Клуб сисадминов
06:58 14.05.2013
Приветствуем, Гость | Регистрация \ Вход | Ваш IP: 207.241.237.235 | RSS
 
Знаете ли вы: можно добавить "сетевые подключения" на рабочий стол
[Главная · Последние сообщения · Правила форума · Поиск · RSS ]
Страница 1 из 6123456»
Форум » Программное обеспечение » Обсуждение софта » Пятое тестирование антивирусов
Пятое тестирование антивирусов
IwanSДата: 20:08 12.12.2009 | Сообщение # 1
Администратор
Сообщений: 1854
Статус: не в сети
Приветствую!

Четвертое тестирование антивирусов было свернуто ввиду отсутствия времени, сейчас ситуация более благополучная. Так что кому интересно - приглашаю принять участие. Пишите названия антиврусов, ссылки на образцы вредоносного ПО и свои идеи по тесту. Сами тесты начнутся числа 25 декабря.


В пятом тестировании антивирусов Клубом сисадминов будет использоваться следующая методика: проверенные наборы образцов вредоносного ПО рассортированы по классам в соответствующие архивы. Предоставленные цифры также будут разделены по классам вредоносного ПО, таким образом удастся не только установить примерную картину на сегодняшний день (примерную, потому как мы тестируем лишь малую часть существующих экземпляров), но и выявить сильные и слабые стороны антивирусов.

Все образцы, используемые в тестировании, отбирались по нескольким критериям: во-первых, их размер не должен превышать 500 Кб, а во-вторых, все образцы должны хотя бы запускаться. Насчет ограничения по размеру стоит сказать, что по моему мнению размером показывается мастерство вирусописателя. В третьем тестировании мы говорили, что есть "избранная" коллекция вручную проверенных вирусов. Теперь же планка немного опущена. Мы проверяем только работоспособность вирусов, но не отслеживаем внесенные в систему изменения. Это сделано с целью сократить время тестирования. Но сомнительные образцы мы все же проанализируем вручную.

Вторым этапом тестирования станет проверка антивирусами набора предположительно опасных объектов. Сам набор будет формироваться из нескольких существующих, файлы в наборе не все будут проверяться вручную - такая проверка будет только для сомнительных объектов. Утверждать, что все файлы реально опасны - нельзя, поэтому второй этап будет скорее для сравнения, чем для точного предметного изучения.

Ссылка на архив для второго этапа тестирования будет доступна чуть позже.


  • Backdoor.Win32 (1.02 Mb)
  • Badjoke.Win32 (116 Kb)
  • Email-Worm.Win32 (706 Kb)
  • IM-Worm.Win32 (369 Kb)
  • Trojan-Downloader.Win32 (236 Kb)
  • Virus.Boot (15.1 Kb)
  • Virus.Win32 (378 Kb)
  • Worm.Win32 (170 Kb)

  • Архив для второго этапа тестирования (2.31 Mb)

    Пароль на все архивы: virus

    Суммарно во всех архивах 110 файлов, соответственно антивирус должен обнаружить 110 вредоносных объектов различной классификации.


    Все образцы взяты с сайта http://vx.netlux.org/vl.php, за ссылку спасибо REsearch.


    Тестирование закончено. Отчет здесь. Вы можете выложить скриншот своего антивируса и обсудить результаты теста в этой теме.

    Изменил IwanS - Суббота, 02.01.2010, 14:59
  •  
    REsearchДата: 20:49 12.12.2009 | Сообщение # 2
    Сисадмин
    Сообщений: 971
    Награды: 11
    Статус: не в сети
    Поддерживаю cool
    Неплохой сайт с коллекцией вирусов и вредоносного ПО:
    http://vx.netlux.org/vl.php
     
    IwanSДата: 22:25 12.12.2009 | Сообщение # 3
    Администратор
    Сообщений: 1854
    Статус: не в сети
    REsearch, спасибо. Думаю, буду составлять коллекции именно по этим вирусам. только сначала сам позапускаю их на виртуальной машине, чтобы не было мусора.

    Кстати удобно будет проверять разные виды вирусов по отдельности smile

     
    REsearchДата: 22:40 12.12.2009 | Сообщение # 4
    Сисадмин
    Сообщений: 971
    Награды: 11
    Статус: не в сети
    Я тоже могу проверить их работоспособность на виртуальной машине, может распределим работу по категориям, или как?
     
    IwanSДата: 23:19 12.12.2009 | Сообщение # 5
    Администратор
    Сообщений: 1854
    Статус: не в сети
    REsearch, давай, но пока надо собирать инфу, дистры и т.п. Я напишу как дело дойдет )
     
    IwanSДата: 12:56 27.12.2009 | Сообщение # 6
    Администратор
    Сообщений: 1854
    Статус: не в сети
    Сейчас занимаюсь тем, что тестирую экземпляры вредоносного ПО на предмет работоспособности. Ну впринципе 30% объектов можно назвать вирусами. Хочу показать любопытный скриншот:

    Вот это вообще что такое? Это я должен скачивать и устанавливать дополнительные файлы для работы вируса? Даже название прикольное. И так с большинством бэкдоров - самописные школьные поделки, написанные на бейсике размером с полмегабайта не работают из-за отсутствия каких-то библиотек самого бейсика. Смешно. Я планировал на первом этапе использовать набор из 270 экземпляров, возможно, их число сократится до сотни.

    Прикрепления: 5306530.jpg(38Kb)
     
    TommiДата: 13:44 27.12.2009 | Сообщение # 7
    Модератор
    Сообщений: 215
    Награды: 8
    Статус: не в сети
    Чему их учат в школе?
     
    IwanSДата: 14:51 27.12.2009 | Сообщение # 8
    Администратор
    Сообщений: 1854
    Статус: не в сети
    Эксплоиты из тестирования исключаются, потому как там только инструменты для "взлома", а не резидентные взломщики, как я предполагал.

    Наткнулся на невероятно смешную штуковину. Судите сами:

    1) Появляется вот такое вот окошко:

    2) Потом в полноэкранном режиме экран истекает "кровью" и чувак в черном плаще намекает, что я в комнате не один (кстати так и есть). Он предлагает откупиться емейлами трех друзей:

    3) Но как и большинство других, я печатаю крайне медленно и за отведенных 60 секунд не успеваю. В итоге он мне пригрозил придти за мной и тихо свалил...

    Этот шедевр называется email-worm.win32.watcher.exe, рекомендую глянуть на виртуальной машине. Воздействие на систему пока не смотрел.

    Прикрепления: 3860903.jpg(80Kb) · 1535295.jpg(100Kb) · 3467654.jpg(33Kb)
     
    IwanSДата: 15:24 27.12.2009 | Сообщение # 9
    Администратор
    Сообщений: 1854
    Статус: не в сети
    Очередной прикол, не такой смешной как прошлые, но тем не менее:

    Прикрепления: 1364868.jpg(17Kb)
     
    IwanSДата: 16:19 27.12.2009 | Сообщение # 10
    Администратор
    Сообщений: 1854
    Статус: не в сети
    Интересный трабл касперского, он обнаружил более 110 объектов в папках, видимо контейнеры считает тоже зараженными. Как бы то ни было, 100%:

    Прикрепления: 3550614.jpg(33Kb)
     
    REsearchДата: 16:49 27.12.2009 | Сообщение # 11
    Сисадмин
    Сообщений: 971
    Награды: 11
    Статус: не в сети
    Symantec Endpoint Protection 11.0.5002.333

    Прикрепления: 7498206.jpg(118Kb)
     
    REsearchДата: 16:58 27.12.2009 | Сообщение # 12
    Сисадмин
    Сообщений: 971
    Награды: 11
    Статус: не в сети
    Norton Internet Security 2010
    111 - потому, что скнировал zip-архив.

    Прикрепления: 3841863.jpg(61Kb)
     
    REsearchДата: 17:33 27.12.2009 | Сообщение # 13
    Сисадмин
    Сообщений: 971
    Награды: 11
    Статус: не в сети
    Avira AntiVir Personal 9.0.0.415

    Прикрепления: 3837191.jpg(113Kb)
     
    REsearchДата: 18:16 27.12.2009 | Сообщение # 14
    Сисадмин
    Сообщений: 971
    Награды: 11
    Статус: не в сети
    Dr.Web 5.0.1.11171
    112 файлов (видимо объектов)

    Прикрепления: 7758788.jpg(164Kb)
     
    REsearchДата: 20:27 27.12.2009 | Сообщение # 15
    Сисадмин
    Сообщений: 971
    Награды: 11
    Статус: не в сети
    McAfee VirusScan Enterprise 8.7.0i

    Прикрепления: 5542634.jpg(168Kb)
     
    Форум » Программное обеспечение » Обсуждение софта » Пятое тестирование антивирусов
    Страница 1 из 6123456»
    Поиск:

    © Иван Собакарь, 2004 - 2013 | Сайт управляется системой uCoz