Сергей Ильин

Важно ли знать, что за вирус мы обнаружили/удалили?

В этой теме 31 сообщений

Собственно такой вопрос, важно ли нам знать, что за вирус мы обнаружили или удалили?

Предлагаю отдельно рассмотреть варианты для персональных пользователей и корпоративных клиентов.

Такой вопрос возникает в свете развития проактивных технологий, которые не дают четкого ответа что за угроза была обнаружена и, самое главное, чем она опасна. Т.е. угроза проактивно угроза ликвидируется, но понять, что это и какую опасность представляет нельзя.

Насколько я помню, например, об этом на конференции InfoSecurity 2005 говорил Девид Перри (Trend Micro), что клиенту важно не просто удалить вирус/троян/spyware и т.д., но и узнать характеристики пойманного вредоносного объекта. К сожалению, проактивные методы эту задачу не решают, остаются только старые добрые сигнатуры.

Я конечно понимаю, что Перри сказал это скорее как отмазку на наезд, что Trend Micro не развивает должным образом проактивные технологии, но в этом, на мой взгляд есть выжный смысл.

Подобного мнения придерживаются и некоторые другие эксперты.

Но на практике вредоносов так много, что каждого никто не будет препарировать и смотреть что он мог натворить или даже натворил (если был обнаружен уже в сетке компании или на домашенм компе). Поэтому знать характеристики заразы может и не так важно.

Какие будут мыслы у сообщенства на этом счет?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
..skip..

Насколько я помню, например, об этом на конференции InfoSecurity 2005 говорил Девид Перри (Trend Micro), что клиенту важно не просто удалить вирус/троян/spyware и т.д., но и узнать характеристики пойманного вредоносного объекта. К сожалению, проактивные методы эту задачу не решают, остаются только старые добрые сигнатуры.

На мой взгляд, это часть идеологии. Если бы Trend Micro захотел реализовать супер-эвристику, как это они раньше старались (ну как вставить картинку в этом форуме?!), то они бы это сделали.

..skip..

Какие будут мыслы у сообщенства на этом счет?

Когда вирусы блокируются на почтовом или Веб-шлюзе, то мне все равно, что они заблокировали --- главное, чтобы не было ложных срабатываний. Но вот если вирус/spyware обнаружен уже запущенным, то всегда очень хочется знать, что он мог отправить автору, а не только успокоится фактом, что его удалила умная автоматика.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Размышления опытных пользователей, знающих чего они хотят и понимающих что происходит :)

Уважаемые, а ведь большинству пользователей абсолютно без разницы, что убил или заблокировал антивирус, главное для них результат, а не детали процеса. А рынок концентрирует своё внимание именно на большинстве.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

простые пользователи на этом форуме поднимите руки..

кому всё равно..???

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
простые пользователи на этом форуме поднимите руки..

кому всё равно..???

Дома, мне все равно.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

дома у меня вообще нет антивируса..

потому что....

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
простые пользователи на этом форуме поднимите руки..

кому всё равно..???

Дома, мне все равно.

Аналогичная ситуация

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня дома тоже нет антивируса. Для этого случая пожалуй все понятно - не обязаятельно знать.

Для корпоративных клиентов, я думаю, это знать нужно (за исключением пожалуй случая шлюза, тут я согласен с Михаилом).

Если на компе у ген. директора вдруг найден троян (спайвар), ваши действия?

Я конечнопонимаю, что первая мысль - затереть это дело, чтоб никто не узнал, а то могут быть скандалы, проблемы и т.п.

Но все же лучше понять, какая инфа могла уйти налево.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
простые пользователи на этом форуме поднимите руки..

кому всё равно..???

Дома, мне все равно.

Поддерживаю.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вышеозначенный разговор вёлся между старожилами три года назад. А как сейчас?

Думаю, ситуация уже такова, что:

ЗНАТЬ (записать) хотя бы название малвари для Пользователя - значит иметь хоть малейшее представление о том, что творится с твоим компом (собенно, если активно пользуешься съемно-переносными носителями данных);

а НЕ ЗНАТЬ - полнейшая безалаберность, попустительство и вирусоносительство.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вышеозначенный разговор вёлся между старожилами три года назад. А как сейчас?

