So? Koji je on autoritet u antivirusnoj industriji? :)

@Sundance
Ha,ha... bas si faca!
Svaka cast za borbenost i znanje... da sam na mesto jedne AV kompanije... :) dobio bi platu sa koliko zara i borbenosti se boris za njihov.,mora se priznati vrhunski proizvod!
"SIMPA" si mi!
PS.Znala sam da ces se prvi javiti!

Znači prihvaćaš činjenicu da izjava jednog ovakvog "autoriteta" nije nimalo veća od izjave malog Perice iz 3a :)

A što se tiće borbenosti i žara...u biti se ne radi o tome da bogznašto obožavam NOD32 (sad će se netko slatko nasmijati :) već da se trudim demistificirati neke stvari u vezi ostalih AV.

Svi su oni "tu negdje", neki malo više u jednim, neki malo više u drugim stvarima, samo ne volim kad netko iz vedra neba kaže da je neki tamo poljski AV najbolji na svijetu, ili da je on koristio taj-i-taj AV i da misli da je i on najbolji zato jer dosad nije pokupio nijedan malware, a na disku mu bruji stealth gaobot šalje syn flood na [es] :(

Uostalom, trošim samo i isključivo KAV.

I ne koristim windoze nego se javljam iz VMware instalacije pod linuxom.










...

















Šala, ofkors :) I jedno i drugo :>

Znas sta, ja sam teski laik za to sto vi debatujete.,ali jedno moze da se zakljuci ispravno i iz laickog ugla: a to je da onaj ko ispred nosa godinama uzima virus bulletin nagradu KAV-u,F-secury-u,Nortonu,Mc Afee-u i ostalim velikim AV kompanijama svakako ima kvalitet koji mu je ta priznanja i doneo!
Pozdrav.

Hah, izgleda da ste ljubitelji tog istog antivirusa samo se niste u trenutku nasli. Mozete sad u pohode zajedno. :)

Hmm tvorac virusa (pardon, worma) preporučuje neki antivirus... Eto, to je kao kad bi neki script kiddie poručio webmasterima da koriste phpBB 2.0.6... :)

Inače, ja lično koristim KAV, mada nikad neću tvrditi da je najbolji... Zapravo, ni ne zanima me... To je za mene samo neki program koji radi "u pozadini".

Braćo bre, pa ja evo koristim Symantec i ne žalim se, meni nije jasno, kako bre neka budala napravi destruktivan virus koji obrise ceo HDD recimo i očas posla se raširi, a ja ovu moju bedu ne mogu dalje da pustim od E: drajva, a jadničak se samo ubacuje u druge fajlove i ništa više =((

Malo o VB nagradi koju Sundance tako mnogo voli :)... naravno moje licno razmisljanje

pre nego sto pocnem samo da naglasim ono sto vec svi znate a to je da je VB100 nesporno industrijski prihvacen standard... dakle svi koji nesto znace u AV industriji prolaze kroz njihove "ruke".

E sad, upravo u tome i lezi delimican nedostatak cele price. Virus Bulletinu sve AV kompanije SALJU resenja za testiranje. Nisu u pitanju upakovani proizvodi koje VB pokupi iz radnji ili sa weba vec testiraju ono sto im se posalje.

Po meni, VB100 ne kupi najbolji vec onaj ko provali metodologiju i prema istoj nastimovan software posalje na testiranje. Neki AV vendori su to provalili ranije a neki kasnije. Direktna posledica je da u skorasnjim testovima (poslednjih godinu dana), a ako sam u pravu i u buducim, retko koji AV nije dobio VB100 nagradu.

U svakom slucaju, VB100 jeste standard, po meni vise na osnovu marketinga i "ozbiljnosti" kao i nezavisnosti koju projektuje na javnost kako strucnu tako i laicku a ne zato sto je kao metodologija testiranja superiornija u odnosu na neke druge testove.

