ESET CONNECT

На форуме каспера начали тест KIS 13. А значит новая серия в сериале. В общем запасаемся попкорном и напитками, тест обещает быть очень интересным.
А вот и первое сообщение.
"Еще одна фишка 2013 - проактивка исчезла. Избавились от самого тормозного компонента.Функционал проактивки полность перенесен в HIPS и SW(System Watcher - мониторинг активности)".
По моему они себя в гроб загоняют(но нам та все равно :)). HIPS и SW нормально работают только в ручном режиме с кучей аллертов, в авто.режиме от них толку, как от значка мерседеса на москвиче. Плюс, смысл избавляться от проактивки если ее функционал сохранился? Разве что потешить свое ЧСВ. В общем за ЛК опять думает не голова, а всем известный мужской орган.

Решил протестировать HIPS системы.
Взял ESS 5, KIS 12 и китайский HIPS под названием Malware Defender.
Тестировал на Comodo leak test.
Результаты, ну так сказать не очень.
Eset Smart Security* - 260/340.
KIS 12 в ручном режиме(с кучей алертов) - 330/340.
KIS 12 в авто.режиме - 60/340.
Malware Defender с алертами - 340/340
Malware Defender без алертов - 300/340.
У всех ХИПСов в авто.режиме без специальных правил проблема с RootkitInstallation: ChangeDrvPath, Hijacking: WinlogonNotify.
Из справки по тесту(перевел через гугл-переводчик):
RootkitInstallation: ChangeDrvPath
Пытается изменить путь уже существующего драйвера на себя с помощью диспетчера служб.
Hijacking: WinlogonNotify
Популярный прием использующийся винлокерами, не думаю что нужно более подробное описание.
* - результат в авто.режиме не записал.

С Доктором никогда не надо сравнивать детект файлов. Здесь его не переплюнуть любому аверу, но в динамике он достаточно слаб. Если уж сравнивать ESET, то сравнивать с Norton, Avast, Trend Micro, Kaspersky, BitDefender, Panda.

Поставлю себя на место парней которые ответственны за Carberp.
У меня есть такой троян, с его помощью я зарабатываю кучу денег не напрягаясь. Разве мне будет хорошо когда мой троян не приносит денег из-за того что он в базах антивирей? Нет, и что бы он мне приносил деньги я его буду обновлять даже от нечего делать.
Разве можно пролечить не обнаруженный вредонос? Нет. Разве можно из-за слепого доверия к вердиктам АВ заразить систему? Запросто.

[B]Manul-46[/B], может в сэмплах дело. Русток это админ фан-клуба Симантек и поэтому лично я сомневаюсь в объективности результатов.

[QUOTE]Валентин пишет:

А в каком режиме работает HIPS?[/QUOTE]
Интерактивный.

В общем я продолжил тест ESS, только уже не четвертой версии, а пятой. Набор тот же(TDL4, Rustock.C, ZeroAccess). Сэмплы TDL4 и Рустока были те же. Единственное отличие было в сэмпле зероассера. Скажу сразу тестить ESS 5 против ZeroAccess я не хотел, руткит особого интереса не представлял, просто лазя по ссылкам на malwareblacklist.com я скачал и запустил Downloader который уже скачал ZAccess(ZeroAccess).
Ну во общем результат такой:
TDL4- опять не обнаружен в активном виде(скорей всего дело в сэмпле, так что если кому-то из ESET он понадобится, то дроппер с радостью пришлю)
Так же меня удивила реакция HIPS на дроппер. HIPS никак не отреагировал на запись в MBR. HIPS отреагировал только на запуск процесса дроппера и потом уже запись в реестр от службы печати.
Rustock.C - обнаружен и удален.
ZAccess(как тест самозащиты)- после перезапуска системы не стартовал фаерволл с ошибкой:"Сбой инициализации фаервола".

Как воспроизвести тест лечения активного заражения:
Скачать виртуалку, скачать Windows XP SP3, зайти на сайт [URL=http://www.offensivecomputing.net/]offensivecomputing.net[/URL], зарегатся, скачать интересующие сэмплы, скачать TDSSKiler для детекта руткитов(единственный продукт от ЛК который справляется со своими обязанностями), скачать Hitman Pro для обнаружения всего остального, запустить скачанные с offensivecomputing.net сэмплы вирусов, скачать нужный антивирус(желательно класса Internet Security), установить и обновить его и запустить полную проверку. И это будут 100% реальные результаты того или иного антивируса.

Немного правды про Anti-malware от Никиты Тараканова.
[QUOTE]Странно, что кто-то полагается на тесты AW.Ru
Они не раз показывали свой скилл и адекватность.
Для тех кто не знает:
Тесты проходят по следующей схеме.
Идет обзвон вендоров с вопросом:
сколько денег дадите за такое-то место в нашем тесте.[/QUOTE]

camel, твой [S]треш[/S]упс... касперский тоже не безгрешен. Не умение удалить TDL4, нагрузка на систему больше чем когда sality.aa инфицировал ВСЮ систему.
[QUOTE]пропускает KIDO Intrusion.Win.NETAPI.buffer-overflow.exploit на 445 порт[/QUOTE]
Да не ужели?
[QUOTE]он пропустил sality.aa[/QUOTE]
Ага, небось ты сам его запустил под видом кряка или "порноролика" вида: pornorolik.avi.exe
[QUOTE]Профи. Копьютерщик. Тот Есет никогда не поставит для лчиного пользования[/QUOTE]
Дядя Женя купите себе погремушку и успокойтесь. ESET всегда был и остается лучше чем ваша кривая подделка.
И вообще почитав на форуме ЛК про проблемы КИС/КАВ 12 у меня появилось ощущение что вы перепутали термины бета-тест и фри-акция.