Доброго времени суток уважаемые форумчане. Сегодня я выхожу на связь с обзором абсолютно несвойственной мне тематики.
Сегодня мы будем читать про онлайн сервисы антивирусных проверок. Сразу сообщу вам что в тесте были как платные так и бесплатные сервисы.
Перечень:
Платные сервисы:
avcheck.ru
avcheck.biz
av-check.com
virtest.com
Бесплатные сервисы:
virustotal.com
www.novirusthanks.org
virusscan.jotti.org/ru
scanner.virus.org
virscan.org
Будем сравнивать:
1. количество ав
2. качество скана exe
3. информативность этого самого скана
4. наличие возможности скана выдачи связок
5. информативность выдачи по связкам
6. нагрузка на сервер (которая показывается каждому из пользователей)
7. скорость проверки
8. Возможность посмотреть лог проверки другому человеку.
Данный обзор инициирован Одиноким Волком (спасибо ему за идею).
--------========Количество АВ, отправка результатов АВ компаниям========--------
Платные сервисы:
avcheck.ru - 17, Проверяемые файлы никуда не отправляются. (Политика сервиса)
avcheck.biz - 17, Проверяемые файлы никуда не отправляются. (Политика сервиса)
av-check.com - 22, Проверяемые файлы никуда не отправляются. (Политика сервиса)
virtest.com - 26, Проверяемые файлы никуда не отправляются. (Политика сервиса)
Бесплатные сервисы:
virustotal.com - 40 (файлы отправляются АВ, прописано в правилах)
www.novirusthanks.org - 22 (Есть галочка Do not distribute the sample)
virusscan.jotti.org/ru - 21 (никаких галочек не обнаружено)
scanner.virus.org - 22 (считал вручную... Ну что сложно было в тексте написать количество АВ на борту?
) (Присутствует галочка Do Not Distribute to Anti Virus Companies)virscan.org - 38 (-//- Огромные минусы за неинформативность)
--------========Проверка exe========--------
Специально для данного теста Silvert написал для меня небольшой экзешничек на асме.
Код:
format PE GUI 4.0
include '%fasminc%\win32a.inc'
entry __zMain
section '.text' code readable executable
__zMain:
push ebp
mov ebp, esp
invoke MessageBoxA, NULL, __url, NULL, NULL
leave
ret
section '.data' data readable
__url db 'http://testeng.com/yo.exe',0
section '.idata' data readable writable executable
data import
library user32, 'user32.dll'
;
import user32, MessageBoxA, 'MessageBoxA'
end dataСуть этого файла заключалась в том, что не являясь вирусом он содержит процедуры детектируемые несколькими антивирусами. Притом эти функции палятся только при включении эвристика. Таким образом, если сервис откровенно халявит и проверяет только по сигнатурам, данный файл детектиться не будет.
Платные сервисы:
avcheck.ru - 4/17 Обнаружили: Authentium, Avira, F-Prot, Norman. Лог проверки найти не удалось. Стоимость 1$ - 1 проверка (В дебрях нашел ссылку на лог проверки, но западло в том, что для ее просмотра нужно быть автором этой самой проверки (посмотреть лог без моих куков не удалось) Лог) Рис.1
avcheck.biz - 2/17 Обнаружили: F-Prot, Avira. Лог проверки найти не удалось, кроме того смутило то, что F-Prot показал совершенно другие данные нежели во всех предыдущих проверках, кроме того не среагировл Norman. Стоимость скана exe - 20 центов Рис.2
av-check.com - 3/22 Обнаружили: Avira Antivir, F-Prot, Ikarus. Почему-то не сработал Norman, McAfee, A-Squared, Panda Antivirus!!! Стоимость 1$=1проверка. Лог проверки Рис.3
virtest.com - 6/26 Обнаружили: IKARUS, F-Prot, A-Squared, Avira, SAV, Norman. Присутствует ссылка на лог сканирования Рис.4
Бесплатные сервисы:
virustotal.com - 11/41 Обнаружили: a-squared, AntiVir, Authentium, eSafe, F-Prot, Ikarus, McAfee+Artemis, McAfee-GW-Edition, Norman, Panda, Sunbelt (лога сканирования нет) Рис.5