Na kraju krajeva sam VB preporucuje da se kupci i profesionalci ne opredeljuju prema tome ko je dobio VB100 nego prema samim "reviews" o resenjima. Sto nas vraca na subjektivan nivo posmatranja stvari gde ne mozemo reci da je njihov ukus ili ekspertiza bolja od onih u, recimo, CNetu, Chipu, PC Magazinu i sl. O Virus.gr necemo sada :)

Jesi siguran da im je ovo 100% točno?

Mislim, ako sad idemo u krajnost pa govorimo da je VB test naštiman, što tek možemo reći za ove (uglavnom) amaterske testove po časopisima, poput ovog nedavnog poljskog AV koji ima 100%-tnu detekciju na kolekciji od "321 virusa iz 5 kategorija". Moš si mislit koliko su profesionalni :)

Bar u hrvatskim časopisima (Bug) što sam vidio opširnu recenziju AV-a znam da su definitivno sve samo ne reprezentativne brojke i da je test napravljen vrlo amaterski.

I ima još jedna sitnica. Znam da sve glavne AV kompanije imaju internu mrežu kojom razmjenjuju virusne definicije najnovijih malware prijetnji - nešto kao razmjena ili uzoraka ili definicija u specifičnom formatu. Čini mi se da je Sophos tako nešto prvi bio pokrenio, neki proprietary format za razmjenu definicija, samo nemam pojma koliko duboko i široko ta suradnja ide (pošto ne radim u nijednom antivirusu :)

Možda je samo površna za neke karakteristične prijetnje (trojane) tipa: koliko dadeš drugima toliko ćeš i dobit, možda je samo da se spriječe budući Slammer-i...tko će ga sad znat. Samo znam da se 100% nešto razmjenjuje :)

Možda to objašnjava VB 100% nagradu koju dobivaju ti veći AV. Samo što ih neki imaju jako puno (NOD32) a neki dosta manje :)

Yup, siguran sam. Tj. barem za one koje znam a to su uglavnom najveci proizvodjaci.

VB unapred nekoliko meseci najavljuje test, pa ko posalje bude testiran. A posto je blam ne biti na VB100 .. svi salju. Za AV koji ne posalje, trziste smatra da nije spreman za okruzenje na kojem se test obavlja. Tako se desi da poneko i ne stigne da "nastimuje" software specificno za test pa se desi da pocrveni (ne dobije VB100 award). To je ipak manja steta nego da ga nema jer se testovi rade tek posto zadato okruzenje "zazivi" na trzistu.

Sto se razmene definicija tice tu si 100% u pravu. Svaka AV kompanija koja naleti na nesto novo (sto btw. u mnogome zavisi od proaktivnosti njihovih komintenata i partnera koji salju "sumnjive" fajlove na pregled) prvo se postara da i svi ostali AV sa kojima imaju saradnju dobiju definiciju a precutna saglasnost je da onda ta kompanija ima i pravo da prva izadje u javnost sa upozoravajucom porukom.

Po testovima brzine detekcije ITW se i vidi ko saradjuje a ko je van tog sistema. Recimo po najnovijem testu AV-test.orga (svapski institut koji JESTE autoritet u industriji) u samom vrhu po brzini su KAV, VirusBlaster, BitDefender, F-Secure, ... merena je brzina reakcije na MyDoom prosle godine ako sam dobro zapamtio. Symantec je recimo i do 18 sati iza F-Secura koji je 3 sata bio iza KAV-a. Za neki drugi crv, recimo Sasser, prvih 4-5 bi bilo isto samo bi F-Secure bio prvi a ovih nekoliko par sati iza, a Symantec, McAfee, Sophos i ostali daleko iza.

Medjutim kada Symantec pronadje neku novu definiciju, onda vidimo da su u vrhu McAfee, Sophos i sl. se redjaju par sati iza. Medjutim to nisam primetio u celoj prosloj godini kada su F-Secure i KAV razbijali u otkrivanju crvova, barem prema izvestajima iz novina.

