[NEWS] - AV Comparatives in attesa dei test sull'euristica

[Chill-Out]

È stato pubblicato da poche ore il riassunto dell’ultima delle quattro comparative annuali tenute da AV-Comparatives che prende in analisi le tecnologie euristiche presenti nei software antivirus. Per chi ha meno dimestichezza sull’argomento, in parole povere la tecnologia euristica è quella tipologia di scansione che permette ad un software antivirus di individuare nuovi malware senza la necessità di firme virali specifiche, di prevenire quindi nuove possibili epidemie di malware.

La comparativa vera e propria sarà rilasciata il 1 Dicembre 2007, intanto è possibile però leggere un riassunto con lo score raggiunto da ogni singolo prodotto.........continua

Fonte: PC Al Sicuro -> Eraser
Link alla notizia: http://www.pcalsicuro.com/main/2007/...sulleuristica/

[c.m.g]

se le notizie verranno confermate, sarà una vera sorpresa kaspersky ha preso ADVANCED+ per la sua euristica
non capisco invece perchè avira abbia preso solo standard

[xcdegasp]

sicuramente i falsi positivi giocano un ruolo di fondamentale importanza per stilare la classifica, ma effettivamente è giusto calcare la mano su questo argomento che non deve essere più visto un dettaglio

[c.m.g]

Quote:

Originariamente inviato da xcdegasp

sicuramente i falsi positivi giocano un ruolo di fondamentale importanza per stilare la classifica, ma effettivamente è giusto calcare la mano su questo argomento che non deve essere più visto un dettaglio

capisco!

[_MaRcO_]

Quote:

Originariamente inviato da xcdegasp

sicuramente i falsi positivi giocano un ruolo di fondamentale importanza per stilare la classifica, ma effettivamente è giusto calcare la mano su questo argomento che non deve essere più visto un dettaglio

ah, però io sono dell'idea meglio qualche falso-positivo che qualche virus non riconosciuto

(in attesa dei risultati)

ciao

[BEY0ND]

f-secure...ma che mi combini...

[done75]

Quote:

Originariamente inviato da c.m.g

se le notizie verranno confermate, sarà una vera sorpresa kaspersky ha preso ADVANCED+ per la sua euristica
non capisco invece perchè avira abbia preso solo standard

non vedo nessuna sorpresa...

il migliore del mondo e' giusto che prenda ADVANCED + ...

[GmG]

Usciti i risultati

Antivir 81% - 16 fp
nod32 71% - 0 fp
Kaspersky 40% - 5 fp

[Bugs Bunny]

ottimo antivir... nod continua a non ispirarmi fiducia


one care 35%

[c.m.g]

Quote:

Originariamente inviato da Bugs Bunny

ottimo antivir... nod continua a non ispirarmi fiducia
[..]

sono sulla tua stessa linea di pensiero, infatti antivir, nonostante abbia un numero di falsi positivi alti ma con euristica messa al massimo, ha scelto una linea di rilevazione molto aggressiva rispetto a nod32 che si lascia sfuggire spesso molti trojan, perciò a parte questo neo, antivir rimane uno dei migliori in assoluto come rilevazione.


EDIT:
devo rettificare qualche mia convinzione/dichiarazione (ho messo in grassetto su la frase da rettificare): ho notato da un'analisi approfondita del report in pdf del test che avira produce falsi positivi anche da euristica settata in medio e su basso livello e addirittura da alcune firme comprese nel database, questo è un neo molto evidente; potete notare quello che sto dicendo dall'immagine che vedete sotto, presa direttamente dal pdf:



comunque rimane imbattibile nella rilevazione di nuovi malware e si conferma il migliore in questo campo, appunto come ho detto su, con una linea di rilevazione aggressiva.
giudizio? a parte i falsi positivi (neo comunque aggirabile per un utente esperto), quanto di meglio insiema ad altri antivirus che si possa trovare sul mercato.

[_MaRcO_]

Quote:

Originariamente inviato da c.m.g

sono sulla tua stessa linea di pensiero, infatti antivir, nonostante abbia un numero di falsi positivi alti ma con euristica messa al massimo, ha scelto una linea di rilevazione molto aggressiva rispetto a nod32 che si lascia sfuggire spesso molti trojan, perciò a parte questo neo, antivir rimane uno dei migliori in assoluto come rilevazione.

QUOTONE!!

[sampei.nihira]

Questo test altresi mette in luce i notevoli progressi di AVG rispetto al test retrospective precedente.

Ma la star del test devo dire quasi a sorpresa è AVAST con un'ottima percentuale di rilevazione euristica per un antivirus free.

Avast supera Norton e si posiziona vicinissimo a Kaspersky.

Questo è il risultato che deve far riflettere le softhouse più famose !!

Nod32 è una conferma.
Molto deludente invece F-Secure.

[c.m.g]

ma i fan symantec sono spariti...?

[c.m.g]

*

[xcdegasp]

Devo dire ottimi risultati ma mi aspettavo una maggior rilevazione di script malevoli dal NOD32

Avast è ancora dietro a DrWeb

[BEY0ND]

f-secure mi ha leggermente deluso,tra 3 giorni mi scadrà la trial dei 6 mesi dell'edizione 2006 e devo sostituirlo...
volevo chiedervi due info:
1)se non sbaglio mcafee si sta riprendendo come prodotto,giusto?
2)qualcuno di voi conosce o ha mai provato norman?

[Chill-Out]

BEYOND lascia perdere Norman ti metti in un mare di guai

[BEY0ND]

Quote:

Originariamente inviato da Chill-Out

BEYOND lascia perdere Norman ti metti in un mare di guai

un mare di guai?...uhmm...interessante
piuttosto del prodotto che mi dici?provato personalmente?

