Тест самозащиты антивирусов I (результаты) - Страница 3 - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Сергей Ильин

Тест самозащиты антивирусов I (результаты)

Recommended Posts

Сергей Ильин
  Dexter сказал:
Поскольку антивирус трояна не знает, то он спокойно установится и отработает, если он одноразовый,а если бот или загрузчик, то не факт, что его завтра или послезавтра детектить начнут. Скрытие - оно понадёжней будет.

А это что получается? Пришел, увидел антивирус, снёс его, а завтра самого зачистили? Smile

Сокрытие своего присутствия - хороший метод, но грубая физическая тоже эффективна. На счет одноразовости не согласен. Если троян умеет убивать антивирусы и уже встал в системе, то вычистить его будет куда сложнее оттуда. Чем лечить заразу, если при попытке установки антивирус будет убиваться? Как думаете, большой % юзеров смогут ручками поковыряться в системе и удалить заразу?

  Артём сказал:
Два раза я пытался перейти с Нод на Кав и оба раза я работая с КАВ6 получал вирус который его убивал! Где ваша хвалёная самозащита????

При желании можно убить любой антивирус, защита Касперского не идеальна, тест это тоже показал.

Потом "хвалёная самозащита" не наша, а Антивируса Касперского :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

Артём

  Цитата
Не верю!

На такие громкие слова, тут принято давать исчерпывающие доказательства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
  Dmitry Perets сказал:
Во-вторых, отсутствие антивируса надо ещё заметить. И я даже не говорю о "домохозяйках", который что красная иконка, что серая - один фиг. Есть и поинтереснее случаи. Например, иконка антивируса может оставаться абсолютно нормальной, но он уже не дееспособен...

Это тоже стоит учитывать, не все так пристально следят за состоянием антивируса, а потом через месяц удивляются: "Ой, а куда пропала иконка? " :shock:

И еще не забывайте одну вещь, ее уже озвучил по-своему Артём.

Если антивирус облажался и пропустил заразу, ему еще можно это простить, а вот если его эта зараза убила и вычистила его с компа - никогда.

Доверие к такому продукта у пользователя просто пропадает, а недовольный клиент уведет с этого продукта еще человек 10, согласно статистике. Это как плевок в лицо. Потратил деньги на защиту машины, все настроил, а пришел тинейджер и простой отверткой все расковырял. :)

Добавлено спустя 11 минут 31 секунду:

Скажу пару слов в защиту Sophos. Это корпоративный антивирус и заточен он именно для этого. Мы проводили тест установленного отдельно Sophos Anti-Virus (stand alone). Это принципиально в данном случае, потому как при централизованной установке с консоли и последующем управлении оттуда, пользователь на локальной машине даже с правами локального администратора просто не видит процессы антивируса, не говоря уже про то, чтобы их убить. Корпоративные продукты - это совсем другая песня. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
  Цитата
Доверие к такому продукта у пользователя просто пропадает, а недовольный клиент уведет с этого продукта еще человек 10, согласно статистике.

+ 1

  Цитата
Если антиврирус облажался и пропустил заразу, ему еще можно это простить, а вот если его эта заразу убила и вычистила с компа - никогда.

Вы думаете, что это можно полностью предотвратить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
  Пит сказал:
Вы думаете, что это можно полностью предотвратить?

Это можно минимизировать. Тест как раз показал те компании, которые уделяют этому внимание - первая 4-ка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём
  Пит сказал:
Артём
  Цитата
Не верю!

На такие громкие слова, тут принято давать исчерпывающие доказательства.

Ну тот вирус у меня не сохранился, но он пол года лежал в сохранённой веб странице и КАВ его не видел! А при обращение к этому файлу ничего не происходило, просто после перезагрузки часть модулей КАВ оказывалась убита! И помогала только его переустановка. Проактивка тоже никак не реагировала на вирус.

Нод же сразу его нашёл у удалил! Точное название виря уже не помню, но в названии было что-то KillAV ....

Просто тесты это конечно хорошо и интересно, но когда имеешь собственный негативный опыт, то больше доверяешь ему!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Demorphis
  Пит сказал:
  Цитата
SELinux ?

