Перейти к содержимому


Фото
- - - - -

Dr.web 5.0 и Sdra64.exe


  • Please log in to reply
54 ответов в этой теме

#21 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 27 Декабрь 2009 - 16:01

Otsheln1k

Вы для меня сейчас лицо компании.

сотрудники компании - это группа Dr.Web Staff

#22 Otsheln1k

Otsheln1k

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 27 Декабрь 2009 - 16:02

сотрудники компании - это группа Dr.Web Staff


Спасибо.

#23 Otsheln1k

Otsheln1k

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 08 Январь 2010 - 09:17

Очередные штаммы sdra64. Разработчики этого виря и его лоадеров, видимо от души, смеются....

#24 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 08 Январь 2010 - 09:30

Otsheln1k
У Вас они есть? Зашлите в вирлаб.
Ситуация вполне обычна: нет семпла, нет детекта.
Вы поговорить зашли?

#25 maxwello

maxwello

    Member

  • Posters
  • 143 Сообщений:

Отправлено 08 Январь 2010 - 10:25

Otsheln1k
У Вас они есть? Зашлите в вирлаб.
Ситуация вполне обычна: нет семпла, нет детекта.
Вы поговорить зашли?



С одной стороны Otsheln1kа можно понять, если учесть что антивирусное ПО лицензионное, и потрачены определенные финансы....
а с другой стороны: 6. ПО и сопутствующая ему документация предоставляются Вам "КАК ЕСТЬ"
("AS IS"), в соответствии с общепринятым в международной практике
принципом. Это означает, что за проблемы, возникающие в процессе
установки, обновления, поддержки и эксплуатации ПО (в том числе:
проблемы совместимости с другими программными продуктами (пакетами,
драйверами и др.), проблемы, возникающие из-за неоднозначного
толкования сопроводительной документации, несоответствия результатов
использования ПО Вашим ожиданиям и т.п
.), Правообладатель
ответственности не несет.
"Хелперский народ-суровые люди,едят исключительно логи на блюде"

#26 Otsheln1k

Otsheln1k

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 08 Январь 2010 - 19:44

Otsheln1k
У Вас они есть? Зашлите в вирлаб.
Ситуация вполне обычна: нет семпла, нет детекта.
Вы поговорить зашли?


Видите-ли, уважаемый, поговорить заходит тот у кого зарплата напрямую не зависит от результатов его работы. Мне кажется я внятно написал, что четыре небольших сети в разных организациях на обслуживании... Антивирус везде с лицензиями. В вирлаб хожу, как на работу, уведомления о добавлении сигнатур получаю не менее регулярно.

Простой вопрос, когда это прекратиться?

#27 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 08 Январь 2010 - 20:44

Видите-ли, уважаемый, поговорить заходит тот у кого зарплата напрямую не зависит от результатов его работы. Мне кажется я внятно написал, что четыре небольших сети в разных организациях на обслуживании... Антивирус везде с лицензиями. В вирлаб хожу, как на работу, уведомления о добавлении сигнатур получаю не менее регулярно.
Простой вопрос, когда это прекратиться?

Прекратится что? Добавление записей? :)
С уважением,
Борис А. Чертенко aka Borka.

#28 PerfMob

PerfMob

    Newbie

  • Posters
  • 89 Сообщений:

Отправлено 09 Январь 2010 - 04:30

Когда, наконец будет лекарство?

Как только соответствующий сэмпл попадет в Вирлаб. Некоторые сэмплы обновляются несколько раз в день.

Может недостаточно, только включения одной сигнатуры в базы антивируса? Может механизм внедрения надо посмотреть?

ХИПС разрабатывается.

Может быть зайти с другой стороны?
Включить в базу ЛЕГАЛЬНЫЕ программы (не вирусы) с именем sdra64.exe, всё остальное мочить в сортире?
Не уверен что в списке таких программ будет хоть одна запись.
Или в конце концов поменять что то в консерватории?

#29 hekto

hekto

    Member

  • Posters
  • 143 Сообщений:

Отправлено 09 Январь 2010 - 14:19

Может быть зайти с другой стороны?
Включить в базу ЛЕГАЛЬНЫЕ программы (не вирусы) с именем sdra64.exe, всё остальное мочить в сортире?

