AvComparatives August 2009

Cred ca era bine sa fie trecute si versiunile testate:

Quote

De examplu, nu stiam ce Symantec au testat ptr ca ei au si Symantec Antivirus si Norton Antivirus. Asa vad ca a fost testat NAV2010 - la data respectiva exista doar in versiune BETA - deci probabil a mai fost imbunatatit.

Da, sevede că au luat cam ultimele versiuni (la data respectivă) la ficare antivirus nu a contat că nu era o versiune finală.

antinVidia, on 24th September 2009, 15:51, said:

Asta e părerea ta, și eu personal nu sunt de acord cu ea.

Majoritatea utilizatorilor nu au cunoștințe în domeniul securității, iar orice fel de alertă poate provoca orice, de la neliniște până la acțiuni radicale și ștergerea unor fișiere importante (din diferite aplicații, sau chiar SO), ducând la probleme de funcționare, instabilitate, etc...

În plus față de asta, userul descarcă un program oarecare de pe internet, iar antivirusul începe să-i toarne în mod eronat alarme despre acel program. În acest caz, userul șterge aplicația fără discuții, eventual răspândind zvonul că aplicația X este infectată. Astfel, FPurile unui antivirus pot chiar provoca daune produselor detectate.


În plus, se poate vedea că majoritatea produselor testate au obținut detecții de peste 97% (10 din 16), iar acele produse sunt puteau primi distincția A+. Însă 3 dintre ele au fost depunctate pe foarte bună dreptate pentru numărul mare de FPuri.

Luând-o logic, între detecția de 99.4% (Avira, produsul cu detecția cea mai mare exceptând G Data, care nu are motor propriu) și detecția de 97.8% (BitDefender, motorul cu cele mai puține FPuri) este o diferență de 1.6%. Este o diferență de detecție absolut neglijabilă, după orice standard al oricărui test. Astfel de diferențe de detecție minore pot fi cauzate și de un mic "ghinion" (testul să fie făcut pe unele sampleuri necunoscute de produsul X, dar cunoscute de Y), iar asta se întâmplă pentru că este absolut imposibil ca testul să se facă pe toți malware-ii cunoscuți.

Însă diferența de FPuri, de la 4 (BD) până la 21 (Avira) este mult mai mare și mai importantă. De ce? Pentru că testul pe cleanset (fișiere curate, pentru detecția FPurilor) se face pe un număr de fișiere cu mult mai mic decât numărul de malware testați.
Și mai e o chestie... se poate observa pe lista de FPuri că multe dintre ele sunt produse arhicunoscute (nu cine știe ce fișiere ciudate), precum vestitul Winamp. Sau mai grav este că unele produse detectează chiar fișiere din alte produse de securitate, cum ar fi:

• Avast, care detectează System Safety Monitor
  
• Avira care detectează Ewido, SpamAware și TrojanRemover
  
• TrustPort care detectează pachetul Outpost

Și exemplele pot continua.

În final, este foarte ușor să faci o detecție pe packer (iar Avira este plin de astfel de semnături). Însă packerul în sine este un produs fără niciun fel de implicații malițioase, iar semnătura pe packer va face ca multe aplicații curate, dar care folosesc același packer, să fie detectate ca infectate.
Detecțiile pe packer sunt, într-adevăr, ceva bun, însă trebuie foarte mare grijă la crearea lor (și astfel de detecții nu se pot face pe orice packer, fără a face multe "victime colaterale", a.k.a FPuri). Și aparent multe produse antivirus au o groază de astfel de semnături prost făcute, care taie și spânzură în stânga și-n dreapta.

eiffel, on 24th September 2009, 16:14, said:

Ar fi bine să le treacă cineva și în primul post.

Edited by alexcrist, 24 September 2009 - 15:52.

Quote

Ok, s-a facut.