Не в нашей действительности, пингвины долго не живут. Деликатные черти. :D

Брррр....=) (с) Это пингвины то? Ну смотря в чьих руках! :)

"Linux никогда не отгораживал пользователей от совершения глупостей, так как это отгораживает от умных вещей!" :)

PS: Простите за офтоп, больно редкое мнение, в наши дни! :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
  Demorphis сказал:
SELinux ? :D

если можно, то просветите ....

это что–то российское?

Добавлено спустя 3 минуты 58 секунд:

  Артём сказал:
Не верю!

Два раза я пытался перейти с Нод на Кав

я тут выше уже писал, что нод в принципе не в состоянии убить серьезные активные вирусы.

в отличие от касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём
  \ сказал:
  Цитата
  Цитата

SELinux ? :D

если можно' date=' то просветите ....

это что–то российское?

Добавлено спустя 3 минуты 58 секунд:

  Цитата
Не верю!

Два раза я пытался перейти с Нод на Кав

я тут выше уже писал, что нод в принципе не в состоянии убить серьезные активные вирусы.

в отличие от касперского.

Мда? А можно мне в личку один такой экземпляр? А то всё слова, а хочется увидеть своими глазами!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
  Артём сказал:
Мда? А можно мне в личку один такой экземпляр? А то всё слова, а хочется увидеть своими глазами!

обратитесь к администрации.

эти зловреды выли внесены в базу форума 2 августа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём
  Mike сказал:
....

Это что? Опять словоблудием будем заниматься?

Так есть на чём доказать слова?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
  Артём сказал:
Это что? Опять словоблудием будем заниматься?

Так есть на чём доказать слова?

http://anti-malware.ru/index.phtml?part=te...ctive_infection

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём

Таблички и циферки это хорошо, но мне хочется увидеть своими глазами малвару которая убьёт Нод! Для каспера такую видел, теперь ищу для Нода :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

убить нода в принципе может даже школьник, что демонстрирует вот это видео http://rs132.rapidshare.com/files/35581219/NOD_vs_KIS.rar

но этот акт убийства в принципе ничего не доказывает так же как случай убийства кава вашей малваре

нет вру, доказывает - идеала увы нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Иван только один вопрос по теме видео, почему когда каспера пытаються отключить, отключают службу amon которая к касперу отношения никакого не имеет=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
  Цитата
Таблички и циферки это хорошо, но мне хочется увидеть своими глазами малвару которая убьёт Нод! Для каспера такую видел, теперь ищу для Нода

http://anti-malware.ru/phpbb/viewtopic.php?t=119

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
  Ego1st сказал:
Иван только один вопрос по теме видео, почему когда каспера пытаються отключить, отключают службу amon которая к касперу отношения никакого не имеет=))

понятия не имею, видимо ошибка школьника снимавшего видео

забыл он видать файло поправить

но все равно нетстопом вы каспера не завалите, а нод указанным способом уходит лесом

но как я уже сказал это ничего не доказывает кроме того что существует множество элементарных способов выноса практически любого антивиря и эти способы не надо особо долго изыскивать

что собственно и тест по самозащите показал

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
  Иван сказал:
это ничего не доказывает кроме того что существует множество элементарных способов выноса практически любого антивиря и эти способы не надо особо долго изыскивать

+1 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
STALK:ER

Господа по моему мы опять упираемся в извечную тему какой антивирус лучше....

  Valery Ledovskoy сказал:
SpIDerNt.exe - это лишь интерфейс и сервис. Попробуйте выгрузить драйвер spider.sys ;)

Как уже сказал Валерий spider.sys убить нельзя, а по сему можно признать, что тест довольно не однозначный и принимать решения по нему нельзя (по крайней мере людям с начальным стажем общения с антивирусами...)

Ну а по касперскому можно применить такой способ:

1. Помещаем файл в автозагрузку (допустим, что антивирь не знает, что это зловред!!!)

