Тест на лечение активного заражения 3

[Sandynist]

Подведены результаты теста на лечение активного заражения, который сделали специалисты портала anti-malware.ru

 

Странная ситуация - вирус Rootkit.Win32.Agent.ea был обнаружен 27 февраля 2007 в 20:23. Но у нас до сих пор нет процедуры его лечения?

Хотелось бы услышать мнение специалистов по этому поводу.

[SLASH_id]

Вот уж действительно вопрос....

[ROME'D'ROS]

Ржу не могу:Platinum Malware Treatment Award-Dr.Web Anti-Virus 4.44 (100%)хотя написано,что:

Посмотрите внимательно на результаты любого теста антивирусных продуктов на качество защиты. Как правило, в них вы не увидите цифры 100%.

я ему и 50% бы не дал,да,по скорости может быть и Dr.Web рулит,но по качеству...я сомневаюсь.

Меня Касперский 8 версии вполне устравивает,к тому же и тормозить вообще перестал!

А это:Gold Malware Treatment Award-Kaspersky Anti-Virus 2009 (80%),по моему не правда,т.к. Каспер - РУЛЕЗЗ,и не надо меня уговаривать

Изменено 24 октября, 2008 пользователем ROME'D'ROS

[Umnik]

Можете смеяться сколько угодно, но Доктор превосходно лечит активное заражение и тест это подтвердил. Результаты наши и Доктора мало кого удивили. Даже результат Аваста был предсказуем после покупки GMER. А вот результаты Нортона уже удивили. Он был лучше раньше.

[ROME'D'ROS]

Можете смеяться сколько угодно, но Доктор превосходно лечит активное заражение и тест это подтвердил.

И это говорит член Команды ЛК?

хм..я вообще не где не состою,и уверен,что Касперский НАМНОГО лучше всех других,хоть у меня и не было Веба,всё равно))

[C. Tantin]

Можете смеяться сколько угодно, но Доктор превосходно лечит активное заражение и тест это подтвердил. Результаты наши и Доктора мало кого удивили. Даже результат Аваста был предсказуем после покупки GMER. А вот результаты Нортона уже удивили. Он был лучше раньше.

Согласен. В этом я убедится со времён Клеза, который и установить-то АВП не давал, а Дохтур ещё при установке проверял запущенные процессы и убивал зверюгу... Но тогда правда рулила только Вин98...

 

И это говорит член Команды ЛК?

Да, и что тут удивительного? Что удивительного в том, что кто-то из команды ЛК говорит о хорошем механизме лечения активных угроз ещё одного отечественного антивируса? Ну не сказал же он, что "ДрВэб лучше каспера" в конце концов! и вряд ли скажет.

 

хм..я вообще не где не состою,и уверен,что Касперский НАМНОГО лучше всех других,хоть у меня и не было Веба,всё равно))

Говорить что одна программа "лучше всех", не попробовав достойных представителей от конкурентов, мягко говоря, легкомысленность и верхоглядство. Многие из здесь зареганных имели опыт использования конкурирующих продуктов, и на своём опыте убедились, что продукты ЛК - лучшие в своём классе. А не имея своего опыта, кричать что "КАВ НАМНОГО лучше" - допустимо, конечно, но несерьёзно.

 

Теперь о самом тесте. Возьмите количество зловредов в базах "победителей" и количество "тестовых" зловредов в сабжевом тесте - и можно сделать несколько интересных выводов.

1. статистическая погрешность такого теста при экстраполяции его на всю популяцию зловредов точно не даст выявить победителя ;-)

2. Выборка тестовой малвари необъективна (да, выбирались "известные" зловреды, да, выбирались "трудные" зловреды, но например руткит, который вообще не детектировался (!) ДрВебом, не был принят к тестированию, плюс всё-таки маловато зловредов было).

3. следствие из п.2: чуть другой выбор малвари мог до неузнаваемости переставить места среди лидеров тестирования.

Главный вывод: Е.К. прав, что такие вот тесты мало что значат.

[ТроПа]

И это говорит член Команды ЛК?

 

А что уже нельзя признавать очевидного. В некоторых случах продукты доктора просто необходимы. Я вообще незаинтересованный человек, который не принадлежит к антивирусным команиям и мне абсолютно всё равно чей продукт. Насчёт тормозов 8 немного не согласен. Есть свои проблемы, по сравнению с 7, но это моё личное мнение и лично мои настройки антивируса.

[Гриша]

Тест отличный, есть пара недочетов, а так все нормально, победители именно те кто должен быть

[C. Tantin]

Тест отличный, есть пара недочетов, а так все нормально, победители именно те кто должен быть

Выражаю несогласие - не выжу слова "имхо" ;-) По моему скромному мнению, тест неплохой, но далеко не отличный. Главная претензия к выбору малвари. Остальное - зачот.

[Гриша]

В чем именно претензия?

[Sandynist]

Возвращаясь всё же к теме - на вопрос я так и не прочитал ответа. Почему не лечим от вируса Rootkit.Win32.Agent.ea ?

 

Попутно начинают приходить в голову странные мысли и вопросы:

 

1) Конкретно этот вирус мы лечить можем, но разработчики теста взяли одну из его новых модификаций? (к сожалению, у меня нет этого образца, я бы попробовал повторить тест)

2) Те, кто проводили тест сознательно взяли именно этот экземляр, заведомо зная, что у нас нет процедуры лечения на него?

3) О списке малвар, которые будут в тесте, на этот раз никого не уведомили?

4) Нашему вирлабу было недостаточно времени для того, чтобы подготовить процедуру лечения? (почти 1,5 года, срок вроде вполне приличный, могли бы и позаботиться о репутации )

 

Информация о других вредоносных файлах, с которыми мы не справились:

 

Trojan.Win32.Pakes.cuh - детектирование добавлено 2 мая 2008 года.

 

Trojan-Proxy.Win32.Saturn.cu - детектирование добавлено 13 мая 2008

 

К этим двум образцам у меня нет вопросов, согласен, могли не успеть написать процедуру лечения к началу проведения теста.

Изменено 24 октября, 2008 пользователем Sandynist

[C. Tantin]

В чем именно претензия?

в том, что выбор малвари для тестирования был... э.... кхм... ну, некорректным (incorrect). Моё мнение (возможно, конечно, неверное) - разница между КАВ и ДрВэбом никак не 20%, если проверять по большинству распространённых зловредов. А примерно от -5% до +5%.. Имхо. Изменено 25 октября, 2008 пользователем C. Tantin

[Umnik]

Sandynist

Значит ЛЕЧЕНИЕ не реализовали. Ответ очевиден.

C. Tantin

Ты не путай лечение и общий уровень детекта.

[C. Tantin]

C. Tantin

Ты не путай лечение и общий уровень детекта.

 

Umnik, я и не путаю. Если ты про то, что выбирались зловреды только детектируемые - то это накладывает некую синтетичность на результаты ;-) А если ты про мою фразу "большинство распространённых зловредов" - так где я здесь спутал детект и лечение? Я это всё к чему - кое-что ДрВэб не детектит, а что дектит, то лечит (но не 100% точно, меня эта цифра просто убила), КАВ детектит больше, но лечит не всё. Имхо - было бы побольше малвари, да отобранной независимо ни от чего - результаты были бы совсем другие. Какие? если б "держал" ресурс типа антималвари - ответил бы ;-)

 

А так - моё мнение - цифра 100% для любого антивируса (при условии что ближайшие конкуренты, и притом не худшие, а если худшие, то ненамного - по тестируемому параметру, не добрались и до 80%) - это пиар. И переубедить меня в этом очень сложно. Хотя бы потому, что могу подобрать набор зловредов, при котором на как на первом месте окажется ДрВэб, КАВ или Аваст, так и на последнем (из трёх).

Изменено 25 октября, 2008 пользователем C. Tantin

[Umnik]

1. Все вредоносы отвечали ряду требований. Основные - все семплы должны детектиться всеми и не должны противодействовать АВ.

2. Все вредоносы являются ITW и, иногда, концепты.

Теперь объясняю, для чего это.

Если нет детекта, то лучения уж точно не будет. Противодействующие не годятся, т.к. к каждому популярному АВ можно набрать пачку руткитов, которые прибъют АВ 1, но проигнорируют АВ 2, который прибъет их. Нечестно. Тем более к популярным АВ найти можно большую пачку, а к малопопулярным - совсем чуть чуть.

ITW - значит не тестеры их написали и не АВ предоставили. Ну а концепты, когда они используются, позволяют протестировать АВ без применения реальных руткитов.

Тест на детект - это другой тест. Тест на пробив неизвестными эксплойтами - другой. И т.п.