AV-Comparatives PUA Test December 2009

posted on 07 Dec 2009 19:25 by warbandit  in Basic-Security

พอดีช่วงนี้ไม่ค่อยมีอะไรอัพ เรื่องต่อๆไปอาจจะเป็นรีวิวหรือไดอารีครับ

 

เอาหล่ะครับเข้าเรื่อง การทดสองครั้งนี้จากเว็บ Av-Comparatives เหมือนเดิม

การทดสอบ Antivirus แบบ PUA คือการสแกนหามัลแวร์ชนิดอื่นที่ไม่ใช่ไวรัส, โทรจัน, หนอน, และประตูหลัง

หมายเหตุ : PUA ย่อมาจากคำว่า Potentially Unwanted Application

นั่นคือ เป็นการทดสอบกับโปรแกรมที่เป็นอันตรายต่อระบบ เช่น สปายแวร์, แอดแวร์, โปรแกรมแอนติไวรัสปลอม, โปรแกรมดักคีย์บอร์ด, โปรแกรมแกล้งกัน และอื่นๆที่ทำงานใกล้เคียง

รายชื่อผู้เข้าแข่งขันก็รายเดิมจากเอ็นทรีเก่าครับ ไม่มีมีการเปลี่ยนแปลง มีเปลี่ยนแปลงคือใช้ Database ตัวล่าสุด เจอกับ Sample จำนวน 750297 ตัว

การทดสอบครั้งนี้ไม่ได้ทดสอบประสิทธิภาพในการแก้ไข แต่ให้ไฟล์นอนอยู่นิ่งๆแล้วสแกนหาเท่านั้น

มาดูผลกันเลยครับ

 

จากกราฟ ค่ายิ่งน้อยยิ่งดี เพราะมีโอกาสที่ตัวอย่างจะหลุดรอดออกไปได้น้อย สังเกตว่า AVG และ MSE จะเก่งในเรื่องของ Malware หลักๆ แต่ไม่ค่อยเก่งกับมัลแวร์ชนิดที่ไม่ร้ายแรงมาก

จากกราฟสรุปง่ายๆคือ ยิ่งมีเอ็นจินมาก เช่น GData หรือ Trustport จะมีโอกาสหลุดน้อยกว่า ส่วน Mcafee ไปซื้อเอ็นจินของ CP Secure รวมกับเทคโนโลยี Artemis และเอ็นจินของตัวเองด้วย ดังนั้นจะมีเกือบๆ 3 เอ็นจินเลย

ผลการสแกนสรุปได้ตามภาพล่างครับ

 

 ส่วนเรื่อง Awards ก็สรุปได้ตามภาพล่างครับ

งานนี้ถึงผู้ชนะจะเป็นโปรแกรมเสียเงิน แต่สำหรับคนใช้ของฟรีอย่าง Avira ก็ยังยิ้มได้ เพราะยังไงๆ รุ่นฟรีใช้เอ็นจินเดียวกับรุ่นเสียเงิน (ก่อนหน้านั้นคนละเอ็นจินกัน)

ก็ยังไม่ต้องน้อยใจไป ว่าโปรแกรมที่เสียเงินบางรายยังจับได้ไม่มาก ถ้าคุณหมั่น Update มันก็จะต้องทำงานดีขึ้นได้แน่นอนครับ

ไว้เจอกันใหม่ครับ

AV-Comparatives November 2009 Proactive Test.

posted on 02 Dec 2009 15:31 by warbandit  in Basic-Security

เมื่อต้นเดือนที่ผ่านมา ทาง Av-Comparatives ก็มีผลการทดสอบออกมาอีกครั้งครับ

เอาหล่ะครับเข้าเรื่อง การทดสองครั้งนี้จากเว็บ Av-Comparatives เหมือนเดิม

การทดสอบ Antivirus แบบ Proactive คือการสแกนแบบไม่ใช้ซิฟเนเจอร์ คือปล่อยให้ฐานข้อมูลเก่ากว่าวันที่ทดสอบ ให้ดูว่าถ้าไม่ได้อัพเดตแล้วผลจะเป็นยังไง

รายชื่อพร้อมประเทศของผู้เข้าแข่งขัน

  • จากสาธารณรัฐเช็ก avast! Professional Edition 4.8
  • จากสาธารณรัฐเช็ก AVG Anti-Virus 8.5
  • จากเยอรมนี AVIRA AntiVir Premium 9
  • จากโรมาเนีย BitDefender Antivirus 2010
  • จากสหรัฐอเมริกา eScan Anti-Virus 10
  • จากสโลวาเกีย ESET NOD32 Anti-Virus 4.0
  • จากฟินแลนด์ F-Secure Anti-Virus 2010
  • จากเยอรมนี G DATA AntiVirusKit 2010
  • จากรัสเซีย Kaspersky Anti-Virus 2010
  • จากจีน Kingsoft Antivirus 2009
  • จากสหรัฐอเมริกา McAfee VirusScan Plus 2009
  • จากสหรัฐอเมริกา Microsoft Security Essentials 1.0
  • จากนอร์เวย์ Norman Antivirus & Anti-Spyware 7.10
  • จากสหราชอาณาจักร Sophos Anti-Virus 7.6
  • จากสหรัฐอเมริกา Symantec Norton Anti-Virus 2010
  • จากสาธารณรัฐเช็ก TrustPort Antivirus 2009

