Перейти к содержанию
A.

Детектирование полиморфов

Recommended Posts

Alex_Goodwin

Wordmonger

он убивает оверлей файла и записывается в него.

Интересно, кто это сможет вылечить?

Давайте не будем смеяться. Я не обязан знать механизм заражения каждого вируса.

ИМХО исторически, качество лечения Симантека мне представляется более высоким нежели КАВа, что легко объясняется "старой школой", "медленной реакцией" и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
ИМХО исторически, качество лечения Симантека мне представляется более высоким нежели КАВа, что легко объясняется "старой школой", "медленной реакцией" и т.д.

Ну вы всё же вышлите в ЛК примеры. Быстрая реакция - это хорошо, но пусть и лечение поправят, если возможно. Или действительно честно скажут "Cannot be disinfected".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Если у человека нет примеров? Что он должен был бекапить зараженные и битые после лечения файлы? Вы требуете невозможного.

По нашим тестам лечение у Symantec действительно на высоком уровне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Доктор тоже не очень лечит.

И вообще, зачем такое лечение? Претензия именно в этом, а не в том, что лечит или нет. Просто нажимаешь лечить - получаешь коцаные файлы. ИМХО, надо честно признаться, что не лечим, и предложить только удалить. Юзер бы стал лечилку искать. А так, когда я к юзеру пришел, пришлось из резервного хранилища 7 все поднимать - вручную, по одному, т.к. кнопки восстанивить все у Касперского нет.

Ctrl+A и восстановить конечно помогает, но жать ол долго - долго совсем не прикольно..

Всмысле такое лечение?

Вы уверены что заражённые файлы у Вас работают?

Я вот уверен что все файлы которые у Вас получились покоцанные не работают и до лечения. Почему? Потому что вирус некорректно заразил файлы и удалил часть данных. Наиболее частая ошибка допускаемая в вирусах, это "забывание" про оверлей файла. В результате у заражённого файла удаляется оверлей и у Вас перестают работать все архивы. А антивирус не может определить нормально заражён данный файл или криво и честно всё лечит как будто файлы корректные. Так что в данном случае не стоит "наезжать" на антивирусные компании, имхо.

Добавлено спустя 2 минуты 17 секунд:

Уточнил. По словам пользователя: Зараженные файлы 100% рабочие. Ничем перед Касперским не лечились.

После лечения и удаления битых exe + полного сканирования, через некоторое время вирус появляется снова. Патч, закрывающий уъязвимость, эксплуатируемую вирусом, стоит.

После отключения восстановления системы и проверки в безопасном режиме наверное удалось избавится от вируса.

Те 2 файла, что вы прислали в вирлаб были неработоспособными ещё до лечения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

dan, а можно ли при разборе виря понять, что он криво заражает и сделать их этого выводы? Например, честно сообщить, что лечение невозможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

1) Вирус криво заражает не всё, а только какое то количество файлов, иначе вирус не получил бы расспространение.

2) По заражённому файлу уже не понятно, криво он был заражён или нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Те 2 файла, что вы прислали в вирлаб были неработоспособными ещё до лечения.

В в вир лабе работаете или гадаете на кофейной гуще?

Я еще раз повторяю, заражение было не у меня, а у юзера, на машине кстати, стоял Доктор. Я не наезжаю, читайте внимательно мои посты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Если у человека нет примеров? Что он должен был бекапить зараженные и битые после лечения файлы? Вы требуете невозможного.

Ну нет так нет =) Я думал, может есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Выложил то, что осталось в закрытом разделе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Выложил то, что осталось в закрытом разделе.

Да, те файлы повреждены ещё в заражённом виде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Да, те файлы повреждены ещё в заражённом виде.

А вот и не угадали :lol:

По словам аналитика ЛК один из файлов работоспособен до и после лечения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Да, те файлы повреждены ещё в заражённом виде.

А вот и не угадали :lol:

По словам аналитика ЛК один из файлов работоспособен до и после лечения.

Как раз угадал. Аналитик Вам ответил что лечение отработало корректно.

Это совершенно не предполагает восстановление функциональности файла на момент до заражения. Это предполагает что лечение сделало всё возможное и что файл будет работать не хуже чем в заражённом виде. Если я не прав, процитируйте ответ, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Аналитик Вам ответил что лечение отработало корректно.

Может быть я не прав, но лечение отрабатывает корректно не тогда, как так сказал аналитик, а когда вылеченный файл работает не хуже, чем до заражения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Аналитик Вам ответил что лечение отработало корректно.

Может быть я не прав, но лечение отрабатывает корректно не тогда, как так сказал аналитик, а когда вылеченный файл работает не хуже, чем до заражения.

Безусловно правы, просто письма присылались по теме того, что лечение работает "криво".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Безусловно правы, просто письма присылались по теме того, что лечение работает "криво".

Так, может я что не знаю, но пока вижу так:

1) есть зараженный файл, который нормально работает

2) после лечения КАВом файл не работает

3) однако симантек этот файл лечит нормально

Вывод: действительно ли лечение КАВе работает "прямо"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

В данном случае было так:

1) есть заражённый файл у которого отрезан оверлей и во время инсталляции вылазит ошибка.

2) после лечения файл остаётся с тем же функционалом, но уже без вируса

3) лично не проверял, но если действительно дописывает оверлей, сильно удивлюсь и рассмотрю все варианты по улучшению лечения.

Вывод делайте сами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Happy
      Всем привет, если увлекаетесь туризмом, то могу вам посоветовать https://express-novosti.ru/interesting/travel/ вот этот блог о путешествиях. На нем найдете много интересных статей и рейтинги разных популярных курортов.
    • PR55.RP55
      F6            - Проверка цифр. подписей файлов в списке. А если нужно проверить не всё, а например только драйверы ? т.е. оператору нужно проверить одну категорию, а по факту проверяется весь список = потеря темпа\времени. Предлагаю добавить в меню команду: "Проверить ЭЦП файлов только в этой категории "
    • PR55.RP55
    • PR55.RP55
      С выходом новой версии Хрома появились записи типа. Полное имя                  79.0.3945.130
      Имя файла                   79.0.3945.130
      Тек. статус                 в автозапуске Chrome/Yandex
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске Chrome/Yandex
                                  
      Доп. информация             на момент обновления списка
      Стартовая страница          Chrome Образ тема:  https://forum.esetnod32.ru/messages/forum4/topic15670/message108070/?result=reply#message108070
                                  
    • Quinsy
      Если брать крупный кредит в банке, то там и процент приличный будет. Замучаетесь потом отдавать. А лизинг своеобразный вариант рассрочки всё-таки. И там поменьше по деньгам выйдет. Можете в банках даже условия почитать под какой процент кредиты у них идут, и тут https://leasing-trade.ru/calculator-leasing/ на калькуляторе лизинга подсчитать  сколько таким образом выйдет. И увидите, где выгоднее. 
×