Мне НЕ всё равно в том смысле, что название зловреда - неинтересно, но сам факт попадания чего-то на мой комп без моего ведома - недопустим, так как доказательство непрофессионализма (я считаю даже сам момент предупреждения программ защиты об угрозе уже провалом в моей защите). Я обязательно выяснил бы, как этот гад попал бы у меня на компе, чтобы больше такого не было. Скорее всего я и переустановил бы систему полностью. Ценного при этом ничего нет на компе. Программ защиты тоже нет.

Paul

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ценного при этом ничего нет на компе.

А где же тогда хранятся ваши семейные или личные ценности? (я не про деньги!)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А где же тогда хранятся ваши семейные или личные ценности? (я не про деньги!)

Фотки, музыки, фильмы, и так далее? Всё на дисках, естественно...

Paul

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ааа, видно их не так много. А вот у некоторых их бывает тааак много, что на дисках не умещается... :)

Потому и дрожат над каждым глюком. Вирусов боятся.

А вот позапрошлогодний случай, когда все пользовательские файлы превращались в клыко-зубы поверг пострадавших в мегашок. До сих пор не знаю точного названия того червя, что залезал через письма и вебстраничную почту. Типа вируса-шантажиста, но не тот, что был в прошлом году.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот позапрошлогодний случай, когда все пользовательские файлы превращались в клыко-зубы поверг пострадавших в мегашок. До сих пор не знаю точного названия того червя, что залезал через письма и вебстраничную почту. Типа вируса-шантажиста, но не тот, что был в прошлом году.

Virus.VBS.Agent.c - "Диструктивная" реклама?

85b899ae2c4c.jpg

Paul

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Virus.VBS.Agent.c

Ага, или Email-Worm.VBS.Agent.j.

На тот момент и многим позднее избавления от него не было. Я отправлял собранные образцы в антивирусные компании. Искали, искали. Ждали, ждали - не дождались. Я запустил восстановление удалённых файлов (всё равно туда-сюда пользователи их перекидывают постоянно, а дубликаты удаляют) и так вернул девушке большинство её файлов.

А как файлы можно было всё быстро вернуть, не написано. Простой переустановкой системы с нуля?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А как файлы можно было вернуть, не написано. Просто переустановкой системы с нуля?

Они на самом деле не стёрлись - зверь поместил поверх эту картинку, но восстановить фотки можно было специальными программами, такие как Easy Recovery - точно уже не помню...

Paul

1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Они на самом деле не стёрлись - зверь поместил поверх картинку

Но я помню, что размер файлов одного и того же типа стал одинаковым.

А я восстанавливал из удалённого при помощи RMF, что было под рукой, названия только стёрлись.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а НЕ ЗНАТЬ - полнейшая безалаберность, попустительство и вирусоносительство.

Согласен!

Это единственная претензия у меня к великолепному и удобному Нортон 360. Извините, но я хочу знать, где я лоханулся и какой скаченный дистрибутив какой-нибудь игрушки был с вирусом. А меня просто ставят перед фактом :(

Считаю, что у человека должен быть выбор. Очень хорошо это реализовано в Авира. Ставишь галку "режим эксперта" и у тебя появляется расширенное меню для "порулить" антивирусом.

П.С. было бы идеально, если бы антивирус еще и давал корткую заметку о действии удаленной заразы по ее типу. Например: "зловред такого-то типа обнаруженный на вашем ПК обычно крадет пароли к аське, почте и кредитным карточкам. Пожалуйста, на всякий случай измените свои пароли".

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это единственная претензия у меня к великолепному и удобному Нортон 360.

