Тестирование реакции антивирусов на новые угрозы.

Проект VirusInfo.info оказывает бесплатную услугу по лечению персональных компьютеров от вредоносного программного обеспечения. Насколько я понимаю это экспериментальный проект ЛК.
Раз в 2-3 месяца на сайте публикуются отчеты о тестировании новых полученных образцов вредоносного ПО на предмет распознавания антивирусами.
Отчет о последнем тестировании я привожу ниже:

Методика тестирования

Тестирование антивирусов VirusInfo проводится с использованием бесплатного онлайн-мультисканера VirusTotal. Участники проекта, являющиеся практикующими специалистами в области лечения компьютеров от вредоносного программного обеспечения, загружают на мультисканер вредоносное ПО, полученное с зараженных машин, и публикуют в специально выделенной теме результаты сканирования. Загружаемое вредоносное программное обеспечение должно соответствовать следующим требованиям:

1) Образец не должен детектироваться установленным на зараженном компьютере антивирусным программным обеспечением.

2) Образец должен быть обнаружен лично консультантом в ситуации реального лечения.

3) Образец не должен быть взят со стороннего сайта или из сторонней коллекции вредоносного ПО.

Публикуемые результаты сканирования регулярно обобщаются в график уровня детектирования. График выстраивается в соответствии со следующими принципами построения:

1) По оси X расставляются антивирусные продукты, представленные на VirusTotal на данный момент времени; на оси Y представляется количество загруженных образцов.

2) Для каждого продукта отмечается количество образцов, успешно детектированных им с помощью той или иной методики обнаружения. На диаграмме отражается общее количество детектированных образцов, а также доля каждой методики детектирования в общем количестве обнаружений.

3) Разделяются следующие методики обнаружения:

a) сигнатурное детектирование (обнаружение уже известного продукту вредоносного ПО сигнатурным методом)

б) эвристическое детектирование (обнаружение неизвестного вредоносного ПО методом эмуляции / анализа кода и т.д. Пример детектирования, понимаемого как эвристическое: "Heur.Trojan.Generic"; "a variant of: XXXXX")

в) сообщение о подозрительном файле (обнаружение возможно неизвестного вредоносного ПО методом сообщения о подозрительных характеристиках исследуемого образца. Пример детектирования, понимаемого как сообщение о подозрительном файле: "Suspicious file"; "VIPRE: Suspicious")

г) сообщение о подозрительном упаковщике / крипторе (обнаружение возможно неизвестного вредоносного ПО методом сообщения о неизвестном / редком / подозрительном упаковщике / крипторе или факте многократного упаковывания / шифрования. Пример детектирования, понимаемого как сообщение о подозрительном упаковщике / крипторе: "HEUR/Crypted").

Результаты тестирования

Хронологически последним является график данных за октябрь и ноябрь 2009 г., представленный ниже.



Комментарии о методике тестирования и толковании результатов

Сбор материалов для тестирования осуществляется на нерегулярной добровольной основе. Портал производит публикацию отчетных графиков тестирования раз в два месяца. Тестирование не следует толковать как полностью отражающее возможности антивирусных продуктов по обнаружению вредоносного программного обеспечения; вместе с тем полученные данные представляют определенную ценность при комплексном сравнении антивирусов с привлечением данных нескольких независимых тестов.

(c)http://virusinfo.info/index.php?page=tests