Что это даст? Просто троян начнёт создавать файл со случайным именем и всё.
Именно поэтому любая антивирусная защита и обходится. Автор трояна всегда имеет возможность протестировать своё творение на любом антивирусе и добиться, чтобы он перестал определяться.

#30 PerfMob

PerfMob

    Newbie

  • Posters
  • 89 Сообщений:

Отправлено 09 Январь 2010 - 16:59

Может быть зайти с другой стороны?
Включить в базу ЛЕГАЛЬНЫЕ программы (не вирусы) с именем sdra64.exe, всё остальное мочить в сортире?

Что это даст? Просто троян начнёт создавать файл со случайным именем и всё.
Именно поэтому любая антивирусная защита и обходится. Автор трояна всегда имеет возможность протестировать своё творение на любом антивирусе и добиться, чтобы он перестал определяться.

Хорошо, расширим базу, все легальные программы, прописывающиеся в систему подобным образом.
Думаю парочку найти можно, остальных в сортир и мочить, как завещал великий <...>.
Как минимум в подобной ситуации обязана сработать эвристика, Вы не находите?

#31 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 09 Январь 2010 - 19:05

Как минимум в подобной ситуации обязана сработать эвристика, Вы не находите?

Давным-давно было предложение детектить (как угодно :)) такие интересные файлы, как %system\%Sdra64.exe, %windir%\svchost.exe и тому подобное...
С уважением,
Борис А. Чертенко aka Borka.

#32 bodyguard

bodyguard

    Newbie

  • Posters
  • 92 Сообщений:

Отправлено 09 Январь 2010 - 21:45

давайте поступим по дугому.
В определенном режиме "Предложить эксперту принять решение" в DrWeb/Cureit есть возможность задать список файлов/ситуаций которые Я считаю не правильным и МОЧИТЬ В СОРТИРЕ и РЯДОМ.
Например SDRA64.EXE, Nissan и т.п.
Т.е. когда программа обнаруживает такой факт что в Winlogon\Userinit прописано что-то отличное от XXXXX\userinit.exe,
и ПРОГРАММА НАХОДИТСЯ В ОПРЕДЕЛЕННОМ РЕЖИМЕ, то она предлагает "эксперту" возможность сказать себе что это вирус в любом случае, эта инфа прописывается в параметр XYZ (файле конфигурации ZYX) .
В документации и прочей информации прописано "все что написано в ключе конфигурации XYZ (файле конфигурации ZYX) не поддерживается компанией DrWeb, ответственность за правильность таких записей и последствия их применения несет пользователь."

В другом режиме "Работаем с учетом настроек эксперта" молча происходит обработка по правилам DrWeb + экспертные настройки.

А то до смешного доходит... на трех компах Nissan.exe, один семпл отправлен в лабу, добавлен в базу и два компа вылечены.
третий никак... отправляем Nissan.exe с третьего в лабу и с очередным обновлением лечим третий комп.... в течении времени вирус поменяет ключ шифрирования и антивирус в Ж.
На мой взгляд это не правильно.
Да, вирусописатели начнут маскироваться под рандомные имена файлов или файлы нормальных программ, но это и так уже происходит, так что это жизнь.

Пускай я буду пароноиком в правилах которые я устанавливаю что это вирус и по каким критериям, но если я зацеплю что-то важное и полезное, то за это получу по лицу и кошельку, но искренне считая что DrWeb в данный момент является лидером и рекомендуя людям его, и сталкиваясь с внешне идентичными проявлениями вирусной активности (SDRA64, nissan) но разными ключами шифрироания, как-то понемногу начинаешь сомневаться в компании...

Я четко понимаю почему компания придерживается такой политики и считаю ее достаточно разумной. Но для людей которые ничего не знают об вирусах, антивирусвх и т.п. МОЯ рекомендация является решающей.

Если я добавлю некоторый фильтр в правило "это вирус по мнению пользователя" и происходит совпадение, то я несу ответственность за это правило. Но в тоже время можно добавить возможность отсылки семплов в лабораторию, и лаба принимает решение "это правило правильное", "это правило не правильное", "это правило возможно правильное при отсутствии програм ....", "это правило НЕ правильное при наличии программ....".

