43 ответов в этой теме

[Dolmatov]

Пояснение про детект в  рамках Adware.

Я следую описанию на сайте, что можем детектировать "посредника", а не сам конечный продукт. Ведь сам TS360 не является рекламой для внесения в такую категорию.

https://vms.drweb.ru/virus/?i=60390

https://vms.drweb.ru/unsolicited/

Однако, если сам установщик не содержит отдельного модуля, т.е. скачивает сам установщик, но тут или сам установщик в целом относить к такому ПО, или не делать детект.

 

К нежелательному ПО тоже сомнительно отнести, исходя из специфики, что сам по себе продукт не несёт явного сомнительного функционала для вреда системе/файлам.

 

Опять же, рассуждения на основе изначально поставленного вопроса.

Что мы можем сделать. 1) детектить это как unwanted или адварь

 

Как видим, по текущей классификации этот вариант потребует усилить контроль за наличием "рекламы" в установщиках, по аналогии с ESET. Либо применять иную специфику (категорию) определений, не несущую явную угрозу.

ставить второй антивирус, когда домик уже занят - это хамство-с. У нас ведь есть все средства чтобы воспрепятствовать? А то - мы на машине стоим, но явно нежелательному софту не препятствуем. Конечно, что говорит тупикал юзер? "Я просто установила программу, а дальше оно само".

Предложен вариант, когда есть перспектива расширения функционала продукта, хоть и построенное на тех. же методах. Не исключено, что какие-то функции анализа позволят не обнаруживать такое ПО вирусом при проверке файла, но детектировать "доп. модулем" (превентивная защита). Например, анализируя заголовок родительского приложения и дочернее запускаемое приложение. Если есть значительные отличия, то предупреждать пользователя. В том числе, при попытке установщиком открыть ссылку - не редко установщики "рекламируют" свой сайт/репакера и т.п., предлагая после установки посетить сайт; либо это делается в "скрытой" форме, открывая ссылку аналитики или делая запрос без браузера (подсчёт установок).

 

[vladimir_murm]

1. В корпоративной версии контроль приложений есть.

 

 

Но то в корпоративном)), конкурент, в лице дяди Жени, почему то свой "контроль приложений" "не задушила"  "жаба" в продукт для пользователей добавить. Хотя бы в базовом варианте. Тут что мешает?

 

Dr Web SS всё-таки комплексный Ав за 1500к, если вопрос в деньгах, ну добавьте функционала, и 100-200р к лицензии. 

 

 

По сабжу топика, интересная реакция на компонент 360, при сканировании из контекстного меню

 

 

 

 

 

Да же если это "ложное" и компонент в "белом" списке, в Gui это информация никак не озвучилась при сканировании. 

Сообщение было изменено vladimir_murm: 29 Сентябрь 2025 - 17:46

[VVS]

По сабжу топика, интересная реакция на компонент 360, при сканировании из контекстного меню

Да же если это "ложное" и компонент в "белом" списке, в Gui это информация никак не озвучилась при сканировании. 

Почему Вы думаете, что ложное?

IMHO там есть реальный инжект, но, т.к. это не малварь, то специально детект подавлен.

[Alexander007]

Вообще-то, Антивирус должен ругаться на бандлы , Касперский в бандл ? Какое это имеет отношение ? Если встроили софт и туда внедряли всякую ерунду в бандле , хоть легальный , а сам бандл обманчиво , чтобы попытаться обойти др веб , установить всякую рекламы , чего бандлы будет запущен как майнер или чего есть внутри . Как-то не комфортная ситуация между 2умя АВ . Китайцы в Тотал секюрити 360 давно толкают . А, сам Есет ругает как PUP/Adware , Yandex/Adware - поступает правильно и блокирует , чтобы не засорять мусор . Это похож на оптимизатор IOBit .

Сообщение было изменено Alexander007: 29 Сентябрь 2025 - 17:57

[vladimir_murm]

Почему Вы думаете, что ложное?