Дело в том что концепция Norton 360 изначально была - меньше знаешь, крепче спишь - то есть максимальный автоматизм. Однако таких несогласных с этой концепцией как Вы, TANUKI, было много (в том числе и я). Поэтому в Norton 360 3.0 все это решено:

N360_1.jpg

N360_2.jpg

post-44-1236549213_thumb.jpg

post-44-1236549231_thumb.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
было бы идеально, если бы антивирус еще и давал корткую заметку о действии удаленной заразы по ее типу.

Или хотя бы гиперссылочку на свой или другой информационный сайт, где есть подробности об этом зловреде.

Например, такая функция есть в a-squared Anti-Malware и очень давно (в окне проверки и в онлайн-отчёте), а также у других зарубежных программ.

Поэтому в Norton 360 3.0 все это решено:

Ай, да Нортон! Ай, да... ! ;)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дело в том что концепция Norton 360 изначально была - меньше знаешь, крепче спишь - то есть максимальный автоматизм. Однако таких несогласных с этой концепцией как Вы, TANUKI, было много (в том числе и я). Поэтому в Norton 360 3.0 все это решено:

Когда тестировал бетку тройки не обратил на это внимание. Спасибо. Но все же хотелось бы видеть путь к зараженному файлу. На скринах я этого не вижу...

Например, такая функция есть в a-squared Anti-Malware и очень давно (в окне проверки и в онлайн-отчёте), а также у других зарубежных программ.

Такая штука есть во многих продуктах, в том же Каспере. Только вот информация подробная отсутствует в большинстве случаев :(

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На скринах я этого не вижу...

Просто это Tracking Cookie, их как файлов не существует, не лучший пример, а других вирусов у меня не водится :rolleyes:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто это Tracking Cookie, их как файлов не существует, не лучший пример, а других вирусов у меня не водится :rolleyes:

