A.

Детектирование полиморфов

В этой теме 67 сообщений

Wordmonger

он убивает оверлей файла и записывается в него.

Интересно, кто это сможет вылечить?

Давайте не будем смеяться. Я не обязан знать механизм заражения каждого вируса.

ИМХО исторически, качество лечения Симантека мне представляется более высоким нежели КАВа, что легко объясняется "старой школой", "медленной реакцией" и т.д.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ИМХО исторически, качество лечения Симантека мне представляется более высоким нежели КАВа, что легко объясняется "старой школой", "медленной реакцией" и т.д.

Ну вы всё же вышлите в ЛК примеры. Быстрая реакция - это хорошо, но пусть и лечение поправят, если возможно. Или действительно честно скажут "Cannot be disinfected".

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если у человека нет примеров? Что он должен был бекапить зараженные и битые после лечения файлы? Вы требуете невозможного.

По нашим тестам лечение у Symantec действительно на высоком уровне.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Доктор тоже не очень лечит.

И вообще, зачем такое лечение? Претензия именно в этом, а не в том, что лечит или нет. Просто нажимаешь лечить - получаешь коцаные файлы. ИМХО, надо честно признаться, что не лечим, и предложить только удалить. Юзер бы стал лечилку искать. А так, когда я к юзеру пришел, пришлось из резервного хранилища 7 все поднимать - вручную, по одному, т.к. кнопки восстанивить все у Касперского нет.

Ctrl+A и восстановить конечно помогает, но жать ол долго - долго совсем не прикольно..

Всмысле такое лечение?

Вы уверены что заражённые файлы у Вас работают?

Я вот уверен что все файлы которые у Вас получились покоцанные не работают и до лечения. Почему? Потому что вирус некорректно заразил файлы и удалил часть данных. Наиболее частая ошибка допускаемая в вирусах, это "забывание" про оверлей файла. В результате у заражённого файла удаляется оверлей и у Вас перестают работать все архивы. А антивирус не может определить нормально заражён данный файл или криво и честно всё лечит как будто файлы корректные. Так что в данном случае не стоит "наезжать" на антивирусные компании, имхо.

Добавлено спустя 2 минуты 17 секунд:

Уточнил. По словам пользователя: Зараженные файлы 100% рабочие. Ничем перед Касперским не лечились.

После лечения и удаления битых exe + полного сканирования, через некоторое время вирус появляется снова. Патч, закрывающий уъязвимость, эксплуатируемую вирусом, стоит.

После отключения восстановления системы и проверки в безопасном режиме наверное удалось избавится от вируса.

Те 2 файла, что вы прислали в вирлаб были неработоспособными ещё до лечения.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

dan, а можно ли при разборе виря понять, что он криво заражает и сделать их этого выводы? Например, честно сообщить, что лечение невозможно.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1) Вирус криво заражает не всё, а только какое то количество файлов, иначе вирус не получил бы расспространение.

2) По заражённому файлу уже не понятно, криво он был заражён или нормально.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Те 2 файла, что вы прислали в вирлаб были неработоспособными ещё до лечения.

В в вир лабе работаете или гадаете на кофейной гуще?

Я еще раз повторяю, заражение было не у меня, а у юзера, на машине кстати, стоял Доктор. Я не наезжаю, читайте внимательно мои посты.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если у человека нет примеров? Что он должен был бекапить зараженные и битые после лечения файлы? Вы требуете невозможного.

Ну нет так нет =) Я думал, может есть.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Выложил то, что осталось в закрытом разделе.

Да, те файлы повреждены ещё в заражённом виде.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, те файлы повреждены ещё в заражённом виде.

А вот и не угадали :lol:

По словам аналитика ЛК один из файлов работоспособен до и после лечения.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, те файлы повреждены ещё в заражённом виде.

А вот и не угадали :lol:

По словам аналитика ЛК один из файлов работоспособен до и после лечения.

Как раз угадал. Аналитик Вам ответил что лечение отработало корректно.

Это совершенно не предполагает восстановление функциональности файла на момент до заражения. Это предполагает что лечение сделало всё возможное и что файл будет работать не хуже чем в заражённом виде. Если я не прав, процитируйте ответ, пожалуйста.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аналитик Вам ответил что лечение отработало корректно.

Может быть я не прав, но лечение отрабатывает корректно не тогда, как так сказал аналитик, а когда вылеченный файл работает не хуже, чем до заражения.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аналитик Вам ответил что лечение отработало корректно.

Может быть я не прав, но лечение отрабатывает корректно не тогда, как так сказал аналитик, а когда вылеченный файл работает не хуже, чем до заражения.

Безусловно правы, просто письма присылались по теме того, что лечение работает "криво".

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Безусловно правы, просто письма присылались по теме того, что лечение работает "криво".

Так, может я что не знаю, но пока вижу так:

1) есть зараженный файл, который нормально работает

2) после лечения КАВом файл не работает

3) однако симантек этот файл лечит нормально

Вывод: действительно ли лечение КАВе работает "прямо"?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В данном случае было так:

1) есть заражённый файл у которого отрезан оверлей и во время инсталляции вылазит ошибка.

2) после лечения файл остаётся с тем же функционалом, но уже без вируса

3) лично не проверял, но если действительно дописывает оверлей, сильно удивлюсь и рассмотрю все варианты по улучшению лечения.

Вывод делайте сами.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • По информации американской телекомпании CNN, у российских банков, счета которых находились в Центробанке, хакеры похитили 2 миллиарда рублей. В ЦБ эту информацию подтвердили. Читать далее
    • В данной статье рассматривается платформа JaCarta, поддерживающая технологии электронной подписи и строгой аутентификации, приводится краткий обзор продуктов и описание принципов их работы. Читать далее
    • santy Как по мне, так разница тотальная.
      Одно дело мониторинг по умолчанию - ( как функция ) другое дело, мониторинг по требованию.
      Не нужен - не делай настройку и не используй. Не раз уже такие случаи в истории были: появляется новый вирус\червь и начинает прыгать по сети.
      А в базе антивируса он может появиться на следующий день, или ещё позже.
      А может система безопасности не предполагает наличие антивируса.
      А так: выявили > прикончили и для профилактики включили проверку машины через задачу.    
    • И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.
    • Vitokhv На данный момент это возможно только в альтернативно реальности Варкрафт.
      И там это работает так: Оператор добавляет сигнатуру вируса в базу > Проверяет список, при необходимости корректирует длину сигнатуру
      Настраивает австоскрипт: settings.ini  ( как реагировать на угрозу и метод удаления )
      Далее...
      Оператор добавляет uVS \ start.exe в автозапуск системы.
      При старте uVS автоматически определяет  тип своего запуска ( например start.exe через задачу )
      Далее работает настройка по settings.ini  ( при запуске через task проверять список по базе вирусов и критериев )
      После чего работает ранее настроенный австоскрипт: settings.ini  ( реакция  на угрозу и метод удаления )
      Вирус/Adware удаляется - копия угрозы помещается в карантин.
      Информация об угрозе пишется в лог. ( + копия лога пересылается на указанный в настройке адрес ) ------ А в нашем мире этого ничего нет.