66 ответов в этой теме

[Lvenok]

а есть гарантия что через тимвивер не закинут?

Гарантии на 100% быть не может, есть вероятность и статистика.

[d.a.panov]

 

 

 

 

Может кто не слышал, но я бы наверное полностью отказался от AmmyyAdmin после такого http://www.comss.ru/page.php?id=3377.

тогда нужно отказаться от всего, спрятать комп в сейф, а сейф затопить в марианской впадине. Пока альтернативы Ammyy не вижу. Ну а антивирус для того и предназначен, что бы ловить вирусы.

 

Альтернатива есть в виде TeamViewer. А некоторые люди добавляют AmmyyAdmin в правила исключения антивируса и делают это вполне осознанно. Завтра вам шпиона закинут, а вы даже знать об этом не будете. 

 

а есть гарантия что через тимвивер не закинут? поэтому и выбирали платный антивирус.

 

У TeamViewer официальный сайт не взламывали, а у ребят из AmmyyAdmin  уже несколько раз ломали и заливали модифицированную версию AmmyyAdmin. 

 

1) вы меня пытаетесь убедить, что DrWeb мне не нужен, если перед использованием той или иной программы просмотреть историю взлома её оффсайта или что?

2) откуда у вас такая уверенность, что сайт тимвивер не сломают? или сайт Microsoft? у меня нет такой уверенности, поэтому я пользуюсь DrWeb, и хочу, что бы он не вешал мне систему при детекте вредоноса.

3) заканчивайте оффтоп аммии против тимвивер, мне это не интересно. здесь другая тема для обсуждения.

[mike 1]

 

 

1) вы меня пытаетесь убедить, что DrWeb мне не нужен, если перед использованием той или иной программы просмотреть историю взлома её оффсайта или что?

Нет. Пользуйтесь чем нравится, но я бы не доверил свой компьютер компании, которая сама не может позаботиться о безопасности своего официального сайта. 

 

 

 

2) откуда у вас такая уверенность, что сайт тимвивер не сломают? или сайт Microsoft? у меня нет такой уверенности, поэтому я пользуюсь DrWeb, и хочу, что бы он не вешал мне систему при детекте вредоноса.

Это очень хорошо, но когда сайт ломают по нескольку раз, то это наводит на определенные мысли. См. пункт 1. 

 

 

 

3) заканчивайте оффтоп аммии против тимвивер, мне это не интересно. здесь другая тема для обсуждения.

Автор этого топика не Вы. 

[SergSG]

но я бы не доверил свой компьютер компании, которая сама не может позаботиться о безопасности своего официального сайта. 

Сайт компании и ее продукция не совсем одно и тоже. Хотя, определнная корреляция наверное есть...

[gapsf]

Здравствуйте.

Мы уже 11 лет используем DrwebES и второй год - платный "Ammy admin" для работы с клиентами.

Выбрали "Ammy admin" из-за меньшей цены.

 

На компьютерах сотрудников постоянные уведоемления об обнаруженной угрозе.

Логи все "засраны" сообщениями о "Program.RemoteAdmin.701" и "Program.Ammyy.14".

 

Исключения по имени файла - неэффективны: файлы могут называться как угодно и лежать где угодно.

Исключения по имени процесса - неэффективны: процесс может называться как угодно.

 

Очень бы  хотелось исключение по регулярке имени угрозы - по классификации самого drweb'а.

 

Т.е. я бы указал в исключениях: игнорировать угрозы "Program.RemoteAdmin.701" и "Program.Ammyy.14" и было бы неважно что это за файлы и где они.

 

Да, это не исключит сами файлы из сканирования, зато позволит точечно не выдавать сообщения об угрозах, которые нам совсем не угрозы.

Сообщение было изменено gapsf: 11 Октябрь 2016 - 11:10

[maxic]

Т.е. я бы указал в исключениях: игнорировать угрозы "Program.RemoteAdmin.701" и "Program.Ammyy.14" и было бы неважно что это за файлы и где они.

Такого функционала нет.

Но можно поставить в игнор потенциально опасные.

 

Я создавал ярлык юзерам на файл, лежащий на серваке, и добавлял путь в исключения. Это решало проблему.

[VVS]

Здравствуйте.

Мы уже 11 лет используем DrwebES и второй год - платный "Ammy admin" для работы с клиентами.

Выбрали "Ammy admin" из-за меньшей цены.

 

На компьютерах сотрудников постоянные уведоемления об обнаруженной угрозе.

Логи все "засраны" сообщениями о "Program.RemoteAdmin.701" и "Program.Ammyy.14".

 

Исключения по имени файла - неэффективны: файлы могут называться как угодно и лежать где угодно.

Исключения по имени процесса - неэффективны: процесс может называться как угодно.

Исключения по имени процесса неэффективны потому, что не имеют к делу никакого отношения.

Воспроизведите проблему, после чего создайте отчёт DrWeb и приложите его сюда с указанием точного времени, когда наблюдалась проблема.

На основании отчёта можно будет сказать, какие файлы нужно внести в исключения.

[maxic]

VVS, 

файлы могут называться как угодно и лежать где угодно.