IMHO там есть реальный инжект, но, т.к. это не малварь, то специально детект подавлен.

 

ложное в смысле не вредоносный инжект, интересно, что пользователь узнаёт об этом из логов, а при сканировании этот вопрос "опускается". 

Можно было бы это в Gui сканера как то "озвучить", например, на Tool.VulnDriver же ругается в дистрибутивах и .exe, а тут что мешает предупредить?

 

 

Вообще-то, Антивирус должен ругаться на бандлы , Касперский в бандл ? Какое это имеет отношение ? Если встроили софт и туда внедряли всякую ерунду в бандле , хоть легальный , а сам бандл обманчиво , чтобы попытаться обойти до веб , установить всякую рекламы , чего бандлы будет запущен как майнер или чего есть внутри . Как-то не комфортная ситуация между 2умя АВ . Китайцы в Тотал секюрити 360 давно толкают . А, сам Есет ругает как PUP/Adware , Yandex/Adware - поступает правильно и блокирует , чтобы не засорять мусор . Это похож на оптимизатор IOBit .

 

 

Для этого есть Guard и сканер, а у Гуарда, ещё опция "проверять контейнеры" и режимы "параноидальный", что поможет внутри дистрибутива ПО и при установке выловить что-то вредоносное, или предупредить о компоненте, как на  скриншотах выше,
, но просто детектить 360 или каспер, блочить его компоненты или драйвера, потому-что это конкурент или потенциально "засрёт" рекламой?. Имхо не правильно.

 

Eset "раздувает" свой детект для красивой картинки, добавлением всего и вся, в PUP/Adware и свои базы, но это "маркетинговая показуха", а не показатель качества.  "Смотрите" "мы детектим"   

[maxic]

 

я не считаю что детект тут уместен. это же не фейк антивирус

Но ты же можешь запретить загрузку тех же драйверов, если мы установлены в системе? В чем профит потом лечить несовместимость двух АВ.

 

Тут, скорее, установку драйверов блокировать надо. А запуск - "в ядре все равны", как не раз повторял Костя. Может, это не мы, может, это нас заблокируют? (так, кстати, и происходит, кто первый встал - того и тапки).

[Alexander007]

Давно пора блокировать драйверы  -   что не разрешено , запрещено .   Драйверы - не подписано , блокировать .  Установка сторонние АВ второй - предупредить и предлагать "деинсталировать" не совместимое "ПО" , перед сканированиями  - хороший вариант.

 

Например в такой реализации Касперского есть - поиск Несовместимое ПО , устранение неполадок после атаки , поиск уязвимости , поиск ПО обновление  ( например Edge, Winrar доверенные ПО ) c официального источника . Только не антивирус .  А, для работы по продукту .

Сообщение было изменено Alexander007: 29 Сентябрь 2025 - 19:47

[Alexander007]

Напишу по факту :

 

1. Total Security 360 — неофициальный продукт:
   Настоящий антивирус от компании Qihoo — это 360 Total Security, но даже он часто включает рекламные модули, собирает данные и может вести себя как потенциально нежелательная программа (PUP/Adware).

2. Конфликт с Dr.Web:
   Запуск двух антивирусов одновременно не рекомендуется — это может вызывать:

   • Снижение производительности,
   • Ложные срабатывания,
   • Конфликты в реальном времени (оба пытаются сканировать одни и те же файлы).

3. Репутация Total Security 360:
   Многие независимые лаборатории и пользователи отмечают, что 360 Total Security:

   • Включает рекламу,
   • Может устанавливать дополнительные компоненты без явного согласия,
   • Иногда ведёт себя агрессивно при удалении.

 

В этом все ясно  .   Это снижает безопасность.

Сообщение было изменено Alexander007: 29 Сентябрь 2025 - 19:53

[maxic]

В этом все ясно

Но мнение Константина здесь имеет гораздо больший вес 

[vladimir_murm]

Например в такой реализации Касперского есть - поиск Несовместимое ПО

 

У дяди Жени есть ещё анализатор скрытых установок и всякого мусора в дистрибутиве, но всё это за дополнительные деньги, конечно же.

