Уже тема поднималась неоднократно, просто с выходом новой версии DrWeb'a поднялась снова - какой антивирус выбрать...Предлагаю обсудить антивирусы (именно те, которые стоят на ваших домашних\рабочих компах), их плюсы и минусы. За основу думаю стоит взять наиболее популярные программы, т.к. проводить тестирование по обнаружению вирей желания нету.. Критериев несколько - скорость работы сканера, монитора, системы после установки антивиря, возможность и размеры автоматического обновления баз, разнообразие настроек. Ну и железо, на котором антивирь стоит.
Я ставил каспера 5.0 на домашний и на рабочий комп - тормоза при включенном сканере наблюдались капитальные, плюс на рабочем компе некоторые безобидные тулзы были удалены без ведома юзера (т.е. меня). К тому же полная проверка дисков висла на одном из архивов бух.проги, а после исключения из списков проверки найденные вири удаляться отказывались - каспер падал с ошибкой при удалении. Размер обновляемых баз >500 Кб в день - не очень радует...
ДрВеб 4.33 неплохо работает на домашнем компе, на рабочем (PIV-1500,128 метров памяти) тормоза жуткие, сканер полное сканирование дисков (2Х20 метров) так и не смог довести до конца. Размер обновляемых баз довольно маленький, криво реализовано автоматическое обновление. Убогий интерфейс, криво реализована автоматическая проверка...
По отзывам - Панда жутко тормозит (очень жутко).
Хотелось бы узнать, как (и какие) антивири работают у других, их достоинства и недостатки.

| Сообщение посчитали полезным:

Virgo пишет:
Блин сами попробуйте.

дак сказали же не запускается

| Сообщение посчитали полезным:

DDA
Так ты сделал как сказал?

| Сообщение посчитали полезным:

Ну вот взять напримет оригинал этого sassera

натровить на него DotFix и из 23 антивирей только трое опознали вирус

| Сообщение посчитали полезным:

Virgo пишет:
Так ты сделал как сказал?

я запускал тот файл который ты первый выложил

| Сообщение посчитали полезным:

DDA
а ты сделай как я предложил и ни один не найдет. Именно в такой последовательности. Другие не канают.

| Сообщение посчитали полезным:

Virgo пишет:
а ты сделай как я предложил и ни один не найдет. Именно в такой последовательности. Другие не канают.
Дык можно тупо поксорить весь файл от начала и до конца и тож никто не найдет. После обработки файл должен быть РАБОЧИМ.

| Сообщение посчитали полезным:

Не знаю как там антивирусы, но SNS забанил его сразу, и ему на$@#ть на сигнатуры и прочую муть , он ему не дал даже запуститься, споймал при попытке записи сюда:

Приложение: NET-WORM.WIN32.SASSER.EXE
Имя файла: C:\WINDOWS\AVSERVE2.EXE

Вообще этот вирус не особо то и изощренный...

-----
Research is my purpose

| Сообщение посчитали полезным:

Когда-то эксперимента ради запаковал трояна Win32.lovgate аспротектом 2.1 (не со всеми опциями, чтобы работал), а потом еще сверху запаковал его winupack-ом. Эту фигню потом не один антивирус не видел, что каспер, что вэб, что все прочие. Поэтому рассчитывать на сигнатуры, при таком кол-ве протов врядли можно. Еще на сайте у MS-Rem-a есть много интересных вещей...FireFuck, програмулька, которая прячет процесс winlogon (для примера скрытия процессов), так вот все эти проги SnS у меня заблокировал, притом каждую по своим причинам... Ложных срабатываний не много, тем более, что есть возможность вручную изменять правила контроля активности. Насчет отладчиков, то чтобы проблему решили поскорее нужно почаще жаловаться в службу тех. поддержки, они обещали проблему решить.

