A.

Детектирование полиморфов

В этой теме 67 сообщений

Wordmonger

он убивает оверлей файла и записывается в него.

Интересно, кто это сможет вылечить?

Давайте не будем смеяться. Я не обязан знать механизм заражения каждого вируса.

ИМХО исторически, качество лечения Симантека мне представляется более высоким нежели КАВа, что легко объясняется "старой школой", "медленной реакцией" и т.д.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ИМХО исторически, качество лечения Симантека мне представляется более высоким нежели КАВа, что легко объясняется "старой школой", "медленной реакцией" и т.д.

Ну вы всё же вышлите в ЛК примеры. Быстрая реакция - это хорошо, но пусть и лечение поправят, если возможно. Или действительно честно скажут "Cannot be disinfected".

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если у человека нет примеров? Что он должен был бекапить зараженные и битые после лечения файлы? Вы требуете невозможного.

По нашим тестам лечение у Symantec действительно на высоком уровне.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Доктор тоже не очень лечит.

И вообще, зачем такое лечение? Претензия именно в этом, а не в том, что лечит или нет. Просто нажимаешь лечить - получаешь коцаные файлы. ИМХО, надо честно признаться, что не лечим, и предложить только удалить. Юзер бы стал лечилку искать. А так, когда я к юзеру пришел, пришлось из резервного хранилища 7 все поднимать - вручную, по одному, т.к. кнопки восстанивить все у Касперского нет.

Ctrl+A и восстановить конечно помогает, но жать ол долго - долго совсем не прикольно..

Всмысле такое лечение?

Вы уверены что заражённые файлы у Вас работают?

Я вот уверен что все файлы которые у Вас получились покоцанные не работают и до лечения. Почему? Потому что вирус некорректно заразил файлы и удалил часть данных. Наиболее частая ошибка допускаемая в вирусах, это "забывание" про оверлей файла. В результате у заражённого файла удаляется оверлей и у Вас перестают работать все архивы. А антивирус не может определить нормально заражён данный файл или криво и честно всё лечит как будто файлы корректные. Так что в данном случае не стоит "наезжать" на антивирусные компании, имхо.

Добавлено спустя 2 минуты 17 секунд:

Уточнил. По словам пользователя: Зараженные файлы 100% рабочие. Ничем перед Касперским не лечились.

После лечения и удаления битых exe + полного сканирования, через некоторое время вирус появляется снова. Патч, закрывающий уъязвимость, эксплуатируемую вирусом, стоит.

После отключения восстановления системы и проверки в безопасном режиме наверное удалось избавится от вируса.

Те 2 файла, что вы прислали в вирлаб были неработоспособными ещё до лечения.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

dan, а можно ли при разборе виря понять, что он криво заражает и сделать их этого выводы? Например, честно сообщить, что лечение невозможно.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1) Вирус криво заражает не всё, а только какое то количество файлов, иначе вирус не получил бы расспространение.

2) По заражённому файлу уже не понятно, криво он был заражён или нормально.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Те 2 файла, что вы прислали в вирлаб были неработоспособными ещё до лечения.

В в вир лабе работаете или гадаете на кофейной гуще?

Я еще раз повторяю, заражение было не у меня, а у юзера, на машине кстати, стоял Доктор. Я не наезжаю, читайте внимательно мои посты.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если у человека нет примеров? Что он должен был бекапить зараженные и битые после лечения файлы? Вы требуете невозможного.

Ну нет так нет =) Я думал, может есть.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выложил то, что осталось в закрытом разделе.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Выложил то, что осталось в закрытом разделе.

Да, те файлы повреждены ещё в заражённом виде.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, те файлы повреждены ещё в заражённом виде.

А вот и не угадали :lol:

По словам аналитика ЛК один из файлов работоспособен до и после лечения.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, те файлы повреждены ещё в заражённом виде.

А вот и не угадали :lol:

По словам аналитика ЛК один из файлов работоспособен до и после лечения.

Как раз угадал. Аналитик Вам ответил что лечение отработало корректно.

Это совершенно не предполагает восстановление функциональности файла на момент до заражения. Это предполагает что лечение сделало всё возможное и что файл будет работать не хуже чем в заражённом виде. Если я не прав, процитируйте ответ, пожалуйста.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аналитик Вам ответил что лечение отработало корректно.

Может быть я не прав, но лечение отрабатывает корректно не тогда, как так сказал аналитик, а когда вылеченный файл работает не хуже, чем до заражения.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аналитик Вам ответил что лечение отработало корректно.

Может быть я не прав, но лечение отрабатывает корректно не тогда, как так сказал аналитик, а когда вылеченный файл работает не хуже, чем до заражения.

Безусловно правы, просто письма присылались по теме того, что лечение работает "криво".

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Безусловно правы, просто письма присылались по теме того, что лечение работает "криво".

Так, может я что не знаю, но пока вижу так:

1) есть зараженный файл, который нормально работает

2) после лечения КАВом файл не работает

3) однако симантек этот файл лечит нормально

Вывод: действительно ли лечение КАВе работает "прямо"?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В данном случае было так:

1) есть заражённый файл у которого отрезан оверлей и во время инсталляции вылазит ошибка.

2) после лечения файл остаётся с тем же функционалом, но уже без вируса

3) лично не проверял, но если действительно дописывает оверлей, сильно удивлюсь и рассмотрю все варианты по улучшению лечения.

Вывод делайте сами.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • alamor
      PR55.RP55, извиняюсь, про исполняемые недосмотрел, подумал вы .pf файлы предлагаете чистить. Сейчас у многих это "модно".
       
    • PR55.RP55
      alamor У меня порой возникает такое впечатление, что я пишу одно - а люди читают, что-то совсем другое. Ещё раз. Каталог: PREFETCH   в норме не содержит исполняемых файлов. он содержит файлы\информацию по запуску исполняемых файлов. Никто не предлагает очищать сам каталог. ------------------------ SourceMonitor Возможно, что-то в таком духе будет полезно для анализа файла, при добавлении этой информации в Инфо. http://soft.oszone.net/program/5829/SourceMonitor/
    • alamor
      PR55.RP55, не надо всякой фигнёй страдать. И поменьше читайте разные байки в интернете про очистку файлов префетчера. Тем более в контексте uVS после такой очистки вы потеряете часть файлов в образе которые запускались неявно или вручную и будете потом обвинять demkd, что новая версия видит меньше вирусни чем старая.
       
    • AM_Bot
      Антивирусная компания ESET провела опрос, посвященный онлайн-платежам. Респондентам предложили перечислить товары и услуги, которые они оплачивают в Сети, и меры предосторожности. Пользователи могли указать несколько вариантов ответа. Читать далее
    • AM_Bot
      Минкомсвязи собирается ограничить число удостоверяющих центров, которые сегодня имеют право выдавать квалифицированную электронную подпись, двумя государственными структурами. Соответствующий законопроект уже внесен ведомством. Читать далее