Po ovome vidimo ko blisko saradjuje.

Eto sad znam i sigurno :)

Ta je kooperacija vrlo nužna danas, jer prošlo je vrijeme kad se antivirusni update preporučao svakih xy dana. Danas jednostavno nisi zaštičen ako nemaš kontinuirani update svaki sat!

Osim toga, to je vjerojatno retzultat i ogromnog porasta broja malware-a zadnjih par godina. Jednostavno jedna AV kompanija nije u stanju pošteno procesirati 100-ak virusnih definicija dnevno sama, i testirati njihovu pravilnost. Svi znamo za bezbroj verzija CWS-a, Trojan.Downloader i ostale gamadi čije nove verzije izlaze svako malo.

Recimo dečki sa NT Rootkit projekta imaju alatić Morphine koji mutira rootkit, i imaju test zajednicu koja aktivno prati da li najnovije definicije svih popularnijih AV detektiraju najnoviju verziju rootkita, i ako jesu, za par sati je gotova interna nova verzija koja je nedetekabilna, i bogapitaj kad će dopasti u ruke AV :)

Polako se približava doba kad će najvažnija odlika AV biti heuristike i općenito emulacijske mogućnosti. Volio bih da MS u Longhorn unutar CLR runtime ugradi neku vrstu emulacijske okoline koja će baš biti specifično optimizirana za AV - recimo statistike pristupa pojedinih datoteka i njihovo organiziranje u binarno stablo (čime bi se jaaako lako detektiralo širenje klasičnih virusa i izvor same infekcije), integracija neke vrte "antivirus certified" poruke u sami format .NET asemblija, možda i globalna uspostava neke mreže za izmjenu potencijalnog malware-a na razini korisnika (sl. kao što ima SpyNet za ovaj MS-v AntiSypware) i sl.

.NET jako puno unaprijeđuje sigurnost nepoznatih datoteka jer se ne može bilo tko predstavljati kao MS-ov patch a da nije potpisan sa privatnim MS-ovim ključem (Strong Name) -> sistem će mu automatski uskratiti pristup.



Sa istog tog sajta:



Koliko vidim, Symantec je ispred f-secure :) NOD32 se uopće ne spominje :( Znam da može dosta varijanti MyDoom detektirati preko heuristika (čime se i hvale na sajtu, možda mogu i A varijantu...)

Dok su se AV vendori mislili kako da sklope definiciju, sajt SCO-a je već bio pod žestokim napadom :) Možda treba promijeniti malo ovaj model suradnje. Ako nisu u stanju spriječiti crv u prvih 10 sati, kako će spriječiti nekog super-crva poput Slammera za 15 min prije nego paralizira Internet?

Puno pitanja malo odgovora :(

mozes li mi dati link do te tabele posto za MyDoom.A na tom testu je ovaj rezultat za response time. Cini mi se da si malo pomesao datume :)

Example: Mydoom.A
l All AV updates which were released on 2004-01-26:

– F-Prot 22:30 W32/Mydoom.A@mm
– Trend Micro 22:35 WORM_MIMAIL.R
– RAV 23:00 Win32/Novarg.A@mm
– Norman 23:05 MyDoom.A@mm
– F-Secure 23:05 W32/Mydoom.A@mm
– Virusbuster 23:05 I-Worm.Mydoom.A
– AVG 23:15 I-Worm/Mydoom
– Avast 23:15 Win32:Mydoom [Unp]
– Kaspersky 23:30 I-Worm.Novarg
– AntiVir 23:30 Worm/MyDoom.A2

Example: Mydoom.A (continued)
l All AV updates which were released on 2004-01-27:

– Symantec 00:05 W32.Novarg.A@mm
– eTrust (CA) 00:20 Win32/Shimg.Worm
– Command 00:20 W32/Mydoom.A@mm
– Sophos 00:40 W32/MyDoom-A
– eTrust (VET) 01:30 Win32.Mydoom.A
– Esafe 01:50 Win32.Mydoom.a
– Dr. Web 02:40 Win32.HLLM.Foo.32768
– McAfee 04:00 W32/Mydoom@MM
– Quickheal 04:00 W32.Novarg
– Bitdefender 04:00 Win32.Novarg.A@mm
– Panda 04:10 W32/Mydoom.A.worm
– Ikarus 08:35 I-Worm.Mydoom


A ovo je prosek response vremena na 45 outburstova 2004.