Хрен как это называется правильно, но с вирусо писателями нужно бороться всем сообществом. У них сообщество вирусо писателей, у нас сообщество пользователей "без вирусов или с "полезными" вирусами". Вирлабы выступают как заинтересованные стороны.

#33 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 09 Январь 2010 - 22:08

Я четко понимаю почему компания придерживается такой политики и считаю ее достаточно разумной. Но для людей которые ничего не знают об вирусах, антивирусвх и т.п. МОЯ рекомендация является решающей.

Это понимают пользователи, которые рекомендуют или продают АВ-софт, но не хотят понимать разработчики, которым делать эти фишки. :)
С уважением,
Борис А. Чертенко aka Borka.

#34 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 09 Январь 2010 - 23:13

 Я предлагал в курилке детектить и лечить (а также выводить в области найденого) ветки реестра. 

Отказали :)

Отправленное изображение

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#35 pc3000_nobel

pc3000_nobel

    Member

  • Virus hunters
  • 132 Сообщений:

Отправлено 09 Январь 2010 - 23:20

Я бы предлагал в курилке детектить и лечить (а также выводить в области найденого) ветки реестра. 

Отказали :)

Отправленное изображение


А почему отказили?
Идея хорошая!)

#36 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 09 Январь 2010 - 23:29

Я бы предлагал в курилке детектить и лечить (а также выводить в области найденого) ветки реестра. 

Отказали ;)


А почему отказили?
Идея хорошая!)

Уже и не помню.Сказали что там будем только файлы выводить,а для всего остального будет Шарк.

Но Шарк сейчас есть только у ВеталиГа :) и разработчиков. :)

А для лечащей утилита ака курилко...наверное было бы очень даже и неплохо :lol:

Сообщение было изменено mrbelyash: 09 Январь 2010 - 23:30

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#37 pc3000_nobel

pc3000_nobel

    Member

  • Virus hunters
  • 132 Сообщений:

Отправлено 09 Январь 2010 - 23:33

Я бы предлагал в курилке детектить и лечить (а также выводить в области найденого) ветки реестра. 

Отказали ;)


А почему отказили?
Идея хорошая!)

Уже и не помню.Сказали что там будем только файлы выводить,а для всего остального будет Шарк.

Но Шарк сейчас есть только у ВеталиГа :) и разработчиков. :)

А для лечащей утилита ака курилко...наверное было бы очень даже и неплохо :lol:

мда ВиталиГ жжет))) молодец парниша интересно как достал Шарк...)))

#38 gapsf

gapsf

    Newbie

  • Posters
  • 95 Сообщений:

Отправлено 13 Январь 2010 - 11:12

Ссылку дать не могу, не сохранил. Очередной штамм sdra64 в 2-х вариантах отправил в лабораторию, уведомление на почтовый ящик , как о получении, так и "...Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении." так-же получил.

И обидется не могу. За редким исключением, все работают под ограниченными учетками. Соответственно в этих случаях, полного поражения не происходит, нахожу в %TEMP% и "Temporary Internet Files" только тело вируса.

Проблема в том, что все компьютеры, где ВРЕМЕННО работают под учетками с правами администратора поражались и продолжают поражаться с завидным упорством. И здесь выход нашел - запускаю IE с пораженим в правах с помощью :

psexec -l -d &#34;%programfiles%\internet explorer\iexplore.exe&#34;

Однако от необходимости использования разных "костылей" уже устал.

Закройте самозащитой Dr.Web ключи
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe"
"UIHost"
:rolleyes:

А как это сделать (и можно ли) в Dr.Web Enterprise Suite?

#39 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 13 Январь 2010 - 11:42

 

А как это сделать (и можно ли) в Dr.Web Enterprise Suite?


Для рабочих станций это уже раелизовано в виде опций "Запрещать модификацию важных обьектов Windows" по крайней мере в бете точно(если не ошибаюсь такая опция уже есть и в релизе) 

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#40 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 415 Сообщений:

Отправлено 13 Январь 2010 - 14:41

 

А как это сделать (и можно ли) в Dr.Web Enterprise Suite?


Для рабочих станций это уже раелизовано в виде опций "Запрещать модификацию важных обьектов Windows" по крайней мере в бете точно(если не ошибаюсь такая опция уже есть и в релизе) 


Соответственно когда приедет в ES - вообще неведомо. Вроде даже не в 1 квартале.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых