Перейти к содержанию
K_Mikhail

Самозащита Dr.Web становится более бдительной

Recommended Posts

K_Mikhail

Самозащита Dr.Web становится более бдительной

17 ноября 2009 года

Компания «Доктор Веб» сообщает об обновлении модуля самозащиты Dr.Web SelfPROtect для однопользовательских решений Dr.Web. Самозащита Dr.Web усилена функцией контроля целостности антивирусного комплекса.

Отныне при включенной самозащите в категорию недоверенных будут попадать любые неподписанные процессы, которые пытаются запуститься из каталога антивируса. В случае если цифровая подпись запускающего файла в установочном каталоге Dr.Web была нарушена, новая функция не даст запуститься этим процессам. При нарушении целостности антивирусного комплекса пользователи получат от программы соответствующие уведомления.

Обновление пройдет автоматически и коснется пока только пользователей решений Dr.Web для защиты рабочих станций и серверов. После обновления потребуется перезагрузка системы.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Что ?

Да и сама формулировка странная:

Отныне при включенной самозащите в категорию недоверенных будут попадать любые неподписанные процессы, которые пытаются запуститься из каталога антивируса.

Как при включённой самозащите что-то попадёт в каталог доктора? А если она попала, что значит защита тю-тю, так кто тогда будет блокировать запуск? А если файлы защиты будут изменены, то защита сама себе не даст запуститься? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Да и сама формулировка странная:

Как при включённой самозащите что-то попадёт в каталог доктора? А ели она попала, что значит защита тю-тю, так кто тогда будет блокировать запуск? А если файлы защиты будут изменены, то защита сама себе не даст запуститься? :)

Написано только то, что приведено по ссылке первоисточника. Меня самого написанное в тексте новости озадачивает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

dr_dizel

Может раньше если вредонос создал папку Доктора и положил свою копию в нее, а потом пользователь установил Доктора, то вредонос попадал в заботливое окружение самозащиты и игнорировался самим АВ? Я просто другой глупости другого объяснения что-то не могу пока придумать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Ну или просто напросто костыль.... Видимо не все так хорошо с защитой папки с Доктором. Только я еще не встречал зловреда, который ставит себя в папку с Доктором... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Danilka

Ни у кого не хорошо с СЗ, ни у Доктора, ни у ЛК, ни у Симантека. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Umnik

А кто спорит то? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Я просто другой глупости другого объяснения что-то не могу пока придумать.

А я придумал. У самозащиты есть такое свойство, как выключение (по капче). Вот во время её отключённого состояния туда и можно записать что-нибудь.

Правда в бетовской версии без установки некоторых компонентов у меня там уже 2-е оригинальных dll без подписи насчиталось: dwebllio.dll, drweb32.dll... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rlmm
А я придумал. У самозащиты есть такое свойство, как выключение (по капче). Вот во время её отключённого состояния туда и можно записать что-нибудь.

гениально...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
гениально...

Rlmm, заканчивайте нарушать правила (троллинг), выражайте свои мысли конкретнее или вообще не пишите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
devon
А я придумал. У самозащиты есть такое свойство, как выключение (по капче). Вот во время её отключённого состояния туда и можно записать что-нибудь.

Правда в бетовской версии без установки некоторых компонентов у меня там уже 2-е оригинальных dll без подписи насчиталось: dwebllio.dll, drweb32.dll... :rolleyes:

не прошло и года как придумали кейс. самозащита может быть выключена, файлы могут быть заражены, в том числе с другой ОС, да вариантов полно если включить голову. самозащита не даст запустить не доверенный/скомпрометированный процесс из каталогов антивирусного комплекса. это смысл фичи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×