Comments 34
Хорошая статья, про большинство антивирусов даже и не знал :)
PS: сколько времени вы потратили на сбор и анализ данных?
PS: сколько времени вы потратили на сбор и анализ данных?
GData, F-Secure и nProtect используют движок BitDefender. Сигнатуры у них почти совпадают.
(Пример: Trojan.Generic.3609703).
(Пример: Trojan.Generic.3609703).
Ну с изложением Вы справились на «ура» :)
Да и таблица довольно неплохо претендует на объективность.
Но несколько «но».
1. Детект на зловреда может быть из разряда Hacktools. Так, например, Касперский реагирует на инструментарий для работы с его собственными ключевыми файлами. Примерно так же ДрВеб реагирует на SpyDie — программу для выгрузки его резидента из памяти. По сути, эти программы не являются вредоносными, но детект держат. И такие программы из статистики стоило бы убрать.
2. Непонятно, как классифицировать детект типа Heuristic, Suspicious и т.д. — т.е. детект эвристика. С одной стороны — угроза отражена. С другой — при заражении полноценного лечения может и не быть.
3. Как не странно, но вендоры «копируют» детект. Возможно — соглашения об обмене сэмплами, возможно — ещё какие-то партнёрские договора. Но довольно быстро при появлении одного детекта, подтягиваются и другие. Да и сам VT незнакомые сэмплы рассылает вирлабам. Поэтому весьма критично, когда именно с была получена таблица VT.
4. Класс рекламных модулей — AdWare — зачастую не ловится бесплатными версиями антивирусных продуктов. Так, например, у Avira. У дрегих «бесплатных» решений всегда есть камень за пазухой — это надо иметь в виду (это я больше к комментариям в таблице, а не к самому материалу).
Вообще, в материале для отбора антивируса рассмотрена только одна сторона: «чтобы хорошо ловил». Однако следует помнить и другое:
1. Требовательность к ресурсам. Иногда «идеальный» антвирус кушает столько, что система «идеально» не работает. Из собственного опыта — таким грешит GData.
2. Надёжность лечения. ОК, случилось горе — Вы хватанули инфекцию. Может её не заметили из-за свежести, может кто-то на время отключал защиту (см. п.1) — итого: вылечит или нет? Avira, например — не лучший выбор при лечении файловых инфекторов.
3. Иногда крайне полезно иметь в одном флаконе с антивирусом и файервол с хипсом. Потому как по отдельности эти продукты настроить крайне сложно, а чаще всего — можно только с потерей определённого функционала. Так, несмотря на относительно невысокий результат по антивирусу, продукты CIS и KIS весьма «непробиваемы». Но безусловно тут загвоздка в умении настроить политики и удобстве этой самой настройки.
4. При современной оперативности вирмейкеров, а точнее — разнообразии протекторов и пакеров важно, чтобы антивирус не просто обнаруживал прот, но и умел эффективно его снимать, добираясь до самого кода. Утрирую: не всем понравится, когда вместо того, чтобы снимать UPX антивирус все пожатые им файлы назовёт Packed.UPX.a только потому, что какой-то Вася Пупкин пожал свой пинч именно UPX (кстати, с ворованной Themida именно так и происходит). С другой стороны — распаковка всего и вся замедляет сканирование и ест ресурсы. Вот такой вот непростой парадокс, требующий наличия высоковалифицированных специалистов, способных написать эффективный алгоритм распаковки. А таких ой как мало…
5. То же, что и в п.4 — но касательно эмулятора/эвристика.
Короче говоря — выбор антивируса далеко не так прост, как его пытаются показать популярные ресурсы (зачастую выполняющую рекламную роль). Но когда видишь такой — пусть и не всесторонний — но вполне методичный подход, как у автора — это вызывает только приятные эмоции. Браво!
Да и таблица довольно неплохо претендует на объективность.
Но несколько «но».
1. Детект на зловреда может быть из разряда Hacktools. Так, например, Касперский реагирует на инструментарий для работы с его собственными ключевыми файлами. Примерно так же ДрВеб реагирует на SpyDie — программу для выгрузки его резидента из памяти. По сути, эти программы не являются вредоносными, но детект держат. И такие программы из статистики стоило бы убрать.
2. Непонятно, как классифицировать детект типа Heuristic, Suspicious и т.д. — т.е. детект эвристика. С одной стороны — угроза отражена. С другой — при заражении полноценного лечения может и не быть.
3. Как не странно, но вендоры «копируют» детект. Возможно — соглашения об обмене сэмплами, возможно — ещё какие-то партнёрские договора. Но довольно быстро при появлении одного детекта, подтягиваются и другие. Да и сам VT незнакомые сэмплы рассылает вирлабам. Поэтому весьма критично, когда именно с была получена таблица VT.
