KAV perde colpi? :-/

[frasaian]

ecco un recente test antimalware
http://www.anti-malware-test.com/?q=node/39

[Marco P.]

nV 25 non mi sembra il modo migliore di ragionare intorno al kis....non puoi permetterti di dire certe cose....nessuno nasce colto, anche i programmi creati solo per questa tipologia di attacchi non erano perfetti appena "nati"!!! il pdm nel Kis 7 soffre molti bug, ma c'è anche da dire che è solo al secondo anno dalla "nascita"....non voglio affermare che kis 2009 è il migliore di tutti, assolutamente....però ho rilevato importanti miglioramenti perchè ho avuto la possibilità di provarlo....

Te come fai a parlare se non l'hai ancora provato? hai del materiale attendibile che afferma l'inefficienza dei nuovi servizi?

portami degli esami, delle verifiche, non ho nessun problema a cambiare idea anzi!

Continuare a premere su questi discorsi è una cosa alquanto frivola se non si portano dati significativi e rilevanti sulla questione!

Ciao

[GOLDRAKES]

Guarda senza fare polemica io che sono del settore ti dico che è una cosa gravissima che il kis 7 non rileva il trojan simulator che poi in effetti è un trojan horse a tutti gli effetti con priorità alta ma che è possibile disistallarlo come un comune programma ecco la simulazione

[Marco P.]

Sicuramente, non dico il contrario, ma la Kaspersky Lab potrà aver rivisto e potenziato il sistema? comunque, vedremo prossimamente nei vari test comparativi, come si comporterà! Buona serata ciao

[leolas]

diciamo che fare un HIPS è una cosa molto complicata e bisogna conoscere molto bene il kernel e il funzionamento del pc; a quanto pare, i programmatori kaspersky non conoscono molto a fondo il funzionamento del kernel ecc...

In compenso, l'euristica del kas è molto buona, e vengono effettuati aggiornamenti di frequente.

Ergo, come antivirus è molto buono, come HIPS a quanto pare (mi fido di quanto detto da nV ) non è il massimo, e vi sono vari programmi migliori.

[GOLDRAKES]

Quote:

Originariamente inviato da Marco P.

Sicuramente, non dico il contrario, ma la Kaspersky Lab potrà aver rivisto e potenziato il sistema? comunque, vedremo prossimamente nei vari test comparativi, come si comporterà! Buona serata ciao

Certo speriamo che con la nuova release migliori
Ciao

[nV 25]

Pur distrutto dalla stanchezza, mi ritorvo inaspettatamente la possibilità di riusare il Pc e quindi ne approfitto per fornire una rapida risposta.

1) è vero, KIS 2009 lo ho usato troppo poco in VM per emettere giudizi (che cmq, anche là dove fossero emessi, sarebbero provenienti da una fonte che dovrebbe essere presa con le molle dato che personalmente non è certo che sia a livelli di conoscenza tali da poter affossare o promuovere programmi...)

2) La storia (recente) è quella che, fondamentalmente, mi porta ad emettere giudizi..( il discorso emblematico del suspicious driver installation del PDM corretto SOLO con l'MP1 della v7 è la ciliegina sulla torta:
il bello, cmq, era che questa "fantomatica" meccanica in realtà era NOTA da anni, nota evidentemente a tutti quelli del settore fuorchè alla Kaspersky che ha lasciato aperta questa breccia (una delle tante...) lungo tutto il ciclo di vita della v6 e, parte, della v7)...

3) la redenzione in casa Kaspersky *dovrebbe* essere avvenuta grazie all'assunzione nelle loro fila dell'autore del tool AVZ che dovrebbe aver contribuito assai allo sviluppo dell'hips nudo e crudo...


Guardando bene quindi i 3 punti sopra, se non fosse per il punto 2 che (per me, xò) ha un peso ENORME, non avrei tanto motivo per spargere paure o altro intorno a questo software (che peraltro uso..) e quindi dovrei starmene buono e zitto...


Pur da amatore, cmq, ho maturato come una sorta di 6° senso su certe cose (chiamiamole pure sensazioni...) che difficilmente si rilevano differenti da quello che poi la realtà fa registrare (e qui, perdonate la boria...)

