Тест на VirusTotal (часть вторая)

[Groft 65]

Почему участвовал NOD32 v2?

Будет ли участвовать v3?

а на вирустотале стоит v2, не заметно?

да разницы то нет между ними

сигнатуры то одни

[Mike 125]

Почему участвовал NOD32 v2?

Будет ли участвовать v3?

С NOD32 v2 все достаточно просто.

по многочисленным темам на форуме у меня сложилось представление, что NOD32 – один из самых "раскрученных" и популярных антивирусов в России.

кстати он также раскручен и в Израиле.

В европе он почти не известен, мне, лично, с ним никогда сталкиваться не приходилось.

v3 мне незнаком.

[A. 876]

подростку Васе, любителю порносайтов, куль–хацкеру Роме, завсегдатаю варезников, и МарьИванне, которая ищет свое счастье на сайтах с гороскопами важно, чтобы антивирус установленный на компе, надежно защищал комп от вирусов.

а если антивирус пропускает вирусы, то проку от него никакого и он ни Васе, ни Роме, ни МарьИванне не нужен.

..

поэтому я считаю, что такой тест с реальными семплами необходим.

...

Поэтому мои тесты для Васи с Ромой важнее, чем тесты с многотысячными коллекциями, которые представляют только (имхо) академический интерес.

...

То есть, будь у вас "многотысяч" файлов - ваш тест тоже бы был "академическим" ? Ну-ну... мне почему-то кажется, что вы были бы счастливы.

И вы искренне считаете, что если антивирус не нашел что-то сигнатурами - то значит Вася и Марьиванна (пользующиеся этим антивирусом) неминуемо заразятся ?

Это я к тому, что вы заблуждаетесь, считая что выловленные вами пяток троянов хоть как-то отражают реальное положение дел.

Как с вирусами, так и с антивирусами.

[Mike 125]

То есть, будь у вас "многотысяч" файлов - ваш тест тоже бы был "академическим" ? Ну-ну... мне почему-то кажется, что вы были бы счастливы.

Это я к тому, что вы заблуждаетесь, считая что выловленные вами пяток троянов хоть как-то отражают реальное положение дел.

Как с вирусами, так и с антивирусами.

моя вторая коллекция, которую я стал собирать в 1995 году состоит из одной–двух сотен вирусов – и я счастлив

а первую в 1991 у меня в ленинградском аэропорту таможенники конфисковали, кстати тогда–же конфисковали и дискетку с доктором касперского.

теперь о пятке троянов.

через мои руки проходили десятки машин, убитых этими самыми троянами.

и на всех машинах стояли антивирусы со всеми обновлениями.

и почти всегда: norton или mcafee

[Mike 125]

И вы искренне считаете, что если антивирус не нашел что-то сигнатурами - то значит Вася и Марьиванна (пользующиеся этим антивирусом) неминуемо заразятся ?

Вы недостаточно внимательно прочитали, все что я написал.

повторяю, тестирование параллельно проводилоссь на машине с четырьмя сьемными харддисками, на которых были установлены

Мcafee, DrWeb, Kaspersky и Antivir.

Антивир заблокировал практически то, что и на VirusTotal.

Kaspersky заблокировал намного больше семплов, чем сигнатурно на VirusTotal.

А вот два остальных пропускали практически все, после чего Windows в течение 10–15 минут умирал.

Для меня это особенно печально, т.к. на работе у меня на нескольких сотнях рабочих станций и на десятке серверов установлен Мcafee.

и не далее как сегодня был продлен контракт еще на три года.

[A. 876]

А вот два остальных пропускали практически все, после чего Windows в течение 10–15 минут умирал.

ну что за глупости вы говорите ?

какой идиот будет писать трояна (адвару\руткит\шпиона) - который убивает зараженную машину ?

[sww 486]

а вам что не дали доступа к закрытому разделу где они лежат?

а говорят типа все желающие вендоры имеют доступ...

Нет, у меня нет доступа, наверное, потому что не просил.

Меня всегда удивляли (вроде бы серьезные) люди, которые делают выводы относительно способностей антивируса по таким вот доморощенным тестам. Простых людей я понимаю, накачали с vx heaven(и им подобных коллекций) файлов столетней давности и проверяют. Или "а вот у моего друга стоял N и винда совсем глючила, а я принес M и он тыщу троянов поймал". А потом оказывается что после M антивирус X чего-то там поймал, потом Y, ну и сами букву додумайте. Это я к тому, что никто 100% не ловит. А уж про активное заражение, когда уже все пропущено, я вообще молчу.