[Chill-Out]

Quote:

Originariamente inviato da BEY0ND

un mare di guai?...uhmm...interessante
piuttosto del prodotto che mi dici?provato personalmente?

personalmente no, l'ho trovato installato sul portatile di un amico, c'erano tante di quelle infezioni che la metà bastavano

[BEY0ND]

incoraggiante.. ..eppure nel test non ha sfigurato...siccome averi una licenza del suddetto volevo avventurarmi e aprire un thread ufficiale solitario...

Cmq visto che si parla di euristica....mi permetto di citare un articolo di circa due anni fa:

Quote:

Dove però non bastano le firme generiche, perché magari quel tipo di virus non è ancora stato analizzato, si è fatto ricorso alla scansione euristica. Il termine euristica deriva dal greco "eurískein" che, tradotto, assume il significato di "scoprire". La scansione euristica si prende infatti il compito di scoprire nuovi virus analizzandone esclusivamente alcuni fattori e calcolandone la percentuale di pericolosità.

É chiaramente una tecnica che, se in teoria può apparire come la panacea di tutti i mali, in realtà poi può creare alcuni grattacapi se non sviluppata e utilizzata a dovere.

Molti sono ancora i problemi legati alla natura stessa della tecnologia euristica e tanti sono tuttora gli studi che riguardano questa tecnica, tanto che sono ancora pochi i software antivirus al mondo che si possono permettere il lusso di poter utilizzare un'euristica veramente efficace capace di isolare realmente nuovi malware senza segnalare troppi falsi positivi.

Umanamente parlando, quando pensiamo che una persona sia sospetta? Magari se vediamo il tizio di prima, sempre con il passamontagna, già potremmo pensare che sia sospetto (ovviamente se il tipo di passamontagna che usa è già conosciuto alle forze dell'ordine il tizio è sicuramente il ladro e viene arrestato), figuriamoci se poi si aggira pure spesso intorno alla nostra casa....allora è molto più che sospetto. Abbiamo quindi raccolto alcuni elementi che ci possono autorizzare a pensare che il tizio abbia intenzioni malevole.

La tecnologia euristica si comporta esattamente nello stesso modo: raccoglie quante più informazioni possibili sui dettagli di un file sospetto e giudica se ritenerlo sospetto oppure no. Banalizzando quello che in realta è un immenso lavoro di numerosi ricercatori e svariati mesi di programmazione, spiegheremo ora la modalità di raccolta informazioni della tecnologia euristica.

Facciamo innanzitutto una divisione tra euristica statica e dinamica, due modi diversi di raccogliere informazioni che tuttavia non si escludono a vicenda.

L'euristica statica - oltre che a far uso, come detto prima, di firme digitali generiche - non fa altro che tenere conto di un discreto numero di particolari che solitamente vengono alla luce dopo un'infezione.

Possiamo per esempio, in seguito ad un'infezione, notare modifiche all'intestazione del file, oppure vediamo dall'header che l'esecuzione del codice è spostata all'ultima sezione invece che alla prima, la presenza di più intestazioni del file (alcuni virus memorizzano il vecchio header prima di infettare un file, per sapere una volta finito il ciclo d'infezione dove dover andare per lanciare il programma), chiamate sospette a librerie di sistema o uso spropositato di procedure API per leggere/scrivere files, sezioni di codice all'interno del file collocate in modo sospetto (presenza di molti zeri tra una sezione e il resto del codice per esempio).

Se uno o più di questi dettagli vengono verificati nel file incriminato (è inutile specificare, come fatto prima, che la lista di dettagli da controllare è molto più lunga e tecnica dell'esempio che ho fatto sopra, con il quale si rischierebbe di incappare in falsi positivi) l'antivirus è autorizzato a segnalarlo come possibile infetto da un virus sconosciuto.

In contrapposizione a questa raccolta "passiva" di informazioni, esiste poi l'emulazione dinamica del codice.

L'antivirus predispone una zona di memoria nella quale simula un pc virtuale, in modo da poter eseguire il file sospetto e studiarne il comportamento. É sicuramente uno dei metodi più efficaci ma allo stesso tempo esoso in termini di risorse per il sistema ed è per questo che pochi antivirus lo utilizzano efficacemente. L'ottimizzazione da fare sta nel decidere fino a quale precisione il pc virtuale debba essere emulato e per quanto tempo il file debba essere eseguito per poter avere dati concreti in mano. Inoltre questo tipo di euristica non è efficace contro alcuni tipi di virus, sebbene l'intera tecnologia venga sviluppata ed adattata secondo le minacce che maggiormente possono arrecare disagi, in questo periodo worm e trojan.
I tre antivirus presenti sul mercato che utilizzano efficacemente una tecnologia euristica, principalmente dinamica, sono Norman Antivirus, Nod32 e ultimamente BitDefender. Norman è, dei tre, l'unico che emula completamente un pc virtuale e richiede infatti notevoli risorse di sistema, fornendo però dettagli precisi su cosa il file sospetto modifichi nella macchina virtuale. Nod32 e BitDefender hanno invece raggiunto ampi margini di ottimizzazione, riuscendo ad ottenere ottimi risultati e al contempo un sistema scattante.

fonte:http://www.hwupgrade.it/articoli/stampa/sicurezza/1424/

In parole povere a quanto ho capito Norman dispone nella sua struttura di una SandBox che dovrebbe bloccare i virus prima che penetrino nel sistema, analizzandone il comportamento in un ambiente simulato.Questo dovrebbe avvenire forse richiedendo una maggior richiesta di risorse(forse).Per me che utilizzo sandboxie norman diventa più che una tentazione...