Più che a far nascere paure, cmq, il mio intervento era teso sostanzialmente a ridimensionare facili entusiasmi che mi pare si siano già accesi...
In fondo, quello che farà DA OGGI Kav (KIS), LO FACEVANO GIA' DA ANNI altre soluzioni...

Di nuovo, infatti, in fondo in fondo rilevo ben poco....

[eraser]

Quote:

Originariamente inviato da GOLDRAKES

Guarda senza fare polemica io che sono del settore ti dico che è una cosa gravissima che il kis 7 non rileva il trojan simulator che poi in effetti è un trojan horse a tutti gli effetti con priorità alta ma che è possibile disistallarlo come un comune programma ecco la simulazione

Guarda, senza fare polemica, anche io sono un pochino del settore e personalmente ritengo che giudicare gravissimo il non individuare un semplice test totalmente innocuo, andando ad appesantire il già vasto database di firme virali di infezioni che sono vere infezioni e che possono danneggiare veramente il pc, sia un giudizio un tantino particolarmente affrettato.

[nV 25]

Ciao, mitico eraser! (e cosi' approfitto di questa discussione per salutarti pubblicamente... )


Volevo chiederti se trovi in qualche maniera plausibile (almeno) il ragionamento che ho fatto al punto 2 del post n°49 e se, ragionando in via estensiva, questo possa essere sufficiente per alimentare la "paura" espressa nel post n° 41...

O se, invece, è sufficiente in particolare la considerazione n°3 (del medesimo post n°49) per lavare via ogni dubbio sulla qualità dei programmatori impiegati per quest'ultimo "sforzo"...



Se, anzi, hai ulteriori commenti da spendere, sono ben accetti...
Peraltro i 3 punti di cui sopra sono stati tirati giù molto di getto e non hanno alcuna presunzione di essere "verbo"...


PS:
sul discorso del "modello" adottato, concordi?
O ritieni che le mie fisime siano solo panzane?

[nV 25]

Quote:

Originariamente inviato da Marco P.

Te come fai a parlare se non l'hai ancora provato?

il sottoscritto, cmq, se pur talvolta frettolosamente, prova sempre i programmi della concorrenza SE sono di tipo hips...

E' difficile, infatti, almeno di queste tematiche, che parli proprio per sentito dire o per dar fiato alle corde tanto per passare 5 minuti in amicizia...

Questo, giusto a titolo di cronaca...



Posto cmq che il post linkato era abbastanza eloquente, ecco i miei piccoli test su APT 4.2:

KIS 2009 (v8.0.0.402) in VM
Vulnerabile (=consente la chiusura del programma selezionato che, sulla carta, sarebbe invece protetto da questo rischio...) ai tipi 6,7,10,12 a prescindere dal fatto che APT sia collocato in zona High restricted o Untrusted*

* per ipotesi, la zona Untrusted è parzialmente rielaborata per permettere sia la lettura degli spazi di memoria di altri processi (altrimenti) protetti nonchè l'esecuzione stessa del file in questione (APT.exe)...


Negli screen variano necessariamente i PID collegati a notepad.exe (il processo da proteggere...) dato che notepad, chiudendosi, appena viene rieseguito "acquista" automaticamente un PID diverso da quello iniziale....




test 6, PID 1116 (quello iniziale...):


test 7:


test 10:


test 12:




Qui, invece, "sposto" APT in zona Untrusted...
(I miei permessi per APT untrusted:



Si vede, infatti, che all'apertura di APT "untrusted" viene bloccato il debug privileges in accordo con lo 0 privilegi...


...ma APT fa ugualmente il suo lavoro:


As usual, well done nV 25!

[eraser]

Quote:

Originariamente inviato da nV 25

Ciao, mitico eraser! (e cosi' approfitto di questa discussione per salutarti pubblicamente... )


Volevo chiederti se trovi in qualche maniera plausibile (almeno) il ragionamento che ho fatto al punto 2 del post n°49 e se, ragionando in via estensiva, questo possa essere sufficiente per alimentare la "paura" espressa nel post n° 41...

O se, invece, è sufficiente in particolare la considerazione n°3 (del medesimo post n°49) per lavare via ogni dubbio sulla qualità dei programmatori impiegati per quest'ultimo "sforzo"...



Se, anzi, hai ulteriori commenti da spendere, sono ben accetti...
Peraltro i 3 punti di cui sopra sono stati tirati giù molto di getto e non hanno alcuna presunzione di essere "verbo"...


PS:
sul discorso del "modello" adottato, concordi?
O ritieni che le mie fisime siano solo panzane?

Ciao

Non mi trovi del tutto d'accordo con quello che hai scritto. È vero, tempo addietro era stato scoperto che il PDM di Kaspersky non monitorava una delle possibili vie per caricare un driver in kernel mode. Una brutta falla, assolutamente niente da dire - era un modo documentato anche in alcuni libri.

Da qui, però, a dire che i programmatori Kaspersky sono soggetti rubati all'agricoltura e che devono lasciar fare le cose a chi le sa fare, questa mi sà un'affermazione veramente poco felice, un attacco ingiustificato.

Kaspersky è da anni uno dei leader nel campo dei software antivirus, sfornando delle buone tecnologie unite ad ottimi risultati.

Falle? Quale software non ne ha di falle?

Il fatto che ProSecurity si comporti indubbiamente bene come software HIPS non significa che non abbia falle. Ma il suo sviluppatore si occupa di quello, punto. Non si deve preoccupare di altri problemi. Se ritarda di un mese, due mesi, un anno, il rilascio della nuova versione non succede niente alla fine. Magari scopre una nuova cosa, si mette ad implementarla, non gli riesce, ci mette più tempo, rimanda il rilascio e poi la implementa.

Il suo sviluppatore non si preoccupa di inserire una logica dietro il programma, che possa riconoscere un malware ad esempio. È un software HIPS nudo e crudo, con i suoi pregi e i suoi difetti.

Il fatto che Zaysev sia stato assunto da Kaspersky è sicuramente ottimo, ma non è che prima che arrivasse lui ai laboratori Kaspersky ci fossero criceti travestiti da sviluppatori.

Senza considerare che AVZ è sì un buon programma, indubbiamente, ma le tecnologie utilizzate ad esempio in campo anti-rootkit sono abbastanza obsolete.

[JeffB]

KAV riacquista fiducia

ero su un pc con antivir, testo il file nulla.
Mi sposto su un pc con KAV: trojan

Ringrazio il servizio strautile di VirusTotal e testo il file per controllare
http://www.virustotal.com/it/analisi...dcecfe0a13d75a

non pensavo davvero ci fosse questi gap tra i vari antivirus

STEFANO

[JeffB]

Quote:

Originariamente inviato da deepdark

Non esiste un a.v. che becca TUTTI i virus, anche a me capitò una cosa simile. Normalmente però è l'esatto opposto (almeno per quanto mi riguarda). Se hai il sample invialo alla avira

Questo si, certo, non pensavo pero' ci fossero differenze a volte abissali.
Immaginavo tempi di aggiornamento dell'ordine di qualche settimana al max tra le principali aziende.

ieri sera altro file, KAV non lo riconosce ed altri 18 antivirus si
http://www.virustotal.com/it/analisi...88e443f1a6d4c4

son rimasto abbastanza sbalordito

STEFANO

[JeffB]

Quote:

Originariamente inviato da deepdark

[cut]
Ovviamente un accoppiata Avira + Kis sarebbe ottimale......
Ripeto, sono solo punti di vista.....ad oggi non sono stato mai infettato ne con il kis (beh....a dire il vero solo una volta, ma non conta visto che era disattivato per sbaglio), ne con Avira ne con AVG o con Avast!.....ne senza antivirus (con account guest sotto v.m. però ).

Condivido.
Del resto, visto che l'aggiornamento è compreso, sto provando la nuova ver 2009 e sembra davvero ben fatta.
Il problema è che ogni tanto devo analizzare dei file eseguibili e finchè son piccoli ho quasi la certezza delal bonta' con virustotal.

Sul desktop ho un eseguibile che 18 AV riconoscono ma KAV no.
Ora lo tengo li' per vedere quando KAV riuscira' a riconoscerlo, ma 2 mesi fa l'ho aperto fidandomi di KAV. Lo so, ho sbagliato, ma pensavo che la percentuale di non rilevazione fosse molto piu' minuta

STEFANO