www.novirusthanks.org - Провериться с первого раза не удалось. Сервис мертвый. Повторный заход принес следующий результат: 5/22 a-squared, Avira AntiVir, F-PROT6, Norman (лог сканирования найти не удалось) Рис.6
virusscan.jotti.org/ru - 5/21 a-squared, Antivir, F-Prot, Ikarus, Norman (Лог сканирования) Рис.7
scanner.virus.org - В процессе проверки завис намертво. Никакие припарки не помогали. Рис.8
virscan.org - В процессе проверки выскакивали сообщения об обнаружении вируса тем или иным АВ. В результате выдало "Scanner results : Зараженные файлы не обнаружены ни одним из сканеров!" Парадокс. (присутствует возможность просматривать отчеты сканирования сторонними лицами) Рис.9
--------========Время скана exe========--------
Платные сервисы:
avcheck.ru Старт 14:57:15 Стоп 14:58:28 Продолжительность 1:13
avcheck.biz Старт 15:55:55 Стоп 15:58:53 Продолжительность 2:58
av-check.com Старт 16:11:15 Стоп 16:15:25 Продолжительность 4:20
virtest.com Старт 12:53:50 Стоп 12:56:02 Продолжительность 2:12
Бесплатные сервисы:
virustotal.com Старт 11:24:30 Стоп 11:25:40 Продолжительность 1:10
novirusthanks.org Старт 11:29 Вылетел с ошибкой. Старт №2 11:33 Вылетел с ошибкой. Принято решение продолжить тестирование позже. Старт №3 12:04 Стоп 12:05:42 Продолжительность 1:42
virusscan.jotti.org/ru Старт 11:35 Стоп 11:35:22 Продолжительность 22 секунды
scanner.virus.org Старт 11:42:50 Вылетел с ошибкой (We're sorry, but something went wrong. We've been notified about this issue and we'll take a look at it shortly.) Обновил страницу - сканирование продолжилось, но зависло. Повторные попытки просканировать этот или иной файл ни к чему не привели. Выскакивала одна и та же ошибка. Рис.8
virscan.org Старт 11:54:28 Стоп 11:57:14 Продолжительность 2:46
--------========Возможность сканирования архива с файлами========--------
Забрасываю архив с тремя файлами внутри. Исходник + exe используемый в первом тесте + exe используемый в первом тесте модифицированный
Платные сервисы:
avcheck.ru - 15:44-15:45 - результат 4/17. Ложных срабатываний нет, все обнаружено как и в тесте чистого exe, результат выдало суммарный по архиву вцелом. Лог проверки есть, но виден только самому пользователю Рис.10
avcheck.biz - 16:05:45 -16:07:04 - результат 0/17 СЕРВИС НЕ НАШЕЛ НИ ОДНОГО ВИРУСА В АРХИВЕ!!! Рис.11
av-check.com - 16:24:30- - Результат просто убил. "Your Account Type Cannot check archives" А как я догадаться должен был, что на этом сервисе я просто так немогу отсканить архив??? Рис.12
virtest.com - 14:00-14:01:29 - результат 6/26 (Лог сканирования) Рис.13
Бесплатные сервисы:
virustotal.com - 12:38-12:43 - результат 11/41. Ложных срабатываний нет, все обнаружено как и в тесте чистого exe, результат выдало суммарный по архиву вцелом. Рис.14
www.novirusthanks.org - 12:38:20-12:40:37 - результат 5/22. Ложных срабатываний нет, все обнаружено как и в тесте чистого exe, результат выдало суммарный по архиву вцелом. Рис.15
virusscan.jotti.org/ru - 12:43:30-12:44:12 - результат 5/21. Ложных срабатываний нет, все обнаружено как и в тесте чистого exe, результат выдало суммарный по архиву вцелом. Рис.16
scanner.virus.org - 12:45:22- ошибка. Сервис не поднялся после предыдущего теста....
virscan.org - 12:46:15-12:48:30 В процессе тестирования результат показывало 7/38 В финальном результате: "Зараженные файлы не обнаружены ни одним из сканеров!" Убейте меня. Ничего не понимаю в этом сервисе.... Рис.17
По этому тесту хочется особо высказаться. Единственный сервис показавший какой файл в архиве был идентифицирован как вирус и с какими данными - virtest.com Остальные выдавали суммарый результат по архиву. Притом первый попавшийся в процессе скана...