 

Тут у Доктора либо просто ресурсов свободных нет - заниматься этим, и приоритеты другие. Или политика руководства.

  Но никто не мешает расширить функционал, увеличив цену. Покупают же продукты дороже: то-го же Каспера, у людей деньги есть и они хотят лучшее. По этому одна компания лидер рынка, а вторая номер два и своей нише.

 

  Никто не говорит что надо из Dr Web "гирлянду" "с оптимизаторами" как у конкурента делать или детектить и блочить всё подряд. Это плохой вектор, и не правильный подход на мой взгляд.

 

Но если бы условно выкатили "v13" c чем то новым, Превентивкой,аналогом контроля приложений, что то бы перенесли из своего корпоративного софта, пусть и с ограниченным базовым функционалом, и это было бы интересно реализовано и наглядно, что бы не уступало конкуренту, а может быть было и удобнее и лаконичнее, чем у дяди Жени.

 

Мне было бы лично всё равно сколько это бы стоило. 1800-2500-3000р - хороший функционал, сам по себе реклама продукту.

 

Вэбу не хватает "мускулов, и инноваций", иначе бы уже давно был бы в лидерах пользовательского рынка, или как минимум потеснил бы конкурента, отобрав часть пользовательского рынка.

Сообщение было изменено vladimir_murm: 29 Сентябрь 2025 - 21:02

[Alexander007]

Я, б  и не писал об этом . Спокойно допиливать в превентивную защиту можно крайнее сделать "Блокировать Бандлы" ну и еще "Блокировать сторонние установщики АВ" , "Блокировать неизвестные драйверы во время установки" .  

 

В, общем моя тема окончено , уж и раз руководство примет решение .  Я уже не смогу ни в коем случае не буду участвовать в данную функцию "по улучшению продукту" - пусть каждый человек решит что им нравится.  В, общем маркетинг - решают все  - свобода есть.  Раз без маркетинговых ходов - ограниченная свобода и функция ограничены .

 

Cвободная политика антивируса - там где "радует жизнь" , с новым функционалом. Где все можно делать идею .   Ограниченная политика антивируса - там где не радует жизнь, с ограниченным функционалом - не получается сделать идею , без изменений .

 

 

Мне просто интересно ,  что "Мешает антивирусу разрабатывать новую функцию и идею?"

Сообщение было изменено Alexander007: 29 Сентябрь 2025 - 21:15

[vladimir_murm]

Я, б  и не писал об этом . Спокойно допиливать в превентивную защиту можно крайнее сделать "Блокировать Бандлы" ну и еще "Блокировать сторонние установщики АВ" , "Блокировать неизвестные драйверы во время установки" .

 

Это лишнее в превентивке, она не для этого.

Если уж реализовывать, то пунктом в Guard/Cканере, отдельной категорией, или добавлением детекта в категории "Рекламные программы", но лично я, если уж и детектить, голосую  за отдельный пункт в настройках, который не будет включён по умолчанию, т.к такой детект не всем нужен и имхо алертить всё подряд или блочить легитимное по, пусть и Ав сторонний с рекламой, не есть гуд, и не правильно.

я на такое насмотрелся, в других Ав продуктах. Просто накрутка детекта, для галочки

 

p.s я выше кидал скрины, как продукт в журнале сообщил о компоненте 360, ещё бы это в гуи алерт дублировался, на такие объекты, и было бы замечательно. Мне бы такого или похожего решения, хватило бы с головой.

Сообщение было изменено vladimir_murm: 29 Сентябрь 2025 - 21:22

[maxic]

алертить всё подряд или блочить легитимное по

Достаточно вникнуть в логику работы доктора (оставить минимум  для решения/размышления юзеру и уж тем более стрелять в легитимное ПО) чтобы понимать, что такого не будет. Ну хотя бы как минимум блочить то, что ломает нашу штатную работу (отвалившееся обновление после установки TS360 был типичный случай, сейчас - не скажу).