น่าเสียดายที่การแข่งครั้งนี้ยังใช้ AVG 8.5 เพราะตอนที่ทดสอบกัน AVG 9 ยังไม่เป็นตัวเต็มเลย นอกจากนั้นก็คือ Avast 4 เพราะทาง Avast ยังไม่ปล่อยเวอร์ชั่น 5 ออกมา ซึ่งถ้าออกมาแล้วอาจจะดีกว่าครับ

ส่วนตอนนี้ MS ไม่มีบริการ Onecare แล้ว เปลี่ยนชื่อเป็น MSE แทน แถมใช้ฟรีด้วย อันนี้ก็น่าสนครับ

คำเตือน : การทดสอบครั้งนี้ ปรับค่าการตรวจจับไว้ที่ระดับสูงสุดทุกโปรแกรม ไม่เหมาะกับผู้ใช้ทั่วไป เพราะฉะนั้น ถ้าไม่แน่ใจในตัว Antivirus ก็ให้ปรับทุกอย่างไว้เป็นระดับกลางๆ

เพราะนี่เป็นเพียงการทดสอบเท่านั้น ไม่ได้ใช้งานจริงๆ

มาดูผลการทดสอบกันเลยครับ

Photobucket

 

Photobucket

ผลการทดสอบสรุปออกมาได้เป็นแผนภูมิได้ตามด้านล่าง

Photobucket

จากภาพ ค่ายิ่งมากยิ่งดี เพราะแปลว่ายิ่งตรวจเจอมากโดยไม่ใช้ฐานข้อมูล ในกรณีนี้จากผลการทดสอบครั้งนี้ Kingsoft ได้คะแนนเท่า Norman

สรุปออกมาเป็นเปอร์เซ็นต์ได้ดังนี้

 

Photobucket

 

ส่วนของจำนวน FP ก็ระบุออกมาตามนี้ครับ

Photobucket

สรุปว่างานนี้ FP กันเล็กน้อย

สรุปผลออกมาเป็นตารางได้แบบนี้ครับ

 

Photobucket

 

 

งานนี้ก็ขอแสดงความยินดีกีบผู้ใช้ Kaspersky กับ Nod32 (เฉพาะคนใช้ของแท้) ด้วยครับ ที่ได้คะแนนดี

ผลการทดลองออกมาก็ขอบอกเช่นเดิมว่าไม่ต้องตกใจหรือน้อยใจที่คะแนนของโปรแกรมที่คุณใช้ออกมาต่ำ

ถ้าคุณหมั่น Update บ่อยๆ มันก็จะดีขึ้นแน่นอน

ปล. หากคุณใช้รุ่นฟรีอย่าง Antivir Personal หรือ Avast Home ที่ไม่ตัดฟีเจอร์สำคัญในการตรวจจับ ก็เอาไปอ้างอิงได้ครับ (AVG Free มีการจำกัดไว้)

ไว้โอกาสหน้าเจอกันอีกครับ

สวัสดีครับท่านผู้อ่าน วันนี้ตอนเช้า อ.ประจำวิชาของผมนัดนักศึกษาทั้งห้องไปเจอกันที่สวนรมนีนาถ เพื่อทำกิจกรรมประกอบการศึกษากัน ไม่ได้พาไปติดคุกกันนะ

 

มาถึงกันตอนประมาณ 9 โมงครับ เนื่องจากไม่ค่อยได้ออกมาสวนสาธารณะบ่อยๆ เลยเกิดอาการบ้ากล้อง(มือถือ) ทันที

กิจกรรมก็คือมีกายบริการตาวรายวิชา และให้วิ่งรอบสวนนี่ 1 รอบ

อาจเป็นเรื่องจิ๊บๆ สำหรับหลายๆคน

สำหรับผมแล้ว แทบลากครับ

เอาหล่ะ มาดูกันว่า 1 รอบที่เอ่อ เดินรอบ มีอะไรมาให้ดูกันครับ

 

เนื่องจากที่นี่เป็นเรือนจำหรือคุกมาก่อน เราจะเห็นป้อมยามบ่อยมาก เอาไว้ส่องไฟป้องกันนักโทษหลบหนีออกจากที่นี่ แต่ถึงทุกวันนี้ กลายเป็นสวนสาธารณะแล้ว ก็ยังคงไว้ซึ่งสภาพเดิมครับ

มองแรกๆนึกว่าประภาคาร เหอๆ

 