Т.е. путь будет показан по идее? :) Отлично :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      Demkd 1) По хорошему нужно чтобы uVS добавлял в список все ( исполняемые ) файлы из корня системного диска. Пример тема: http://www.tehnari.ru/f35/t253394/ 2) Увеличить меж строчный интервал. C:\PROGRAM FILES\DAEMON TOOLS ULTRA\LANG\HUN.DLL
      C:\PROGRAM FILES\DAEMON TOOLS ULTRA\LANG\HYE.DLL
      C:\PROGRAM FILES\DAEMON TOOLS ULTRA\LANG\IND.DLL
      C:\PROGRAM FILES\DAEMON TOOLS ULTRA\LANG\ITA.DLL
      C:\PROGRAM FILES\DAEMON TOOLS ULTRA\LANG\JPN.DLL До: C:\PROGRAM FILES\DAEMON TOOLS ULTRA\LANG\HUN.DLL C:\PROGRAM FILES\DAEMON TOOLS ULTRA\LANG\HYE.DLL C:\PROGRAM FILES\DAEMON TOOLS ULTRA\LANG\IND.DLL C:\PROGRAM FILES\DAEMON TOOLS ULTRA\LANG\ITA.DLL C:\PROGRAM FILES\DAEMON TOOLS ULTRA\LANG\JPN.DLL   Во втором случае работать легче - записи не сливаются в одно целое.  
    • tk-test
      Мой знакомый тоже попал в такую ситуацию. Все файлы были зашифрованы и для получения кода расшифровки требовали большую сумму в долларах. Конечно же информация того не стоила и пришлось с ней проститься.
    • Wenderoy
    • Wenderoy
      Антивирус Куранина - это защитный программный комплекс, разрабатываемый и поддерживаемый компанией KurSecurityProtection с декабря 2014 года. Текущая версия - 1.8.3.5 beta (New Age Edition).
      Содержание История
      Компоненты
      Разработка
      См. также
      Ссылки
      История Первая версия программы была выпущена 16 декабря 2014 года и представляла собой утилиту "KurPure" для лечения активного заражения вредоносным программным обеспечением класса Trojan.Virut. Впоследствии приложение претерпело значительные изменения и стало полноценным антивирусом с резидентной защитой.
      Компоненты — Базовая (Basic) и эвристическая защиты в режиме реального времени — нет необходимости вручную сканировать каждый файл на предмет зловредности  — Защита и оптимизация реестра системы в режиме реального времени  — Защита от потенциально нежелательных программ из сети Интернет  — Защита USB/CD/DVD съемных носителей от заражения autorun-зловредами  — Легкая и неощутимая работа программы («установил и забыл»)  — Оптимизация жесткого диска компьютера  — Двухъядерная система защиты данных (Basic Engine и «Ano» protection)  — Уникальная технология «Ano» protection для выявления даже неизвестных вирусов  — Защита Интернет-соединения  — Защита от фишинговых, мошеннических и вредоносных веб-ресурсов  — HIPS (поведенческий) анализатор  — Мощный сетевой экран для предотвращения вторжений извне  — Наличие антишпиона/виртуальной клавиатуры  — Возможность использования на серверах и в корпорациях  — Возможность централизованного управления  — Большое количество полезных утилит безопасности  — Возможность работы с Proxy-сервером  — Защита от подмены системных файлов  — Защита от вредоносных библиотек и драйверов  — Комплексная защита автозагрузки системы  — Встроенный монитор реестра, основная задача которого заключается в отслеживании изменения критических записей и основных системных веток реестра  — Система «коллективного разума» — Cloud Protection, основанная на облачных методах безопасности данных  — Ежедневное обновление вирусных сигнатур  — Поддержка всех популярных операционных систем семейства Windows NT  — Защита от DoS и DDoS атак в реальном времени  — Встроенный антикейлоггер (AntiKeylogger)  — Очистка временных («мусорных») файлов ОС  — Наличие качественной самозащиты от выгрузки сторонними процессами  — Контроль карантина с возможностью восстановления объектов из хранилища  — Возможность защиты паролем настроек продукта  — Ведение лог-файла для удобства пользователя  — Флэш-вакцинация — «прививка» от наиболее распространенных USB червей  — Технология ускоренного сканирования файлов только по их заголовку  — Наличие собственной разработки — «файлового ревизора»  — Предотвращение посещения IP логгеров и других нежелательных веб-сайтов  — Родительский контроль с тонкими настройками  — Возможность смены интерфейса центра управления  — Наличие «игрового режима» без уведомлений (антивирус будет самостоятельно принимать оптимальное решение касательно угрозы)  — Параметры файлового контроля с добавлением исключений (в т. ч. возможность добавления литеров носителей в исключения проверки)  — Настройка политики обработки угрозы по умолчанию  — Модуль персональной защиты важных файлов (усиленная защита от троянских программ класса Crypto)  — Возможность управления звуковыми эффектами при оповещении (в т. ч. полное отключение музыкального сопровождения)  — Наличие центра управления отчетами антивируса в процессе работы  — Вторичный брандмауэр «Плутон» (работает по умолчанию)  — Защита всех протоколов сети (включая Wi-Fi)  — Ежедневные обновления двигателя и модулей программы  — Возможность обновления с локального сервера/других носителей информации  — Обновление антивирусных сигнатур/версии программы без доступа в сеть Интернет  — Безопасный ввод данных с обычной клавиатуры (Антишпион)  — Защита от модификации системных файлов и других критических объектов  — Предотвращение установки вредоносных драйверов  — Возможность перехода на на новую версию антивируса без переустановки  — Очистка временных («мусорных») файлов Windows  — Простой и интуитивно понятный интерфейс 
      Разработка Автор антивирусного пакета - Куранин Илья. Программа распространяется по принципу Freeware (бесплатно). Находится в активной разработке. Использованные языки программирования - C++, Visual Basic 6.0, Command Line, Visual Basic Script, Delphi. Антивирус имеет закрытый исходный код.
      Kuranin Antivirus Официальный сайт - https://kuranin.net
    • AM_Bot
      В статье рассказывается об основах создания криминалистических копий носителей информации. Приводится пошаговая инструкция: как извлечь жесткий диск из ноутбука и сделать его криминалистическую копию с помощью доступного специализированного программного обеспечения. Читать далее