[B.Chugunov]

Сейчас слом видно ~ в одном месте. Если 360 Total стоит вместе с нами, то наша защита от эксплойтов лочит старт любого браузера, потому что Total туда лезет. В остальном не видел других конфликтов. Конфликт с браузерами даже по-моему хотели пофиксить, где-то оно зафиксировано. И если все так будет, то тогда в принципе никакого вреда от установленного 360 Total в системе не будет. Другое дело, что это бомба замедленного действия и никогда не знаешь, в какой момент и чей апдейт окрасит экран в синие цвета смерти. 
Я жесткий противник таких методов распространения, какие использует 360 и давно топлю за то, что в нашем присутствии его вообще нельзя давать ставить. Никак. Даже вне зависимости от метода распространения, а просто из лучших побуждений и приверженности принципу 1 ОС - 1 АВ. По мне, так даже не особо важно, каким образом его решили вкорячить в нашем присутствии. Осознанно это было или нет. 
Другое дело, если мы ставимся поверх. Там уже существуют методы, как это опознавать и семафорить на уровне сетапа. И опять же не давать нам ставится в присутствие этого поделия. 
А называть нечто, распространяющееся такими способами - антивирусным вендором, ну не знаю. У меня язык не поворачивается. Какой ты антивирусный вендор, если распространяешься околомалварными сомнительными методами. А коль уж решился на такое, то будь готов к ответным мерам. И Бог с ним, что тот же Аваст так делал десяток лет назад. На носу уже 2026 год. И да, если Каспер чудесным образом начнет распространяться такими же методами, я бы и его в ту же когорту блокируемых добавил. Не важно, насколько он крутой и легитимный из себя. Я, кстати, сомневаюсь, что тот же Каспер на нас сверху поставится. Еще один камень в огород и звоночек, касательно этого 360 Total, который втихую спокойно ставится в присутствии других АВ. Скрытые или полускрытые методы установки - зло во плоти. Никакой уважающий себя вендор не должен использовать это для экспансии. А наше дело защитить от вреда тех, кто этого осознанно или неосознанно сам сделать не может. Даже если вред потенциальный. А здесь он даже не потенциальный, а реальный.  

[Alexander007]

Сейчас слом видно ~ в одном месте. Если 360 Total стоит вместе с нами, то наша защита от эксплойтов лочит старт любого браузера, потому что Total туда лезет. В остальном не видел других конфликтов. Конфликт с браузерами даже по-моему хотели пофиксить, где-то оно зафиксировано. И если все так будет, то тогда в принципе никакого вреда от установленного 360 Total в системе не будет. Другое дело, что это бомба замедленного действия и никогда не знаешь, в какой момент и чей апдейт окрасит экран в синие цвета смерти.
Я жесткий противник таких методов распространения, какие использует 360 и давно топлю за то, что в нашем присутствии его вообще нельзя давать ставить. Никак. Даже вне зависимости от метода распространения, а просто из лучших побуждений и приверженности принципу 1 ОС - 1 АВ. По мне, так даже не особо важно, каким образом его решили вкорячить в нашем присутствии. Осознанно это было или нет.
Другое дело, если мы ставимся поверх. Там уже существуют методы, как это опознавать и семафорить на уровне сетапа. И опять же не давать нам ставится в присутствие этого поделия.
А называть нечто, распространяющееся такими способами - антивирусным вендором, ну не знаю. У меня язык не поворачивается. Какой ты антивирусный вендор, если распространяешься околомалварными сомнительными методами. А коль уж решился на такое, то будь готов к ответным мерам. И Бог с ним, что тот же Аваст так делал десяток лет назад. На носу уже 2026 год. И да, если Каспер чудесным образом начнет распространяться такими же методами, я бы и его в ту же когорту блокируемых добавил. Не важно, насколько он крутой и легитимный из себя. Я, кстати, сомневаюсь, что тот же Каспер на нас сверху поставится. Еще один камень в огород и звоночек, касательно этого 360 Total, который втихую спокойно ставится в присутствии других АВ. Скрытые или полускрытые методы установки - зло во плоти. Никакой уважающий себя вендор не должен использовать это для экспансии. А наше дело защитить от вреда тех, кто этого осознанно или неосознанно сам сделать не может. Даже если вред потенциальный. А здесь он даже не потенциальный, а реальный.

