68 ответов в этой теме

[Smart_D15]

И тут весьма сомневаюсь...

У меня было аналогично, см https://forum.kaspersky.com/topic/%D0%BD%D0%B5%D0%BF%D0%BE%D0%BD%D1%8F%D1%82%D0%BD%D1%8B%D0%B9-%D0%B4%D0%B5%D1%82%D0%B5%D0%BA%D1%82-%D0%BE%D1%82-kvrt-%D0%BF%D1%80%D0%B8-%D1%81%D0%BA%D0%B0%D0%BD%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8-23784/

[Aleksandra]

Ну вот уже ссылки пошли на форум КЛоуна.

[Smart_D15]

форум КЛоуна

"КЛоуном" его уже некорректно называть, т. к. "Lab" из названия убрали.

[Smart_D15]

Вот вчерашний вирустотал, очень смешно, когда даже всякие Авасты и антивирус от Microsoft это детектят, а Dr.web - нет.

Справедливости ради стоит отметить, что,думаю,  правильно сделали, что ДрВеб не детектит некоторые активаторы и другие аналогичные программы , а то было бы невозможно пользоваться вообще операционкой.

[basid]

Насколько я помню - детектирует в отключенной по умолчанию категории HackTools.

[Smart_D15]

детектирует в отключенной по умолчанию категории HackTools.

Даже при таких условиях https://www.virustotal.com/gui/file/2f2aba1e074f5f4baa08b524875461889f8f04d4ffc43972ac212e286022ab94 ?

[basid]

Если, вдруг, это как-то неочевидно, то "отключенная по умолчанию" категория HackTools известна DrWeb, но не вызывает реакции именно потому, что по умолчанию она отключена.

[Alexander007]

Если, вдруг, это как-то неочевидно, то "отключенная по умолчанию" категория HackTools известна DrWeb, но не вызывает реакции именно потому, что по умолчанию она отключена.

Доктор веб не все детектирует за исключением Hacktool , некоторые вредоносный код не предоставляет угрозу или опасности . Я так думаю

Сообщение было изменено Alexander007: 29 Июль 2022 - 09:12

[Никитa]

 

Если, вдруг, это как-то неочевидно, то "отключенная по умолчанию" категория HackTools известна DrWeb, но не вызывает реакции именно потому, что по умолчанию она отключена.

Доктор веб не все детектирует за исключением Hacktool , некоторые вредоносный код не предоставляет угрозу или опасности . Я так думаю

 

Как вредоносный код не представляет угрозу, если он вредоносный?

[Alexander007]

Если, вдруг, это как-то неочевидно, то "отключенная по умолчанию" категория HackTools известна DrWeb, но не вызывает реакции именно потому, что по умолчанию она отключена.

Доктор веб не все детектирует за исключением Hacktool , некоторые вредоносный код не предоставляет угрозу или опасности . Я так думаю

Как вредоносный код не представляет угрозу, если он вредоносный?

Подозрительный Hacktool может быть две варианта : KMS Activator легализует ключи для активации виндовс если Ratiborus создал кое что не вредоносный код , то Доктор веб считает ее исключением ( пробовал разные сэмплы ), ответ получен : Этот файл не предоставляет угрозы опасности , файл чист .
Если разработчик что то сделает хуже или опасные , то у Доктора веба есть превентивная защита -понимает функционирования и может заблокировать вредоносный код , останавливает действия Hacktool , потому что считает инжект системы и подменяет другого файла .

[Никитa]

 

 

 

Если, вдруг, это как-то неочевидно, то "отключенная по умолчанию" категория HackTools известна DrWeb, но не вызывает реакции именно потому, что по умолчанию она отключена.

Доктор веб не все детектирует за исключением Hacktool , некоторые вредоносный код не предоставляет угрозу или опасности . Я так думаю

Как вредоносный код не представляет угрозу, если он вредоносный?

Подозрительный Hacktool может быть две варианта : KMS Activator легализует ключи для активации виндовс если Ratiborus создал кое что не вредоносный код , то Доктор веб считает ее исключением ( пробовал разные сэмплы ), ответ получен : Этот файл не предоставляет угрозы опасности , файл чист .
Если разработчик что то сделает хуже или опасные , то у Доктора веба есть превентивная защита -понимает функционирования и может заблокировать вредоносный код , останавливает действия Hacktool , потому что считает инжект системы и подменяет другого файла .

 

В этом случае (в вашем предыдущем сообщении) вы неправильно выразились, так как ВРЕДОНОСНЫЙ код опасен, ибо он вредоносный.

[basid]

Как вредоносный код не представляет угрозу, если он вредоносный?

Какую именно угрозу, должно представлять ПО, чтобы вы считали его вредоносным?

Спулер (под)системы печати Windows, используемый злоумышленниками для взятия систем под контроль - достаточно вредоносный?

 

Была, например, такая утилита как srvany, которая позволяла запускать почти любой исполняемый файл в виде сервиса.

Есть аналогичные по функционалу procrun, nssm и некоторые другие, которые работают до сих и, надеюсь ещё долго будут работать.

Есть, например, psexec, который умеет молча устанавливаться в системе, в том числе - по сети.

Все они могут использоваться для запуска вирусов. Но, если вы или кто-то другой попробуете их как-то блокировать - будет, мягко говоря, шквал недовольных пользователей.

Был, например, AntiWPA, которым лично я пользовался в (уже) давние времена. Есть "читалки" серийных номеров.

Есть много разного софта, которые как топор - могут рубить и дрова и головы.

[B.Chugunov]

Если ПО не наносит напрямую реального вреда, а только при определенных условиях, то это ПНП, а не вирус. 
Всегда люблю приводить в пример архиваторы. В большинстве случаев их используют легитимно, но в вирусных кейсах злоумышленники любят использовать их в качестве замены шифровальщикам, пакуя все файлы в архив со сложным паролем и прося выкуп. Но не лочить же их, как вирусную. 
Для nssm например вообще выделен свой собственный подвид детектов - Tool.nssm.5, Tool.nssm.6 и т.д. 
Очень часто его юзают в сценариях взломов, но и не менее часто разработчики софта его себе в сетапы например запихивают. И в трекере по нему уже целая коллекция обращений. 
Кто-то детект пнп включает в гварде, у кого-то сканер по расписанию детектит и т.д.  А это даже не вирусный детект. Включи мы его в вирусную категорию, завалило бы. Отсюда я где-то выше и объяснял,  почему для шуток и программ взлома в гварде по дефолту не включено обнаружение. Просто не оберемся гневных обращений по этому поводу. Множество, я бы даже сказал, что большинство людей юзают такой софт в безобидных целях, поэтому приходится балансировать между юзабилити и безопасностью.
В конце концов тот же nssm используют по сути в тех сценариях, когда хакер уже ломанул тачку. И если мы не сдетектим его гвардом в реал тайме, это в общем то ничего не изменит в судьбе данной системы. Ее уже ломанули. Хотя даже в таких кейсах зачастую гвард и превентивка себя неплохо показывают. Я на практике встречал достаточно кейсов, когда ломали систему при установленном и обновленном антивирусе и злоумышленнику либо вообще не удавалось ничего сделать с коллекцией своего вредоносного вспомогательного софта, либо приходилось это делать слишком муторно и окольными путями настолько долго, что взлом успевали заметить.  

[SergSG]

почему для шуток и программ взлома в гварде по дефолту не включено обнаружение.

Ладно проги взлома, ладно пнп, их много кто юзает, но непонятно, почему "шутки" игнорят?

И чем по Вашему плох кейс "спрашивать" или хотя бы "информировать" для таких категорий?

Лично мне совсем не нравится нынешний вариант с двумя крайностями - удалить / игнорировать. И не думаю, что я один такой капризный.
 

[basid]

Насколько часто антивирус должен спрашивать/игнорировать?

Должен ли антивирус опросить каждого пользователя?

По какой системе должно приниматься окончательное решение?

Должен ли антивирус опрашивать, если изменилась командная строка запускаемой утилиты из игнорируемой категории?

Должен ли антивирус настроить исключение для конкретного экземпляра или для он должен игнорировать все экземпляры, которые будут найдены в системе?

Может ли локальный/доменный администратор "перекрыть" мнение пользователя?

Что делать если имеются настроенные исключения, но изменилось состояние блокирования всей категории?

[wypeee]

B.Chugunov

Хорошо давайте разбираться.
Ваш антивирус , что работает только ТУПО по сигнатурам? Если вируса нету в базе по сигнатуре, вы все , бессильны?
А почему он не детектирует перехват клавиатуры кейлогером? 
 

Далее 

"Ничего смущающего, удивительного или необычного. Пользователи пересылают .exe файлы почтой, это распространено и никем не запрещено. "

Это не запрещено , вы правы, но насторожиться антивирусу наверное следует когда ехе с почты выкачивают или js , не?

А почему его не насторожили JS которые после запуска exe начали свою работу?

Почему он на каждую херню ругается типа приложение просит сетевой доступ, разрешить или нет, а тут молчал?
Когда кейлоггер хотел скинуть данные на свой фтп сервер?

Почему сторонний софт собрал легко данные, упаковал и спокойно их отсылает на сервак?
Вы скажите, что по логам было заблокировано это, но это было уже после внесения в базу, а до этого что было?
Вы ведь и сами не уверены, что мои данные не были слиты.

 

"А как антивирус это должен понять по Вашему? Это Вы, как пользователь видите, что ярлык - как у картинки, а расширение .exe. Антивирусы к сожалению еще не добрались до такой стадии развития.  "

Эммм, т.е вы хотите сказать, что программное обеспечение не в силах определить вот этот момент?

 

"IMHO тип файла и его иконка - так себе критерии детекта..."

Серьезно?))) 

 

"А антиспам у Вас включен?

У меня, как правило, подобные письма антиспамом помечаются."

Да как-то знаете, включен, но нихрена не сработал видимо.

 

 

"Quote

А уже вечерняя проверка каспером обнаружила вирус в оперативной памяти! А др.веб сидел и молчал! Запущенный и обновленный сидел и молчал!

И тут весьма сомневаюсь...

 

В смысле вы сомневаетесь?

Во лжи меня обвинить хотите?

Или везде видите происки конкурентов?
 

[wypeee]

Ну и последнее.
Вы можете сколько угодно говорить, что бывают случаи когда вирус новый, не добавлен в базу и так далее.
Но чисто объективно , замечу объективно - этот вирус был обнаружен на вирустотале большинством антивирусов, в том числе и примитивных антивирусов, но только не вами.
Это показывает - уровень защищенности и надежности, чтобы вы тут не говорили и сколько бы не доказывали обратное.
Результат оценки антивирусной программы - это возможность защиты ПК от вирусов, в первую очередь от свежих и элементарных, вы с этой задачей к моему сожалению - не справились и не справились практически одни.

[wypeee]

 

И тут весьма сомневаюсь...

У меня было аналогично, см https://forum.kaspersky.com/topic/%D0%BD%D0%B5%D0%BF%D0%BE%D0%BD%D1%8F%D1%82%D0%BD%D1%8B%D0%B9-%D0%B4%D0%B5%D1%82%D0%B5%D0%BA%D1%82-%D0%BE%D1%82-kvrt-%D0%BF%D1%80%D0%B8-%D1%81%D0%BA%D0%B0%D0%BD%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D0%B8-23784/

 

Сейчас тебе скажут - Вы все врете, такого не может быть...)))
Аналогично было бро.

[wypeee]

Ну вот уже ссылки пошли на форум КЛоуна.

Да хоть на форум клоуна, хоть шута, хоть чего, это значения не имеет, перестаньте уже возбуждаться от упоминания касперского, проблема ведь не в нем, а в Dr.web.

Если даже сраный AVG, Avast и прочая хрень задетектили вирус - а Dr.web незадетектил, это как бэ намекает.

[Alexander007]

У доктора веба есть регулярное обновление, обрабатываются новые вирусы которые не поступили в вирлаб .
Есть большая очередь обработки вирусов . Обычный пользователь отправил вирлаб в первую очередь.
Это как клиника , регистрация и приём пациентов , обработали и выписали документы .
Доктор веб задетектит раньше или поздно , тут и уж время покажет . Самое главное это терпение, качество и меньше ложных срабатываний .