แดดค่อนข้างร้อนครับ แต่บึงนี่ก็ทำให้ดูเย็นลงได้ ตอนเดินผ่านเจอกบตัวนึงด้วย แต่มันโดดหนีอย่างไวเลย น่า "ตะคุรบ" จริงๆ

 

ต้นหูกระจง ออกใบดูเป็นชั้นๆ ร่มรื่นดีครับ วันนี้แดดก็ร้อนโคตรๆเลย

เดินไปข้างทางก็เจอแต่ดอกไม้ สวยดีครับ

 

 

 

ปล.คุณผู้อ่านคงเดาได้ว่าผม "เดิน" ช้าแค่ไหน

และแล้วก่อนครบรอบก็มาเจอส่วนที่ผมว่าหลอนที่สุด

 

ห้องขังที่ยังรักษาสภาพเดิมไว้อย่างครบถ้วน คงเป็นเรื่องปกติที่มีคนตายที่นี่ ดีนะไม่มากันตอนเย็นๆ ไม่งั้นอาจมีเพื่อนเพิ่มมาอีกคน

ส่วนตัวแล้ว ที่นี่น่าสนใจครับ โอกาสหน้าคงได้มาใหม่ 

ก่อนกลับ ไปเจอนี่โดยบังเอิญ

 

มองไม่เห็นเหรอ ซูมหน่อยๆ

 

ไม่รู้ว่าคิดไปเองรึเปล่าวว่ามันไปเหมือนกับ

 

แค่มันคาบบุหรี่เท่านั้นเอง หรือผมคิดมากไปก็ไม่รู้

ไว้เจอกันเอ็นทรีหน้าครับ

สวัสดีครับทุกท่าน เนื่องจากเอ็นทรีก่อนเรื่อง "สิ้นหวังแล้วกับการแจ้งปัญหาหน้าเว็บ" นั้นไม่มีสาระอะไร(เลยไม่ Tweet) เลยขอเขียนเอ็นทรีใหม่โดยที่เอ้นทรีเก่ายังมีอายุไม่ถึง 24 ชั่วโมงนะครับ

 

วันนี้มีสาระมาฝากกันครับ เป็นเรื่องของมัลแวร์อีกครั้ง

 

 (เป็นลิ้งแบบย่อ)

 

หนอนตัวนี้ชื่อ Worm/VB.aki.2 มัลแวร์ตัวนี้จัดอยู่ในกลุ่มหนอน ที่ระบาดผ่านทางแฟลชไดรฟ์
ชื่ออื่นๆ

Mcafee: W32/Autorun.worm.gen virus

Sophos: W32/Autorun-APK

Bitdefender: Worm.Generic.47242

Kaspersky: Worm.Win32.VB.aki

Panda: W32/VB.AER.worm

Nod32: Win32/VB.NQP

Fortinet: W32/VB.AKI!worm

Rising: Worm.Win32.VB.tk

การทำงานคือ เมื่อไฟล์หนอนถูกรันสำเร็จ จะสร้างไฟล์ชื่อแบบสุ่มที่มี ขนาดแบบสุ่มตั้งแต่ 20-200 กิโลไบต์ โดยมีส่วนขยายต่อไปนี้

  • sys
  • com
  • ini
  • bin
  • inf
  • dll
  • ocx
  • dat
  • bas
  • cat
  • res
  • cfg
  • mp3
  • doc
  • txt
  • hlp
  • ax
  • dot



และจะหยุดทำงานก็ต่อเมื่อฮาร์ดดิสก์เต็ม ซึ่งไฟล์เหล่านี้เป็นข้อมูลขยะที่ใช้งานไม่ได้และไม่ใช่ไฟล์ไวรัส



การทำงานอื่นๆ

  1. สร้างไฟล์ usbdrv.exe ไว้ในไดรฟ์ และ Autorun.inf สำหรับรันตัวเองเมื่อคลิกเข้ามา
  2. ลบไฟล์ ntldr, NTDETECT.COM, boot.ini ในไดรฟ์ C:\
  3. เปลี่ยนค่ารีจิสตรีดังนี้
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader"="%WINDIR%\acroread.exe"


ทางอาวีร่าบอกว่าหนอนตัวนี้เขียนขึ้นด้วย Visual Basic มีระดับการคุกคามในระดับต่ำถึงปานกลาง แต่มีระดับความเสียหายอยู่ในระดับสูงครับ

เพราะฉะนั้น อย่าประมาท ลงโปรแกรมป้องกันไวรัส และหมั่น Update และสแกน บ่อยๆ
อย่าปิด Antivirus บ่อยๆถ้าไม่จำเป็น เช่นตอนเข้าเกมไม่ได้ เพราะทาง GM ไม่มีส่วนรับผิดชอบหากเครื่องติดไวรัสครับ เลยตอบอะไรแบบไม่ได้คำนึงถึงปัญหาช่องโหว่เหล่านี้ครับ

Ratcicle View my profile

Recommend

Favourites