Tocmai de asta exista mai multe produse din care poti alege.Fiecare are propriile sale cerinte,detectie,consum de resurse,Fp-urile.Eu m-am obisnuit cu FP-urile de la Avira dar asta nu inseamna ca si un alt utilizator se va descurca.Foarte bine punctat alexcrist

mihay93, on 24th September 2009, 16:57, said:

Sincer, in practica nici nu prea simti existenta FP-urilor. De cand folosesc Avira (mai mult de un an si jumatate), nu tin minte sa imi fi detectat ca infectat, nici un kit de instalare care aprtinea unui alt program (de orice natura).
Unele FP-uri pot fi rezolvate foarte simplu.
Odata ce ai pus Avira pe curat, la o detectie de 99%, e greu sa mai intre ceva in pc si sa nu il detectezi. Guard-ul te anunta intodeauna atunci cand accesezi fisierele, inainte sa se execute sau instaleze ceva, asa ca nu ai ce stricaciuni sa produci. In cel mai rau caz nu poti instala soft-ul respectiv...
Daca la o scanare, detectezi ceva suspect, te uiti imediat despre ce fisier e vorba si daca ti se pare anormal ca acel fisier sa fie infectat, il analizezi repede pe VirusTotal si te lamuresti. Am patit asta o singura data cu niste fisiere din Fifa '08, pe care le-am trimis celor de la Avira si mi-au confirmat ca e un FP.

"Avira care detectează Ewido, SpamAware și TrojanRemover"
Nu iti trebuie aceste programe cand ai Avira instalat, din cauza asta cei de la Avira le considera spyware   .

antinVidia, on 24th September 2009, 17:55, said:

Acceași brânză se petrece și cu celelalte produse: încerci să execuți un fișier, este blocat temporar de antivirus, este scanat, și este deblocat dacă motorul îi da undă verde. Alternativ, dacă motorul detectează ceva, atunci fișierul este blocat permanent.

Și acceași siguranță o ai cu orice produs cu detecție peste 97%.


Însă ideea este alta: hai să facem un antivirus care are detecție 100%, ce contează dacă jumate din detecții sunt FPuri? Știu, este o chestie dusă la extrem, însă adevărata valoare a unui motor se vede atunci când are rata de detecție ridicată cu număr mic (de preferat 0) de alarme false. Pentru că a face o euristică ce prinde prea multe (în sensul că-și face treaba foarte bine, dar rade și o groază de fișierele legitime) e ca și cum euristica n-ar exista. DPDV tehnic, o asmenea metodă euristică nici măcar n-ar trebui să fie acceptată în produs.

Dar lăsând euristica la o parte (pentru că poate fi setată de user la un nivel mai mic, sau chiar dezactivată), Avira are detecții cu semnături pe programe de securitate competitoare! SpamAware de exemplu era detectat ca TR/Dldr.Delf.idv, sau WinPcap (utilitar folosit la captura de pachete de rețea) detectat ca W32/Tiraz.A
Mie personal, chestia asta îmi sugerează ori că analiștii semnează sampleuri fără să fie atenți la ce fac, ori că au semnat cu totul alte fișiere (dar cu semnături așa de "bune" încât au detectat altceva).

antinVidia, on 24th September 2009, 17:55, said:

Asta e gândire de om care nu are ce face. No offence.

Însă dacă ai fi ocupat cu ceva, gen proiecte sau mai știu eu ce, ultimul lucru de care ai nevoie e să îți dea antivirusul alerte și tu să începi să-i verifici rezultatele pe VirusTotal sau mai știu eu ce.

Sunt destui oameni care lucrează pe calculator și care, deși poate au suficiente cunoștințe în securitate, efectiv nu au timpul necesar de a sta să verifice dacă alarma antivirusului este sau nu alarmă falsă. În final, decât să stau să fac upload la nu-știu-ce fișiere detectate și să pierd o groază de timp cu chestia asta, mi-e mult mai la indemână să schimb antivirusul (sau să stau fără).
Nu știu dacă mai e cazul să spun, dar eu ca programator, am fost cel puțin o dată în situația de a fi acuzat că programul meu este malware din cauză că nu știu ce antivirus a generat nu știu ce alertă (nu mai rețin despre ce AV era vorba, dar nu prea contează). Inutil să spun câtă muncă de convingere a trebuit să duc ca să conving persoana respectivă că eu nu am nicio vină, și că totul a fost o neînțelegere.
Și crede-mă: în momentul în care ai de-a face cu astfel de persoane, sau în momentul în care ajungi să fii o astfel de persoană, o să înțelegi perfect ce spun.


Te descurci foarte bine cu FPurile? Perfect! Cum a spus și mihay93, e treaba ta ce produs alegi să folosești. Însă spre deosebire de tine, mihay93 acceptă faptul că FPurile nu sunt un lucru cu care un antivirus se poate lăuda, indiferent de ce rată de detecție are.

antinVidia, on 24th September 2009, 17:55, said:

În primul rând, nu sunt detectate ca spyware.

Iar în al doilea rând, teste precum VB100 taxează mult mai sever cazurile în care un antivirus are ORICE fel de detecție pe un produs competitor. Nu este vorba că n-ai nevoie să le ai instalate în același timp (nici nu e recomandat), ci este vorba că astfel de detecții duc la stricarea imaginii publice a produselor respective, din cauza suspiciunilor generate de astfel de alerte.

alexcrist, on 24th September 2009, 18:22, said:

Cam ciudat să-mi dau singur quote, dar am vrut să fac un experiment: am intrat în directorul unde sunt majoritatea programelor scrise de mine. Am pus într-o arhivă 100 și ceva de executabile compilate cu mâna mea, cu cod scris de mine (de toate, de la progrămele pentru atestatul de liceu, până la programe mai serioase și mai complexe), și i-am făcut upload pe VirusTotal. Rezultatul: https://www.virustot...4b09-1253807066

Trebuie să precizez că executabilele respective nu erau packed, ci numai în forma în care au fost construite de Visual Studio 2005.

Concluzia o trageți singuri.

Notă: nu am nici cea mai vagă intenție de a afla exact pe care dintre cele 100+ fișiere au apărut acele detecții, așa că nu pot și nu vreau să dau mai multe detalii despre executabilele respective. Pot doar să asigur pe oricine că niciun executabil nu este malware.

Mda...detectia e oarecum pe produsele mai slabe de inger si pe motoarele euristice

In rest e ok

Mda, si Nortonul pe care il folosesc da destule FP-uri, Am observat insa ca remediaza destul de repede problema daca fisierul e trimsi la analiza - de obicei dupa urmatorul update fisierul devine legitim.

alexcrist, on 24th September 2009, 18:22, said:

Asta era o incercare de gluma (prosteasca)   .

Nu folosec alte produse de securitatea in afara de Avira si SUPERAntiSpyware, nu folosesc programe home made, nu folosesc Winamp, asa ca poate sa le detecteze pe toate ca FP-uri. Nu e un lucru bun mai ales pentru imaginea celor de la Avira, dar atata timp cat nu ma afecteaza, ma intreseaza doar asa ca fapt divers. In cazul tau de programator, FP-urile sunt ceva grav care iti afecteaza munca. Oricum, nu sunt genul care spune - Avira e cel mai tare! Avira rulzz! si nici nu am afirmat ca FP-urile sunt ceva bun, doar ca pentru mine Avira imi pare cel mai potrivit AV :
Free, detectie foarte buna, light pentru pc, protectie AntiSpyware, actualizare automata odata la 24h.

antinVidia, on 25th September 2009, 11:56, said:

Ehe...multi nu stiu sa-l faca, dar el se poate updata si la 1 ora sau mai putin + ca se poate scapa de reclame

Trimite-mi un PM sau adu-mi aminte pe mess sa-ti spun cum se face

crysty2k5, on 25th September 2009, 21:08, said:

Mda, citisem mai demult pe Google cum se face, dar nu prea am nevoie...
Splash-ul nu ma deranjeaza (apare doar odata pe zi), iar update-ul, mai bine mai rar si asa apar doar cate 2-3 patch-uri pe zi (uneori chiar unul) .
M-am obisnuit sa verific manual de fiecare data cand aprind PC-ul. Multumesc, oricum   .