<<<<<<>>>>>>>>

[CrazyHacker]

<<<<<<>>>>>>>> ../images/Emo128.gif

שלום לחברי הפורום הנכבדים. היום עוררתי ויכוח קטן על האנטי וירוס Kaspersky ועל היתרונות שלו (או החסרונות) על NAV בפורום תמיכה טכנית. רציתי לשמוע את דעתכם המקצועית בעניין. תודה מראש

 

[uzi2]

זה לא פשוט לשפוט

בכל מקרה, סטטיסטיקה של שניים וחצי וירוסים, או סוס טרויאני יחיד כזה או אחר, זו לא סטטיסטיקה שניתן לקבוע לפיה משהו רציני. ובגלל שאנשים מגבשים דיעה לפי הנסיון בסביבתם, אתה תראה לצד כאלו שיגידו לך שנורטון מעולה ומקאפי פישלה, אחרים שיגידו שמקאפי מעולה ונורטון פישלה, ואחרים (עד כמה שקספרסקי נפוצים בארץ) יגידו שקספרסקי מעולה ונורטון מפשלת לצד אחרים שיגידו את ההפך הגמור. כל זה נובע מכך שמדובר במדגמים שרחוקים מלהיות מדגמים מייצגים. קספרסקי נחשבת לחברה טובה מאוד וגם נורטון. מה מהם יותר טוב? קשה לדעת. ראשית בגלל שאף אחת מהן לא מזהה את כל הוירוסים ועל אחת כמה וכמה לא מזהה את כל הסוסים הטרויאנים (וזה נכון לכל תוכנת אנטיוירוס). גם באמת אין מספיק נתונים כדי פקבוע ברמת דייקנות גבוהה. אפשר להסתכל על הנתונים שמפורסמים במקומות שבהם משתדלים שהסטטיסטיקה תהיה יותר משמעותית, למשל ב- Virus Bulletin (שהוזכר שם) או במעבדת הוירוסים של אוניברסיטת האמבורג, או ב- hackfix (על סוסים טרויאנים) ואולי גם ב- AV-TEST. כל אחד מהאתרים הללו מסצע בדיקות הרבה יותר מקיפות, אבל גם אז, כל אחד מהם בפני עצמו לא מספיק על מנת לקבוע מה יותר טוב. הרי מעניין אותנו לראות לא רק סטטיסטיקה לאורך הרבה שנים (כי יכול להיות שבאמת בשנת 2001 קספרסקי נחלשו ואח"כ התחזקו וכיום הם שוב חזקים, אבל מצד שני, אם לוקחים תוצאות רק נניח משנת 2003, עדיין אין מספיק נסטטיסטיקה כדי לראות בוודאות הבדלים. אפשר לקבל התרשמות כללית - תוכנה שכבר בכמה בדיקות מצליחה הצלחה מאוד פושרת, (למשל AVG) סביר להניח שהיא פחות טובה מתוכנה שכבר הרבה פעמים יוצאת טוב בכל הבדיקות (למשל NAV). סוסים טרויאנים, זה נושא בעייתי עוד יותר, כיוון שכל עוד לא מדובר בנפוצים ביותר, באמת אחוז ההצלחה של כל החברות בינוני, ואחוז הזיהוי ההיוריסטי גבוה אצל חלק מהחברות, אבל בעקבות זאת גם אחוז הזיהוי השגוי גדל בהתאם. הבעיה אם סוסים טרויאנים, הוא שמכיוון שאין להם מערכת הפצה עצמית, יש הרבה מאוד סוסים טרויאנים עם הפצה לא זניחה אבל גם לא גבוהה, וזה מקשה על איתורם וזיהויים ע"י חברות האנטיוירוס. מה גם שההגדרה של סוס טרויאני הוא "תוכנה שמתיימרת לעשות משהו תמים אבל עושה משהו פחות תמים" שזו הגדרה שפירושה שלפעמים ההבדל היחיד בין האם תוכנה מסויימת היא סוס טרויאני או לא, תלויה רק בשאלה כיצד התוכנה הוצגה כלפי מי שהריץ אותה. לכן גם יש יחסית יותר זיהויים שגויים של סוסים טרויאנים, ויש לא מעט מקרים שבהם קוד מסויים הוא באופן גבולי סוס טרויאני או קובץ תמים, ובעוד שחברות אנטיוירוס מסויימות בחרו להגדיר אותו כסוס טרויאני, חברות אחרות בחנו אותו והחליטו שהוא לא עונה להגדרה סוס טרויאני. בסה"כ, כפי שציינתי שתי התוכנות טובות ואני לא הולך לקבוע מי מהן יותר טובה, כי אין מספיק נתונים.

 

[CrazyHacker]

<<<<>>>>> ../images/Emo128.gif

תודה רבה עוזי... ראיתי גם את התשובה שלך בפורום תמיכה טכנית...

 

[uzi2]

טוב. רק כדי להשלים.

נקודה שהעלתי בדיון שבפורום תמיכה טכנית וראוי להזכירה גם כאן: לגבי הקובץ BDE שהוגדר כסוס טרויאני ע"י KAV ולא ע"י נורטון, הוא כנראה הקובץ הבא: http://www.doxdesk.com/parasite/BDE.html אם אכן זה ה- BDE הנ"ל, אז מדובר בתוכנה פרזיטית ידועה ומוכרת שניתן להסיר דרך הוספה והסרה של תוכניות. התוןכנה הזאת מוכרת לכל חברות האנטיוירוס אבל יש ויכוח בין החברות האם היא עונה להגדרה של סוס טרויאני או לא. בכל מקרה, תוכנות לזיהוי של תוכנות פרזיטיות, כגון AdAware ו- SpybotSD מגלות אותה. וסתם, כהערה. בדיוק שלשום, דווח על חור אבטחה באנטיוירוס של קספרסקי, שמאפשר לוירוסים לעקוף את האנטיוירוס ע"י כך שהקבצים הנגועים הם בשמות לא סטנדרטיים. הבעיה כרגע לא חמורה, ואני מניח שתוך זמן קצר העניין יתוקן. אבל פשוט נתקלתי בזה אתמול.