54 ответов в этой теме

[userr]

Otsheln1k

Вы для меня сейчас лицо компании.

сотрудники компании - это группа Dr.Web Staff

[Otsheln1k]

сотрудники компании - это группа Dr.Web Staff

Спасибо.

[Otsheln1k]

Очередные штаммы sdra64. Разработчики этого виря и его лоадеров, видимо от души, смеются....

[SergM]

Otsheln1k
У Вас они есть? Зашлите в вирлаб.
Ситуация вполне обычна: нет семпла, нет детекта.
Вы поговорить зашли?

[maxwello]

Otsheln1k
У Вас они есть? Зашлите в вирлаб.
Ситуация вполне обычна: нет семпла, нет детекта.
Вы поговорить зашли?

С одной стороны Otsheln1kа можно понять, если учесть что антивирусное ПО лицензионное, и потрачены определенные финансы....
а с другой стороны: 6. ПО и сопутствующая ему документация предоставляются Вам "КАК ЕСТЬ"
("AS IS"), в соответствии с общепринятым в международной практике
принципом. Это означает, что за проблемы, возникающие в процессе
установки, обновления, поддержки и эксплуатации ПО (в том числе:
проблемы совместимости с другими программными продуктами (пакетами,
драйверами и др.), проблемы, возникающие из-за неоднозначного
толкования сопроводительной документации, несоответствия результатов
использования ПО Вашим ожиданиям и т.п.), Правообладатель
ответственности не несет.

[Otsheln1k]

Otsheln1k
У Вас они есть? Зашлите в вирлаб.
Ситуация вполне обычна: нет семпла, нет детекта.
Вы поговорить зашли?

Видите-ли, уважаемый, поговорить заходит тот у кого зарплата напрямую не зависит от результатов его работы. Мне кажется я внятно написал, что четыре небольших сети в разных организациях на обслуживании... Антивирус везде с лицензиями. В вирлаб хожу, как на работу, уведомления о добавлении сигнатур получаю не менее регулярно.

Простой вопрос, когда это прекратиться?

[Borka]

Видите-ли, уважаемый, поговорить заходит тот у кого зарплата напрямую не зависит от результатов его работы. Мне кажется я внятно написал, что четыре небольших сети в разных организациях на обслуживании... Антивирус везде с лицензиями. В вирлаб хожу, как на работу, уведомления о добавлении сигнатур получаю не менее регулярно.
Простой вопрос, когда это прекратиться?

Прекратится что? Добавление записей?

[PerfMob]

Когда, наконец будет лекарство?

Как только соответствующий сэмпл попадет в Вирлаб. Некоторые сэмплы обновляются несколько раз в день.

Может недостаточно, только включения одной сигнатуры в базы антивируса? Может механизм внедрения надо посмотреть?

ХИПС разрабатывается.

Может быть зайти с другой стороны?
Включить в базу ЛЕГАЛЬНЫЕ программы (не вирусы) с именем sdra64.exe, всё остальное мочить в сортире?
Не уверен что в списке таких программ будет хоть одна запись.
Или в конце концов поменять что то в консерватории?

[hekto]

Может быть зайти с другой стороны?
Включить в базу ЛЕГАЛЬНЫЕ программы (не вирусы) с именем sdra64.exe, всё остальное мочить в сортире?

Что это даст? Просто троян начнёт создавать файл со случайным именем и всё.
Именно поэтому любая антивирусная защита и обходится. Автор трояна всегда имеет возможность протестировать своё творение на любом антивирусе и добиться, чтобы он перестал определяться.

[PerfMob]

Может быть зайти с другой стороны?
Включить в базу ЛЕГАЛЬНЫЕ программы (не вирусы) с именем sdra64.exe, всё остальное мочить в сортире?

Что это даст? Просто троян начнёт создавать файл со случайным именем и всё.
Именно поэтому любая антивирусная защита и обходится. Автор трояна всегда имеет возможность протестировать своё творение на любом антивирусе и добиться, чтобы он перестал определяться.

Хорошо, расширим базу, все легальные программы, прописывающиеся в систему подобным образом.
Думаю парочку найти можно, остальных в сортир и мочить, как завещал великий <...>.
Как минимум в подобной ситуации обязана сработать эвристика, Вы не находите?

[Borka]

Как минимум в подобной ситуации обязана сработать эвристика, Вы не находите?

Давным-давно было предложение детектить (как угодно ) такие интересные файлы, как %system\%Sdra64.exe, %windir%\svchost.exe и тому подобное...

[bodyguard]

давайте поступим по дугому.
В определенном режиме "Предложить эксперту принять решение" в DrWeb/Cureit есть возможность задать список файлов/ситуаций которые Я считаю не правильным и МОЧИТЬ В СОРТИРЕ и РЯДОМ.
Например SDRA64.EXE, Nissan и т.п.
Т.е. когда программа обнаруживает такой факт что в Winlogon\Userinit прописано что-то отличное от XXXXX\userinit.exe,
и ПРОГРАММА НАХОДИТСЯ В ОПРЕДЕЛЕННОМ РЕЖИМЕ, то она предлагает "эксперту" возможность сказать себе что это вирус в любом случае, эта инфа прописывается в параметр XYZ (файле конфигурации ZYX) .
В документации и прочей информации прописано "все что написано в ключе конфигурации XYZ (файле конфигурации ZYX) не поддерживается компанией DrWeb, ответственность за правильность таких записей и последствия их применения несет пользователь."

