Очень разный детект вирусов
 

Привет! У коллеги заканчивается лицензия на Norton, решил он или купить пожизненную лицензцию на Outpost или поставить бесплатный. Насчет бесплатного пришел ко мне за отзывами и притащил на флешке для проведения "теста" архив с четырьмя якобы вредоносными экзешниками (2 установщика Google Chrome, один "деактиватор" вируса и один QIP8095) и следующим комментарием (выдержки) в текстовом файле:
" О вирусе:
Вирус маскируется под дситрибутив Google Сhrome, кликая по .exe файлу (Google setup.exe),
вы действительно запустите инсталятор, точней загрузчик хрома,
но в фоновом режиме вирус добавляет себя в пользовательскую автозагрузку в реестре,
предварительно скопировав себя в системную директорию \System32, так же туда он копирует вспомогательное
приложение которое будет закрывать Диспетчер задач, даже если вы включите его в системе (сразу же после запуска
дистрибутива вирус блокирует Диспетчер задач и Редактор реестра."
У себя я не стал распаковывать архив, дал ему установщики Avira Free 2013 и Avast 7 и попросил рассказать о результатах эксперимента. Так вот эти результаты весьма странны: При сканировании по требованию (из контекстного меню, поскольку при копировании на винт этого архива ни один антивирус не дернулся) NIS 2012 нашел один вредоносный файл и им оказался почему-то установщик QIP, Avast и Avira определили по 3 угрозы, а Outpost 9 счел опасными все четыре exe.
Хочется услышать мнение сообщества по этому поводу.
P.S. Прошу воздержаться от высказываний типа " я пользуюсь только таким, а остальное все дрянь".

gorill, Вы хотите услышать мнения людей? Смотрите сами Каким антивирусом вы предпочитаете пользоваться?
А панацейной таблетки пока ещё не придумали.
Тему можете прикрыть, дабы не плодить уже имеющиеся по этому поводу.

Цитата yurfed:
Каким антивирусом вы предпочитаете пользоваться? »
Г-н yurfed! Я не спрашивал каким антивирусом пользоваться и не просил поделиться некоей таблеткой, а описал конкретную ситуацию и хотел услышать мнения. Если нечего сказать, кроме пустых слов, лучше промолчать.
И не Вам решать, что прикрыть, а что нет, да еще таким барственным тоном- здесь нет Ваших холопов.

gorill, так а каков конкретный вопрос? непонятно на что отвечать:)

Собственно, вопроса, как такового нет, интересны будут мнения по столь разному детекту. Ведь, согласитесь, что когда один антивирус опознает одну штуку вредоноса, причем не того, на который прямо указывает автор этого дела, а другой режет все подряд, это странновато.

в принципе ничего странного. Зависит от реализованных алгоритмов поиска либо наличие сигнатур. Почему не дектируют в архивах при копировании? потому что реализация не распаковывать архивы, если это не "пользовательское" сканирование. Некоторые антивирусы лезут в архивы по умолчанию, а у других может быть настройка и т.д. Те, которые не определили, возможно сканят по сигнатурам, либо слабая эвристика, а этот Outpost запускает например в "песочнице" и дектит файловую активность в системной директории и т.д. Хотя конечно инсталятор требует интерактивного ввода, который тоже впринципе можно проэмулировать. Но это так домыслы, я не знаю у кого как конкретно реализовано. Антивирус это вообще очень сложное ПО.

Цитата Efir:
в принципе ничего странного »
Ну ничего себе! Понимаю, что нет стопроцентной защиты, но разница-то 4-хкратная! Вот что поразило! Не стал бы копья ломать, если бы не такой выкрутас со стороны Нортона, ведь результаты Аваста, Авиры и Аутпоста близки и вполне укладываются именно в концепцию Цитата Efir:
реализованных алгоритмов поиска либо наличие сигнатур »
И вот начинаешь размышлять: То ли эта троица дала ложные срабатывания, то ли Нортон "сел в лужу" :)
Что касается То в отношении Аваста это весьма удивительно, т.к. пользуюсь им давно и знаю его "привычку" ковыряться во всем, что ему попадается, отчего и не пользуюсь им на нетбуке - заметно грузит систему.

сложно сказать. Думаю, что не будет трудным подготовить 4 файла с вирусами, которые задетектит нортон но не смогут это сделать другие перечисленные.

А другие не рассматриваете?

Вы, простите, о чем вообще?

Проверьте все подозрительное на virustotal.com/ и продолжайте удивляться.
Проблема сейчас уже в том - что считать вирусом... А что вы считаете вирусом?

Если вам принесут базу с 4 тысячами вирусов, то можно будет говорить о каком-то процентном соотношении детектов, но ни как не про "разы".
Разброс в детекте является различной работой алгоритма кода. Вот когда будет у всех один алгоритм, тогда и останется одна программа с простым названием "Антивирус", так как разницы в выборе антивируса уже не будет.
Если у вас включен "параноидальный" эвристический анализ, то нет ничего удивительного в "глубоком ковырянии" всего и тормозов.