Тестирование скорости реакции антивирусных лабораторий на новые угрозы

Тема в разделе "Тестовая площадка", создана пользователем Severnyj, 23 май 2011.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Предисловие

    В течение 2 недель тестировал вирусные лаборатории на предмет скорости и качества обслуживания. Под скоростью здесь понимается добавление заранее вредоносной программы в антивирусные базы, скорость реагирования, под качеством - ответы аналитиков или роботов - их информативность.

    Инструменты и описания

    В качестве основного субъективного инструмента использовался он-лайн сканер ВирусТотал. Субъективного, поскольку все проверяемые файлы он отсылает в вирлабы и аналитики могли неглядя, добавить файл в базы, если файл определяется, как вредонос, большинством вендоров.

    Файлы вредоносов рассылались вендорам через наиболее удобный вариант, а именно: он-лайн формы.

    На момент отправки файлы не определялись никем из тестируемых.

    Участники


    В связи с тем, что семплы подбирались из нашего запасника выпали как получившие преимущество:

    • Dr.Web
    • Kaspersky


    Сразу об аутсайдерах

    Аутсайдерами стали те, кто не набрал плюсиков ни по одному из заявленных требований, не отвечал на так называемый "тикет" и добавлял вредоноса слишком поздно или не добавлял вообще.

    Итак наши проигравшие:

    • F-PROT Antivirus
      • Ответа не получено, образец добавлен в базы более чем через неделю
    • F-Secure
      • Ответа не получено, образец добавлен в базы через 6 дней
    • Microsoft
      • Ответа не получено, образец добавлен в базы более чем через неделю
    • PC Tools
      • Ответа не получено, образец в базы не добавлен

    А теперь по порядку

    аvast!

    К сожалению у известного вендора, с поддержкой прямо-таки не очень.
    - Во-первых на сайте поддержки требуется регистрация.
    - Во-вторых сам сайт поддержки как-то криво переведен, по-русски тут почти нет полезной информации, или ее мало, а при переходе на английский, бывает, перекидывает на чешскую страницу.
    - В-третьих по выходным в центральной Европе не работают, поэтому при отправке образца в пятницу вечером, ответ Вы получите после обеда в понедельник.
    - В четвертых ответ малоинформативен, вроде: "Мы обнаружили, что Ваш файл заражен, его определение будет добавлено в следующую сборку антивирусных баз"

    Единственным плюсом является просмотр статистики "тикета", по которому можно угадать, на каком этапе проходит анализ:
    1. Принято службой поддержки
    2. Передано вирусному аналитику
    3. Ответ аналитика службе поддержки
    4. Ответ службы поддержки Вам
    5. Закрыто.​

    Итог: Файл добавлен в базу на 1 - 2 день после отправки (если, конечно, не выходные)

    Avira Antivir

    Сразу видно, что немцы педанты: по отправке тикета, Вам сразу придет письмо от робота, ссылкой на страницу, где можно просмотреть скупую статистику:
    1. Идет анализ
    2. Файл заражен (чист)​

    По выходным немцы тоже не работают и ситуация тут будет, как у вышеописанного Аваста.
    По итогу анализа тот же робот пришлет Вам писмо с ссылкой на результат.

    Итог: Файл добавлен в базу на 1 - 2 день после отправки (если, конечно, не выходные)

    COMODO

    А вот американцы, хоть и трудолюбивы, но не снисходят до того, чтобы отправить хоть какой-то ответ, зато файл в базы добавляют очень быстро (даже по выходным).

    Итог: Файл добавлен в базу от 1 до 12 часов после отправки.

    Emsisoft

    Австрийцы оказались похожи в плане ответа на американцев, то есть не ответили никак, но как все европейцы по выходным не работают и в базы ничего не добавляют. Плюсом является то, что все-таки добавленный файл, начинают определять многие другие вендоры - а значит либо базы общие, либо сигнатурами делятся.

    Итог: Файл добавлен в базу на 1 - 2 день после отправки (если, конечно, не выходные)

    eScan

    А вот индусы порадовали, как не странно, и регистрацию тикета быстро подтвердили письмом от робота, и по добавлению в базы прислали письмо с названием вредоноса (а это был троян), и в выходные работают.
    Единственный минус не очень понятная форма, извиняюсь за тавталогию, самой формы, где нужно сначала выбрать посылку сэмпла, а потом указать много подробной информации.

    Итог: Файл добавлен в базу на в течение суток.

    Sophos

    Англичане из Софоса, в моем тесте заняли первое место, поскольку минусов всего 2:

    1. Не очень удобная форма отправки, с избыточной информацией
    2. Английский язык.​

    Но в остальном показали себя молодцами, вот 3 коротких, сухих и точных по-английски плюса.
    1. Регистрация "тикета" и ответ робота мгновенный
    2. Ответ с названием обнаруженного вредоноса.
    3. Добавление в базы, в течение нескольких часов, даже по выходным.​

    Итог: Файл добавлен в базу от 3 до 6 часов после отправки.

    Итоги

    Первое место
    Sophos и eScan

    Второе место
    COMODO (за скорость реагирования)

    Третье место
    Avira

    Четвертое место
    аvast! и Emsisoft

    За сим откланяюсь,
    Ваш Severnyj
     
    11 пользователям это понравилось.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    Прекрасны обзор. Только отдели его в отдельную тему. Тест это заслуживает.

    Тем более тест можно сделать постоянным.
     
    1 человеку нравится это.
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Утром сделаю))
     
    1 человеку нравится это.
  4. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    а можно узнать почему? совсем недавно (дня 3 назад) отослал один и тот же файл в эти вирлабы. в обоих случаях через веб-форму. ответ пришел только от бота..
     
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Потому что этим вендорам мы отправляем пойманных в разделе "Лечение персонального компьютера от вирусов" вредоносов. И в их базах данные сигнатуры уже присутствовали.
     
    1 человеку нравится это.
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    Немного поправил название.
     
    1 человеку нравится это.
  7. Rashevskiy
    Оффлайн

    Rashevskiy Активный пользователь

    Сообщения:
    142
    Симпатии:
    381
    Интересное тестирование :)
    Автору - спасибо за проделанную работу!
     
    1 человеку нравится это.
  8. aidoqa
    Оффлайн

    aidoqa Активный пользователь

    Сообщения:
    1.115
    Симпатии:
    313
    что вы скажете насчет нод32
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    В тест не входил, так как нету у них он-лайн формы, но думаю, что примерно, как Авира с Авастом, день-другой и в базы добавят.
     
    1 человеку нравится это.
  10. aidoqa
    Оффлайн

    aidoqa Активный пользователь

    Сообщения:
    1.115
    Симпатии:
    313
    Буду иметь в виду)
     
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Можно сказать "есть". Просто у ESET это реализовано иначе, но всё равно прикреплённый файл со своим описанием или детектом VT отправить можно. При случае проверьте. :)

    ESET Contact Technical Support (Submit a Case Online)
    http://www.eset.com/support/contact

    /\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\
    А с PC Tools лучше не заморачиваться, а сразу отправлять в Symantec. ;)

    Symantec Security Response (см. там Online Threat Submission Form)
    http://www.symantec.com/business/security_response/submitsamples.jsp

    Прямая ссылка:
    https://submit.symantec.com/websubmit/retail.cgi
     
    Последнее редактирование: 29 май 2011
    1 человеку нравится это.
  12. Rashevskiy
    Оффлайн

    Rashevskiy Активный пользователь

    Сообщения:
    142
    Симпатии:
    381
    А лучше и туда, и туда. Можно будет оценить временную задержку при передаче самплов из PC Tools в Symantec. ;)
     
    2 пользователям это понравилось.
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    ...и таким образом узнать делятся ли они сэмплами с главными. :)
     

Поделиться этой страницей