Интересный эксперимент

[Canis]

Интересный эксперимент провел организатор неофициального форума ДрВеб Александр

Степанов (Geser).

Источник: Hеофициальный форум DrWeb, http://israword.co.il/drweb

Общий раздел => Общий форум => Маленькое исследование антивирусов

Message started by: Geser on 16/07/2004, 20:24:44

Title: Маленькое исследование антивирусов

Post by: Geser on 16/07/2004, 20:24:44

В общем, решил я сравнить антивирусы.

Взял известного червячка Mydoom.a

Далее исследование производится при помощи сайта

http://www.virustotal.com/

Итак, первая проверка:

             Scan results

             File: I-Worm.Mydoom.a

             Date: 07/16/2004 15:52:19

             ----

             BitDefender   7.0/20040716   found [Win32.Novarg.A@mm]

             ClamWin   devel-20040517/20040715   found [Trojan.SCO.A]

             eTrustAV-Inoc   4641/20040714   found

             [Win32/Mydoom.A.Worm]

             F-Prot   3.15/20040715   found [W32/Mydoom.A]

             Kaspersky   4.0.2.23/20040716   found [i-Worm.Mydoom.a]

             McAfee   4377/20040716   found [W32/Mydoom.a.dll]

             NOD32v2   1.812/20040716   found [Win32/Mydoom.A]

             Norman   5.70.10/20040716   found [MyDoom.A@mm]

             Panda   7.02.00/20040716   found [W32/Mydoom.A.worm]

             Sybari   7.5.1314/20040716   found [Win32/Mydoom.A.Worm]

             Symantec   8.0/20040715   found [W32.Mydoom.A@mm]

             TrendMicro   7.000/20040716   found [WORM_MYDOOM.A]

Как и следовало ожидать, все его знают.

Дальше веселее. В оригинальном виде червь запакован одной из старых

версий UPX. Распакуем и повторим проверку.

             Scan results

             File: Copy of Mydoom.exe

             Date: 07/16/2004 15:31:33

             ----

             BitDefender   7.0/20040716   found [Win32.Novarg.A@mm]

             ClamWin   devel-20040517/20040715   found nothing

             eTrustAV-Inoc   4641/20040714   found nothing

             F-Prot   3.15/20040715   found nothing

             Kaspersky   4.0.2.23/20040716   found [i-Worm.Mydoom.a]

             McAfee   4377/20040716   found nothing

             NOD32v2   1.812/20040716   found [Win32/Mydoom.A]

             Norman   5.70.10/20040716   found nothing

             Panda   7.02.00/20040716   found nothing

             Sybari   7.5.1314/20040716   found [W32/Mydoom]

             Symantec   8.0/20040715   found [W32.Mydoom.B@mm]

             TrendMicro   7.000/20040716   found [WORM_MYDOOM.GEN]

ClamWin devel-20040517,eTrustAV-Inoc 4641, F-Prot 3.15, McAfee 4377,

Norman 5.70.10, Panda 7.02.00 не знают паковщиков.

Теперь запакуем его aspack

             Scan results

             File: Mydoom aspack.exe

             Date: 07/16/2004 15:31:52

             ----

             BitDefender   7.0/20040716   found [Win32.Novarg.A@mm]

             ClamWin   devel-20040517/20040715   found nothing

             eTrustAV-Inoc   4641/20040714   found nothing

             F-Prot   3.15/20040715   found nothing

             Kaspersky   4.0.2.23/20040716   found [i-Worm.Mydoom.a]

             McAfee   4377/20040716   found nothing

             NOD32v2   1.812/20040716   found [Win32/Mydoom.A]

                  Norman   5.70.10/20040716   found nothing

                  Panda   7.02.00/20040716   found nothing

                  Sybari   7.5.1314/20040716   found [i-Worm.Mydoom.a]

                  Symantec   8.0/20040715   found nothing

                  TrendMicro   7.000/20040716   found nothing

      Итак, Symantec 8.0 и TrendMicro 7.000 с паковщиками тоже не дружат.

      Теперь натравим на червячка AvSpoffer

                  Scan results

                  File: Mydoom spoofed2.exe

                  Date: 07/16/2004 15:21:56

                  ----

                  BitDefender   7.0/20040716   found [Win32.Novarg.A@mm]

                  ClamWin   devel-20040517/20040715   found nothing

                  eTrustAV-Inoc   4641/20040714   found nothing

                  F-Prot   3.15/20040715   found nothing

                  Kaspersky   4.0.2.23/20040716   found [i-Worm.Mydoom.a]

                  McAfee   4377/20040716   found nothing

                  NOD32v2   1.812/20040716   found nothing

                  Norman   5.70.10/20040716   found nothing

                  Panda   7.02.00/20040716   found [Fichero Sospechoso]

                  Sybari   7.5.1314/20040716   found [Trojan.Mydoom.A]

                  Symantec   8.0/20040715   found [W32.Mydoom.B@mm]

                  TrendMicro   7.000/20040716   found nothing

      Все, кто его теперь не обнаружил, не имеют эмулятора кода. Как видно -

      большинство.

      Hу и, как Вы понимаете, гвоздь нашей программы - AvSpoffer и после

      этого aspack

                  Scan results

                  File: Mydoom spoofed ASPack.exe

                  Date: 07/16/2004 18:13:03

                  ----

                  BitDefender   7.0/20040716   found [Win32.Novarg.A@mm]

                  ClamWin   devel-20040517/20040715   found nothing

                  eTrustAV-Inoc   4641/20040715   found nothing

                  F-Prot   3.15/20040716   found nothing

                  Kaspersky   4.0.2.23/20040716   found [i-Worm.Mydoom.a]

                  McAfee   4377/20040716   found nothing

                  NOD32v2   1.812/20040716   found nothing

                  Norman   5.70.10/20040716   found nothing

                  Panda   7.02.00/20040716   found nothing

                  Sybari   7.5.1314/20040716   found [i-Worm.Mydoom.a]

                  Symantec   8.0/20040715   found nothing

                  TrendMicro   7.000/20040716   found nothing

      Как видите, только 3 антивируса поймали червячка: BitDefender 7.0,

      Kaspersky 4.0.2.23 и Sybari 7.5.1314. Причём Sybari

      не считается, поскольку просто включает в себя много движков, в том

      числе, если судить по названию вируса, Каспера.

      Все модификации обнаруживаются и ДрВебом

      Так что делайте выводы

Испытание прошли КАВ и Доктор Веб! Вот полемика начнется кто же все-таки лучше... :lol:

Изменено 19 июля, 2004 пользователем Canis

[Kuzmich]

NOD32 долго держался...

Наши тесты-наши победы... :D

[Canis]

Наши тесты-наши победы... ;)  ;)  ;)

Не, ну в принципе тест-то объективный ;)

[Vel]

Испытание прошли КАВ и Доктор Веб!

Я и не сомневался ;) Каспер рулит. Доктор тоже заслуживает внимания.

[Посторонним В.]

Я не совсем понял смысл этого эксперимента и каким образом так можно определить надежность антивиря.

Ну а если его запароленым Rar-ом заархивировать, или каким нить малоизвестным шифратором, то его вообще ни один антивирь не увидит... И Что????

Ведь "в природе" этот вирус встречается только в изначальном виде.

[SIMC]

Geser начал эксперименты с AvSpoffer'ом после того, как этот софт всплыл на этом форуме с подачи Salem'a. Кто-нить помнит тему... че-то вроде "Дайте мне страшный вирус"? Вот что было дальше : http://www.israword.co.il/drweb/index.php?...ay;threadid=141

А ваще, Geser продвинутый тип, имхо... Я прислушиваюсь к его мнению.

Каспер Г, дохтур рулит! =)

[Kuzmich]

Каспер Г, дохтур рулит! =)

Ой, ну не надо, я сейчас наоборот скажу... :) :)

Ведь "в природе" этот вирус встречается только в изначальном виде.

Не всегда... :)

[gvozd]

Вот что рулит - так это Касперский 5.0.

Artur88: Если сейчас пойдут споры о антивирусах, то тема прикроется, все сообщения (доктор круче а касперский Г и тому подобные ) будут стерты; появятся минусы в репе.

Изменено 20 июля, 2004 пользователем Artur88

[zhanin]

Наши тесты-наши победы... :D  :D  :D

Точно!