Сергей Ильин

Важно ли знать, что за вирус мы обнаружили/удалили?

В этой теме 31 сообщений

Собственно такой вопрос, важно ли нам знать, что за вирус мы обнаружили или удалили?

Предлагаю отдельно рассмотреть варианты для персональных пользователей и корпоративных клиентов.

Такой вопрос возникает в свете развития проактивных технологий, которые не дают четкого ответа что за угроза была обнаружена и, самое главное, чем она опасна. Т.е. угроза проактивно угроза ликвидируется, но понять, что это и какую опасность представляет нельзя.

Насколько я помню, например, об этом на конференции InfoSecurity 2005 говорил Девид Перри (Trend Micro), что клиенту важно не просто удалить вирус/троян/spyware и т.д., но и узнать характеристики пойманного вредоносного объекта. К сожалению, проактивные методы эту задачу не решают, остаются только старые добрые сигнатуры.

Я конечно понимаю, что Перри сказал это скорее как отмазку на наезд, что Trend Micro не развивает должным образом проактивные технологии, но в этом, на мой взгляд есть выжный смысл.

Подобного мнения придерживаются и некоторые другие эксперты.

Но на практике вредоносов так много, что каждого никто не будет препарировать и смотреть что он мог натворить или даже натворил (если был обнаружен уже в сетке компании или на домашенм компе). Поэтому знать характеристики заразы может и не так важно.

Какие будут мыслы у сообщенства на этом счет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
..skip..

Насколько я помню, например, об этом на конференции InfoSecurity 2005 говорил Девид Перри (Trend Micro), что клиенту важно не просто удалить вирус/троян/spyware и т.д., но и узнать характеристики пойманного вредоносного объекта. К сожалению, проактивные методы эту задачу не решают, остаются только старые добрые сигнатуры.

На мой взгляд, это часть идеологии. Если бы Trend Micro захотел реализовать супер-эвристику, как это они раньше старались (ну как вставить картинку в этом форуме?!), то они бы это сделали.

..skip..

Какие будут мыслы у сообщенства на этом счет?

Когда вирусы блокируются на почтовом или Веб-шлюзе, то мне все равно, что они заблокировали --- главное, чтобы не было ложных срабатываний. Но вот если вирус/spyware обнаружен уже запущенным, то всегда очень хочется знать, что он мог отправить автору, а не только успокоится фактом, что его удалила умная автоматика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Размышления опытных пользователей, знающих чего они хотят и понимающих что происходит :)

Уважаемые, а ведь большинству пользователей абсолютно без разницы, что убил или заблокировал антивирус, главное для них результат, а не детали процеса. А рынок концентрирует своё внимание именно на большинстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

простые пользователи на этом форуме поднимите руки..

кому всё равно..???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
простые пользователи на этом форуме поднимите руки..

кому всё равно..???

Дома, мне все равно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

дома у меня вообще нет антивируса..

потому что....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
простые пользователи на этом форуме поднимите руки..

кому всё равно..???

Дома, мне все равно.

Аналогичная ситуация

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня дома тоже нет антивируса. Для этого случая пожалуй все понятно - не обязаятельно знать.

Для корпоративных клиентов, я думаю, это знать нужно (за исключением пожалуй случая шлюза, тут я согласен с Михаилом).

Если на компе у ген. директора вдруг найден троян (спайвар), ваши действия?

Я конечнопонимаю, что первая мысль - затереть это дело, чтоб никто не узнал, а то могут быть скандалы, проблемы и т.п.

Но все же лучше понять, какая инфа могла уйти налево.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
простые пользователи на этом форуме поднимите руки..

кому всё равно..???

Дома, мне все равно.

Поддерживаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вышеозначенный разговор вёлся между старожилами три года назад. А как сейчас?

Думаю, ситуация уже такова, что:

ЗНАТЬ (записать) хотя бы название малвари для Пользователя - значит иметь хоть малейшее представление о том, что творится с твоим компом (собенно, если активно пользуешься съемно-переносными носителями данных);

а НЕ ЗНАТЬ - полнейшая безалаберность, попустительство и вирусоносительство.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вышеозначенный разговор вёлся между старожилами три года назад. А как сейчас?

Мне НЕ всё равно в том смысле, что название зловреда - неинтересно, но сам факт попадания чего-то на мой комп без моего ведома - недопустим, так как доказательство непрофессионализма (я считаю даже сам момент предупреждения программ защиты об угрозе уже провалом в моей защите). Я обязательно выяснил бы, как этот гад попал бы у меня на компе, чтобы больше такого не было. Скорее всего я и переустановил бы систему полностью. Ценного при этом ничего нет на компе. Программ защиты тоже нет.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ценного при этом ничего нет на компе.

А где же тогда хранятся ваши семейные или личные ценности? (я не про деньги!)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А где же тогда хранятся ваши семейные или личные ценности? (я не про деньги!)

Фотки, музыки, фильмы, и так далее? Всё на дисках, естественно...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ааа, видно их не так много. А вот у некоторых их бывает тааак много, что на дисках не умещается... :)

Потому и дрожат над каждым глюком. Вирусов боятся.

А вот позапрошлогодний случай, когда все пользовательские файлы превращались в клыко-зубы поверг пострадавших в мегашок. До сих пор не знаю точного названия того червя, что залезал через письма и вебстраничную почту. Типа вируса-шантажиста, но не тот, что был в прошлом году.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот позапрошлогодний случай, когда все пользовательские файлы превращались в клыко-зубы поверг пострадавших в мегашок. До сих пор не знаю точного названия того червя, что залезал через письма и вебстраничную почту. Типа вируса-шантажиста, но не тот, что был в прошлом году.

