Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Обзор антивирусов под Windows

Модерирует : gyra, Maz

Widok (25-12-2009 11:49): Лимит страниц. Продолжаем здесь.  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

Widok



Moderator-Следопыт
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие ветки топика:  Часть 1 | Часть 2 | Часть 3 | Часть 4
Обзор антивирусов(и др. средств безопасности на их основе)
 под Windows 98/XP/Vista/7

ВНИМАНИЕ! ЗДЕСЬ НЕ ОБСУЖДАЮТ ВАРЕЗ!!!

Основные вендоры антивирусной индустрии

__________Название__________
Страна
Русский сайт
Проверка Online
Отправить вирус
_______Обсуждение_______
Примечание
   
1 Agnitum (Outpost Security Suite) Россия, Кипр + - Form Программы Варезник -    
2 AhnLab (V3) Южная Корея - Scan - Программы 3    
3 Aladdin (eSafe) Израиль - - - Варезник -    
4 ALWIL (Avast! Antivirus) Чехия + File Mail Программы Варезник 1    
5 ArcaVir (ArcaBit) Польша - - - - -    
6 AVG Technologies (AVG) Чехия - - Mail Программы Варезник 1,3    
7 Avira (AntiVir) Германия +    - Form Программы Варезник 1    
8 BullGuard Дания - - - Варезник 5    
9 ClamAV (ClamAV) Польша + - Form Программы 1,2    
10 CA Inc. (Vet) США + Scan Form - -    
11 Comodo AntiVirus США? - - - Программы 1    
12 CyberDefender (CyberDefender) США - - - - -    
13 Doctor Web, Ltd. (DrWeb) Россия + File Form Программы Варезник 2,3    
14 Eset Software (ESET NOD32) Словакия + Scan Mail Программы Варезник 3    
15 Fortinet (Fortinet) США - - - - -    
16 FRISK Software (F-Prot) Исландия - - Form Программы Варезник -    
17 F-Secure (F-Secure) Финляндия - Scan Form Программы Варезник 3,5    
18 G DATA  (G DATA Software) Германия - - File Варезник 5    
19 Ikarus Software (Ikarus) Австрия + - Mail Программы Варезник 3    
20 Kaspersky Lab (KAV) Россия + Scan/File Mail Программы Варезник 3    
21 McAfee (VirusScan) США + Scan Mail Программы Варезник 3    
22 Microsoft (Security Essentials) США + Scan Form Программы Варезник 1    
23 MKS Antivirus (mks_vir) Польша - Scan - Варезник -    
24 Norman (Norman Antivirus) Норвегия - - Form Варезник 3    
25 Panda Security (Panda Platinum) Испания + Scan Mail Программы Варезник -    
26 PC Tools AntiVirus (PC Tools) Ирландия + - Form - 1    
27 Prevx (Prevx) Великобритания - - - - 2    
28 Protector Plus (Proland) Индия - - - - -    
29 RISING Antivirus (Rising) Китай + - - - -    
30 Safe'n'Sec Россия + - - Программы Варезник 4    
31 Security Stronghold (True Sword) Россия + - Form - -    
32 Softwin (BitDefender) Румыния + Scan Mail Программы  Варезник 3    
33 Sophos (SAV) Великобритания - - - Программы Варезник -    
34 Spybot-S&D (Safer Networking ) Ирландия - - - - 1    
35 Steganos (Steganos) Германия - - - - -    
36 Sunbelt Software (Antivirus) США - - Form - -    
37 Symantec (Norton Antivirus) США + Scan Form Программы Варезник -    
38 Quick Heal (CAT labs) Индия + - Mail Программы Варезник -    
39 Trend Micro Япония + - - Программы Варезник -    
40 VBA32 Белоруссия + File Mail Программы Варезник -    
41 Vexira (Central Command) США - - Mail - -    
42 VirusBuster Венгрия - - - - -    
43 ViRobot (HAURI) Корея - - Form Программы Варезник -    
44 Webroot (Webroot Software) США - - - - -
Примечания:
1. Наличие бесплатной версии
2. Наличие бесплатного антивирусного сканера
3. Бесплатные утилиты для удаления вирусов
4. Позиционируется как HIPS решение+сторонние сканеры(VBA32, BitDefender, DrWEB)
5. Использует несколько антивирусных движков

Можно отправлять подозрительные файлы одновременно всем вендорам, очень удобно: vendors@malware-research.co.uk
Отправлять следует в zip-архиве с паролем "infected" (без кавычек)

  • Более или менее независимые тестовые лаборатории антивирусных решений >>
  • Online-сервисы для комплексного анализа подозрительные файлов и облегчения быстрого обнаружения вирусов, червей, троянов и всех видов вредоносных программ, определяемых антивирусами >>
  • Набор поведенческих онлайн анализаторов >>
  • Антивирусная утилита AVZ - дополнение к стационарным антивирусам >>
  • Смежные темы на Ru-Board >>

Редактирование шапки здесь

Всего записей: 24190 | Зарегистр. 07-04-2002 | Отправлено: 13:51 26-11-2008 | Исправлено: lelik007, 16:49 16-12-2009
Zeesh



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ
Надо было сразу открыть autorun.inf с помощью блокнота и потом проверить, есть ли на флешке файл, который через него запускается, т.е. sys.exe. Скорее всего, его там нет, иначе антивирусник нашел бы его при сканировании флешки. А реакция на autorun.inf — это нормальная реакция-предупреждение в связи с большим распространением вирусов autorun. Просто считается, что на флешке в принципе не должно быть таких файлов, хотя это не всегда верно. А то, что показал вирустотал — тоже нормальная реакция антивирусников на текстовый файл.

----------
Всё, что вы скажете, будет исковеркано чужим больным разумом и использовано против вас!

Всего записей: 2366 | Зарегистр. 27-07-2006 | Отправлено: 14:18 17-07-2009
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zeesh

Цитата:
Просто считается, что на флешке в принципе не должно быть таких файлов, хотя это не всегда верно.

Ну я сомневаюсь, что антивирус отличит флешку от CD-ROM. А на CD-ROM такие файлы очень популярны - добро пожаловать в светлый мир фалсов!
 
Реально, если в autorun.inf закатан вредоносный скрипт - тогда я понимаю, а так файл абсолютно безвреден - чего пугать домохозяек?

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11445 | Зарегистр. 14-03-2007 | Отправлено: 14:33 17-07-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Zeesh
Цитата:
Надо было сразу открыть autorun.inf с помощью блокнота
Нет уж, увольте... Антивирь тявкнул, - я его (авторан) грохнул. А смотреть, что у него там внутри... Этим пусть аналитики антивирусных компаний занимаются...
(а экзешника "в комплекте" с автораном на флэшке не было...)
 
Добавлено:
gjf
Цитата:
а так файл абсолютно безвреден - чего пугать домохозяек?
Возможно, если посмотреть его в HEX'е, он окажется не столь уж и безобидным... Взять тот же eicar - тоже текстовая строка...
(чисто досужий домысел, ни к чему не обязывающий...)


----------
А оно мне надо?..

Всего записей: 5494 | Зарегистр. 29-03-2006 | Отправлено: 14:35 17-07-2009 | Исправлено: XenoZ, 14:54 17-07-2009
Viktor_Kisel



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Антивирь тявкнул, - я его (авторан) грохнул.

Понятно значит вирус был убит раньше, а авторун остался, потому как текстовые файлы антивирусы не трогают (как видно уже некоторые антивири стали срабатывать и на безобидный текст).

Всего записей: 2099 | Зарегистр. 01-02-2005 | Отправлено: 14:48 17-07-2009
Zeesh



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Нет уж, увольте...  Антивирь тявкнул, - я его (авторан) грохнул. А смотреть, что у него там внутри...

Вроде взрослые люди, а мышей боитесь… Это я так, к слову… Даже не можете сказать, что же «тявкнул» антивирус. Кстати, ESET Smart Security (он же NOD32) 3.0.684 реагирует на этот файл, и причем на последнюю строку, хотя в ней ничего особенного нет, вроде обычная команда запуска exe-файла — без нее не обращает внимания, видать, она внесена в базу сигнатур… И реагирует в любом формате файла — txt, inf, ini и т.п. Прийду домой, поэкспериментирую с DrWeb.

Цитата:
Ну я сомневаюсь, что антивирус отличит флешку от CD-ROM.

Конечно, не должен отличать, хотя система-то отличает… Вероятно, все-таки содержимое autorun.inf заносится в базу сигнатур, не все, конечно, а что-нибудь характерное…
 
Добавлено:
Попробовал еще поэкспериментировать с этим файлом — похоже, он весь внесен в базу сигнатур ESET: при удалении любой строки антивирусник перестает на него реагировать.

----------
Всё, что вы скажете, будет исковеркано чужим больным разумом и использовано против вас!

Всего записей: 2366 | Зарегистр. 27-07-2006 | Отправлено: 15:34 17-07-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Zeesh
Цитата:
Вроде взрослые люди, а мышей боитесь… Это я так, к слову… Даже не можете сказать, что же «тявкнул» антивирус.
А при чем ту мыши?.. (это так, к слову...)
Что тявкнул антивирь - была выложена ссылка на вирустотал, сам антивирь тоже был озвучен... Или для наглядности непременно нужна картинка?

По содержимому (таки решил немного поэкспериментировать - интересно стало... ) :
ESSBE 4.0.437 реагирует только на полный файл. Причем выдается не подозрение на возможно инифицированный файл, а однозначный вердикт: "Threat: INF/Autorun Virus". Если стереть любую строчку - файл становится, с точки зрения ESS, безвредным.


----------
А оно мне надо?..

Всего записей: 5494 | Зарегистр. 29-03-2006 | Отправлено: 16:01 17-07-2009
George S



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мда обленились словаки... добавить какой-нибудь комментарий и уже не увидит(хотя сам экзешник-то должен увидеть)....

Всего записей: 1734 | Зарегистр. 20-07-2006 | Отправлено: 16:07 17-07-2009
PhoenixUA



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мда, небольшая мутация при размножении и весь детект псу под хвост ...

----------
Что такое I2P | Загрузить I2P | Хэш Oregano

Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 16:15 17-07-2009
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ

Цитата:
чисто досужий домысел, ни к чему не обязывающий...

Не фантазируйте, если не знаете. Антивирусы специально ловят EICAR по текстовой строке, потому что это нужно для тестирования. autorun.inf, будучи даже содержащим HEX-символы, не отображаемые в Unicode/ASCII-кодировке (что вообще полный бред) исполняться не будет - у него другое предназначение в функционале заражения.
 

Цитата:
небольшая мутация при размножении и весь детект псу под хвост

Потому что детект на подобные файлы - курам на смех.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11445 | Зарегистр. 14-03-2007 | Отправлено: 16:30 17-07-2009
PhoenixUA



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Потому что детект на подобные файлы - курам на смех.

С точки зрения безопасности - да, но приятнее, когда антивирус подчищает все следы за вирусом...
Вот если бы они еще научились реестр самостоятельно исправлять, типа Image File Execution Options...

----------
Что такое I2P | Загрузить I2P | Хэш Oregano

Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 16:37 17-07-2009
George S



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PhoenixUA
Есть такие!
http://www.quickheal.co.in/qh-total-security.asp
Цитата:
A new advanced malware scanning engine scans registry
 
там целый отдельный модуль))
 
Добавлено:
а так вообще никто бэкап не отменял...

Всего записей: 1734 | Зарегистр. 20-07-2006 | Отправлено: 17:29 17-07-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gjf
Цитата:
Не фантазируйте, если не знаете. Антивирусы специально ловят EICAR по текстовой строке, потому что это нужно для тестирования. autorun.inf, будучи даже содержащим HEX-символы, не отображаемые в Unicode/ASCII-кодировке (что вообще полный бред) исполняться не будет - у него другое предназначение в функционале заражения.  

Вообще-то речь была о комбинации печатаемых символов, к-рая при просмотре в HEX представляет собой исполняемый код, как это было сделано на примере eicar. А антивирусы ловят (или, по крайней мере, должны ловить) eicar не по текстовой строке, а по исполняемому коду. к-рый в ней содержится.

Цитата:
Потому что детект на подобные файлы - курам на смех.
Скажите это представителям тех компаний, к-рые считают иначе. (если они решили, что этот набор строк представляет угрозу, то не нам с вами об этом судить...)

Всего записей: 5494 | Зарегистр. 29-03-2006 | Отправлено: 17:40 17-07-2009
Zeesh



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Провел эксперимент с DrWeb, результат такой:
1. При подключении к компьютеру флешки с файлом autorun.inf в корневом каталоге spider не отреагировал.
2. Сканер реагирует на файл еще во время подготовки к сканированию, но только на файл, находящийся на флешке. На этот же файл, находящийся во временном каталоге, при сканировании этого каталога — не реагирует.
3. Реагирует только на строку OPen=storage\sys.exe, при ее удалении файл ему не интересен… (и опять же только на флешке).
4. Пробовал изменить файл до такого вида:

Код:
[autorun]
open=sast.exe

— все равно определяется как вредоносный файл…
 

 
XenoZ
А про мышей — это я так, образно…

----------
Всё, что вы скажете, будет исковеркано чужим больным разумом и использовано против вас!

Всего записей: 2366 | Зарегистр. 27-07-2006 | Отправлено: 18:49 17-07-2009
dgsjsj



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ
Приятно было наблюдать ход обсуждения, без взаимных нападок, только логика.
Благодаря вам, до тех до кого дошло, возможно, будут осмотрительней в высказываниях, что антивирус ругается на блокнот.

Всего записей: 2628 | Зарегистр. 08-11-2007 | Отправлено: 19:56 17-07-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
В продолжение разговора об eicar и о том, как его "детектят" антивирусы...
Что такое eicar? Это тестовый вирус, задача к-рого - вывести на экран сообщение "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Задача антивируса, соответственно - перехватить запуск тест-вируса и не дать ему выполнить свою задачу. Вроде все логично...
А теперь - небольшая модификация...
Исходный eicar:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Модифицированный:
X5O!P%@AP[4\PZX54(P^)7CC)7}$ANOTHER-COOOL-TEST-FOR-ANTIVIRUSES!$H+H*
(исполняемый код - без изменений, сменилась только выводимая строка)
Антивирус на тестовой системе - Avira PE Premium.
Сохраняем модифицированный eicar под именем eicar2.com - Авира молчит.
Открываем консоль, запускаем - Авира молчит, а мы получаем результат сработавшего тест-вируса:

Код:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
 
F:\>eicar2.com
ANOTHER-COOOL-TEST-FOR-ANTIVIRUSES!
F:\>

Желающие могут поэкспериментировать со строкой вывода...
А вот результаты проверки модифицированного тест-вируса на вирустотале...
Выводы предлагаю сделать самим...
 
P.S. В процессе эксперимента ни один кролик не пострадал...
(и в нем не учитывалась работа HIPS, только антивирус)

----------
А оно мне надо?..

Всего записей: 5494 | Зарегистр. 29-03-2006 | Отправлено: 20:51 17-07-2009
Zeesh



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ
Да, результат интересный. Хотелось бы узнать, как антивирусы узнаЮт этот eicar…
 
А я тут провел еще один эксперимент с autorun.inf — прописал в нем реально существующий на флешке exe-файл (не вирус), запустил сканер DrWeb, он на autorun.inf не ругнулся, но файл, указанный в нем, проверил. Похоже, он все-таки «читает» autorun.inf, и не находя ничего по указанному пути, выдает сообщение
«Autoruner.corrupted»

----------
Всё, что вы скажете, будет исковеркано чужим больным разумом и использовано против вас!

Всего записей: 2366 | Зарегистр. 27-07-2006 | Отправлено: 22:02 17-07-2009
dgsjsj



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ

Цитата:
Выводы предлагаю сделать самим...  
 

Additional notes:
The definition of the file has been refined 1 May 2003 by Eddy Willems in cooperation with all vendors.
 It was decided not to change the file itself for backward-compatibility reasons.

Всего записей: 2628 | Зарегистр. 08-11-2007 | Отправлено: 00:13 18-07-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
dgsjsj
Ну, здесь все-таки русскоязычный форум, посему корректней было бы выкладывать перевод цитаты, снабдив его ссылкой на первоисточник...
Во-первых, - там ни слова о том, что файл менять нельзя. Во-вторых, повторюсь, - исполняемый код остался без изменений. На него и должен реагировать антивирус. Текст - всего лишь индикация успешного запуска тест-вируса.
И в-третьих - 5 антивирусов таки правильно определили модифицированный eicar...

----------
А оно мне надо?..

Всего записей: 5494 | Зарегистр. 29-03-2006 | Отправлено: 00:49 18-07-2009
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ

Цитата:
А антивирусы ловят (или, по крайней мере, должны ловить) eicar не по текстовой строке, а по исполняемому коду. к-рый в ней содержится.  

Вы действительно считаете, что eicar - это исполняемый вирусный код?

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11445 | Зарегистр. 14-03-2007 | Отправлено: 03:12 18-07-2009
aleksdem2



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ

Цитата:
А антивирусы ловят (или, по крайней мере, должны ловить) eicar не по текстовой строке, а по исполняемому коду. к-рый в ней содержится.

Вы ошибаетесь. В даном вопросе полностью правы ув.gjf и dgsjsj. Именно по текстовой строке антивирусы должны опроеделять eicar. Он не имеет никакого отношения к вирусам, а просто в свое время вендоры договорились о "зачислении" простого набора символов к зловредам с целью простой проверки функционирования (или не функционирования) монитоторов. Есть антивирусные компании (новые), которые в эту игру не играют. Кроме того, если хоть один символ в строке eicar изменить или добавить, антивирус (нормальный) тоже не должен его детектировать... То есть, если антивирус определяет  "модифицированный" eicar, это значит только то, что далеко не все у него нормально в первую очередь с эвристическим анализом и т.п. Это не плюс, а минус данным антивирусным продуктам. (Я имею ввиду только eicar, а не обсуждаемый файл).

Всего записей: 5299 | Зарегистр. 10-10-2006 | Отправлено: 10:51 18-07-2009 | Исправлено: aleksdem2, 10:59 18-07-2009
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » Программы » Обзор антивирусов под Windows
Widok (25-12-2009 11:49): Лимит страниц. Продолжаем здесь.


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru