1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Тест на скорость реакции АВ компаний при получении сэмпла на электронную почту

Тема в разделе "Антивирусные продукты и прочие инструменты защиты", создана пользователем Severnyj, 13 июн 2011.

  1. Severnyj

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.488
    Симпатии:
    9.218
    Сэмпл вчера в 15.00 отправлен почти на все почтовые ящики, которые мы собрали в этой теме. Тест проводился для проверки автоматического ответа о наличии заражения.

    Итог печален, несмотря на то, что 6 вендоров прислали автоматическое уведомление о принятии тикета на рассмотрение (сообщения немного сокращены):

    • Kaspersky Lab

    • CA Technologies

    • Zillya!

    • eScan MicroWorld Technologie

    • McAfee

    • ESET


    Ответ о наличии вредоносного кода в файле прислал только AVG, сегодня в 12.20:


    PS. Текущее определение файла:

    • ArkaVir - Generic.23.2063
    • DrWeb - Trojan.Starter.1702
    • MBAM - Trojan.Downloader

     
    Последнее редактирование: 13 июн 2011
    3 пользователям это понравилось.
  2. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.624
    Симпатии:
    14.716
    Грустно как-то выглядит.
     
  3. Severnyj

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.488
    Симпатии:
    9.218
    Чуть-чуть оффтопика

    Чуть не по теме, но все равно напишу, потому, как в Юмор надо.
    Ответ из Avast на отправленные в пятницу зловреды (выделено мной):

    Добавлено через 9 минут 38 секунд
    Тест завершен, отправил сэмпл через формы.

    Добавился

    • BitDefender - Trojan.Ircbot.AAQ
     
  4. S.R

    S.R Ассоциация VN

    Сообщения:
    734
    Симпатии:
    397
    Severnyj, увы, но эта статистика более чем на 90% отражает реалии происходящего..
    отсылаешь файлы в вирлаб, а тебе кроме автоответчика ничего..
     
  5. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.624
    Симпатии:
    14.716
    С какого ящика отправлялись семплы?
     
  6. Severnyj

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.488
    Симпатии:
    9.218
    Gmail.com

    Все пожелания насчет упаковки в архив и установки паролей выполнялись.
    Адресная книга поделена на группы virus и infected
     
  7. gjf

    gjf Ассоциация VN Разработчик

    Сообщения:
    646
    Симпатии:
    832
    Детект ArkaVIR - явно эвристический. То же касается МВАМ.
    Вообще тест чрезвычайно интересен, жаль, что отправка не прошла всем вендорам, а только шестерым. И жаль, что не было сравнения с результатми по отправке по форме.

    Что касается результата - он не печальный, а вполне закономерный. Я понимаю, сколько обращений идёт по почте вендорам, но всё равно - ситуацию надо как-то решать. И именно по этой причине было бы любопытно сравнить с результатами полноценного обращения по форме. Тогда не отмажешься ;)

    Уже озвучивал Константину пожелания по проведению подобного рода тестов, надеюсь, что работу можно будет как-то организовать и написать на эту тему добротный пост. А уж распространить его везде и всюду - я постараюсь... [​IMG]
     
  8. Severnyj

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.488
    Симпатии:
    9.218
    В том-то и дело, что отправил почти всем, а автоматический регистратор работает только у этих 6-ых, но отправка других сэмплов показала, что хорошо работает регистратор еще у Fortinet (присылают данные о принятия тикета и данные об обнаружении зловреда, но имя зловреда не указывают) и у VirusBuster, но сообщение приходит на венгерском языке, еще забыл про Доктора Веба, но сэмпл был в его базах, поэтому не отправлялся.

    По сравнению "почта - форма" скажу, что тот же Sophos не предпринял никаких действий при отправке сэмпла на почту, но при отправке через форму регистрация и добавление произошли как всегда очень быстро - в течение 2 - 4 часов.


    Схожая ситуация и у BitDefender, разве, что сообщение не столь информативное:


    Немного расстраивает в последнее время Comodo, ответов-то от них никогда не приходило, но в последнее время и в базы ничего не добавляют из присланного, как по почте, так и по форме.

    У eScan уже 2 или 3 раза резался файл сэмпла отправленный через форму, надо попробовать отправку запароленного архива.

    У McAfee регистрация и распаковка полностью автоматизирована и при указании неверного пароля на архив приходит сообщение об ошибке.
    Также пользователю сообщается, что пока файл на анализе, пользователь при большом подозрении на зловредность высланного сэмпла может скачать индивидуальное обновление, которое будет детектировать подозрительный файл на его компьютере.

    В последнее время начали приходить ответы и от Майкрософт, но только при отправке по форме. Ответы достаточно информативны, хотя и приходят с опозданием на 1 - 2 дня.


    К моему сожалению тестированием в основном могу заниматься только по выходным, а как показали первые тесты некоторые, особенно европейские компании по выходным не работают.
     
    Последнее редактирование: 14 июн 2011
  9. gjf

    gjf Ассоциация VN Разработчик

    Сообщения:
    646
    Симпатии:
    832
    Похожая статистика на Хабре.

    Народ, тема довольно интересна, если есть желание сделать подобный, добротный материал - я могу изложить основные критерии.
     
  10. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.624
    Симпатии:
    14.716
    gjf, тот тест абсолютно не информативен. Никто не знает (кроме разработчиков) на каком уровне детекта идет рассылка. Тем более проверки начались с !30! мая. За этот срок половину вендоров получили вреднос по другим путям (пауки, пользователи). Невозможно определить срок с какого момента к этому списку подключился VT.

    Добавлено через 2 минуты 4 секунды
    Вечером займусь отбором семплов.
     
  11. gjf

    gjf Ассоциация VN Разработчик

    Сообщения:
    646
    Симпатии:
    832
    Короче, я уже всё сделал. Образцы у меня, детект я сбил, вредоносность очевидна.
    Нужно сделать следующее.
    Первый образец отправить во все вирлабы по почте, адрес - гугловский, вес правила по паролям и прочему соблюдать, ответ от вирлаба фиксировать, как и сохранять письмо в отправленных. Слать отдельными письмами, а не мультиполучателем.
    Второй образец - оформить по форме на офсайте. Ссылки на эти формы можно увидеть здесь, например. При этом в качестве контакта указать другой акк на гуглопочте, все ответы вирлабов фиксировать с указанием времени.

    Желательно, чтобы отправка по почте делалась максимально одновременно - возможно, следует задействовать нескольких человек, которые "сверят часы" по аське. То же касается и форм на офсайте.

    Если рабочая группа, которая выполнит эту работу, сформируется, а также всё понятно - в асе обращайтесь, я выдам образцы. Но желательно чтобы это было быстро - в случае провала из-за непоняток и нескоординированности сбивать сигнатуры нынче непросто.
     
    3 пользователям это понравилось.
Загрузка...
Похожие темы - Тест скорость реакции
  1. military
    Ответов:
    4
    Просмотров:
    2.115
  2. akok
    Ответов:
    0
    Просмотров:
    1.445
  3. regist
    Ответов:
    4
    Просмотров:
    1.542
  4. regist
    Ответов:
    10
    Просмотров:
    2.445
  5. mike 1
    Ответов:
    0
    Просмотров:
    1.925
  6. Severnyj
    Ответов:
    7
    Просмотров:
    3.441

Поделиться этой страницей