18 ответов в этой теме

[ИндивИдуалист]

Здравствуйте. Собственно говоря, в последнее время доковский сканер, монитор и алгоритмы сканирования как-то отстают от Касперского, я бы сказал на шаг позади, а это не радует.

 

 

речь шла о клюшках защитника

 

Может быть, потому что Игорь Данилов слишком увлёкся хоккеем?

 

Задавал вопрос #9229659, касаемо олэй объектов, почему доковская эвристика стала хуже. Возможно, я здесь получу ответ?

 

1. #9229659 Доктор Веб: Вордовский документ=> олэй объект=>внутри стиллак. Сканирую доком, он видит экзэшник в олэе и ничего не делал.

 2020-05-07_11-38-51.jpg   37,38К   1 Скачано раз

Запускаю документ и намеренно открываю стиллер. Доктор Веб его удаляет! Что это за фигня??? Отправляю вордовский документ с олэем на анализ и через несколько дней его добавляют в базы. Теперь вэб удаляет документ при скачивании, однако сам экзэшник стиллера, если просканировать тоже ничего не происходит.

 2020-05-12_21-28-50.jpg   65,15К   0 Скачано раз

 2020-05-12_19-49-05.jpg   52,86К   0 Скачано раз

 

Касперский же удалял документ сразу и показывал, что там 2 вируса без открытия файла причём в тот период, когда в базе дока был только стиллак.

 2020-05-12_19-52-29.jpg   30,09К   0 Скачано раз

Скажете, эвристика не причём? Ладно, более свежий вариант.

 

2. #9236625 Злоумышленники намеренно раздули файл больше 500 мб, чтобы его не залили на вирустотал. Я его сжал в архиваторе на ультре и файл уменьшился на 99%. Внутри закриптованного (или какого там, сканерами он не проверялся) зашит вор паролей.

Распространяют файл (пароль: blogger) в качестве "рекламного" предложения ютьюберам по схеме адвёртинга.

 

Доктор веб не видит в файле ничего подозрительного, в то время как Касперский при отсутствии вируса в базе видит подозрительное поведение и удаляет вирус.

 2020-05-12_03-00-14.jpg   96,56К   0 Скачано раз

Написал на почту касперовцам, они через 12 часов добавили файл в базу, теперь он в базе.

 2020-05-12_19-51-25.jpg   48,35К   0 Скачано раз

Что с эвристикой произошло? Брандмауэр хороший, а как же остальное?

Сообщение было изменено RomaNNN: 12 Май 2020 - 18:58
Выкладывать вирусы на форум запрещено

[Aleksandra]

монитор и алгоритмы сканирования как-то отстают от Касперского, я бы сказал на шаг позади

Да не может быть! Клоун впереди? Серьезно?
 
Кстати, а тут уже разрешили выкладывать вирусы?

[ИндивИдуалист]

Клоун впереди? Серьезно?

Не совсем понимаю вашу иронию)

 

Я имею конкретный опыт, когда вэбовцы позже касперовцев добавляют и про сканирование, почему-то КИСу достаточно увидеть документ и распознать два вируса, а док сканирует - ничего не видит в олэе и потом после запуска стиллера удаляет.

 

Ну и когда вам отправляешь файл. Я спрашивал описание вируса, например, по тикету #8952540 спрашивал как работает вредоносное программное обеспечение - в ответ ничего.

Какие-то даниловцы не общительные уж очень. Ну и посмотрите на скринах, явно же видно Касперский по эвристике обнаружил вирус, док ничего не видит. Удобный брандмауэр, а остальное не дотягивает до конкурента) Ну взяли у вас щит в качестве лого и это повод быть хоккеистами теперь? )))

[ИндивИдуалист]

Отправил #9237020 файл, который док не удаляет. При запуске обнаружит стиллер. Почему док работает как-то не понятно?

[RomaNNN]

1. #9229659 Доктор Веб: Вордовский документ=> олэй объект=>внутри стиллак. Сканирую доком, он видит экзэшник в олэе и ничего не делал.

2020-05-07_11-38-51.jpg

Запускаю документ и намеренно открываю стиллер. Доктор Веб его удаляет! Что это за фигня???

С каким вердиктом был первый детект, перед добавлением в базы BackDoor.Spy.3736?

[RomaNNN]

Теперь вэб удаляет документ при скачивании, однако сам экзэшник стиллера, если просканировать тоже ничего не происходит.

Не воспроизводится, этот бинарь детектится как внутри документа, так и отдельно (прямо из #9237020)

 

По описанию больше похоже, где детекты не сошлись был бинарь был другой, например более или менее свежий, может из другого документа. Других похожих документов не было?

Сообщение было изменено RomaNNN: 12 Май 2020 - 23:32

[Andrey32]

Да не может быть! Клоун впереди? Серьезно?

 

А почему Вы их постоянно называете клоунами? Ведь лучше же ехать в поезде, чем постоянно бежать за ним догоняя, спотыкаясь и сбивать колени об щебень и балки.  Что и происходит собственно после 6 версии. И заливать в уши пользователям что у нас все хорошо, а ты сам дурак. Так что тут смотря еще с какой стороны посмотреть .....  

[Dmitry_rus]

М-ммм.... Предлагаете теперь в каждый подобный пост добавлять тэг #sarcasm, для тех, кто не понял? )

[Andrey32]

Ну если это считается этично, то мой пост тоже  #sarcasm.

[VVS]

Да не может быть! Клоун впереди? Серьезно?