Average response times (I)
l Less than 2 hours: none!

l Less than 4 hours: Bitdefender and Kaspersky

l Less than 6 hours: AntiVir, Dr. Web, F-Secure,
Panda and RAV

l Less than 8 hours: Quickheal and Sophos

l Less than 10 hours: AVG, Command, F-Prot,
Norman, Trend Micro and VirusBuster

l Less than 12 hours: Avast and eTrust (CA)

l Less than 14 hours: Ikarus and McAfee

l Less than 16 hours: eTrust (VET) and Symantec
(Intelligent Updates, but not LiveUpdates)

l Overall response time: about 10 hours
l Note: beta definition update of McAfee (DailyDats) and
Symantec (Rapid Release Definitions) were usually
available within less than 4 hours
l Many larger AV companies have Service Level
Agreements (SLAs) for a predefined response time
with special (non-publicly available) signature updates

@Sundance A mozda da napravis poseban thread od ovoga?

Odavde: http://antivirus.about.com/cs/allabout/a/mydoomddos_3.htm



To je za onu moju tablicu.

A što se tiče one otvaranja nove teme mislim da je svejedno gdje se vrši rasprava sve dok je kvalitetna :) Glupo mi je ovdje ostaviti 4-5 poruka koje pripadaju u drugu temu ako ih ne mogu prebaciti (Gojko obećava ovaj feature prebacivanja poruka između tema već neko vrijeme...vidjet ćemo šta će biti od toga :)

Jedan link kao preporuka:
ftp://agn-www.informatik.uni-h...pub/texts/tests/pc-av/2004-07/

Nego, kad pogledam sve te testove, mozda ovaj TrendMicro Internet Security i nije toliko los (mada mi je malo dosadio, pa sam mislio da ga promenim jer se skoro nista zanimljivo ne desava).

Pa sta vi preporucujete (moze na PM)?

Da cudno posto se pominje isti izvor...

ali evo dokumenta sa samog izvora a ne iz nekog tamo "njemackog magazina" :) :p

... ima tu jos interesantnih podataka

http://www.av-test.org/down/papers/2004-09_vb_2004.zip

@ crews: Pa valjda je dobro kad se nista ne desava :)

Pa taj "njemacki magazin" (CHIP - www.chip.de) nije uopste nemerodavan. Naprotiv.
Ma koliko se vi tome smejali. Zasto ne pokusate da se potakmicite sa njima, kad ste tako samouvereni?

Njihova lista:

1. F-Secure IS (izasao 2005)
2. KAV Personal Pro 4.5
3. McAfee Virusscan 8.0 (izasla je 9-ka)
4. GData AntiVirenKit 2004 (izasao i 2005)
5. Bitdefender Professional Edition 7.2
6. Panda Antivirus Platinum 7.0
7. Symantec Norton AntiVirus 2004 (takodje ima 2005)

Nije mi jasan jedino kriterijum za izbor AntiVirusa za test.

I jos nesto: AntiVirusi su testirani u laboratoriji www.av-test.de, pa zakljucak o (ne)merodavnosti testa izvedite sami.

