Comments 56
По поводу Антивируса Касперского. До 31 Мая, 02:09 сэмпл детектится как UDS:DangerousObject.Multi.Generic (детект по базе Kaspersky Security Network, можно сказать, эвристика), затем его исследуют в вирлабе и дают нормальную сигнатуру (Trojan-PSW.Win32.VKont.bhh).
Скорее всего, этим можно объяснить исчезновение детекта 30 Мая, 18:20.
Скорее всего, этим можно объяснить исчезновение детекта 30 Мая, 18:20.
Занятно, 15 антивирусов отрегаривали в течении суток. В моем понимании, это хороший результат.
Правда мне не очень понятно как вирустотал обновляет базы антивирусов и с какой периодичностью. А это важный показатель.
Правда мне не очень понятно как вирустотал обновляет базы антивирусов и с какой периодичностью. А это важный показатель.
У вас остался этот зловред? Можно архив попросить, с паролем 1 к примеру?)
а не запомнили время когда вы выложили сам вирус? Тоесть на сколько быстро среагировали Panda и Kaspersky.
Нужно заметить, что не стоит воспринимать единичный случай за показатель скорости для тех или иных компаний. Для того, чтобы картина была более полной таких экспериментов нужно как минимум с десяток.
В остальном хороший пост, спасибо.
В остальном хороший пост, спасибо.
Разумеется. Тем не менее я считаю что полученная картина даёт более или менее точное представление о скорости реагировании той или иной антивирусной компании.
Вот я как раз говорю о том, что не факт. Потому что источники получения новой информации антивирусными компаниями могут быть разные от случая к случаю, отсюда и результаты могут сильно отличаться.
Насколько я знаю, virustotal передаёт информацию о подозрительных файлах всем антивирусным компаниям, так что можно считать что все они были приблизительно в одинаковых условиях.
Не считая той, которая написала этот «подозрительный файл».
Пруф?
Кроме того, даже если это окажется так, то остаётся вопрос в том, кто первый передаст информацию в VirusTotal. Первым передаст тот, кто её первый обнаружит.
Кроме того, даже если это окажется так, то остаётся вопрос в том, кто первый передаст информацию в VirusTotal. Первым передаст тот, кто её первый обнаружит.
www.virustotal.com/terms.html
When you submit a file to VirusTotal for scanning, we may store it and share it with the anti-malware and security industry (normally the companies that participate in VirusTotal receive the samples that their engines do not detect and are catalogued as malware by at least one other engine). The samples can be analysed by automatic tools and security analysts to detect malicious code and to improve antivirus engines.
Your personal data may also be anonymised and used for statistical purposes.
Скажите, а какой антивирус уже обнаруживал вирус на момент самой первой проверке? Не похоже, что он присутствует в таблице, т.к. в ней вы приводите только антивирусы, в которых вирус начал распознаваться уже впоследствии.
Самая первая строчка в таблице это и есть первый отчёт.
Вообще это аверам выгодно. Как, помнится, поступал сантехник в одном фильме.
Немецком фильме?
С Сашей Грей в главной роли, ага :)
Простой пример: если я буду ремонтировать краны хорошо, то скоро у меня не будет работы.
А так: стрррррашшный Вирус, пожрал БД и.т.д. Кто же нас спасёт? Дядя Женя, кто же ещё. Если вовремя всё патчить, то никто угроз особо и не заметит. Пуст зверьки погуляют на свободе, а потом Дядя Женя на них сафари устроит. Так то.
Простой пример: если я буду ремонтировать краны хорошо, то скоро у меня не будет работы.
А так: стрррррашшный Вирус, пожрал БД и.т.д. Кто же нас спасёт? Дядя Женя, кто же ещё. Если вовремя всё патчить, то никто угроз особо и не заметит. Пуст зверьки погуляют на свободе, а потом Дядя Женя на них сафари устроит. Так то.
ПОЛНОСТЬЮ не релевантный тест, virustotal отсылает проверяемые файлы антивирусным компаниям, то есть тестирование автора повлияло на результаты, и если бы этот файл регулярно не скармливался вирустоталу, результаты были бы другие. Для получения достоверных данных нужно пользоваться хакерскими сервисами проверки, типа scan4you, которые НЕ отсылают файлы антивирусным компаниям.
Не соглашусь. Тут можно сказать все антивирусные компании в одинаковых условиях, всем был отправлен сэмпл в одинаковое время и тест отражает сколько времени требуется каждой компании на реагирование.
Когда я начал проверять этот файл на Virustotal, он во первых уже был однажды там проверен и процесс уже был запущен. Разумеется, тест где сэмплы не отсылаются антивирусным компаниям являются намного более точным но в данном конкретном случае мы расмотрели скорость реакции антивирусных компаний при наличии у всех компаний сэмпла этого вируса.
Когда я начал проверять этот файл на Virustotal, он во первых уже был однажды там проверен и процесс уже был запущен. Разумеется, тест где сэмплы не отсылаются антивирусным компаниям являются намного более точным но в данном конкретном случае мы расмотрели скорость реакции антивирусных компаний при наличии у всех компаний сэмпла этого вируса.
но в реальной жизни-то сэмплы попадают благодаря пользователям, а значит по-разному. потому ваш тест от реальной жизни и отличается.
условный пример: допустим у антивируса №1 большая часть покупателей — домохозяйки. они допустим реже отправляют подозрительные файлы к тестерам, хоть у этого антивируса и самая оперативная команда анализа. а у антивируса №2 в основном программисты, которые, чуть что приложение не так себя ведёт, — сразу шлют тестерам. я уже не говорю, что и у вирусов своя ЦА, и от её корреляции с ЦА антивируса будет зависеть скорость начала распознавания. как пример — антивирус с основной ЦА — людей не сидящих в соц. сетях очевидно будет дольше всех узнавать конкретно этот вирус.
потому и результаты у вас по сути — средняя тепература по больнице.
условный пример: допустим у антивируса №1 большая часть покупателей — домохозяйки. они допустим реже отправляют подозрительные файлы к тестерам, хоть у этого антивируса и самая оперативная команда анализа. а у антивируса №2 в основном программисты, которые, чуть что приложение не так себя ведёт, — сразу шлют тестерам. я уже не говорю, что и у вирусов своя ЦА, и от её корреляции с ЦА антивируса будет зависеть скорость начала распознавания. как пример — антивирус с основной ЦА — людей не сидящих в соц. сетях очевидно будет дольше всех узнавать конкретно этот вирус.
потому и результаты у вас по сути — средняя тепература по больнице.
Мы говорим о 2 разных исследованиях.
То о чём говорите вы — Это «время жизни» вируса в ваакуме где ни один пользователь не отправит его на virustotal или на другой подобный сервис.
То о чём написал я — Скорость реакции антивирусных компаний при наличии сэмла вируса.
Я не отрицаю что на заказ написанный вирус может вполне успешно жить неделями, но с тем условием что никто не будет отправлять его на анализ.
То о чём говорите вы — Это «время жизни» вируса в ваакуме где ни один пользователь не отправит его на virustotal или на другой подобный сервис.
То о чём написал я — Скорость реакции антивирусных компаний при наличии сэмла вируса.
Я не отрицаю что на заказ написанный вирус может вполне успешно жить неделями, но с тем условием что никто не будет отправлять его на анализ.
вы имеете в виду, что по результатам сканирования одним антивирусом файл отправляется к тестерам другой?
Подлые слуги империи авиров спокойно тырят базы у друг друга.
Одна контора обнаружила малварьку, выложила опдейт и через денёк-другой отправила остальным.
А буржуйские авиры запаздывают, ну это и понятно — им как-бы пофик на наши вконтактики)
Одна контора обнаружила малварьку, выложила опдейт и через денёк-другой отправила остальным.
А буржуйские авиры запаздывают, ну это и понятно — им как-бы пофик на наши вконтактики)
А где же бесплатная Avira? Печаль, печаль…
Самый здравый способ — написать вирус, разослать на тестовые компы, поставить себе гору антивирей (от конфликтов — выделить по машине для каждого антивиря), и прогонять тесты. Правда не очень гуманный этот способ, и зависит от качества и опасности вируса
UFO just landed and posted this here
Для чистоты эксперимента хорошо бы указать версии использованных продуктов. Есть ли такая возможность?
мне кажется если перекачать по той ссылке флешплеер, то он не будет палиться ни одним авиром, ибо они очень часто чистят свои вирусы(криптуют), это же их доход.
Только голые факты.
Если вы пользуетесь одним из этих антивирусов то это значит что ваш антивирус относительно безопасен для повседневного использования.Что-то здесь не так…
Не говоря уже о логике и смысле последней фразы :)
Интересно… по большому счету результаты не могут быть показателем качества антивирусов. Но каким то образом среди первых оказались именно наиболее популярные антивирусы с хорошей репутацией. А это уже наверное показатель того, что доверяют им совсем не зря!
Крайне интересная статья, однако имеется ряд объективных моментов, искажающих статистику.
1. Самплы могли попасть в вирлабы задолго до их публикации на ВТ, который, как известно, немедленно их расшаривает всем лабораториям.
2. У вирлабов может быть различный приоритет обработки на самплы, пришедшие через канал ВТ.
Надеюсь, что в скором времени мы подготовим примерно аналогичную статистику по скорости добавления новых самплов, загруженных через официальную форму и присланную по почте. Пока заминка в поиске новых, заведомо не детектируемых образцов. Когда работа будет проделана — обязательно покажем на Хабре.
1. Самплы могли попасть в вирлабы задолго до их публикации на ВТ, который, как известно, немедленно их расшаривает всем лабораториям.
2. У вирлабов может быть различный приоритет обработки на самплы, пришедшие через канал ВТ.
Надеюсь, что в скором времени мы подготовим примерно аналогичную статистику по скорости добавления новых самплов, загруженных через официальную форму и присланную по почте. Пока заминка в поиске новых, заведомо не детектируемых образцов. Когда работа будет проделана — обязательно покажем на Хабре.
На вирусы, ориентированные на Россию, реакция у российских антивирусов быстрее.
Потроллить чтоль: антивирусы зло! Процессорное время и затраченная электроэнергия почти всегда не сравнится с последствиями атаки (системы с важными данными защищаются иначе). Несколько раз случайно сталкивался с зловредом напрямую, но в вирустотал его на тот момент не определял.
Sign up to leave a comment.
История одного вируса