--------========Файловая бомба========--------
Для этого теста мне была предоставлена файловая бомба. И тест проводился с упором на усточивость сервиса к подобного рода татакам.
avcheck.ru - Нулевой баланс на счету. Проверку провести не удалось. Подробности читаем ниже.
avcheck.biz - Старт 17:05 Сервис повис. Проверка остановилась. Смотрим дальше. Главная страница открывается, проверка другого файла вызывает окно с первой проверкой и стоит на месте. Провести проверку другого файла не удалось. Сервис заглючил. При этом он снимает деньги за каждую последующую проверку не проводя ее. Я пытался несколько раз запустить проверку html файла. Деньги со счета списываются, а мне открывается одно и то же окно с зависшей проверкой файловой бомбы. Печально... Рис.18
av-check.com - Не позволяет сканить архивы. Тест провести не удалось.
virtest.com - 10:00 Старт Проверка не запускается. Сервис определил архив как файловую бомбу и выдал об этом информацию. Рис.19
virustotal.com - 11:27 старт 17:34 Стоп. Оезультат: 16/29 Сервис "не подавился". Рис.20
novirusthanks.org - 17:36 Старт. Сервис тут же захлебнулся. Написал "File Uploaded Successfully" и повис намертво. Очухался минут через 4-5. Повторная попытка иных результатов не принесла. Рис.21
virusscan.jotti.org/ru - 17:41 Старт 17:50 стоп. Результат 14/17. Сервис "не подавился". Рис.22
scanner.virus.org - 5 августа 2009 года хост в дайне... Проверку провести не удалось. Рис.23
virscan.org - 17:02 Старт Сервис в процессе проверки потух. Рис.24 Проверка остановилась. Смотрим дальше. Главная страница открывается, проверка другого файла проходит удачно. т.е. сервис захлебнулся частично.
Печально. После этого теста хочется многим как коммерческим так и не коммерческим "сервисам" надавать за такое качество услуг по голове. Взялись за грудь - делайте что-нибудь!!!
--------========Информативность скана========--------
avcheck.ru - низкая. Наравне с бесплатными сервисами.
avcheck.biz - низкая. Наравне с бесплатными сервисами.
av-check.com - низкая. Наравне с бесплатными сервисами.
virtest.com - на высоте. Полные данные от АВ по скану.
Бесплатные сервисы:
virustotal.com - низкая.
www.novirusthanks.org - низкая.
virusscan.jotti.org/ru - низкая.
scanner.virus.org - неизвестно
virscan.org - неизвестно. Результаты сканирования абсолютно противоречивы.
--------========Возможность просканировать урл========--------
avcheck.ru - нет
avcheck.biz - есть
av-check.com - нет
virtest.com - есть
Бесплатные сервисы:
virustotal.com - нет
www.novirusthanks.org - есть
virusscan.jotti.org/ru - нет
scanner.virus.org - нет
virscan.org - нет
--------========Данные по сканированию Iframe========--------
Для этого теста я сохранил главную страницу mail.ru и в конец страницы вписал несколько ифрэймов в разном виде. Как в закодировнном так и в чистом.
avcheck.biz - Спустя сутки на сервисе все так же висит моя зависшая проверка файловой бомбы. Никакие припарки не помогли. Сервис упорно отказывался сканировать что-либо. В репорте так и висит зависшая проверка. Рис.25
virtest.com - Результат 1/26 Сработала Авира. По какой строке - неизвестно. Т.к. урл сканировался как связка (особенности сервиса), на скрине видим, что авира спалила код под всеми браузерами. Кое какая информация присутствует от антивируса. Рис.26
novirusthanks.org - Результат 1/22 Сработала Авира. По какой строке - неизвестно. Результаты скана не говорят об этом ничего. Рис.27
--------========Возможность просканировать связки========--------
Для этого теста была взята связка Neon exploit system. В ней (спасибо DiFor) была выключена опция блокировки неуникальных посетителей.
avcheck.biz - Сервис спустя сутки после пробы файловой бомбы не очухался. Проверить связку не удавалось. Сразу выдавало Something wrong (size=0) Рис.28 Затем опытным путем было выявлено, что до сих пор висит моя проверка файловой бомбы... Рис.29
virtest.com - Результат 17/26 Информативность скана на высоте. Видим данные скана по браузерам, swf и pdf. Рис.30
novirusthanks.org - Результат 10/22 информативность на низком уровне. Определить по какому браузеру/эксплоиту сработал антивирус - абсолютно невозможно. Рис.31
--------========Загрузка сервиса========--------
avcheck.ru - низкая. Сервис сработал довольно быстро.
avcheck.biz - низкая. Сервис сработал довольно быстро.
av-check.com - судя по датчикам загруженности на сайте - маленькая, а судя по времени сканирования - большая. Хотя моя проверка началась сразу же, длилась зато долго...
virtest.com - низкая. Проверка началась сразу же.
Бесплатные сервисы:
virustotal.com - очень большая. При повторном заходе для сбора статистики показывал красное значение и предупреждение о перегрузке сервиса.
www.novirusthanks.org - Очень большая. Сервис часто лагал. Вылетал с ошибками и т.д.
virusscan.jotti.org/ru - Низкая. Сервис отрабатывал очень быстро
scanner.virus.org - Определить не удалось. Сервиз повис в процессе проверки.
virscan.org - Низкая. Показатели загруженности в зеленой зоне.
--------========Отзывы:========--------
avcheck.biz - не порадовал перечнем АВ. Кроме того качество проверки заставляет задуматься. F-Prot - показал нестандартный результат проверки, Norman не сработал вообще. Проверка архива с теми же вирусами показала вообще НУЛЕВОЙ результат. т.е. вирусов не обнаружено!!!
av-check.com - порадовал параллельным сканированием, но ужаснул данными проверки. Не сработали многие АВ. Кроме того, почему-то мне нельзя было сканировать архивы. Ну и последняя ложка дегтя - там даже нет автоматического интерфейса пополнения счета, да и сам аккаунт нужно регистрировать постучав лично саппорту в аську.
avcheck.ru - кинул на деньги. На счет было переведено 5 wmz несколькими переводами. В результате, когда начал делать проверки сделал проверку exe и мне выдало "You have 0 check(s)". Стал гадать какого лешего. Ведь должно было быть 5 проверок. Связались с суппортом.
лог:
virtest.com - Выражаю владельцу сервиса огромную благодарность за труды. Единственный платный сервис порадовавший и информативностью скана и его скоростью и вообще. После огромного количества времени потраченного на все эти тесты сервисов - этот вызвал самые лучшие впечатления среди платных. Кроме того. Это один из сервисов, который позволяет провести скан только по выбранным АВ. Что позволяет получить результат значительно быстрее чем при скане всей "пачкой".
Ну и напоследок расскажу о новой "фиче", появившейся только сегодня. Сервис стал предлагать услугу проверки вашего домена по 13 базам блек, спамлистов. Поддерживаемые списки: ZeuS domain blocklist, ZeuS IP blocklist, ZeuS Tracker, MalwareDomainList (MDL), Google Safe Browsing (FireFox),McAfee TrustedSource, McAfee SiteAdvisor, PhishTank (Opera, WOT, Yahoo! Mail), hpHosts, SPAMHAUS SBL, SPAMHAUS PBL, SPAMHAUS XBL, MalwareUrl Рис.32
virustotal.com - Лучший сервис по количеству АВ. Огорчает, что сливает инфу производителям. Недостаточная информативность скана. В остальном на высоте.
www.novirusthanks.org - Наверное я зашел в "черный" для этого сервиса день. Много лагал, долго сканился. Недостаточная информативность сканирования. Радует бесплатность данного сервиса и спорная возможность не отсылать проверенный файл АВ компаниям. (По данному сервису было много дебатов на тему отправляет данные АВ или нет. 100% доводов небыло предоставленно. Так что пользоваться рекомендую с опаской. Только в случае крайней необходимости.)
virusscan.jotti.org/ru - Обычный сервис. Малоинформативен в плане выдачи, недостаточно, на мой взгляд АВ. Невозможность проверить связку/iframe.
scanner.virus.org - Качество сервиса просто огорчает. Даже не рекомендую пробовать. В процессе теста повис и при этом на весь день. Качество говорит само за себя. Недостаточно, на мой взгляд АВ.
virscan.org - Количество АВ на уровне, а вот результаты сканирования убийственны. В процессе проверки вирусы обнаружены, а в финальной таблице чистота... Качество сервиса УГ...
p.s. из-зибольшого количества проверок не везде сраду скрины делал. На некоторых скринах отличается время сканирования, но результат тот же.
-----------------------------=====На правах рекламы=====----------------------------
Хочу выразить благодарность за предоставленный хостинг Nonamerz
porno, tds, warez, pharma 50$;
- spyware, adware, malware 80$;
- входящий email спам 100$;
- botnets, exploits, ftp tools, log 80$.
На площадке размещал связку и файл с ифрэймом. Сервису спасибо.
-----------------------------=====Благодарности=====----------------------------
Silvert - написание файла для анализа, Nonamerz (icq 4842805) - хостинг, Одинокий Волк - идея и помощь в подборе правильного, детектируемого ифрэйма, DiFor - участие в обсуждениях кода связок, помог идеей хитрого скана выдачи определенной связки.
Ну и конечно огромная благодарность всем нашим читателям. СПАСИБО что вы с нами!
Записки на полях, специально для xss.pro/
p.s. Если в тексте где-то ошибки - приношу извинения. Старался "добить" материал до своего отпуска.
Добавлено в [time]1249916312[/time]
Ссылка на галерею скриншотов использованных в обзоре.