[VVS]

 

VVS, 

 

файлы могут называться как угодно и лежать где угодно.

 

Не верю © за исключением случая, если пользователь сам их переименовывает.

[gapsf]

 

Здравствуйте.

Мы уже 11 лет используем DrwebES и второй год - платный "Ammy admin" для работы с клиентами.

Выбрали "Ammy admin" из-за меньшей цены.

 

На компьютерах сотрудников постоянные уведоемления об обнаруженной угрозе.

Логи все "засраны" сообщениями о "Program.RemoteAdmin.701" и "Program.Ammyy.14".

 

Исключения по имени файла - неэффективны: файлы могут называться как угодно и лежать где угодно.

Исключения по имени процесса - неэффективны: процесс может называться как угодно.

Исключения по имени процесса неэффективны потому, что не имеют к делу никакого отношения.

Воспроизведите проблему, после чего создайте отчёт DrWeb и приложите его сюда с указанием точного времени, когда наблюдалась проблема.

На основании отчёта можно будет сказать, какие файлы нужно внести в исключения.

 

Я недостаточно хорошо объяснил.

Проблемы с исключениями по имени процесса или файла у нас нет.

Нужна новая фича - исключение по имени угрозы, т.к. это более устойчивый атрибут, характеризующий угрозу, чем имя файла или процесса.

Такая возможность позволит нам игнорировать угрозы выборочно на нашей стороне локально и по нашему усмотрению без добавления исключений в общую базу через поддержку дрвеб.

Сообщение было изменено gapsf: 11 Октябрь 2016 - 12:00

[Konstantin Yudin]

за одним именем угрозы может быть тысячи программ. это равнозначно отключению категории потенциально опасные программы, которая по дефолту в реал тайм проверках выключена.

[SergSG]

Нужна новая фича - исключение по имени угрозы, т.к. это более устойчивый атрибут, характеризующий угрозу, чем имя файла или процесса.

Интересная мысль. Только вот практическое применение очень сомнительно.

Чтоб ее использовать, нужно иметь кучу программ с разными именами и одним и тем же ложным детектом. Не встречал.

[N1ke]

А я встречал Например установленный через MSI RMS. Детект не ложный, но отключать вообще весь класс детекта "потенциально опасных" ради программы, которой пользуемя сами, странно. Поэтому ставили исключения на пути. А потом кто-нибудь запускал сканер и он выносил msi из папки c:\windows\installer, который там лежит со случайным именем и снести/обновить ПО уже нормально не получается, особенно если заметили это очень поздно и в карантине уже пусто. Так что в качестве фитчи вполне себе неплохая штука, у конкурентов она вроде есть.

С другой стороны и понятно, почему могут не хотеть делать. Выстрелить в ногу с такими исключениями довольно просто. Нам хочется гибкости, им хочется невозможности отстреливать ноги.

Сообщение было изменено N1ke: 11 Октябрь 2016 - 16:34

[SergSG]

А я встречал Например установленный через MSI RMS. Детект не ложный, но отключать вообще весь класс детекта "потенциально опасных" ради программы, которой пользуемя сами, странно. Поэтому ставили исключения на пути. А потом кто-нибудь запускал сканер и он выносил msi из папки c:\windows\installer,

А в чем суть, то? Исключения "по имени суслика" будут работать аналогично - у спайдера и у сканера свои настройки.

Если ПО с неложным детектом сознательно ставится в исключения, то нужно ставить и для спайдера и для сканера одновременно. Полюбому.

Сообщение было изменено SergSG: 11 Октябрь 2016 - 18:21

[N1ke]

А в чем суть, то? Исключения "по имени суслика" будут работать аналогично - у спайдера и у сканера свои настройки.

Суть в том, что сканер залез в MSI, увидел внутри суслика и замочил его, спайдер внутрь не лезет просто, а MSI по пути не исключишь, не исключив вообще все MSI, Имя у него случайное.

[SergSG]

 

А в чем суть, то? Исключения "по имени суслика" будут работать аналогично - у спайдера и у сканера свои настройки.

Суть в том, что сканер залез в MSI, увидел внутри суслика и замочил его, спайдер внутрь не лезет просто, а MSI по пути не исключишь, не исключив вообще все MSI, Имя у него случайное.

Детектится пустой установщик из c:\windows\installer? Конечно, может быть, но не встречал.

[VVS]

за одним именем угрозы может быть тысячи программ. © Konstantin Yudin

[TASS]

Так что в качестве фитчи вполне себе неплохая штука, у конкурентов она вроде есть.

О ком речь?

 

P.S. Об исключениях по хешу слышал.

Сообщение было изменено TASS: 12 Октябрь 2016 - 00:27

[n3m0s]

за одним именем угрозы может быть тысячи программ. © Konstantin Yudin

Тогда можно по хэшу в исключение добавлять. Норм да

[VVS]

 

за одним именем угрозы может быть тысячи программ. © Konstantin Yudin

Тогда можно по хэшу в исключение добавлять. Норм да

 

Подождите, пока не надо - я новый проц только после января покупать буду, а нынешний не потянет.