В другом режиме "Работаем с учетом настроек эксперта" молча происходит обработка по правилам DrWeb + экспертные настройки.

А то до смешного доходит... на трех компах Nissan.exe, один семпл отправлен в лабу, добавлен в базу и два компа вылечены.
третий никак... отправляем Nissan.exe с третьего в лабу и с очередным обновлением лечим третий комп.... в течении времени вирус поменяет ключ шифрирования и антивирус в Ж.
На мой взгляд это не правильно.
Да, вирусописатели начнут маскироваться под рандомные имена файлов или файлы нормальных программ, но это и так уже происходит, так что это жизнь.

Пускай я буду пароноиком в правилах которые я устанавливаю что это вирус и по каким критериям, но если я зацеплю что-то важное и полезное, то за это получу по лицу и кошельку, но искренне считая что DrWeb в данный момент является лидером и рекомендуя людям его, и сталкиваясь с внешне идентичными проявлениями вирусной активности (SDRA64, nissan) но разными ключами шифрироания, как-то понемногу начинаешь сомневаться в компании...

Я четко понимаю почему компания придерживается такой политики и считаю ее достаточно разумной. Но для людей которые ничего не знают об вирусах, антивирусвх и т.п. МОЯ рекомендация является решающей.

Если я добавлю некоторый фильтр в правило "это вирус по мнению пользователя" и происходит совпадение, то я несу ответственность за это правило. Но в тоже время можно добавить возможность отсылки семплов в лабораторию, и лаба принимает решение "это правило правильное", "это правило не правильное", "это правило возможно правильное при отсутствии програм ....", "это правило НЕ правильное при наличии программ....".

Хрен как это называется правильно, но с вирусо писателями нужно бороться всем сообществом. У них сообщество вирусо писателей, у нас сообщество пользователей "без вирусов или с "полезными" вирусами". Вирлабы выступают как заинтересованные стороны.

[Borka]

Я четко понимаю почему компания придерживается такой политики и считаю ее достаточно разумной. Но для людей которые ничего не знают об вирусах, антивирусвх и т.п. МОЯ рекомендация является решающей.

Это понимают пользователи, которые рекомендуют или продают АВ-софт, но не хотят понимать разработчики, которым делать эти фишки.

[mrbelyash]

 Я предлагал в курилке детектить и лечить (а также выводить в области найденого) ветки реестра. 

Отказали

[pc3000_nobel]

Я бы предлагал в курилке детектить и лечить (а также выводить в области найденого) ветки реестра. 

Отказали

А почему отказили?
Идея хорошая!)

[mrbelyash]

Я бы предлагал в курилке детектить и лечить (а также выводить в области найденого) ветки реестра. 

Отказали

А почему отказили?
Идея хорошая!)

Уже и не помню.Сказали что там будем только файлы выводить,а для всего остального будет Шарк.

Но Шарк сейчас есть только у ВеталиГа и разработчиков.

А для лечащей утилита ака курилко...наверное было бы очень даже и неплохо

Сообщение было изменено mrbelyash: 09 Январь 2010 - 23:30

[pc3000_nobel]

Я бы предлагал в курилке детектить и лечить (а также выводить в области найденого) ветки реестра. 

Отказали

А почему отказили?
Идея хорошая!)

Уже и не помню.Сказали что там будем только файлы выводить,а для всего остального будет Шарк.

Но Шарк сейчас есть только у ВеталиГа и разработчиков.

А для лечащей утилита ака курилко...наверное было бы очень даже и неплохо

мда ВиталиГ жжет))) молодец парниша интересно как достал Шарк...)))

[gapsf]

Ссылку дать не могу, не сохранил. Очередной штамм sdra64 в 2-х вариантах отправил в лабораторию, уведомление на почтовый ящик , как о получении, так и "...Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении." так-же получил.

И обидется не могу. За редким исключением, все работают под ограниченными учетками. Соответственно в этих случаях, полного поражения не происходит, нахожу в %TEMP% и "Temporary Internet Files" только тело вируса.

Проблема в том, что все компьютеры, где ВРЕМЕННО работают под учетками с правами администратора поражались и продолжают поражаться с завидным упорством. И здесь выход нашел - запускаю IE с пораженим в правах с помощью :

psexec -l -d "%programfiles%\internet explorer\iexplore.exe"

Однако от необходимости использования разных "костылей" уже устал.

Закройте самозащитой Dr.Web ключи
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe"
"UIHost"
:rolleyes:

А как это сделать (и можно ли) в Dr.Web Enterprise Suite?

[mrbelyash]

 

А как это сделать (и можно ли) в Dr.Web Enterprise Suite?

Для рабочих станций это уже раелизовано в виде опций "Запрещать модификацию важных обьектов Windows" по крайней мере в бете точно(если не ошибаюсь такая опция уже есть и в релизе) 

[maxic]

 

А как это сделать (и можно ли) в Dr.Web Enterprise Suite?

Для рабочих станций это уже раелизовано в виде опций "Запрещать модификацию важных обьектов Windows" по крайней мере в бете точно(если не ошибаюсь такая опция уже есть и в релизе) 

Соответственно когда приедет в ES - вообще неведомо. Вроде даже не в 1 квартале.