173 ответов в этой теме

[Eugeny Gladkih]

Хорошо. Возьмём на карандаш, а пока вернёмся к предыдущей теме. По приведённым выше тикетам скажите - время назначения детекта по письмам и время, когда у вас ещё не было детекта.

17:32:04 2011 Ticket created
19:26:37 2011 Virus Win32.HLLW.Autoruner1.5310 added

[pig]

Плюс ещё два часа на выход базы в релиз. Так?

[Konstantin Yudin]

Плюс ещё два часа на выход базы в релиз. Так?

почему два? 30-60 макс.

[Borka]

Ну обновления-то не раз в полчаса.

[Banzai]

Хорошо. Возьмём на карандаш, а пока вернёмся к предыдущей теме. По приведённым выше тикетам скажите - время назначения детекта по письмам и время, когда у вас ещё не было детекта.

17:32:04 2011 Ticket created
19:26:37 2011 Virus Win32.HLLW.Autoruner1.5310 added

Подтверждаю, пришло на почту 19:35

Сейчас 7-05 москвы, тока тока пришел на работу обновил базы, файлы детектятся. Когда были добавлены в базы - не знаю. Буду благодарен если скажете где можно узнать.

[maxic]

Banzai, http://updates.drweb.com/

[Banzai]

мало конкретных данных для разговора.

То есть, я че все придумываю?

ничего подобного я не говорил.
хоть один раз я получу ответ на свои вопросы или нет?

Прошу прощение, но конкретных данных не предоставлю. Нет желания все это рыть.
Поймите, эти наблюдения по долгой задержке имеют быть месту, речь не идет о разовых случаях, а сильно участившимся.
Когда годами отработанная технология начинает сбоить, когда недовольство клиентов оправдано, а всякие мелочи наинают доставать и приводить к сбоям в работе сервиса, то есть огромное желание привести все дела в порядок, вот я и пишу сюда все свои недовольства

[lazarevee]

Коней на переправе не меняют..скорее всего лицензия к концу приблизилась, вот и мандражируют такие клиенты.

[userr]

Прошу прощение, но конкретных данных не предоставлю. Нет желания все это рыть.

что "рыть"? письма, отправленные вчера?

Поймите, эти наблюдения по долгой задержке имеют быть месту, речь не идет о разовых случаях, а сильно участившимся.

Не понимаю. Нет конкретных данных - нет разговора.

[maxic]

Partizan, не стоит комментировать, если не понимаете смысла. У кого закончилась лицензия? У партнера компании?

[Banzai]

Не понимаю. Нет конкретных данных - нет разговора.

Хорошо, если я буду ща сидеть протоколировать каждую отправку файлов и докажу что тормоза имеют место ВЫ САМИ КОНКРЕТНО МОЖЕТ ПОВЛИЯТЬ НА ЭТО! ? Я в предыдущий темах делал логи по вашему требованию, часами выковыривал их, и что? Толк был ХОТЬ РАЗ?
Я сам лично вас просил отправлить два файла! из-за глюков обработки тикетов. Поднимите личку.
Я блин тут сижу от нехрен делать пишу.

[userr]

Не понимаю. Нет конкретных данных - нет разговора.

Хорошо, если я буду ща сидеть протоколировать каждую отправку файлов и докажу что тормоза имеют место ВЫ САМИ КОНКРЕТНО МОЖЕТ ПОВЛИЯТЬ НА ЭТО! ?

Здесь в теме уже отметились люди, которые могут повлиять. Сформулируйте четко проблему, приложите необходимые данные, будем работать.

Я в предыдущий темах делал логи по вашему требованию, часами выковыривал их, и что?

Ничего подобного. Я ни разу не добился от Вас правильных логов. И про "часы" не надо здесь рассказывать, правильные логи, которые я запрашивал, делаются 20 минут от силы.

Я сам лично вас просил отправлить два файла! из-за глюков обработки тикетов. Поднимите личку.

Поднял, конечно. Вы писали, что долго не приходят тикеты после отправки файла в вирлаб. Я ответил, и в личке и здесь в теме, что это скорее всего Ваша проблема, Вашего почтового сервера или провайдера. И запросил в личку такое "запоздалое" письмо из вирлаба со всеми техническими полями. И, конечно же, ничего от Вас не получил.

Слова, слова... четко назовите проблему! долго не приходит письмо с назначением тикета? Приходит ответ ОБРАБОТАНО из вирлаба, но долго нет детекта? Покажите! конкретно!

[ezzo]

а что спорить то? Не пойму, зачем логи, если тут идет речь о затрачиваемом времени для добавлении угрозы в базу?
Да, угрозы добавляются в базы дольше чем хотелось бы. Факты умеют место быть.
ЗЫ: у ЛК это занимает около 3-5 часов, то есть после того как файл попал аналитику, на компах юезров детект будет через 3-5 часов.

[lazarevee]

ESET. Ответ на обращение № 535383 От кого Кому ххх-lee@rambler.ru Когда 7 декабря 2011 в 14:13
Здравствуйте.

