56 ответов в этой теме

[talka3]

Как-то на сайте DrWeb видел упоминание о том, что "наша компания входит в ассоциацию антивирусным компаний (или типа того) которые обмениваются информацией о вирусах". Или это было когда-то, а сейчас уже нет, или что?

Сегодня, послав в VMS очередные два виря, определяющихся 3/4 из более 40 антивирусников на virustotal.com, как-то опять задумался об этом...

Если обмен есть, то - "где оно, собственно"? Один из вирей был известен на virustotal еще два месяца назад!
Kaspersky, Symantec, McAfee, NOD32, Avast, Panda - вирус знают.
Антивирусы "второго", "третьего" эшелона, названий которых даже и не слышал - знают.

А Dr.Web чего ?!?!?

Прикрепленные файлы:

•  c.txt   4,37К   53 Скачано раз
•  sdra64.txt   3,7К   53 Скачано раз

[v.martyanov]

А если подумать? Одна запись - не факт что один вирус.

[Leshiu]

Обмена информации небыло, нет и не будет. Иначе смысл в 40 продуктах, когда можно всем тогда поставить один?

[Denis Lipnicky]

Обмена информации небыло, нет и не будет. Иначе смысл в 40 продуктах, когда можно всем тогда поставить один?

Вот здесь я думаю вы ошибаетесь. Обмен есть.Каждый день обменивающимися сторонами выкладывается зашифрованная коллекция вирусов, пойманных за этот день вирусов.

[sergeyko]

Обмена информации небыло, нет и не будет. Иначе смысл в 40 продуктах, когда можно всем тогда поставить один?

Обмен вирусам есть и будет продолжаться. Антивирусы, все-таки, пользователей защищают, а не только бабосы сосут.

А вот к топикстартеру, так хорошо осведомленному про эшелоны антивирусов есть вопрос.
Почему вы, talka3, решили, что все, что определяется уважаемыми антивирусами, является обязательно вирем? Практика показывает, чтобитый упакованный ноутпад запросто может детектироваться 3мя 4тями на VT.

[talka3]

А если подумать? Одна запись - не факт что один вирус.

Подумал. А причем здесь записи? Это хорошо, что одна запись может "ловить" больше одного вируса. Но вот передо мной два вируса, которые Dr.Web с только что скачанными базами не видит (см. аттачи в первом сообщении).

Обмена информации небыло, нет и не будет. Иначе смысл в 40 продуктах, когда можно всем тогда поставить один?

Это официальный ответ?

"Система глобального вирусного мониторинга Dr.Web собирает образцы вирусов по всему миру."
Какие-то заштатные антивирусы вирус давно знают, а DrWeb...

[v.martyanov]

А если подумать? Одна запись - не факт что один вирус.

Подумал. А причем здесь записи? Это хорошо, что одна запись может "ловить" больше одного вируса. Но вот передо мной два вируса, которые Dr.Web с только что скачанными базами не видит (см. аттачи в первом сообщении).

Обмена информации небыло, нет и не будет. Иначе смысл в 40 продуктах, когда можно всем тогда поставить один?

Это официальный ответ?

"Система глобального вирусного мониторинга Dr.Web собирает образцы вирусов по всему миру."
Какие-то заштатные антивирусы вирус давно знают, а DrWeb...

Раз у вас есть вирус, который не ловится - при чем тут обмен?

[talka3]

А вот к топикстартеру, так хорошо осведомленному про эшелоны антивирусов есть вопрос.
Почему вы, talka3, решили, что все, что определяется уважаемыми антивирусами, является обязательно вирем? Практика показывает, чтобитый упакованный ноутпад запросто может детектироваться 3мя 4тями на VT.

3-мя, 4-мя - ладно. А 20-ю, 30-ю? (см. аттачи в моем первом посте).

Да и вообще - банальное логическое размышление человека, почти ежедневно занимающегося лечением вирей на компах юзеров:
Файл sdra64.exe, лежащий в system32, заблокированный, скрытый от системы (не виден тем-же FAR'ом), прописанный в реестре в разделе Winlogon/Userinit - это что?

[v.martyanov]

А вот к топикстартеру, так хорошо осведомленному про эшелоны антивирусов есть вопрос.
Почему вы, talka3, решили, что все, что определяется уважаемыми антивирусами, является обязательно вирем? Практика показывает, чтобитый упакованный ноутпад запросто может детектироваться 3мя 4тями на VT.

3-мя, 4-мя - ладно. А 20-ю, 30-ю? (см. аттачи в моем первом посте).

Да и вообще - банальное логическое размышление человека, почти ежедневно занимающегося лечением вирей на компах юзеров:
Файл sdra64.exe, лежащий в system32, заблокированный, скрытый от системы (не виден тем-же FAR'ом), прописанный в реестре в разделе Winlogon/Userinit - это что?

Файл с MD5 d4c9e05bf4e510384ba4d8fe0c720de4 - это что?

[talka3]

А если подумать? Одна запись - не факт что один вирус.