[Chaman 0]

С NOD32 v2 все достаточно просто.

...

v3 мне незнаком.

Извините, имел ввиду NOD32 v3

[Mike 125]

ну что за глупости вы говорите ?

какой идиот будет писать трояна (адвару\руткит\шпиона) - который убивает зараженную машину ?

мне тоже непонятно, какой в этом смысл.

но тем не менее после запуска этой сборки на незащищенном или плохо защищенном компьюторе

на него грузится до 40-50 файлов всякой гадости, вынести подобную нагрузку Windows просто не в состоянии, и действительно умирает.

мы с Вами это еще месяц тому назад обсуждали: Trojan-Clicker.Win32.Costrat.fn (Win32/Rustock.gen!C)

кстати и у этой темы тоже ноги оттуда растут :

http://www.anti-malware.ru/forum/index.php?showtopic=4013

Это я к тому, что никто 100% не ловит. А уж про активное заражение, когда уже все пропущено, я вообще молчу.

ну здесь я с Вами на сто процентов согласен.

особенно если учесть, что вирусописатели могут выпускать ежедневно новый релиз одного и того же зловреда (примеры - в теме), и что не все антивирусные компании успевают ежедневно добавлять его в базы.

и еще - если зловред специальным образом заточен....

[Motley 30]

Для меня это особенно печально, т.к. на работе у меня на нескольких сотнях рабочих станций и на десятке серверов установлен Мcafee.

и не далее как сегодня был продлен контракт еще на три года.

Прошу прощения за любопытство, но можно подумать, что ваше мнение не учитывается администрацией/руководством при выборе антивирусных продуктов. А что бы вы рекомендовали если бы такая возможность у вас была?

[0xFEE1C001 30]

Прошу прощения за любопытство, но можно подумать, что ваше мнение не учитывается администрацией/руководством при выборе антивирусных продуктов. А что бы вы рекомендовали если бы такая возможность у вас была?

PlaceboAV, http://www.doxdesk.com/updates/2008.html#u20080129

[Mike 125]

Еще три руткита, которые ни Dr. Web,ни McAfee не видят.

Опять, ничего личного.

Datei bzsqlpa.sys empfangen 2008.06.09 22:11:49 (CET)

AntiVir 7.8.0.55 2008.06.09 TR/Rootkit.Gen

BitDefender 7.2 2008.06.09 Trojan.Peed.Gen

DrWeb 4.44.0.09170 2008.06.09 -

Kaspersky 7.0.0.125 2008.06.09 Trojan-Downloader.Win32.Agent.sfg

McAfee 5313 2008.06.09 -

Microsoft 1.3604 2008.06.09 Backdoor:Win32/Rustock.gen!B

NOD32v2 3169 2008.06.09 Win32/Rustock.NFE

Symantec 10 2008.06.09 -

VBA32 3.12.6.7 2008.06.09 -

Datei clbdriver.sys empfangen 2008.06.09 22:12:21 (CET)

AntiVir 7.8.0.55 2008.06.09 TR/Rootkit.Gen

BitDefender 7.2 2008.06.09 -

DrWeb 4.44.0.09170 2008.06.09 -

Kaspersky 7.0.0.125 2008.06.09 Trojan.Win32.DNSChanger.dvr

McAfee 5313 2008.06.09 -

Microsoft 1.3604 2008.06.09 VirTool:WinNT/Pasich.B

NOD32v2 3169 2008.06.09 -

Symantec 10 2008.06.09 Hacktool.Rootkit

VBA32 3.12.6.7 2008.06.09 Trojan.Win32.DNSChanger.dvr

Datei Olg35.sys empfangen 2008.06.09 22:12:56 (CET)

AntiVir 7.8.0.55 2008.06.09 TR/Rootkit.Gen

BitDefender 7.2 2008.06.09 Trojan.Srizbi.SYS.Gen

DrWeb 4.44.0.09170 2008.06.09 -

Kaspersky 7.0.0.125 2008.06.09 Rootkit.Win32.Qandr.ck

McAfee 5313 2008.06.09 -

Microsoft 1.3604 2008.06.09 Spammer:WinNT/Srizbi.A

NOD32v2 3169 2008.06.09 a variant of Win32/Srizbi

Symantec 10 2008.06.09 -

VBA32 3.12.6.7 2008.06.09 -

[sww 486]

Да, да, Майк, продолжайте ваше [недо]-тестирование. Господи, ну и [ахинея]...