-----
Ovo je moj polahiljaditi post

merodavan je kao i svi ostali... shodno svojem uticaju i reputaciji

a to je test gde su svi AV stariji za jednu verziju od aktuelnih cini mi se... valjda je i sam test od prosle godine sta li... ne znam dobro Nemacki


---

ovo je moj omiljeni post

edit by Sundance: Maknute lične prozivke i vrijeđanja

_{[Ovu poruku je menjao Sundance dana 21.01.2005. u 01:17 GMT+1]}

Jeste, ali mi je sumnjivo to sto npr. firewall ne pokazuje nikakvo upozorenje - nista, kao da ga i nema. Na port-testu na www.grc.com ne vidi se ni jedan port, tj. svi su stealth, a to mi se nije desavalo cak ni sa Agnitum Outpost Pro 2, kada je pronadjeno 4-5 zatvorenih portova, dok su ostali bili nevidljivi. Da li je moguce da je ovaj firewall koji je integrisan u TrendMicro Internet Security toliko dobar? Eto, to mi je neverovatno. Anti-Spam i Anti Spy-/Mal -Ware zastita rade ok, kao i sam Anti-Virus, narocito upotpunjen i pojacan FireFox-om
Drugo, ako po vasem misljenju, a i ugledajuci se na neke "strucne" i "nezavisne" test-vendore, TrendMicro "i nije neki", onda je moj slucaj dokaz da kad znas sta radis i ponasas se onako kako bi trebalo, i prosecan Anti-Virus je dovoljan, da ne kazem odlican ( "a u ruke Mandusica Vuka bice svaka puska ubojita!" )!!

e to poslednje si potpuno u pravu... ima takvih ljudi koji godinama i nemaju nikakav AV... mada mozda i ne znaju da im neki tamo bekdorovi cuda prave :)

@Crews

Ako si na dialupu onda je definitivno cudno da nema upozorenja. Da li si proveravao logove? Mozda ti je ukljucena opcija da samo zapisuje desavanja u log ali da te ne upozorava svaki put kad zakolje neku svinju (sto bi reko kasperski).

Ako nema nista ni u logu... e onda menjaj bato i to trcecim korakom :)

@XBojoX
:) Gresis... KAV glavu cuva., ali za onim..., iza kojeg se prasina dize logicki nepodcenjujem.
Ps. volela bi da mogu da se ukljucim u raspravu ali vi ste isuvise tehnicki nadogradjeni u odnosu na mene.
Pozdrav svima.

Ma kakvi, sve je ovo copy/paste

slobodno se ukljuci :)

Mislim da greshish. To je faza koja je vec proshla. Svaki iole pametniji pisac virusa ce pre nego shto ga pusti da ga testira kuci na sve bitnije AV softvere i nece ga pushtati dok ga ne izmeni toliko da ga nijedan njemu bitan ne prepozna.

Vrlo je verovatno da dolazi vreme kada na prvu loptu ce retko ko biti zashticen, a da ce ulogu igrati brzina kojom AV kompanije razbijaju kod i postavljaju ga u bazu.
Oni prvi ce biti neshto kao kolateralna shteta, bice samo trka da se shto manje drugih zarazi i da se oni vec zarazheni shto bolje dezinfikuju.
Te stvari ce praviti razliku medju AV programima.
Da se stvar mozhe reshiti heuristikom - vec bi se reshila u prilichnoj meri, a znamo da su sve heuristike daleko od dobrog reshenja...size does matters - bar kada je baza u pitanju :)

Kako volim kad netko sam sebe pokopa :) Pa upravo zbog toga su napravljeni heuristički algoritmi - da se spriječe trivijalne modifikacije već postojećih virusa koje bi kidiji napravili; jednom kad imaš dovoljno generičku definiciju, sve ostalo jest dodavanje šlaga na tortu.