2. Перезагружаем ПК..... и всё - я Вам голову даю на отсечение, что пока GUI антивируса Касперского не загрузится - зловред будет делать своё чёрное дело, даже если перед самой перезагрузкой антивирус уже будет знать зловред....

P.S. Такой тест проводил на двух машинах (с программой шуткой)...

Мышка дёргалась, пока GUI Касперского не загрузился (по умолчанию стоит проверять автозагрузку через 4 сек. после загрузки GUI....), а Dr. Web молча убил программу-шутку при загрузке....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
  STALK:ER сказал:
Господа по моему мы опять упираемся в извечную тему какой антивирус лучше....
  Valery Ledovskoy сказал:

SpIDerNt.exe - это лишь интерфейс и сервис. Попробуйте выгрузить драйвер spider.sys ;)

Как уже сказал Валерий spider.sys убить нельзя, а по сему можно признать, что тест довольно не однозначный и принимать решения по нему нельзя (по крайней мере людям с начальным стажем общения с антивирусами...)

зловреды-то ловяться, когда все кроме spider.sys убито или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
  Иван сказал:
зловреды-то ловяться, когда все кроме spider.sys убито или нет?

Конечно, ловятся. Базы все считаны и не нужны. Т.е. антивирус продолжает работать. И даже пишет в лог результат своей работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
  Valery Ledovskoy сказал:
Конечно, ловятся. Базы все считаны и не нужны. Т.е. антивирус продолжает работать. И даже пишет в лог результат своей работы.

Он как-то уж очень странно продолжает работать ..

Например, скачивать упакованные вредоносы можно, распаковывать на винт их тоже можно, а вот скопировать уже нельзя :?

Естественно, никаких алертов и т.д. не выводится, сервис не запущен.

Т.е. ничто не мешает например сделать так: кинуть юзеру загрузчик, убить процессы DrWeb, дропнуть трояна и прописать его в системе, после перезагрузки (пользователю придется это делать все равно, так как DrWeb не поднять заново) можно докончить дело с spider.sys.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

А в настройках до этого были указаны автоматические действия, или же стоял Report?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
  Valery Ledovskoy сказал:
А в настройках до этого были указаны автоматические действия, или же стоял Report?

Предположу, что скорее всего репорт (так вроде прописывается по-дефолту).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      + https://forum.kasperskyclub.ru/topic/465542-virus-ili-skript/#comments Если причина действительно в Групповых политиках. То...  
    • santy
      Вылет здесь не понятно по какой причине произошел, так как изначально был создан образ автозапуска с активным зловредом, а повторно, по словам пользователя, не получилось uVS выйти на основную позицию, когда можно было бы собрать новый образ, или выполнить скрипт очистки. В том числе и в безопасном режиме. Последствия запуска зловреда firfox.exe есть здесь, и возможно действительно входят у указанное семейство.  
    • PR55.RP55
      1. Microsoft тестирует функцию - Защита администратора. https://www.comss.ru/page.php?id=15533 ---------- 2. Вирус\ы https://forum.kasperskyclub.ru/topic/465570-trojanwin32sepeh/ Видимо это семейство: https://vms.drweb.ru/virus/?i=27109129 https://vms.drweb.ru/virus/?i=27380925 -------- https://vms.drweb.ru/virus/?i=25801988 https://vms.drweb.ru/virus/?i=25339881 https://vms.drweb-av.it/virus/?i=25698634 3. TloBeJluTeJlb.exe если в директории или имени файла "чудеса" с регистром... Предлагаю помечать файл, как Подозрительный.    
    • demkd
      Для этого есть программы и работают они медленно по очевидным причинам. uVS и так показывает внедренные потоки и DLL в любой из запущенных процессов.
    • PR55.RP55
      Demkd Я бы ещё добавил подсчёт идентичных файлов.  ( если это принципиально не скажется на производительности ) По крайней мере раньше бывало и такое, что в системе десятки идентичных  файлов - но  с разными именами. И Опционально Запуск uVS - в качестве ловушки. Например  программа стартует не как: gvprin , а как firefox.exe и отслеживает всех желающих... приобщиться.    
×