-----
Research is my purpose

| Сообщение посчитали полезным:

Звиняйте если кто уже упоминал:

Xakep Online -> Сравнительный анализ антивирусов 2005 №1
www.xakep.ru/local/redirect.asp?url=post/26299/default.asp

Xakep Online -> Сравнительный анализ антивирусов 2005 №2
www.xakep.ru/local/redirect.asp?url=post/27773/default.asp


там все известные антивирусы (и неизвестные тоже)


ЗЫ Имхо спрятать любой вирус можно обработав любым пакером и внедрив SEH

| Сообщение посчитали полезным:

SASH_113 пишет:
Xakep Online
Хакер не авторитет.

SASH_113 пишет:
Имхо спрятать любой вирус можно обработав любым пакером и внедрив SEH
не надо имхо - спрячь и выложи. Все будут тестить.

| Сообщение посчитали полезным:

Вот архив с пинчом. Создает out.bin в корне c: Никуда ничего не отправляет
Пасс: pinch
1.Пинч без ничего
2.Пинч с UPXом
3.UPX + SEH
4.тоже + команда P-III+ prefectch [eax] (хз че это такое - прочитал у К.Касперски)

ЗЫ Насчет ксакепа - не знаю, по моему автор тех статей критично подошел к каждому антивирусу

42a6_Pinch.rar.zip

| Сообщение посчитали полезным:

1.Пинч без ничего
2.Пинч с UPXом DrWeb поймал при попытке копирования

3.UPX + SEH
4.тоже + команда P-III+ prefectch [eax] (хз че это такое - прочитал у К.Касперски)
DrWeb поймал при попытке запуска.

PS фигня пакеры - надо прот навешать, а сверху пакер.

-----
Research is my purpose

| Сообщение посчитали полезным:

SASH_113 пишет:
Вот архив с пинчом
БитДефендер ваще ничего не обнаружил ни в одном из файликов.

| Сообщение посчитали полезным:

SASH_113 пишет:
Вот архив с пинчом
Касперский 4.5 опознал простой вариант и вариант с upx'ом. Остальное не заметил скотина

| Сообщение посчитали полезным:

Mifodix
Аналогично 5.151 Каспер. Остальные ни Гугу.

| Сообщение посчитали полезным:

OLEGator пишет:
А как это они так привязались?
как они так счётчик хранят, что только формат?
Обычно же либо в реестре или в файлах. и обычными унисталерами обходится.

Есть ракое понятие NTFS Stream. Каспер, начиная с версии 5.0 (вродебы) использует эти потоки для хранеия базы чексумов проверенных файлов, почему бы там не держать информацию о триале.

| Сообщение посчитали полезным:

DrWeb поймал при распаковке
\DownLoad\Crack\INFECTED\Pinch.rar\Pinch\Pinch.exe - инфицирован Trojan.PWS.LDPinch.202

-----
TBR

| Сообщение посчитали полезным:

При запуске Pinch(upx+prefectch+seh).exe
C:\out.bin - инфицирован Trojan.PWS.LDPinch

При запуске Pinch(upx+seh).exe
C:\out.bin - инфицирован Trojan.PWS.LDPinch

Pinch.#xe и Pinch(upx).#xe ловит при попытке переименовать.
\Pinch.rar\Pinch\Pinch.exe - инфицирован Trojan.PWS.LDPinch.202
\Pinch.rar\Pinch\Pinch(upx).exe - инфицирован Trojan.PWS.LDPinch.202

-----
TBR

| Сообщение посчитали полезным:

Если прятать от KAV, то это зделать очень легко: пакуешь ASPack'ом, в HEX редакторе лезешь на EP, там ищешь опкод 90_60_90 (я без шуток) и меняешь его на 90_90_90, это конечно нарушает балансировку стека, но работает и перед каспером не палиться. Ну а чтоб и перед Dr.Web не палиться я еще и depack'ом завертываю. Как к этому хозяйству другие тулзы относяться не знаю, потому что не пробовал. Конечно могут поймать но только если эвристик уж очень хорошо вылизан. Еще можно спрятать, так, чтобы эмулятор на антивире грохнулся (эвристик), вставить каку-нибудь не стандартную инструкцию, что-то из набора мультимедийных команд (пусть будет prefectch [eax], его опкод 0F_18_00. От такого симбиоза даже у hiew'a едет крыша.