А почему Вы их постоянно называете клоунами? Ведь лучше же ехать в поезде, чем постоянно бежать за ним догоняя, спотыкаясь и сбивать колени об щебень и балки.  Что и происходит собственно после 6 версии.

А что происходит после 6-ой версии?
Лично я считаю, что происходит только улучшение продукта, причём очень существенное.
 

И заливать в уши пользователям что у нас все хорошо, а ты сам дурак. Так что тут смотря еще с какой стороны посмотреть .....

А никто и не писал, что пользователь дурак.
Но вот я считаю, что Ваша квалификация абсолютно недостаточна, чтобы судить о качестве продукта.

[ИндивИдуалист]

С каким вердиктом был первый детект

 

 2020-05-13_16-02-38.jpg   25,27К   2 Скачано раз это был вердикт при запуске стиллака по двойному щелчку по картинке в документе с олэем, я его присылал. В тот период док сканировал инфицированный контейнер и не видел ничего особенного в олэевском экзэшнике.

 

Мой вопрос изначально был в этом. Почему док при сканировании видел этот экзэшник, но удалил стиллер только при запуске? Из-за крипты на файле?

 

 

 

Не воспроизводится, этот бинарь детектится как внутри документа, так и отдельно (прямо из #9237020)

Ну праильна ) я вам отправил документ и вы его занесли в базу, затем я зашёл во временную папку и увидел экзэшник стиллера - проверил сканером, док ничего не увидел, прислал экзэшник самого стиллера и вы тоже его добавили.

 

Почему так странно файловый монитор к подобным файлам относится?

 

 

 

По описанию больше похоже, где детекты не сошлись был бинарь был другой, например более или менее свежий, может из другого документа. Других похожих документов не было?

 

Нет, я тестировал спайдер гада на этом документе. Сейчас проверил, вы поправили в базах, теперь одинаково детектится, однако. Чтобы проверить это, я отключил гада, дабы документ не был удалён при скачивании и вот что обнаружил. Выключил файловый монитор=>скачал документ=>открыл его и снова включил гада. Стиллер был удалён при запуске. Однако опять странная работа файлового монитора. Документ даже без стиллера распознаётся как инфицированный контейнер, тем не менее после удаления стиллера, документ почему-то не удаляется монитором. Как это понимать? Если этот же документ скачать из браузера - гад удалит гада.

Вот, посмотрите   видео работы дока.zip   7,5Мб   6 Скачано раз

 

 

 

Лично я считаю, что происходит только улучшение продукта, причём очень существенное.

Брандмауэр - да, самозащита - да, спайдер гейт неоднозначно, особенно опция "блокировать по просьбе ПО"

Мне больше интересно, почему КИС смог обезвредить стиллер на основании поведения программы, а док нет?

Потому что адвёртеры будут и дальше подсовывать новые стиллаки, а получается, в доке от них только брандмауэр защищает, а эвристика спит.

 

P.S. Если клоун из-за этой статьи, ну не смешно )  я про хоккей вэбовцев интереснее сказал 

Сообщение было изменено ИндивИдуалист: 13 Май 2020 - 14:59

[RomaNNN]

 

С каким вердиктом был первый детект

 

2020-05-13_16-02-38.jpg это был вердикт при запуске стиллака по двойному щелчку по картинке в документе с олэем, я его присылал. В тот период док сканировал инфицированный контейнер и не видел ничего особенного в олэевском экзэшнике.

 

Мой вопрос изначально был в этом. Почему док при сканировании видел этот экзэшник, но удалил стиллер только при запуске? Из-за крипты на файле?

Это как раз механизм превентивной защиты и был, точнее комбинация его и сигнатур, поймали в памяти еще до появления сигнатур на оригинальный файл. Поэтому детекта просто на файле и не было, файловый монитор тут не поможет. А вот после добавления в базы уже и бинарь отдельно детектится, и скан документа сразу выдаст вердикт.

[ИндивИдуалист]

скан документа сразу выдаст вердикт

 

В дополнение к видео по работе файлового монитора. Беру и копирую документ в ту же папку, док пулей реагирует. Первый файл спайдер гад не трогает. На новые - это понятно, что пулей, а на файл рядом почему-то плевать.

 2020-05-13_14-55-04.jpg   48,67К   0 Скачано раз

[ИндивИдуалист]

комбинация его и сигнатур

А насчёт вируса Trojan.Siggen9.45895, почему док его не понял как и Касперский? Что не хватило доку? Я им тоже писал и они добавили в базу точно так же после моего обращения.

[RomaNNN]

ИндивИдуалист, вопрос извечный - "почему?"   Звезды не сложились, к любому антивирусу можно привести пример и контрпример детекта относительно другого продукта. Как эвристика по поведению, так и сигнатуры.

[ИндивИдуалист]

вопрос извечный - "почему?"

 

Вопрос кражи данных из браузера - серьёзный и с этим надо что-то делать. Пропущенный стиллер доком - это ему не в копилку.

Сообщение было изменено ИндивИдуалист: 13 Май 2020 - 18:59

[RomaNNN]

ИндивИдуалист, повторяю, не надо в открытую постить вирусы и подозрительные ссылки. Форма отправки для добавления в базы тут: vms.drweb.com

[VVS]

ИндивИдуалист, повторяю, не надо в открытую постить вирусы и подозрительные ссылки. Форма отправки для добавления в базы тут: vms.drweb.com

Так этот сайт давно уж в базе.

Сообщение было изменено VVS: 13 Май 2020 - 22:31

[ИндивИдуалист]

повторяю, не надо

Можно было бы просто ссылку убирать, а не удалять пост целиком)

 

сайт давно уж в базе

давно как написал, ага ))))