Отредактировал Июнь 10, 2008 Umnik

[vovan7777 95]

Вэбовцы,хорош возмущаться.Сделайте тогда параллельный тест Virustotal -где ваш доктор видит все,а другие тихо курят в сторонке.

А,то у Вас уже мода пошла на главной странице www.drweb.com вывешивать "новости" о чудо продукте,который видит такое,что другие не видят...

Mike,респект-продолжай в том же духе.

А,то Клементи,Маркс-деньги берут ,по их мнению, Virustotal-не показатель,VB 100 - ерунда итд.

[Mike 125]

Да, да, Майк, продолжайте ваше [недо]-тестирование. Господи, ну и [ахинея]...

Уважаемый Вячеслав Евгеньевич,

спокойствие, спокойствие и еще раз спокойствие.

Мы с Вами лично незнакомы, поэтому у меня к Вам ничего личного.

К Вашему хамству я начинаю понемногу привыкать, хотя акцептировать его не могу.

Что касается организации, в которой Вы работаете, то она является чисто региональной,

рассчитанной на внутрироссийский рынок, нигде в мире, за исключением Российской Федерации

неизвестна, и поэтому никак не может входить в круг моих интересов.

Более того, о существовании её я узнал на этом форуме, прочитав горячие дискуссии ее сторонников и противников.

Также я узнал о существовании бесплатного продукта Dr.Web CureIt!, который я оцениваю очень высоко и неоднократно им пользовался, загружая его на проблемные машины с мемористика.

С Вашим основным продуктом (триальной версией) я сталкивался два раза:

первый раз 03.08.07, когда тестовую зараженную машину не смогли очистить ни касперский, ни авира.

на эту машину ДР ВЕБ вообще сьинсталлироваться не смог (все результаты лежат в закрытом разделе)

второй раз 10.05.08, когда началась эта шумиха о Рустоке.Ц, который прекрасно ловится ДР ВЕБОМ.

Результат оказался ошеломляющим: дропперы обходят антивирус так, как будто его и нет на машине,

руткиты и прочую нечисть антивирус не видит. ( все сэмплы выложены на форуме)

И как результат - я бы этот антивирус рекомендовать никому не стал-бы.

Вчера я попробовал поймать руткит, о котором уже четыре дня говорят в андеграунде.

Поймать не смог, но поймал три других, которые ДР ВЕБ на Вирустотале также не увидел.

( сэмплы опять-же выложены в закрытом разделе).

Поэтому то, что Вы считаете результаты "херней" - то это Ваше право.

Отредактировал Июнь 10, 2008 Umnik

[Иван 290]

ну как же: есть немецкий офис доктора, есть сайт http://www.drweb-av.de/ и на цебите был стендик

[sww 486]

Эх, жаль, что на сайте нет кнопочки фильтровать идиотские сообщение в форуме от XXX, я бы воспользовался. Майк, вы опять несете чушь, ну да ладно, дело ваше, я утомился от таких как вы.

Смотрите-ка тест на лечение активного заражения, там все было ITW. Кстати, наш антируткит в альфа версии ловит все это барахло и даже больше...

[Deja_Vu 366]

Да, да, Майк, продолжайте ваше [недо]-тестирование. Господи, ну и [ахинея]...

чем же вас не устравивает это тестирование?

Отредактировал Июнь 10, 2008 Umnik

[Winny 10]

чем же вас не устравивает это тестирование?

Тем, что я абсолютно спокойно представлю пяток вирей, которые DrWeb ловить будет, а кто-то другой не будет.

И к этому другому я абсолютно никаких претензий иметь не буду по одной простой причине - эти вири я находил у клиентов и отправлял в вирлаб DrWeb и никуда более.

[Umnik 997]

sww

Вот я отредактировал Ваши сообщения. Смысл сильно изменился? Если отвечать будете, то в личку. Я обратился в Вам показательно, чтобы и другие участники форума понимали, что в русском языке достаточно слов для выражения своего презрения.