47 30.11.2011
Присланный Вами вирус определяется с версией базы данных сигнатур вирусов №6670

Спасибо за помощь в борьбе с вирусами.

коментарий -
http://www.virustota...61ff-1322566491 <
как видите, сначала добавили в базу, потом говорят, что уже детектирует ,а прошла неделя с +...Вот за спасибо - спасибо !
Если уж сравнивать так с разными, а не с ЛК только, на какую то определённую угрозу.

Сообщение было изменено Partizan: 07 Декабрь 2011 - 20:27

[Vindows]

На VT базы старые, он давно его ловит, и ловил даже тогда когда его в базах небыло.
И вообще нужно отправлять либо через антивирус либо на samples@eset.sk

Только что проверил:
http://www.virustota...2c67-1323288687
Microsoft 1.7903 2011.12.07 Trojan:Win32/Vundo.OD
NOD32 -
DrWeb -
Kaspersky 9.0.0.837 2011.12.07 -
Он-же W32/Agent.SFM, Trojan-Dropper.Win32.Cidox, Mayachok. Свежий файл почти всегда не детектирует не один антивирус.
Запускаю сразу файл прямо на реальной машине(я тут весь в HIPS-ах и так далее):


Вредоносный процесс сразу убит, а файл сразу удален или после перезагрузки. Файл с точным вердиктом автоматически отправляется:


Файл будет добавлен в базы, в следующее обновление.

Это невозможно обойти некакой модификацией файла, переупаковкой или защитой файла протектором.

NOD32 так ловит очень многих зверушек, например Win32/SpyVoltar.A. А после обкатки, тестирований, доводки и доработки и некоторой модикикации технологий это будет делатся в неком другом варианте на все 100% зверушек:
http://www.cebit.de/.&#46;&#46;/video?id=41985

Просто всё и сразу невозможно реализовать и чтобы это работало правильно, в пятерочку далеко не всё успели воткнуть.(чтобы работало правильно и чтобы было без багов)

Richard Marko сказыл что они уже давно и успешно работают над новыми технологиями для новой версии.


Интернет эвристика ловит больше, расширенная эвристика запуска файла, Live Grid, HIPS, SysInspector Live Grid(+ много там чево в нём), IDS и ещё много чего. Завидуете так завидуйте молча, потому-что они точно всех поставят в нужную позу.

Сообщение было изменено Vindows: 08 Декабрь 2011 - 00:31

[Konstantin Yudin]

Виталик, не надоело?

все что вы тут пишите и другие это капля... вы не видите ничего, ЕЖЕДНЕВНО поступают тысячи тысячи не детектируемых семплов, их не видит ни ЛК, ни ESET... ни вообще никто. а вы тут о единичных случаях. в рельных маштабах потока десятков тысяч наш ав очень достойно держится. и ловим мы по более именитых вендоров. только жаль этого никто никогда не увидит и не оценит. в общем тема по определению обречена на флейм

[Vindows]

К размышлению:
rootkit ZeroAccess, MAX++ - только что скачал.


http://www.virustotal.com/file-scan/report.html?id=0bcb452fdd9b82c6499adc2486769af78e0ea77397d0c40f104cc1c53123270f-1323299463
NOD32 -
DrWeb -

Касперский просто уже добавил, не важно прислали или стырел. А так он тоже не видел, новенький файл. Короче самая обычная ситуация для этого зверька, это когда на VT никто не детектирует файл.

Запустил у себя на машине, ловится и ловется не детектируемый файл, не обойти.
http://smages.com/images/676776783.png
Я могу скриншотить так очень очень многих зверьков.

Сообщение было изменено Vindows: 08 Декабрь 2011 - 02:39

[lazarevee]

Vindows,
Я сделал файлик и 1000 икаров и запаковал в рар сфэекс, при запуске распаковка в %temp% Каспер и Нод очень долго их жуют.... А Доктор секунд 10. (Спайдером). Сканером ещё быстрей !!!

Сообщение было изменено Partizan: 08 Декабрь 2011 - 08:45

[m1n1mal]

Запустил у себя на машине, ловится и ловется не детектируемый файл, не обойти.
http://smages.com/images/676776783.png
Я могу скриншотить так очень очень многих зверьков.

Ну так Вы же ничего не говорите о том, что базы Вашего антивируса, свежее чем на VT.

VT:
Submission date:
2011-12-07 23:11:03 (UTC)
NOD32 6691 2011.12.07 -

Ваш скриншот:
6692 - Вполне возможно, что файл уже был добавлен!

Прикрепленные файлы:

•  676776783.png   14,75К   4 Скачано раз

Сообщение было изменено m1n1mal: 08 Декабрь 2011 - 12:26

[m1n1mal]

Вот Вам ссылка на VT тот же файл... только картина поменялась, НОД все также не видит так как сидит на базе 6691, а Доктор уже детектит!
http://goo.gl/Gk4VX
Если бы на VT обновляли AV порядочно, то и споров меньше возникало.