Мудро сказал , пора блокировать антивирусы -сторонние установки . Необходимо фичу https://forum.drweb.com/index.php?showtopic=339392&p=921090 - там все правильное решение . Заморочек не будет , реализация необходимо. Для работы надо .

Сообщение было изменено Alexander007: 30 Сентябрь 2025 - 10:02

[Dolmatov]

Про превентивную защиту ведь не зря упоминали. Если не делать отдельную функцию, то достаточно добавить новые виды ограничений, такие как: установка антивирусной защиты, установка драйвера с низкоуровневым доступом. В частности, нельзя исключать, что какой-то продукт назовётся антивирусным и будет устанавливаться идентично легальным продуктам, но не выполнять защиту. Т.е. системный защитник и центр безопасности будут думать, что система защищена другим ПО, а фактически получаем уязвимую или скомпрометированную систему.

Также вредоносное ПО может попытаться инициализировать (пере)установку/исправление Dr.Web с прерыванием/"зависанием" этого процесса на ключевом этапе, чтобы сломать продукт. Не знаю насколько в этом случае защищён процесс установки, если вдруг что-то произойдёт такого вида, включая "убийство" системного процесса с экстренным завершением работы или через вызов функционала завершения работы. Либо использование инсталлятора, чтобы не сохранять текущие настройки. Конечно, некоторая защита от вмешательства в настройки уже выполнена, но больше для бизнес-сегмента или для опытных пользователей. Новичкам же можно это направление деятельности, в т.ч. через запрет по желанию, т.е. после ручной донастройки продукта.

 

При этом, почему нельзя вести работу и защиту в параллельных направлениях? Пока превентивная защита действует универсально, антивирусная часть относит к adware все установщики, которые включают в себя элементы не по теме ПО.

 

Потенциально, можно даже выявлять ссылки на аналитику/сайт и сообщать об этом. Что-то вида adware/url. Это может быть общий тип, включая прямое открытие ссылок (опцией или без неё), запросы отправки аналитики, кликабельные ссылки в GUI (вне контекста пользовательского соглашения, авторских прав). И, здесь, имеем базу таких ссылок, которые имеют широкое распространение. Даже, если сам сайт безопасен, автор установщика "рекламирует" его. Хоть в целях защиты ПО, хоть в целях рекламы сайта репакера. Только можно сделать опцию игнорирования доверенных доменов. Например, Piant.Net указывает, чтобы скачивали его ПО с его домена. Однако, при этом есть распространение в Microsoft Store на платной основе. 

В общем подходе, можно даже создать категорию adware/donate, для любого ПО с навязчивым запросом пожертвования.

[Konstantin Yudin]

>Но то в корпоративном)), конкурент, в лице дяди Жени, почему то свой "контроль приложений" "не задушила"  "жаба" в продукт для пользователей добавить. Хотя бы в базовом варианте. Тут что мешает?

 

причем тут жаба. тот КП в ЕС придуман для бизнеса, он не задумывался для стэндэлон, там если все же будет будет другой подход.

[B.Chugunov]

антивирусная часть относит к adware все установщики, которые включают в себя элементы не по теме ПО.