Кстати, движок форума позволяет ставить в игнор сообщения определенных пользователей.

Отредактировал Июнь 10, 2008 Umnik

[Valery Ledovskoy 1082]

ну как же: есть немецкий офис доктора, есть сайт http://www.drweb-av.de/ и на цебите был стендик

http://www.drweb.com.cn/

http://www.drweb.ee/

http://www.drweb.fi/

http://www.drweb.fr/

http://www.drweb-av.de/

http://www.doctorweb.hu/

http://www.drweb-antivir.it/

http://www.drweb.kz/

http://www.drweb.lv/

http://www.drweb.lt/

http://www.drweb.com.my/

http://www.drwebme.ae/

http://www.doctorweb.com.pl/

http://www.drweb.pt/

http://www.drweb.com.es/

http://www.drweb.in.th/

http://www.drweb.com.ua/

http://www.antivirus.com.vn/

Это немного неполный список.

[alexgr 556]

на цебите был стендик

Иван, стенд был вовсе не стендик... честно, он был оченно неплох. Место было хреноватое - тут я согласен. А вот дизайн - вполне. Хотя предыдущие версии оформления мне нравились больше, но это ИМХО.

[Mike 125]

Тем, что я абсолютно спокойно представлю пяток вирей, которые DrWeb ловить будет, а кто-то другой не будет.

И к этому другому я абсолютно никаких претензий иметь не буду по одной простой причине - эти вири я находил у клиентов и отправлял в вирлаб DrWeb и никуда более.

а вот обвинять меня в подтасовке по меньшей мере нечестно.

я ничего ни в какие вирлабы не посылаю.

после проверки на вирустотале выкладываю в закрытом разделе форума, в который есть доступ у представителей всех вирлабов.

поэтому шансы у всех – одинаковые.

кроме того , предполагать, что я пытаюсь доказать, что антивирус касперского лучше, чем др.веб, тоже абсурдно.

мое негативное отношение к "лаборатории касперского" на форуме общеизвестно.

[Mike 125]

ну как же: есть немецкий офис доктора, есть сайт и на цебите был стендик

Иван, ты же лучше меня знаешь, что такое раскрутка.

И как в Европе раскручены Symantec и McAfee, а теперь и Касперский.

И как в России раскручен Eset.

И сколько в эту раскрутку вбухано денег.

И сколько в мире неплохих антивирусов ( в том числе и на вирустотале),

которые почти никому, кроме а.в. специалистов не известны.

А что касается цебита, то бывал я там.

И более грустное впечатление, чем ДР.ВЕБ, на меня произвел только ЕСЕТ.

Хотя именно после общения с одним придурком из "лаборатории касперского" у меня были большие неприятности на службе

и появилось устойчивое негативное отношение к этой организации.

[Winny 10]

а вот обвинять меня в подтасовке по меньшей мере нечестно.

я ничего ни в какие вирлабы не посылаю.

Я не обвиняю Вас в подтасовке, Вы неправильно меня поняли.

В базе DrWeb сейчас ~ 387000 записей.

Я не знаю, сколько вирей детектятся одной записью, так от фонаря допустим, что около 3-х.

Итого, допустим, он может продетектить 1000000 вирей.

Значит "в живой природе" их количество где-то в районе этой цифры.

(Я прекрасно понимаю, что написанные мной цифры имеют мало отношения к действительности, это я так, для примера).

Вы берёте десяток, проверяете их, и на основании этого пытаетесь делать какие-то выводы.

Здесь есть кто-нибудь, кто помнит статистику?

А то я уже её полностью забыл.

Если есть, то подскажите, пожалуйста, какова достоверность выборки 10 из 1000000.

после проверки на вирустотале выкладываю в закрытом разделе форума, в который есть доступ у представителей всех вирлабов.

поэтому шансы у всех – одинаковые.

кроме того , предполагать, что я пытаюсь доказать, что антивирус касперского лучше, чем др.веб, тоже абсурдно.

мое негативное отношение к "лаборатории касперского" на форуме общеизвестно.

Я вообще-то про KAV в своём сообщении даже не думал.

Я просто считаю, что на основании такого "теста" судить о качестве ЛЮБОГО AV невозможно, а публиковать такой "тест" для грамотного человека должно быть просто стыдно.