4. Класс рекламных модулей — AdWare — зачастую не ловится бесплатными версиями антивирусных продуктов. Так, например, у Avira. У дрегих «бесплатных» решений всегда есть камень за пазухой — это надо иметь в виду (это я больше к комментариям в таблице, а не к самому материалу).
Вообще, в материале для отбора антивируса рассмотрена только одна сторона: «чтобы хорошо ловил». Однако следует помнить и другое:
1. Требовательность к ресурсам. Иногда «идеальный» антвирус кушает столько, что система «идеально» не работает. Из собственного опыта — таким грешит GData.
2. Надёжность лечения. ОК, случилось горе — Вы хватанули инфекцию. Может её не заметили из-за свежести, может кто-то на время отключал защиту (см. п.1) — итого: вылечит или нет? Avira, например — не лучший выбор при лечении файловых инфекторов.
3. Иногда крайне полезно иметь в одном флаконе с антивирусом и файервол с хипсом. Потому как по отдельности эти продукты настроить крайне сложно, а чаще всего — можно только с потерей определённого функционала. Так, несмотря на относительно невысокий результат по антивирусу, продукты CIS и KIS весьма «непробиваемы». Но безусловно тут загвоздка в умении настроить политики и удобстве этой самой настройки.
4. При современной оперативности вирмейкеров, а точнее — разнообразии протекторов и пакеров важно, чтобы антивирус не просто обнаруживал прот, но и умел эффективно его снимать, добираясь до самого кода. Утрирую: не всем понравится, когда вместо того, чтобы снимать UPX антивирус все пожатые им файлы назовёт Packed.UPX.a только потому, что какой-то Вася Пупкин пожал свой пинч именно UPX (кстати, с ворованной Themida именно так и происходит). С другой стороны — распаковка всего и вся замедляет сканирование и ест ресурсы. Вот такой вот непростой парадокс, требующий наличия высоковалифицированных специалистов, способных написать эффективный алгоритм распаковки. А таких ой как мало…
5. То же, что и в п.4 — но касательно эмулятора/эвристика.
Короче говоря — выбор антивируса далеко не так прост, как его пытаются показать популярные ресурсы (зачастую выполняющую рекламную роль). Но когда видишь такой — пусть и не всесторонний — но вполне методичный подход, как у автора — это вызывает только приятные эмоции. Браво!
Иногда крайне полезно иметь в одном флаконе с антивирусом и файервол с хипсом. Потому как по отдельности эти продукты настроить крайне сложно, а чаще всего — можно только с потерей определённого функционала.
Да, знакомая ситуация (например, погуглите порт 30606). Лично я придерживаюсь мнения о том, что АВ лаборатория должна делать АВ, а фирма, специализирующаяся на FW должна делать FW. Как-никак, опыт разработки.
По факту результат сходный с последним проактивным тестом на av-comparatives, что внушает доверие. Авира продолжает оставатся моим выбором, хотя как заметили выше «лечит» она паршиво (как правило вообще никак), но банальное удаление кучей всех зараженных и подозрительных файлов меня вполне устраивает.
У бесплатного аваста недавно появилась песочница для подозрительных программ, все кто не в белом списке, или без приличной подписи запускаются в изолированном пространстве с ограниченными правами. Большая современная база при таком подходе становится не особо нужной.
как юнихоиды твою карму слили… аж жуть.
В песочнице часто ряд программ не запускается как надо. Плюс концепт запуска браузера в песочнице приводит к невозможности установки обновлений на аддоны — надо то включать песочницу, то выключать.
Безусловно, идея запуска неизвестного приложения в песочнице хороша, но:
— Как поступить, если приложение не запустилось, а выдало ошибку? Пробовать запускать вне песочницы? ;)
— Ок, я запустил приложение и оно действительно нормальный полноценный блокнот. Например, Notepad++ (сам люблю и пользуюсь). Но чтобы им редактировать файлы его надо вывести из песочницы. Что я и делаю, а в итоге подхватываю Sality, потому как исполняемый файл был заражён файловым инфектором.
Использование песочницы мне чем-то напоминает UAC: Microsoft не смогла приучить сидеть под ограниченной учётной записью, поэтому дали то же самое, но в другой обёртке и с другим названием :)
Безусловно, идея запуска неизвестного приложения в песочнице хороша, но:
— Как поступить, если приложение не запустилось, а выдало ошибку? Пробовать запускать вне песочницы? ;)
— Ок, я запустил приложение и оно действительно нормальный полноценный блокнот. Например, Notepad++ (сам люблю и пользуюсь). Но чтобы им редактировать файлы его надо вывести из песочницы. Что я и делаю, а в итоге подхватываю Sality, потому как исполняемый файл был заражён файловым инфектором.
Использование песочницы мне чем-то напоминает UAC: Microsoft не смогла приучить сидеть под ограниченной учётной записью, поэтому дали то же самое, но в другой обёртке и с другим названием :)
зачем запускать браузер в песочнице? нам же известно что в нем вирусов нет, программа из белого списка. обновления и установка новых программ отдельная тема, дистрибутивы программ вы получаете из доверенных источников (офф сайты) а обновляются они сами (в виндоусе у каждой программы свой вилосипед, фаирфокс например сам проверяет нет ли обновлений при каждом запуске и если есть то предлагает скачать и установить — надо только кнопку подтверждения в нем нажать — он сам скачает из довереного источника и сам установит)
песочница — скорее защита от совершено левых программ, запускающихся без вашего ведома или около того, типа авторанов на флешках, если такая программа не может работать в песочнице — ее проблемы, не очень то и хотелось, запускать неизвестно что неизвестно откуда да еще со всеми привелегиями
песочница — скорее защита от совершено левых программ, запускающихся без вашего ведома или около того, типа авторанов на флешках, если такая программа не может работать в песочнице — ее проблемы, не очень то и хотелось, запускать неизвестно что неизвестно откуда да еще со всеми привелегиями
Запускать браузер в песочнице надо именно потому, что он доверенный и из белого списка. А потому если какой-то умник найдёт 0-day, продаст её другому умнику, а тот повесит её на какой-то сайт — в итого славный белый и доверенный браузер, зайдя на этот сайт скачает и запустит всё, что умникам надо. При чём — как доверенный :)
от эксплоитов должна защищать ось или даже железо, не допуская выполнения кода из области данных
Вы когда-нибудь видели идеальную ОС, которую никто и никогда не мог взламать, которая всегда не содержала ошибок, была популярна у разработчиков — от офисных приложений и игр до серьёзных программных пакетов? Я — нет :)
я вижу что в реальности анитирус вообще не нужен, даже на винхпсп2 без апдейтов. у меня есть 20 компьютеров на которых пользователи сидят в ограниченной учетке, политикой им запрещен запуск любых программ кроме установленных администратором и разрешено вставлять любые флешки, ходить по любым сайтам без ограничений, за 3 года ни одного вируса или даже намека
P.S. А учитывая то, как у нас нынче немодно и неинтересно ставить обновления в систему — необязательно иметь 0-day — существующие exploit-pack'и успешно осуществляют drive-by загрузки и запуски даже используя известные уязвимости.
Comodo (не PRO версия) бесплатен для личного пользования и даже в рамках организации. И у него тоже есть песочница.
На сайте antivirus.comodo.com/antivirus.php упоминается бесплатность только для персонального использования.
www.comodo.com/home/internet-security/free-internet-security.php — поправьте меня, если я ошибаюсь…
я незамарачивался так как выбирал антивирус по другому критерию
— бесплатный
— распрастранен
что бы получать актуальные сигнатуры из-за эффекта массововсти а не «крутости», так как последний параметр имеет тенденцию разительно меняться в течении времени.
поэтому AVASt, который распространяет Google
— бесплатный
— распрастранен
что бы получать актуальные сигнатуры из-за эффекта массововсти а не «крутости», так как последний параметр имеет тенденцию разительно меняться в течении времени.
поэтому AVASt, который распространяет Google
Аваст же вроде стал платным, не?
Есть бесплатная версия.
www.avast.com/free-antivirus-download
www.avast.com/free-antivirus-download
Не сравнивали полученные результаты с данными Day0 от Shadowserver?
www.shadowserver.org/wiki/pmwiki.php/Stats/VirusDailyStats
www.shadowserver.org/wiki/pmwiki.php/Stats/VirusDailyStats
Как поставил себе секьюрити ессеншиал — так и сижу. Один хрен у меня ни 1 антивирус на моём компе ничего ни разу ещё не нашел. Голова и руки — лучший антивирус с превентивной защитой.
Многие антивирусы ловят зловредов по принципу: упакован — значит вирус! Особенно Авира этим страдает… У нее должно быть просто гигантское количество фолсов на неизвестные упакованные файлы.
Прошу прощения. Я конечно за «всякие тесты». Но хотелось бы, для чистоты эксперимента, повторить его самому. По позициям которые меня интересуют. Не выложите ли вы архивчик с вашими «ништяками». А то не нравятся мне сферические кони в вакууме.
Что Вы имеете в виду под «ништяками»? Если вирусные образцы, то прочитайте статью более внимательно — их у меня не было и нет — я анализировал ссылки, найденные в Интернете на результаты поиска вирусов VirusTotal-ом. Если интересуют именно ссылки — напишите. Только учтите, статья была написана в 2011 году.
Sign up to leave a comment.
Рейтинг обнаружения антивирусными продуктами «свежего» вредоносного кода