250 ответов в этой теме

[Vindows]

HIPS у меня настроена, тоже блочит маячок.

[mrbelyash]

>HIPS у меня настроена, тоже блочит маячок.

А также гугль и каспера туда же прописывающегося

[RomaNNN]

Scan Log
Version of virus signature database: 6752 (20111229)
Date: 29.12.2011 Time: 20:04:01
Scanned disks, folders and files: Operating memory;A:Boot sector;A:;C:Boot sector;C:;D:Boot sector;D:
Operating memory » C:UsersVITALIVEAVDesktopuser_10.exe - probably a variant of Win32/Agent.SFM trojan - cleaned by deleting (after the next restart) - quarantined [1,2]

т.е. в памяти эвристик работает, а на лежащий на рабочем столе файл не сработает. Я правильно понял?

[Vindows]

Да правильно. Ещё и сразу в Live Grid Network файл отсылает. Активные Маячки и Cidox всякие, тоже в памяти эвристикой видит, мне сейчас некогда на виртуальной машине проверять, но я один форум переодически читаю.

Сообщение было изменено Vindows: 29 Декабрь 2011 - 19:43

[RomaNNN]

Он ловит эвристикой все 100% маячка.

Ага, только вы забыли добавить, что тот файл, который я привел в пример и тот, что показали вы разные. По хешам не сходится...

Mayachok, который тестировали вы - VT - детектится и сигнатурой DrWeb и эвристиком Panda
Mayachok, который взял я в посте #120 - VT - детектится эвристиком Panda

И вообще, я же веду не к тому, что у АВ Panda эвристик лучше чем у NOD32, или наоборот. Согласитесь, у DrWeb по сравнению с ними он сильно хромает...

Сообщение было изменено RomaNNN: 29 Декабрь 2011 - 19:49

[mrbelyash]

> у DrWeb по сравнению с ними он сильно хромает...

Хромает по дроперам..ибо они уж очень разные....у себя на машине смотрел.

А вот детект конкретно самого маячка в памяти дрвебом практически 100 %

[RomaNNN]

у DrWeb по сравнению с ними он сильно хромает...

Хромает по дроперам..ибо они уж очень разные....у себя на машине смотрел.

По дропперам, даунлоадерам, винлокам, крипторам. список большой, по сравнению с теми же Panda, NOD32

А вот детект конкретно самого маячка в памяти дрвебом практически 100 %

Ну с этим спорить не буду, маячок для DrWeb-а -- коронное блюдо

Ну и конечно же лучше всех у DrWeb FLY-CODE (в плане разбора неизвестных упаковщиков, а не эвристика)

[mrbelyash]

>Ну и конечно же лучше всех у DrWeb FLY-CODE (в плане разбора неизвестных упаковщиков, а не эвристика)

вот тут врядли....

[RomaNNN]

вот тут врядли....

Поясни...

[mrbelyash]

вот тут врядли....

Поясни...

Логически...Если нет нормальной распаковки, то откуда взяться эвристике?Винлоки перепаковываются и каждый раз нет детекта...ни эвристикой, ни сигнатурно.А если глянуть на работу флайкода(exelab...там конечно возможна своя специфика и ошибки) но нормальной распаковки нестандартного пакера там не увидел...upx да..нормально разбирает,а вот не стандартное не может....модули получаются не рабочие и совсем разные (оно конечно может запись представляет собой скрипт и такое полученное тело тоже разбирает, но у меня под дебагером не получается с ним работать)но это так..предположение навскидку.

[Vindows]

> у DrWeb по сравнению с ними он сильно хромает...

Хромает по дроперам..ибо они уж очень разные....у себя на машине смотрел.

А вот детект конкретно самого маячка в памяти дрвебом практически 100 %

Ну это после того как файл добавят в базы. У некоторых эвристика и руткиты в памяти видит, ещё есть и расширенная эвристика запуска файлов(дроппер говорите, ну,ну,.. ) SysInspector c эвристиками и Live Grid и ещё много чего. Richard Marko говорил что они давно и успешно зазрабатывают много технологий, и будут внедрять самое передовое и новое в новою версию. Естественно не всё сразу, постепенно.

[RomaNNN]

Логически...Если нет нормальной распаковки, то откуда взяться эвристике?Винлоки перепаковываются и каждый раз нет детекта...ни эвристикой, ни сигнатурно.А если глянуть на работу флайкода(exelab...там конечно возможна своя специфика и ошибки) но нормальной распаковки нестандартного пакера там не увидел...upx да..нормально разбирает,а вот не стандартное не может....модули получаются не рабочие и совсем разные (оно конечно может запись представляет собой скрипт и такое полученное тело тоже разбирает, но у меня под дебагером не получается с ним работать)но это так..предположение навскидку.

Вот значит есть куда стремиться, куча всего надо сделать в 2012 году .

Кстати может в трекер напишешь?

[Vindows]

>Ну и конечно же лучше всех у DrWeb FLY-CODE (в плане разбора неизвестных упаковщиков, а не эвристика)

вот тут врядли....

Если открыть гугл можно найти кто такую технологию в Словакии ещё в версии 2.5, 2.7 выпустил, а также придумал эвристику и все что там есть, облоко и всё такое.

Сообщение было изменено Vindows: 29 Декабрь 2011 - 20:24

[mrbelyash]

>Если открыть гугл можно найти кто такую технологию в Словакии ещё в версии 2.5, 2.7 выпустил, а также придумал эвристику и все что там есть, облоко и всё такое.

Однако фолсит и пропускает конкретно..Как же так?

[mrbelyash]

ах да
http://forum.esetnod32.ru/forum3/topic3420/

[Vindows]

Там на НЕ активный файл - детект, что очень очень большая редкость. Первый раз наблюдаю такое, может какой-то сбой, в пятерку не попало. Исправили.

Сообщение было изменено Vindows: 29 Декабрь 2011 - 20:40

[Eugeny Gladkih]

Во первых не видит эвристиком почти вообще, Suspicious file(сам незнает что это! отстой детект) появляется на старые и "и засвеченные" файлы - почти всегда и тоже отстой по количиству пойманных файлов. Вот фалсит на отлично!

Можно расписать про всё подробно, но если коротко, везде по характеристикам полнейший отстой.

Когда я купил всой первый ПК(сейчас я сам собираю) там была уже предустановлена пробная версия Касперского - терпение кончилось, сходил купил Панду(хорошая реклама - всякие сказки похожие на технологии сочиняли они не плохо) кокрас с TruPrevent.
Посмотрел хорошо, врубился что купил, диск об коленку и в окошко вместе с коробкой.

Пускай на западе лохов разводят.

пишите нормальным шрифтом. это в качестве предупреждения

[Serv]

http://forum.drweb.com/shadow/ интересно, что у них там на shadowserver такое происходит уже не первый месяц?

Просветите, пожалуйста, о механизмах работы данного ресурса - откуда они цифры берут? Как получают статистику?
1. Где берут образцы?
2. Как анализируют?

У них мега-крутой вирлаб?

[RomaNNN]

Активные Маячки и Cidox всякие, тоже в памяти эвристикой видит, мне сейчас некогда на виртуальной машине проверять, но я один форум переодически читаю.

Активные маячки на Win7 x64 ESET ну никак не может обнаруживать, даже те, которые есть в базах. Почему? Да потому что маячок его выносит как нефиг делать, и антивирус неработоспособен. Я уже писал об этом.

http://forum.drweb.com/index.php?showtopic=303943&view=findpost&p=542887

[mrbelyash]

эх...не хатит Константин сканером проверять критические ключи....жаль.