Это не автоматизируемо и не масштабируемо. Это надо каждый отдельный сетап сидеть смотреть. Идея искать какие-то ссылки и все что угодно еще, что упаковано в какой-то абстрактный сетап скорее всего мертва от рождения. Пакеров много, сетапов бесконечно много. Запаковано может быть по разному, в том числе так, что не распарсишь практически ничего до распаковки.  
Единственный плюс минус надежный метод - ориентироваться на действия в момент этой распаковки. По факту записи на диск и попытки исполнения. 
Т.е. если вот некий setup.exe условного TotalCMD в момент установки дропает на диск условный 360total.sys или дропает, а затем пытается исполнить условный abcdef_setup_360.exe с подписью Qihoo - просто не давать этому процессу продолжать деятельность. Либо блочить дроп, либо блочить дочерний процесс с подписью Qihoo. И не давать дальше продолжить установку подкапотную. Основной процесс сетапа TotalCMD при этом пусть себе живет. Но Костя против, поэтому так тоже никто не будет делать. Так что и рассматривать все эти варианты смысла нет. 
Все, что на текущий момент можно блочить, если сочетать видение разработки + практику, это инжект процессов с подписью Qihoo в различные браузеры. Просто, чтобы не допускать последующей нашей реакции со стороны нашей защиты от эксплойтов. В остальном, пока это поделие более ничем не навредит и вряд ли что-то еще здесь можно сделать.  

[B.Chugunov]

И да, фактически невозможно опознать, это юзер галочки откуда-то по невнимательности не снял, либо сам поставил их, либо же никаких галочек вообще не было в природе и это скрытая установка. Это суперпозиция. Так же, как и практически невозможно надежно опознать, есть ли в конкретно взятом сетапе какие-то допы или нет, без полноценной распаковки и прямого анализа этого сетапа. Что опять же превентивно не дает ничего сделать с этим. 
Все сводится к тому, что есть "хорошие" сетапы, где скрытых установок нет, если только явные. Рубить их формально не за что, кроме как за сам факт того, что они ставят какие-то допы вместе с собой. А это уже очень скользкая дорожка, потому что доп компоненты и тулзы ставятся в куче разного софта. И напрямую относящиеся к начальному устанавливаемому софту и вообще никак не относящиеся, но вспомогательные и используемы данным софтом в ходе работы, не опасные, а полезные. 
И есть условно "плохие", где возможна скрытая или неявная установка. Вторые вполне себе можно детектить и они на практике детектятся за всякое разное адварное и прочее вредное. Но это нужно репортить в вирлаб с описанием, что к чему.  И естественно это все индивидуально под каждый сетап. 

[Lvenok]

Привет!

Собственно, давно назревший и даже перезревший вопрос, в очередной раз затронувший меня сегодня, но анноящий периодически. 

В чём суть? Сейчас стало модно пихать в инсталлеры установку вот этого китайца Total Security 360 (ругательные слова пропущу) и не только этого. И всё бы ничего, история стара. Но. Это ставится и при нас установленных, и рядом с красными (они меня как раз не волнуют, но - показательно). Раньше приходилось лечить отвал обновлений доктора. Что сделали? А, второй антивирус встал! Удаляем. Сегодняшний случай - на машине был красный, и (со всем уважением) он даже не чухнулся ни разу.

Что мы можем сделать. 1) детектить это как unwanted или адварь. 2) ставить второй антивирус, когда домик уже занят - это хамство-с. У нас ведь есть все средства чтобы воспрепятствовать? А то - мы на машине стоим, но явно нежелательному софту не препятствуем. Конечно, что говорит тупикал юзер? "Я просто установила программу, а дальше оно само".

Короче, я не знаю, может, я такой один (или нет?), которого достала ситуация, но она вполне жизненная и встречается куда чаще, чем хотелось бы. Можно считать это Feature Request.

У знакомых стоит этот Тотал. Периодически он пихает втихую установку разного софта из своей рекламы, особенно, почему-то, любит ставить WPS Office. Я сначала не особо поверил, думал сами кликают случайно по рекламе и ставят, но когда занимался обслуживанием их ПК сам в реальности это увидел.