| Сообщение посчитали полезным:

Grey пишет:
При запуске Pinch(upx+prefectch+seh).exe
C:\out.bin - инфицирован Trojan.PWS.LDPinch

out.bin - это инфа о твоей тачке в формате пинча. Попробуй изменить сигну PACK на FUCK

Детектит ли EXE файлы?

| Сообщение посчитали полезным:

Вот вам все тот же Net-Worm.Win32.Sasser.exe, но запакованный ASProtect 2.1 Registered + сверху WinUpack. Осторожно, рабочий(проверял у себя)! DrWeb не видит нифига в упор, ни при запуске ни при копировании. Safe'n'Sec по-прежнему заблокировал при попытке запуска. Кстати, может кто-нить подкинет ссылочку на вирусы (желательно поизощренее), просто интересно есть ли у SNS хоть какая-то уязвимость, пока еще ни одного вирусняка не пропустил. Пароль: virus

a2ef_Net_Worm.Win32.Sasser.rar.zip

-----
Research is my purpose

| Сообщение посчитали полезным:

помойму битый архив
Кстати thru prevent у панды - лажа или пашет ?

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Выложил повторно+добавил безобидный(с описанием) вирус-прикол(он без пароля, для проверки попробуйте завершить любую задачу в диспетчере задач):
P.S WinRAR 3.41
f27a_VIRUS_TEST.rar.zip

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Вот вам все тот же Net-Worm.Win32.Sasser.exe, но запакованный ASProtect 2.1 Registered + сверху WinUpack. Осторожно, рабочий(проверял у себя)! DrWeb не видит нифига в упор, ни при запуске ни при копировании. Safe'n'Sec по-прежнему заблокировал при попытке запуска
Блин, а эту хрень БитДефендер запалил при распаковке архива обычном, даже не дал из архива извлечь.
GenPack:Win32.Worm.Sasser.B

| Сообщение посчитали полезным:

Ara, возможно, его уже кто-то паковал аспротектом, я когда-то высылал win32.lovgate запакованный в лаб. вэба, так потом палил, до того - нет. Кста, у "стариков" есть вариант SNS +AV, в качестве AV использовано ядро BitDefender.

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log
Я коллекционирую вирусы, прошу заметить не пишу(к вирмейкерам не отношусь), просто многому можно научиться у них, да и забавного много бывает, при анализе. Скажи какой тебе нужен, если у меня в базе есть я скину.
Вопрос к моддерам!!!
Надеюсь это не будет расцениваться как распространение!!! только в ознакомительных целях!!!

| Сообщение посчитали полезным:

Error_Log
Да есть ли у тебя ссылка попробывать SNS

| Сообщение посчитали полезным:

Virgo пишет:
Вопрос к моддерам!!!
Надеюсь это не будет расцениваться как распространение!!! только в ознакомительных целях!!!
Да пожалуйста, аттач с паролем на архив и предупреждением, что там вирус.
Virgo - а трояны и черви ты тож коллекционируешь, а то нужны некоторые экземпляры.

| Сообщение посчитали полезным:

Smon
Кстати thru prevent у панды - лажа или пашет ?
Плотно не тестил, но при установке руткита a311 он даже не пикнул, после чего на нем было забито.

Virgo
Да есть ли у тебя ссылка попробывать SNS
Зайди на сайт старфорса (www.starforce.ru ). Там найдешь.
Кста, сегодня апдейт вышел, отладчики пашут !

| Сообщение посчитали полезным:

черт
прошу прощения

| Сообщение посчитали полезным: