Реальный тест на эвристику "антивирусов"

[sporaw]

Вижу, что все время какие-то тесты проводят на "эвристику", пишут про различные NOD'ы, Avira'ы и прочие "поделки", что они такие замечательные, все так отлично ловят. Ну отлично.

Comments

[earthshine25]

читал инфу про то, что всё идет к тому, что антивирусы будут вести не черные, а белые списки программ.
как прокомментируете такое развитие событий?

[sporaw]

Некоторые компании это ДАВНО уже используют в своих продуктах.
Отношусь к этому более, чем положительно.

Проблема в том, что весь тот зоопарк наверху (Symantec там, кстати, считаю, случайно затесался) не сможет поддерживать нормально (читай - для пользователей) и такую базу.

[alexott]

да это уже вовсю идет :-)

[alexott]

McAfee-GW-Edition - это судя по всему бывший webwasher? ну там основной антивирус от mcafee идет прицепом, а основной движок - своя разработка

[sporaw]

Да.

[alexott]

я просто в новых названиях до сих пор путаюсь :-)

[pov]

Один вопрос: А каким антивирусом мне, простому не очень продвинутому пользователю пользоваться?

[sporaw]

Kaspersky, DrWEB, F-Secure (лишь потому, что использует движок Kaspersky -- другие их сборища движков часто дают ложные детекты), Symantec (если находитесь в РФ или СНГ - не советовал бы, просто потому что базы для местных угроз обновляются хуже из-за страны-производителя), Windows Defender (как бы смешно ни звучало!) -- но только совместно с нормальным антивирусом (команда WD молодцы, очень быстро реагируют на всякие bho и проч.).

Все остальное, к сожалению, пока "не доросло". И при той политике, что они используют и продвигают сейчас, я очень надеюсь, что и не доростут. Это все равно что вместо профессиональных врачей лечится у знахарей всяких и прочих колдунов. Те тоже определяют болезни "эвристикой". Лечат так же.

[sporaw]

О. Тут поступила информация, что F-Secure уже не использует движок KL несколько месяцеов. В этом случае можно вычеркнуть их из этого списка.

[pov]

В общем то что я порадовавшись цене купил позавчера нод 3:1 меня плохо характеризует? :)

Пойду покупать касперского.

[brj]

"тоды ой" - http://mkozloff.spaces.live.com/Blog/cns!D1ED809F4FFA9136!3853.entry

[sporaw]

TrendMicro любой файл, запакованный UPX детектирует так же, как и выше написано - PAK_Generic.001. Пример - выше, или все дистрибутивы OSSS (в них в инсталляторах есть две dll'ки). Нет смысла даже объяснять, что никакой реакции от TrendMicro ни на письма, ни на обращение через их сайт, не следует. Как детектировалось, так и детектируется. И дальше будет так же детектироваться.

Исходя из этого, выстроенное все вокруг TrendMicro и базирующееся на нем... Слегка смешно.

Из последнего уродства -- слал другу KernelChecker. у них в компании CISCO'овский CSA, использующий TrendMicro. Удаляет. Почему? О боже! Запаковано UPX v3.03 с сайта! Это однозначно очень страшно.

[ex_ivlad]

> у них в компании CISCO'овский CSA, использующий TrendMicro.

Это неправда. CSA не использует TrendMicro.

[sporaw]

Ошибся в одной букве, т.к. не работаю с CISCO.

Product version: Trend Micro InterScan for Cisco CSC SSM 6.2.1599.6

Rogue-Antiviruses

[anonymous]

По сути все эти антивирусы ничем не отличаются от так называемых Rogue-Антивирусов - те же самые постоянные всплывающие окошки о несуществующих угрозах, просьбы зарегистрировать антивирь и неспособность защитить от реальных угроз.

Re: Rogue-Antiviruses

[sporaw]

Во-во. Я бы даже дальше пошел: в некоторых случаях - это реальный hoax av.