Virus.VBS.Agent.c - "Диструктивная" реклама?

85b899ae2c4c.jpg

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Virus.VBS.Agent.c

Ага, или Email-Worm.VBS.Agent.j.

На тот момент и многим позднее избавления от него не было. Я отправлял собранные образцы в антивирусные компании. Искали, искали. Ждали, ждали - не дождались. Я запустил восстановление удалённых файлов (всё равно туда-сюда пользователи их перекидывают постоянно, а дубликаты удаляют) и так вернул девушке большинство её файлов.

А как файлы можно было всё быстро вернуть, не написано. Простой переустановкой системы с нуля?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А как файлы можно было вернуть, не написано. Просто переустановкой системы с нуля?

Они на самом деле не стёрлись - зверь поместил поверх эту картинку, но восстановить фотки можно было специальными программами, такие как Easy Recovery - точно уже не помню...

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Они на самом деле не стёрлись - зверь поместил поверх картинку

Но я помню, что размер файлов одного и того же типа стал одинаковым.

А я восстанавливал из удалённого при помощи RMF, что было под рукой, названия только стёрлись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а НЕ ЗНАТЬ - полнейшая безалаберность, попустительство и вирусоносительство.

Согласен!

Это единственная претензия у меня к великолепному и удобному Нортон 360. Извините, но я хочу знать, где я лоханулся и какой скаченный дистрибутив какой-нибудь игрушки был с вирусом. А меня просто ставят перед фактом :(

Считаю, что у человека должен быть выбор. Очень хорошо это реализовано в Авира. Ставишь галку "режим эксперта" и у тебя появляется расширенное меню для "порулить" антивирусом.

П.С. было бы идеально, если бы антивирус еще и давал корткую заметку о действии удаленной заразы по ее типу. Например: "зловред такого-то типа обнаруженный на вашем ПК обычно крадет пароли к аське, почте и кредитным карточкам. Пожалуйста, на всякий случай измените свои пароли".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это единственная претензия у меня к великолепному и удобному Нортон 360.

Дело в том что концепция Norton 360 изначально была - меньше знаешь, крепче спишь - то есть максимальный автоматизм. Однако таких несогласных с этой концепцией как Вы, TANUKI, было много (в том числе и я). Поэтому в Norton 360 3.0 все это решено:

N360_1.jpg

N360_2.jpg

post-44-1236549213_thumb.jpg

post-44-1236549231_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
было бы идеально, если бы антивирус еще и давал корткую заметку о действии удаленной заразы по ее типу.

Или хотя бы гиперссылочку на свой или другой информационный сайт, где есть подробности об этом зловреде.

Например, такая функция есть в a-squared Anti-Malware и очень давно (в окне проверки и в онлайн-отчёте), а также у других зарубежных программ.

Поэтому в Norton 360 3.0 все это решено:

Ай, да Нортон! Ай, да... ! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дело в том что концепция Norton 360 изначально была - меньше знаешь, крепче спишь - то есть максимальный автоматизм. Однако таких несогласных с этой концепцией как Вы, TANUKI, было много (в том числе и я). Поэтому в Norton 360 3.0 все это решено:

Когда тестировал бетку тройки не обратил на это внимание. Спасибо. Но все же хотелось бы видеть путь к зараженному файлу. На скринах я этого не вижу...

Например, такая функция есть в a-squared Anti-Malware и очень давно (в окне проверки и в онлайн-отчёте), а также у других зарубежных программ.

Такая штука есть во многих продуктах, в том же Каспере. Только вот информация подробная отсутствует в большинстве случаев :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На скринах я этого не вижу...

Просто это Tracking Cookie, их как файлов не существует, не лучший пример, а других вирусов у меня не водится :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто это Tracking Cookie, их как файлов не существует, не лучший пример, а других вирусов у меня не водится :rolleyes:

Т.е. путь будет показан по идее? :) Отлично :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ego Dekker
      Декабрь 2019 — дата окончания жизненного цикла ESET NOD32/ESET Smart Security 9.0.
    • demkd
      драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.
    • Ольга_diplombest
      Высшее образование — сегодня это головная боль. Хотя каждый молодой человек стремиться его получить, как залог хорошей работы и высокой зарплаты в будущем. Но ВУЗы уже перестали быть бесплатными, поэтому получить образование можно только за деньги. Поэтому все чаще портрет современного студента — это работающий человек, который совмещает работу с учебой и еще имеющий семью. К тому же ссесия, написание рефератов. Курсовых работ или защита диплома — это настоящее испытание требующее много времени и сил.Необходимо время на поиск материала диплома,  написание работы, а еще семья и работа —и вот времени не хватает. При этом все успеть, порой физически бывает не возможно. И вот студент думает выхода нет и заваливает ссесию, бросает ВУЗ. Но выход есть, воспользоваться профессиональными преподавателями, аспирантами, докторами наук ... ка сделали уже многие студенты — https://diplombest.ru/сайт для тех, кто ценит время и бережет нервы. Компания работает без предоплаты, что гарантирует получение качественной работы в срок и без рисков для студента, политика скидок позволяет экономить до 50% от стоймости работы, что заслуживает доверия со стороны студентаТогда получение высшего образования будет в радость и через 5 лет ты уже заслуженный специалист.
    • Ольга_diplombest
      Я да не плохие деньги. Я то пользовалась https://diplombest.ru/. роде не плохо
    • santy
      demkd, за счет чего uVS здесь обнаружил руткитный драйвер, загружающий в систему майнер? https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/detection в этой теме https://forum.drweb.com/index.php?showtopic=329197 антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?