Heuristike su napravljene zbog nedostaka klasičnih definicija u obliku virusne signature kao neke hex maske + offset na kojoj se pojavljuje. E šta sad, ako se ta maska svako malo mijenja, ako se i offset svako malo mijenja, ako je polimorfni dekriptor previše kompleksan da vi se opisao maskom - e onda na scenu dolaze heuristike koje emuliraju tok izvođenja programa inficiranog virusom, prepoznaju neke karakteristične uzorke koda (traženje adrese kernela, parsanje export tablice za adresama API-ja, pretraga za izvršnim datotekama i njihovo modificiranje...) i postavljaju flag-ove ovisno o tome koliko je kod sumnjiv. Kad se dobije dovoljno velik broj tih "zastavica", opali se znak za uzbunu - Probably Unknown Cryptic Win32 virus detected :)

Heuristika nije tu da zamijeni klasične virusne definicije, već samo da ispuni rupu tamo gdje one imaju najviše nedostataka - u poli/oligo/meta-morfnom i kriptiranom kodu, kod crva, trojana i spyware-a koji jako često imaju nove verzije (MyDoom, Trojan.Downloader, CWS), tj. kod onog malware-a kod kojih klasične definicije mogu zakazati.



Tj. dolazi vrijeme kad će onaj tko prvi detektira nove nepoznate varijante crva biti najbolje zaštičen.



Opovrgnula te ova maloprije Analiza sa MyDoom.A kad je AV kompanijama trebalo bar 10 sati da počnu davati definicije. Za to vrijeme je crv opustošio desetke tisuća računala. A Slammer-a da ne spominjem :)



Velika baza bez dobrih heuristika je samo naizgled dobra zaštita. KAV izdaje najviše broja novih virusnih definicja tjedno od svih AV, misliš li da je to zbog razloga što moraju potencijalno nekvalitetne heuristike kompenzirati ogromnom bazom? :)

Bi li ti radije se pouzdao u NOD32 Advanced heuristics koji detektira sve novije verzije MyDoom samo preko heuristika ili bi čekao 10-ak sati da KAV izbaci definiciju? Dolazi vrijeme mreža ogromne propusnosti u kojem će se period u kojem će crvi dolaziti do vršne infekcije sve više smanjivati. Prije su to bili dani, sad su to već 10-ci sati. Za Slammera su to bile minute. Heuristike i dinamička analiza koda će postati važniji nego ikad.

Same heuristike su samo površan i prvi korak prema bihevioralnoj analizi širenja malware-a. Došlo je vrijeme kad više neće biti nemoguće tražiti malicozne programe koji se nalaze na sustavu čisto po bihevioralnoj analizi pojedinih procesa i njihovom reverznom inspekcijom do izvora infekcije.

Imam još ponešto reći o ovome, ali odoh spavat, sutra imam rano labose, čujemo se sutra!

_{PS: O tome su heuristike vrlo bliska budućnost sve više detekcije nije samo moje mišljenje, već dosta cijenjenih AV analitičara. Sutra pejstam par citata :)}

Ho,ho... (((: Kaspersky PersonalPro 6.0 Dolby Surround

Upravu je Sunčani =) Mislim ajde recite mi ovo?
Koliko programa ima APIje u PE headeru? NIJEDAN, a opet glupi Symantec ne može da provali da mu to guram virus, i ajde da su još u pitanju checksumovi nego bre lepo piše "CreateFileA", "CreateFileMappingA" itd i on ništa ko da ne postoji ništa sumnjivo...

Strašno bre...

Chuj, verovatno znash za cenjene struchnjake iz sredine 20og veka koji su predvidjali da ce za ceo svet biti dovoljno nekoliko rachunara - i bili su citirani, samo nisu mogli da budu pejstovani :)

Znachi, jednostavno nas ova diskusija nece dovesti dalje od shpekulacija, a znajuci nas dvojicu - verovatno i do flejma :)))

Ti verujesh u heuristiku u nadi da nece biti lazhnih uzbuna, ja se uzdam u baze i brzu reakciju...a vendori tvrde da je najbolje bash ono shto oni prave.
Dakle - nereshiva diskusija bi bila pred nama... :)

A sta je sa kombinacijom baza i heuristike? S tim da se recimo ove prve i optimizuju da otklanjaju lazne uzbune koje napravi heuristika?