тест на детектирование и лечение вирусов для рунета

[RuJN 21]

Предлагаю провести такой тест.

Для рунета почти не актуальны винлоки с логотипом ФБР США, например. Можно взять русские винлоки, Trojan.Encoder в больших количествах модификаций и проверить уровень их детекта разными вендорами.

Также взятьрзличное русское ПНПО типа установочников тулбаров по партнерке с подписью mail.ru. На счет необходимости детектировать ПНП вопрос спорный, но польхователи должны видеть реальную способность антивируса зазитить от них.

То же самое с русскоязычными вредоносными веб-сайтами и русскоязычным фишингом.

Можно и лечение в активном состоянии проверить хотя бы у части вредоносного ПО.

[priv8v 960]

спонсируете сэмплами?)

[Dmitriy K 603]

Можно взять русские винлоки

Я предлагаю взять славянские винлоки!

[priv8v 960]

а если серьёзно, то:

1. В одну кучу мешать в -данном- случае малварь и адварь нельзя, нужно два теста - по детекту адвари и малвари.

2. Детект русской малвари - даже если мы все скинемся, то вряд ли выйдет насобирать более 5000 русской разной малвари. Т.к критерий точности по нац.признаку подрежет сильно и надо сделать некий отсев дублей, т.к разный мд5 не означает разную малварь, можно к билдеру винлока прикрутить скрипт, который будет на одну букву менять текст и компилить, тогда за полчаса будем иметь кучу малвари, но тестить по ней аверы - глупость. А вот если такой билд пакнут/криптован, то можно считать другой малварью...

иными словами насобирать достаточного количества репрезентативную кучку малвари не сможем...

3. По адвари.

Набрать за сутки коллекцию в несколько тысяч не проблема, но тест будет показывать лишь одно - политику компании по отношению к конкретной адвари, т.к если авер детектит один файл, то детектит и практически все остальные данного семейства, т.к по сути у них один общий жирный стаб.

Интереснее будет набрать коллекцию штук в 300 по 10 адварей от каждого популярного семейства и просканить это авером с настройками по умолчанию, вот тогда будет видно реальный детект для ендюзера, а не для прохождения тестов. Но позиционировать данный тест как один из тестов антималваре не солидной как то ... это так чисто самим тут на форуме побаловаться и друг дружку потроллить от скуки

[Сергей Ильин 1538]

В этом тесте остро встает вопрос выбора семплов, о чем написал сразу priv8v. Я даже не про проблемы сбора тушек зверьков, хотя правильнее тестировать на реальных атаках (динамический теста), а про критерии отбора и прозрачность этого процесса. Как нам обосновать выбор именно этих, предпложим 100 вредоносов? Если их всего может быть миллион или более.

[RuJN 21]

Семплами не проспонсирую, их у меня вообще нет(

с тестом на малварь все проще, тут у всех вендоров политика одинаковая же... Где семплы брать не мне знать, но, если брать из публичных мест, то может возникнуть такая проблема, что венжором А это публичное место мониторится, а вендором В - нет. Если так, то брать примерно поровну, но опять нехорошо, потому что из всех существующих вирусных библиотек поровну взять просто невозможно. В конце концов наплевать на это и собрать хотя бы штук 500 семплов посвежее и часть давнишних, результат длжен достатлчно отражающим отношениеивендоров к этому вопросу. Если проводить динамическое тестирование, то много семплов и не надо.

мой знакомый однажды просто разговаривал по скайпу, ни по каким соответствующим сайтам 100% не лазил, вдруг на экране прокручивается порнография, комп. пережагружается и баннер. Он идет в Связной, где продавец за 250 рублей вместо лицензионной заводской висты ставит пиратскую ХР. Сам файл винлока потом находим, он случайно запускается, а баннер удаляется лайв сиди AntiSMS. У меня его семпл в запароленном архиве сохранился где-то, только я пароль не помню, но можно по логике попробовать подобрать.

адварь можно на потом оставить или взять совсем небольшое кол-во отобранных вручную: один семпл loadmoney mail.ru, другой - установочник softportal.com со скрытой функцией установки ч-л от мейлру (он не модификация др. версии адваря, тк в случае с конретно этим порталом программа полностью фирменная и есть своя ЦП), другой установочник тулбара, можно без разделения на национальный признак.

На мой взгляд важнее показать именно политику вендоров к таким типам угроз, т.к. о защите от ПНП говорят многие, но не все етектируют русскоязычное.

[Сергей Ильин 1538]

Я не случайно написал про динамический тест. Если мы даже насобираем какой-то количество тушек, то что покажет наш тест? Он покажет, что эти старые, мертвые, отстреленные когда-то тушки сейчас детектятся. С практической точки зрения эти знания ни о чем не говорят. Детект может добавиться, но сама атака отработала и этим вирусом уже заразилась куча людей. С тем же успехом можно собрать российские дос-вирусы и на них протестировать.

В общем без динамики это будет тест на полноту коллекции/детекта файлового антивируса, но не реальный тест на качество защиты. Нужно думать, как сделать правильную методологию такого теста.

Если найти стабильные каналы распространения локкеров, то будет проще.