в доверенную зону, а если включён пароль на антивирусе пинч оказывается в пролёте по-моему пинч на касперского не нападает, это все таки псв-трой... facepalm.png в каком танке вы вообще сидели?.. сто раз уже обсуждалось на всех форумах, что это просто неизвестно кто решил погнуть пальцы ... ни автора, ни его соавторов не ловили - они как сидели на форумах и в асе так до сих пор и сидят там... http://lenta.ru/news/2007/12/19/fsb1/ отгадай какие лычки на погонах у тех кто сидит под конфискованными аккаунтами на этих форумах слоупок искать и тоже не нужно было - ники, аси, и т.д их всем известны - хотели бы давно поймали бы и подвесили за яйца...значит не хотят ловить... ох... Интересно, но можно было использовать Кузю и криптор который с ним идет....результат намного интереснее получиться. ты поучи ещё какими конструкторами быдлошкольникам надо пользоваться, ага Изменено 8 мая, 2008 пользователем ojiga 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения