Novi AV Testovi- Avgust 2006

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

TEST 1.

http://www.virus.gr/english/fullxml/default.asp?id=82&mnu=82

Ovo je samo spisak prvih 20 programa,ako zelite da vidite celi spisak i da vidite rang antivirusnih programa na osnovu heuristike,kliknite na link.

Rank

1. Kaspersky version 6.0.0.303 - 99.62%

2. Active Virus Shield by AOL version 6.0.0.299 - 99.62%

3. F-Secure 2006 version 6.12.90 - 96.86%

4. BitDefender Professional version 9 - 96.63%

5. CyberScrub version 1.0 - 95.98%

6. eScan version 8.0.671.1 - 95.82%

7. BitDefender freeware version 8.0.202 - 95.57%

8. BullGuard version 6.1 - 95.57%

9. AntiVir Premium version 7.01.01.02 - 95.45%

10. Nod32 version 2.51.30 - 95.14%

11. AntiVir Classic version 7.01.01.02 - 94.26%

12. ViruScape 2006 version 1.02.0935.0137 - 93.87%

13. McAfee version 10.0.27 - 93.03%

14. McAfee Enterprise version 8.0.0 - 91.76%

15. F-Prot version 6.0.4.3 beta - 87.88%

16. Avast Professional version 4.7.871 - 87.46%

17. Avast freeware version 4.7.871 - 87.46%

18. Dr. Web version 4.33.2 - 86.03%

19. Norman version 5.90.23 - 85.65%

20. F-Prot version 3.16f - 85.14%

................
DOPUNA!!!

TEST 2.

http://www.av-comparatives.org/
Takode,nov test za avgust,ali nije moguc direktni link tako da morate da odete na zvanicni sajt pa na 'Comparatives' i onda na nove rezultate, 'On-demand comparative' za avgust.

Pozdrav!!!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Jel da prokomentarisem malo ovaj test ili da cutim?
Mogu da ga diskreditujem za minut.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

KAV optimizovan.
Drugim recima, sortirali su viruse po KAV Log Analizeru... i ono sto KAV nije detektovao su verovatno proglasili 'nevazecim', sto ne mora da znaci.
Mislim... 99.62% detekcija...........
Pa dobro da nije 99.99%

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

S obzirom da je grk VX-er, on koristi VS2000 kao alatku za sortiranje.
VS2000 radi samo sa AVP, KAV 4 i F-Prot logovima.
Znaci, ono malo sto KAV-u fali je ono sto F-Prot prepoznaje a KAV ne.
F-Prot je malo bolji od KAV-a po pitanju raznih tekstualnih fajlova (DOC, HTML i tako to), i on tu nalazi primerke koje KAV propusta (narocito Perl i PHP exploite)

Ima tu jos par stvari koje treba objasniti, ali to cu kada zavrsim spremanje rucka, da mi ne zagori

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ok.Meni kao laiku recite:ja koristim comodo beta1.1 antivirus on je zauzeo 46. Comodo version 1.0.0.4 - 41.02%.Da li to znaci da ja treba da menjam antivirus ili je meni dovoljan zastitni faktor s obzirom da dnevno sam na netu jedno sat ili dva?

Prema poslednjem updejtu on registruje 178673 virusa,trojanaca...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

bobby ::S obzirom da je grk VX-er, on koristi VS2000 kao alatku za sortiranje.
VS2000 radi samo sa AVP, KAV 4 i F-Prot logovima.
Znaci, ono malo sto KAV-u fali je ono sto F-Prot prepoznaje a KAV ne.


ipak sa malo vise, ako je verovati onome sto je napisao - a nadam se da ne laze

The 147184 virus samples were chosen using VS2000 according to Kaspersky, F-Prot, Nod32, Dr.Web, BitDefender and McAfee antivirus programs. Each virus sample was unique by virus name, meaning that AT LEAST 1 antivirus program detected it as a new virus.

Znaci - virus je i ono sto je nasao npr. NOD ili BitDef a nije KAV...pa ako nista drugo, onda je poredak ovih pomenitih AV-ova valjda realan

Dopuna: 01 Sep 2006 14:03

Peca ::KAV optimizovan.
Drugim recima, sortirali su viruse po KAV Log Analizeru... i ono sto KAV nije detektovao su verovatno proglasili 'nevazecim', sto ne mora da znaci.
Mislim... 99.62% detekcija...........
Pa dobro da nije 99.99%

radjeno po Kaspersky, F-Prot, Nod32, Dr.Web, BitDefender i McAfee analajzeru - a da je radjeno npr. po Abacre version 1.4 analajzeru, onda bi svi imali po 100% detekciju posto je ovaj imao

58. Abacre version 1.4 - 0.00%

A opet, da je napravio 100 novih virusa i optimizovao ih tako da ih nijedan ne nalazi i test uradio pre nego sto je bacio viruse u divljinu (da ne bi dospeli u update baze), onda bi svi imali 0% jer nijedan ne bi nasao nista

Po necemu mora da se optimizuje - logicno je da se to uradi ukrstanjem logova onih koji nalaze najvise

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

I'm back, pa da nastavim.

Situacija 1 (fajl sakriven kao resource drugog fajla):

Zamislite da ste poceli sa sakupljanjem virusa zbog ovog ili onog razloga.
U vasoj kolekciji postoji neki trojanac kog KAV prepozna pod imenom Backdoor.Win32.XYZ i velicina fajla je 30kb.
Nakon par dana vam naidje fajl kog KAV prepozna pod istim imenom, ali ovaj put fajl ima 2mb. Ocigledno je da se ne radi o istom fajlu.
Kod ovako velike razlike ocigledno je da nije rec o tome da su pakovani razlicitim exe-packerima.
Poznavajuci KAV, koji detektuje samo server-komponente trojanaca, dolazimo do zakljucka da je prvi fajl server-komponenta, a da je drugi fajl editor (client) + server komponenta istog trojanca.
Znaci, za recimo nekog trojanca u verzijama 1, 1a i 1b; koje se medjusobno razlikuju, KAV prijavi sve tri verzije kao Backdoor.Win32.XYZ.1 zbog toga sto signature koji KAV ima odgovara svim spomenutim verzijama.
Kada sada nekom naidje verzija 1.b, a on koristi KAV i VS2000 za sortiranje, on ce primerak odbaciti jer ce misliti da je isti kao i verzija 1.a.
Drugi antivirus, koji ima posebne signature za svaki od ta tri fajla, ce biti uskracen da pokaze da ih prepoznaje, i njegov rejting ce biti smanjen.

Situacija 2 (genericka detekcija):

KAV (kao i mnogi drugi) poseduju za i genericke opise celih familija neke napasti. To znaci da je jedan signature dovoljan da otkrije celu familiju.
Primer:
imate tri fajla, i za sva tri KAV kaze da su Backdoor.Win32.Rbot.gen
Bitdefender ce recimo za iste fajlove da kaze:
1. Backdoor.Win32.Rbot.CF45A87
2. Backdoor.Win32.Rbot.DFAB567
3. Backdoor.Win32.Rbot.789345B
Ako ste u kolekciji sacuvali samo jedan fajl zato sto ostala dva (po KAV-ovom kazivanju) imaju ista imena, onda ste propustili dva primerka bitna za test.

Situacija 3 (exe-pakeri):

Zamislite da vam je prvi Backdoor.Win32.XYZ na koji ste naisli bio spakovan nekim pakerom koga retko koji AV ume da raspakuje (recimo Themida ili Obsidium pakeri). Zbog VS2000 u kolekciju ne prihvatate ostale primerke jer vec imate jedan Backdoor.Win32.XYZ.
Jasno je da ste osakatili jako puno AV-ova na testu, ne time sto ste nasli retku napast, vec sto ste sacuvali samo jedan primerak zapakovan jakim pakerom, a odbili ste mozda 1000 primeraka koji nisu bili zapakovani tim pakerom, a koji drugi AV-ovi prepoznaju, i koji bi drugim AV-ovima prilicno poravili rejting na testu.


Sta je problem u svemu ovom gore opisanom?
Rekli smo da je grk VX-trader, i da koristi VS2000 za trgovinu napastima.
Kada sada neko njemu posalje KAV log, grk ucita taj log u VS2000, i ucita i svoj log. VS2000 ce da mu napise sta njemu fali od fajlova iz tudje kolekcije.
Gore smo spomenuli koje su mane ovakvog skupljanja primeraka, i koliko to optimizuje kolekciju za KAV.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Izvrsio sam izmenu svog prvog posta,ubacio sam jos jedan test za avgust,ali ovog puta sa: http://www.av-comparatives.org/
Izvinjavam se sto sam to uradio na ovaj nacin,nakon sto je diskusija o prvom testu pocela,ali smatrao sam da je celishodnije da oba testa budu na jednom mestu.
Pozdrav!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

@KAV_distributer
VS2000 ne radi sa logovima NOD32, DrWeb i ostalih koje je spomenuo.
Narocito ne moze da radi sa DrWeb logovima, posto VS2000 cita samo logove u kojima su sve informacije o jednom fajlu strpane u jedan red loga, a DrWeb kod arhiva koristi vise redova u fajlu za jedan log.

btw. zato VS2000 nikada nece moci da procita KAV 5.x log, jer KAV 5 koristi vise linija u logu za jedan fajl.

Pitam se samo zasto novi KAV2006 opet uvodi jednu liniju po fajlu u log format...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

bobby ::
Kada sada neko njemu posalje KAV log, grk ucita taj log u VS2000, i ucita i svoj log. VS2000 ce da mu napise sta njemu fali od fajlova iz tudje kolekcije.
Gore smo spomenuli koje su mane ovakvog skupljanja primeraka, i koliko to optimizuje kolekciju za KAV.

Zasto mislis da laze kada je napisao ovo:

"...virus samples were chosen using VS2000 according to Kaspersky, F-Prot, Nod32, Dr.Web, BitDefender and McAfee antivirus programs. Each virus sample was unique by virus name, meaning that AT LEAST 1 antivirus program detected it as a new virus."

sa posebnim naglaskom na deo "meaning that AT LEAST 1 antivirus program detected it as a new virus" iz koga se vidi da ne gleda samo KAV-ov log, tj. da je test u najmanju ruku optimizovan ne samo za KAV vec i za NOD, F-Prot, DrWeb, Bit Defender i McAfee

Dopuna: 01 Sep 2006 14:16

bobby ::@KAV_distributer
VS2000 ne radi sa logovima NOD32, DrWeb i ostalih koje je spomenuo.

necu da tvrdim ono sto ne znam, a ne znam to sto kazes - jedino sto je onda blesavo sto je on napisao

"The 147184 virus samples were chosen using VS2000 according to Kaspersky, F-Prot, Nod32, Dr.Web, BitDefender and McAfee antivirus programs"