сотрудники компании - это группа Dr.Web StaffВы для меня сейчас лицо компании.
Dr.web 5.0 и Sdra64.exe
#21
Отправлено 27 Декабрь 2009 - 16:01
#22
Отправлено 27 Декабрь 2009 - 16:02
сотрудники компании - это группа Dr.Web Staff
Спасибо.
#23
Отправлено 08 Январь 2010 - 09:17
#24
Отправлено 08 Январь 2010 - 09:30
У Вас они есть? Зашлите в вирлаб.
Ситуация вполне обычна: нет семпла, нет детекта.
Вы поговорить зашли?
#25
Отправлено 08 Январь 2010 - 10:25
Otsheln1k
У Вас они есть? Зашлите в вирлаб.
Ситуация вполне обычна: нет семпла, нет детекта.
Вы поговорить зашли?
С одной стороны Otsheln1kа можно понять, если учесть что антивирусное ПО лицензионное, и потрачены определенные финансы....
а с другой стороны: 6. ПО и сопутствующая ему документация предоставляются Вам "КАК ЕСТЬ"
("AS IS"), в соответствии с общепринятым в международной практике
принципом. Это означает, что за проблемы, возникающие в процессе
установки, обновления, поддержки и эксплуатации ПО (в том числе:
проблемы совместимости с другими программными продуктами (пакетами,
драйверами и др.), проблемы, возникающие из-за неоднозначного
толкования сопроводительной документации, несоответствия результатов
использования ПО Вашим ожиданиям и т.п.), Правообладатель
ответственности не несет.
#26
Отправлено 08 Январь 2010 - 19:44
Otsheln1k
У Вас они есть? Зашлите в вирлаб.
Ситуация вполне обычна: нет семпла, нет детекта.
Вы поговорить зашли?
Видите-ли, уважаемый, поговорить заходит тот у кого зарплата напрямую не зависит от результатов его работы. Мне кажется я внятно написал, что четыре небольших сети в разных организациях на обслуживании... Антивирус везде с лицензиями. В вирлаб хожу, как на работу, уведомления о добавлении сигнатур получаю не менее регулярно.
Простой вопрос, когда это прекратиться?
#27
Отправлено 08 Январь 2010 - 20:44
Прекратится что? Добавление записей?Видите-ли, уважаемый, поговорить заходит тот у кого зарплата напрямую не зависит от результатов его работы. Мне кажется я внятно написал, что четыре небольших сети в разных организациях на обслуживании... Антивирус везде с лицензиями. В вирлаб хожу, как на работу, уведомления о добавлении сигнатур получаю не менее регулярно.
Простой вопрос, когда это прекратиться?
Борис А. Чертенко aka Borka.
#28
Отправлено 09 Январь 2010 - 04:30
Может быть зайти с другой стороны?Как только соответствующий сэмпл попадет в Вирлаб. Некоторые сэмплы обновляются несколько раз в день.Когда, наконец будет лекарство?
ХИПС разрабатывается.Может недостаточно, только включения одной сигнатуры в базы антивируса? Может механизм внедрения надо посмотреть?
Включить в базу ЛЕГАЛЬНЫЕ программы (не вирусы) с именем sdra64.exe, всё остальное мочить в сортире?
Не уверен что в списке таких программ будет хоть одна запись.
Или в конце концов поменять что то в консерватории?
#29
Отправлено 09 Январь 2010 - 14:19
Что это даст? Просто троян начнёт создавать файл со случайным именем и всё.Может быть зайти с другой стороны?
Включить в базу ЛЕГАЛЬНЫЕ программы (не вирусы) с именем sdra64.exe, всё остальное мочить в сортире?
Именно поэтому любая антивирусная защита и обходится. Автор трояна всегда имеет возможность протестировать своё творение на любом антивирусе и добиться, чтобы он перестал определяться.
#30
Отправлено 09 Январь 2010 - 16:59
Хорошо, расширим базу, все легальные программы, прописывающиеся в систему подобным образом.Что это даст? Просто троян начнёт создавать файл со случайным именем и всё.Может быть зайти с другой стороны?
Включить в базу ЛЕГАЛЬНЫЕ программы (не вирусы) с именем sdra64.exe, всё остальное мочить в сортире?
Именно поэтому любая антивирусная защита и обходится. Автор трояна всегда имеет возможность протестировать своё творение на любом антивирусе и добиться, чтобы он перестал определяться.
Думаю парочку найти можно, остальных в сортир и мочить, как завещал великий <...>.
Как минимум в подобной ситуации обязана сработать эвристика, Вы не находите?
#31
Отправлено 09 Январь 2010 - 19:05
Давным-давно было предложение детектить (как угодно ) такие интересные файлы, как %system\%Sdra64.exe, %windir%\svchost.exe и тому подобное...Как минимум в подобной ситуации обязана сработать эвристика, Вы не находите?
Борис А. Чертенко aka Borka.
#32
Отправлено 09 Январь 2010 - 21:45
В определенном режиме "Предложить эксперту принять решение" в DrWeb/Cureit есть возможность задать список файлов/ситуаций которые Я считаю не правильным и МОЧИТЬ В СОРТИРЕ и РЯДОМ.
Например SDRA64.EXE, Nissan и т.п.
Т.е. когда программа обнаруживает такой факт что в Winlogon\Userinit прописано что-то отличное от XXXXX\userinit.exe,
и ПРОГРАММА НАХОДИТСЯ В ОПРЕДЕЛЕННОМ РЕЖИМЕ, то она предлагает "эксперту" возможность сказать себе что это вирус в любом случае, эта инфа прописывается в параметр XYZ (файле конфигурации ZYX) .