Подумал. А причем здесь записи? Это хорошо, что одна запись может "ловить" больше одного вируса. Но вот передо мной два вируса, которые Dr.Web с только что скачанными базами не видит (см. аттачи в первом сообщении).

Обмена информации небыло, нет и не будет. Иначе смысл в 40 продуктах, когда можно всем тогда поставить один?

Это официальный ответ?

"Система глобального вирусного мониторинга Dr.Web собирает образцы вирусов по всему миру."
Какие-то заштатные антивирусы вирус давно знают, а DrWeb...

Раз у вас есть вирус, который не ловится - при чем тут обмен?

Вы о чем? Я не писал "не ловится вообще".
"Который не ловится" - только 8-ю из 41 антивирусов, среди этих 8-ми - DrWeb...

[v.martyanov]

Ну вот я и спрашиваю - при чем тут обмен?

[talka3]

А вот к топикстартеру, так хорошо осведомленному про эшелоны антивирусов есть вопрос.
Почему вы, talka3, решили, что все, что определяется уважаемыми антивирусами, является обязательно вирем? Практика показывает, чтобитый упакованный ноутпад запросто может детектироваться 3мя 4тями на VT.

3-мя, 4-мя - ладно. А 20-ю, 30-ю? (см. аттачи в моем первом посте).

Да и вообще - банальное логическое размышление человека, почти ежедневно занимающегося лечением вирей на компах юзеров:
Файл sdra64.exe, лежащий в system32, заблокированный, скрытый от системы (не виден тем-же FAR'ом), прописанный в реестре в разделе Winlogon/Userinit - это что?

Файл с MD5 d4c9e05bf4e510384ba4d8fe0c720de4 - это что?

В моих аттачах нет логов файла с такой MD5.

sdra64.exe - MD5: 5881c180154791c9623b00244b0c3cb9
c.exe - MD5: a971e21627e035660c13091768a11944

[v.martyanov]

Абалдеть! По MD5, значит, нельзя сказать что там, а по имени файла и атрибутам - это можно. А ничего, что MD5 сумма все-таки несколько более уникальная характеристика ;-)

[sergeyko]

Обмена информации небыло, нет и не будет. Иначе смысл в 40 продуктах, когда можно всем тогда поставить один?

Это официальный ответ?

Здесь вы не получите официального ответа. Не то место.

[talka3]

Ну вот я и спрашиваю - при чем тут обмен?

При том, что - как так получается, что один из самых популярных антивирусов не знает вируса, уже два месяца известного другим антивирусам, причем даже таким, название-то которых мало кто знает?

[YVS]

а по имени файла и атрибутам - это можно

С помощью хрустального шара?

[v.martyanov]

Ну вот я и спрашиваю - при чем тут обмен?

При том, что - как так получается, что один из самых популярных антивирусов не знает вируса, уже два месяца известного другим антивирусам, причем даже таким, название-то которых мало кто знает?

Связь-то какая? Знает вирус 2 месяца какой-нибудь SpyGuard2010 и что? Каким боком тут обмен прицепить - не понимаю, чесслово :-)

[talka3]

Абалдеть! По MD5, значит, нельзя сказать что там, а по имени файла и атрибутам - это можно. А ничего, что MD5 сумма все-таки несколько более уникальная характеристика ;-)

Про какие атрибуты вы говорите?
Я вам привел MD5 тех файлов, про которые я говорю. Они есть в приаттаченных логах.
А что за MD5, от какого вообще файла, вы мне написали?

[v.martyanov]

Абалдеть! По MD5, значит, нельзя сказать что там, а по имени файла и атрибутам - это можно. А ничего, что MD5 сумма все-таки несколько более уникальная характеристика ;-)

Про какие атрибуты вы говорите?
Я вам привел MD5 тех файлов, про которые я говорю. Они есть в приаттаченных логах.
А что за MD5, от какого вообще файла, вы мне написали?

"Файл sdra64.exe, лежащий в system32, заблокированный, скрытый от системы (не виден тем-же FAR'ом), прописанный в реестре в разделе Winlogon/Userinit - это что?" - кто писал? Явно не я. И я тут (кажется успешно) показал сложность определения что же там за файл по гораздо более уникальной характеристике - MD5 сумме. Мало того, что на этот ваш вопрос ответить по имеющимся данным нельзя в принципе, так еще и с темой (то есть обменом коллекциями) он не связан.

[talka3]

Ну вот я и спрашиваю - при чем тут обмен?

При том, что - как так получается, что один из самых популярных антивирусов не знает вируса, уже два месяца известного другим антивирусам, причем даже таким, название-то которых мало кто знает?

Связь-то какая? Знает вирус 2 месяца какой-нибудь SpyGuard2010 и что? Каким боком тут обмен прицепить - не понимаю, чесслово :-)

Мдя...
Разработчики этого "SpyGuard2010" могли бы поделиться сигнатурой найденного вируса с разработчиками других AV - вы этого не понимаете?