166 ответов в этой теме

[Valera]

IMHO, эти не первоочередные. Могут подождать. Линуксный руткит для винды, конечно, особо опасен...

Да меня не интересует кто-то какую виндовс использует! Я пользуюсь и виндов и линукс! И я плачу деньги за продукт, по этому не считаю себя посторонним!

Вообще-то, я предлагал вам привести конкретные случаи, когда drweb не смог вас защитить.
Но за номера тикетов спасибо, это тоже важная информация.

Это как? Например был недавно случай, когда я перехватил несколько ранее неизвестных др.вебу вирусов,
после отправки в vms, они были добавлены в базу (вирусы: Trojan.Botnetlog.1 , Trojan.MulDrop.30027)

там другая проблема, по 100 файлов в архиве, половина детектися, половина эвристик, etc.

Тоесть это нормально? - когда на вирус PSW сообщается возможно BACKDOOR или DLOADER.
Возможно - это не точное опредиление, значит вирус или не вирус мне определять?
А что значит "по 100 файлов"? - это типа много? мне выслать по одному? (непонятен аргумент)

p.s. Тикеты примерно с октября и ничего не изменилось - ниодного вируса не добавлено. Вывод - они не обрабатываются.

[pig]

По одному - лучше. Ясно, с чем имеют дело, поэтому проще приоритеты назначать.

[Valera]

По одному - лучше. Ясно, с чем имеют дело, поэтому проще приоритеты назначать.

Пробовал отправить 10 штучек , с другого адреса - не помогло!

Есть еще варианты?

[pig]

Что значит "не помогло"? Тикеты в студию - будут разъяснения.

[Valera]

Тот тикет был с временного адреса, по этому утерян.

Вот например тикет [drweb.com #698876] - (v2)Exploit.rar,
там всего 25-ть эксплоитов!
Его тоже не обработали!
Из 25-ти определяются только 3 (проверял сейчас, а тикет от 13 октября)
Я точно уверен - дело не в кол-ве!

[sergeyko]

Я точно уверен - дело не в кол-ве!

Я говорил вам ребята, люди нас не любят (с) Grégoire Moulin contre l'humanité

[kvit]

Скажите, у вас стоит drweb? Столкнулись ли вы с тем, что при работающем drweb ваша машина была инфицирована?

да было:

[drweb.com #698696]. - Trojan.Blackmailer.291
[drweb.com #698694]. - Trojan.MulDrop.23039
[drweb.com #698692]. - Trojan.PWS.Webmonier.74
[drweb.com #698732]. - Trojan.NtRootKit.1722
Обновление выйдет немного позже, ориентировочно час-два.
Благодарим за сотрудничество!

[Valera]

Я точно уверен - дело не в кол-ве!

Я говорил вам ребята, люди нас не любят (с) Grégoire Moulin contre l'humanité

)))
Любят, любят, по этому и заботятся, что бы поменьше было вот такого:
https://www.virustotal.com/ru/analisis/3c06...31161107cc732fd

[li0ne]

Но этот уровень для "наблюдательной системы", коей являются разного рода HIPS\проактивные защиты является фактически точкой отсчета?

Kido/Shadow прекрасно показал всё.
Замечательно заражались все.
И с "революционными" технологиями и с обычными.
Но по личным наблюдениям, обычные вышли с меньшими потерями.

[maxwello]

одни говорят проактивка,другие hips а это часом не одно и тоже а?

а вообще dr.web проактивка(HIPS) не помешает но это конечно мое субьективное мнение а решать разработчикам

[Eugeny Gladkih]

там другая проблема, по 100 файлов в архиве, половина детектися, половина эвристик, etc.

Значит такие тикеты тоже обрабатываются? Естественно, скорость обработки едет с поправкой на количество файлов в архиве.
Это радует
А то отослал архив с > 400 файлами и думаю - обработают/не обработают

ууу... опять vx heaven?

[Alexander Goryachev]

li0ne

Kido/Shadow прекрасно показал всё.
Замечательно заражались все.

Не все.

[Alexander Goryachev]

Eugeny Gladkih

ууу... smile.gif опять vx heaven?

Там помимо некоторого хлама есть и очень занимательные штуки. А некоторые и не ловятся, хотя рабочие и очень даже.

[Aitishnik]

Люди добрые, какая-такая проактивная защита? Какие-такие HIPS технологии? Вы когда последний раз юзера ушастого видели? Как вам понравится диалог, в котором участвовал я лично:

- А у меня тут антивирус сказал, что сколько-то там вирусов нашёл...
- И что же Вы сделали?
- Нажала "игнорировать", чтобы они игнорировались моим компьютером и ему не мешали...

Понимаете суть? Антивирус - хороший, лицензионный, с дефолтными заводскими настройками - нашёл некую заразу и высветил юзеру вопрос вида: "Хозяин, я тут заразу нашёл, что сделать с ней - лечить, удалить, переименовать, или уж игнорировать?". Казалось бы, ответ очевиден... но - только не для юзера. Этот изобретает свои значения слов и свои ответы на тривиальные вопросы. А потому, юзеру не нужно задавать вопросов. Вообще никаких. Хорошая система защиты должна работать, не требуя вообще никакого user interaction, полностью автономно. 



Я вот помню, когда вышла версия Outpost Firewall Free, многие как польователи, так и, гм, недо-сисадмины начали её пихать куда попало. Это было во времена ещё до-ХРSP2шные, часто использовалась 2000-я и представители семейства 9х, а потому персональный фаерволл был, действительно, в чём-то актуален. Вот только дефолтным режимом работы у него был режим обучения, в котором фаерволл задавал вопросы вида "Хозяин, тут программа program.exe ломится на 195.230.64.13 на порт 666 по протоколу UDP - разрешить, разрешить всё, запретить, запретить всё, нарисовать правило?". И что же происходило? Правильно. Находились толпы пользователей с атрофированным мозгом, тех самых юзеров, которые запрещали доступ к Интернету iexplore.exe или svchost.exe, а затем звонили какому-нибудь "компьютерщику" и плакали в трубку: "у меня Интернет не работает, помоги!". Причём, что характерно, очень часто это делали сами установившие фаерволл. Они-то думали, что его достаточно установить - а дальше всё будет само, понимаете? А тут ещё вопросы какие-то задаются...



Резюмирую. HIPS-подобные технологии, поведенческие блокираторы, и всякие подобные новомодные приблуды, полагающиеся на взаимодействие с пользователем, принесут намного больше проблем от неизбежного запрещения пользователями легитимных действий или разрешения вредоносных действий, чем реальной пользы. Посему, если даже их и делать (по маркетинговым причинам) - то по дефолту не устанавливать. Только в режиме какой-нибудь advanced установки, во время которой пользователю придётся подтвердить свои знания основ безопасности, подтвердить необходимость HIPSa. 



...хотя, имхо, комбайн - штука изначально порочная. Программа должна хорошо делать одно дело, а не хреново делать кучу таковых. А то делают зачем-то в фаерволле антиспайварь (Outpost) или в дискорезалке плееры (Nero)... и нафига, если на рынке есть намного лучшие антиспайвари и плееры? Просто "шоб було"? Ну тогда это хотя бы ставить по дефолту не надо...

[Valera]

старики:
https://www.virustotal.com/ru/analisis/b462...8467fbc799d01a6
https://www.virustotal.com/ru/analisis/747e...ce4cbcf0974cbbc
https://www.virustotal.com/ru/analisis/69bb...dd86b5745afbe22
https://www.virustotal.com/ru/analisis/a2ba...6a519505e6a2fc5

Я так понимаю - большенство антивирусных компаний ловят "стариков",
по этому они "негодяи", ведь в одной компании D. считают что старые вирусы
нельзя ловить, ведь они СТАРЕНЬКИЕ и могут не пережить этого.

По этому, предлогаю организовать профсоюз по защите старых вирусов от других антивирусных компаний.
Напишем им письмо, что бы прекратили свой беспредел в отнашении стариков.
И потребуем прекратить ловить стариков в будущем! И молодых тоже, потому что они скоро постареют!

[kribston]

В середине января пошёл к товарищу, который нацеплял в сети незнамо что. Пропали управление мышью диспетчер задач и т.д. Стоял у него лицензионный 5.0, который говорил, что всё в порядке. Ручками изловил злодея, проверка онлайн ничего не дала. Я упаковал их в архив и отправил на Drweb. Дал два адреса почты товарища и свой, до сих пор ни ответа ни привета! В феврале проверил архив снова оказался Trojan.Packed.196. А Вы говорите номер тикета!

[YVS]

ууу... опять vx heaven?

Неее
И, как оказалось, там есть весьма интересные "экземпляры"
Доктор задетектил менее половины проверенных объектов.

[maxic]

А Вы говорите номер тикета!

Когда я отсылаю, всегда приходит номер тикета, обычно сразу же, реже - с опозданием на час.
Последнее что отсылал (за неделю), было обработано достаточно оперативно, грех жаловаться. Причем номера тикетов в форуме не опубликовывал.

[maxwello]

Понимаете суть? Антивирус - хороший, лицензионный, с дефолтными заводскими настройками - нашёл некую заразу и высветил юзеру вопрос вида: "Хозяин, я тут заразу нашёл, что сделать с ней - лечить, удалить, переименовать, или уж игнорировать?". Казалось бы, ответ очевиден... но - только не для юзера. Этот изобретает свои значения слов и свои ответы на тривиальные вопросы. А потому, юзеру не нужно задавать вопросов. Вообще никаких. Хорошая система защиты должна работать, не требуя вообще никакого user interaction, полностью автономно.

ну еще как вариант собрать цвет нации кодеров и написать программу автономной работы компа без участия пользователя!

Находились толпы пользователей с атрофированным мозгом, тех самых юзеров, которые запрещали доступ к Интернету iexplore.exe или svchost.exe, а затем звонили какому-нибудь "компьютерщику" и плакали в трубку: "у меня Интернет не работает, помоги!". Причём, что характерно, очень часто это делали сами установившие фаерволл. Они-то думали, что его достаточно установить - а дальше всё будет само, понимаете? А тут ещё вопросы какие-то задаются...

в данном случае проблема самих юзеров так как любая мало мальски сложная прога требует изучения процесса установки и пользования продукта и для этих целей существует руководство разработчика и весь существующий support

Резюмирую. HIPS-подобные технологии, поведенческие блокираторы, и всякие подобные новомодные приблуды, полагающиеся на взаимодействие с пользователем, принесут намного больше проблем от неизбежного запрещения пользователями легитимных действий или разрешения вредоносных действий, чем реальной пользы.

не факт! существует известный продукт с HIPS-подобной технологией и как ни странно пользуется замечательным спросом как у нас так и за рубежом или там тоже мучаются?

...хотя, имхо, комбайн - штука изначально порочная. Программа должна хорошо делать одно дело, а не хреново делать кучу таковых.

программа должна хорошо делать ВСЕ! даже если перед ней стоит одна задача или несколько и это уже в свою очередь задача кодеров.

[cadet-ua]

Вопрос знатокам!!!

Это вирус или нет - https://www.virustotal.com/ru/analisis/946c...4636b00ff2c8287