В документации и прочей информации прописано "все что написано в ключе конфигурации XYZ (файле конфигурации ZYX) не поддерживается компанией DrWeb, ответственность за правильность таких записей и последствия их применения несет пользователь."
В другом режиме "Работаем с учетом настроек эксперта" молча происходит обработка по правилам DrWeb + экспертные настройки.
А то до смешного доходит... на трех компах Nissan.exe, один семпл отправлен в лабу, добавлен в базу и два компа вылечены.
третий никак... отправляем Nissan.exe с третьего в лабу и с очередным обновлением лечим третий комп.... в течении времени вирус поменяет ключ шифрирования и антивирус в Ж.
На мой взгляд это не правильно.
Да, вирусописатели начнут маскироваться под рандомные имена файлов или файлы нормальных программ, но это и так уже происходит, так что это жизнь.
Пускай я буду пароноиком в правилах которые я устанавливаю что это вирус и по каким критериям, но если я зацеплю что-то важное и полезное, то за это получу по лицу и кошельку, но искренне считая что DrWeb в данный момент является лидером и рекомендуя людям его, и сталкиваясь с внешне идентичными проявлениями вирусной активности (SDRA64, nissan) но разными ключами шифрироания, как-то понемногу начинаешь сомневаться в компании...
Я четко понимаю почему компания придерживается такой политики и считаю ее достаточно разумной. Но для людей которые ничего не знают об вирусах, антивирусвх и т.п. МОЯ рекомендация является решающей.
Если я добавлю некоторый фильтр в правило "это вирус по мнению пользователя" и происходит совпадение, то я несу ответственность за это правило. Но в тоже время можно добавить возможность отсылки семплов в лабораторию, и лаба принимает решение "это правило правильное", "это правило не правильное", "это правило возможно правильное при отсутствии програм ....", "это правило НЕ правильное при наличии программ....".
Хрен как это называется правильно, но с вирусо писателями нужно бороться всем сообществом. У них сообщество вирусо писателей, у нас сообщество пользователей "без вирусов или с "полезными" вирусами". Вирлабы выступают как заинтересованные стороны.
#33
Отправлено 09 Январь 2010 - 22:08
Это понимают пользователи, которые рекомендуют или продают АВ-софт, но не хотят понимать разработчики, которым делать эти фишки.Я четко понимаю почему компания придерживается такой политики и считаю ее достаточно разумной. Но для людей которые ничего не знают об вирусах, антивирусвх и т.п. МОЯ рекомендация является решающей.
Борис А. Чертенко aka Borka.
#34
Отправлено 09 Январь 2010 - 23:13
Отказали
#35
Отправлено 09 Январь 2010 - 23:20
Я бы предлагал в курилке детектить и лечить (а также выводить в области найденого) ветки реестра.
Отказали
А почему отказили?
Идея хорошая!)
#36
Отправлено 09 Январь 2010 - 23:29
Уже и не помню.Сказали что там будем только файлы выводить,а для всего остального будет Шарк.Я бы предлагал в курилке детектить и лечить (а также выводить в области найденого) ветки реестра.
Отказали
А почему отказили?
Идея хорошая!)
Но Шарк сейчас есть только у ВеталиГа и разработчиков.
А для лечащей утилита ака курилко...наверное было бы очень даже и неплохо
Сообщение было изменено mrbelyash: 09 Январь 2010 - 23:30
#37
Отправлено 09 Январь 2010 - 23:33
мда ВиталиГ жжет))) молодец парниша интересно как достал Шарк...)))Уже и не помню.Сказали что там будем только файлы выводить,а для всего остального будет Шарк.Я бы предлагал в курилке детектить и лечить (а также выводить в области найденого) ветки реестра.
Отказали
А почему отказили?
Идея хорошая!)
Но Шарк сейчас есть только у ВеталиГа и разработчиков.
А для лечащей утилита ака курилко...наверное было бы очень даже и неплохо
#38
Отправлено 13 Январь 2010 - 11:12
А как это сделать (и можно ли) в Dr.Web Enterprise Suite?Закройте самозащитой Dr.Web ключиСсылку дать не могу, не сохранил. Очередной штамм sdra64 в 2-х вариантах отправил в лабораторию, уведомление на почтовый ящик , как о получении, так и "...Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении." так-же получил.
И обидется не могу. За редким исключением, все работают под ограниченными учетками. Соответственно в этих случаях, полного поражения не происходит, нахожу в %TEMP% и "Temporary Internet Files" только тело вируса.
Проблема в том, что все компьютеры, где ВРЕМЕННО работают под учетками с правами администратора поражались и продолжают поражаться с завидным упорством. И здесь выход нашел - запускаю IE с пораженим в правах с помощью :psexec -l -d "%programfiles%\internet explorer\iexplore.exe"
Однако от необходимости использования разных "костылей" уже устал.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe"
"UIHost"
:rolleyes:
#39
Отправлено 13 Январь 2010 - 11:42
А как это сделать (и можно ли) в Dr.Web Enterprise Suite?
Для рабочих станций это уже раелизовано в виде опций "Запрещать модификацию важных обьектов Windows" по крайней мере в бете точно(если не ошибаюсь такая опция уже есть и в релизе)
#40
Отправлено 13 Январь 2010 - 14:41
А как это сделать (и можно ли) в Dr.Web Enterprise Suite?
Для рабочих станций это уже раелизовано в виде опций "Запрещать модификацию важных обьектов Windows" по крайней мере в бете точно(если не ошибаюсь такая опция уже есть и в релизе)
Соответственно когда приедет в ES - вообще неведомо. Вроде даже не в 1 квартале.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых