Перейти к содержанию
Сергей Ильин

Важно ли знать, что за вирус мы обнаружили/удалили?

Recommended Posts

Сергей Ильин

Собственно такой вопрос, важно ли нам знать, что за вирус мы обнаружили или удалили?

Предлагаю отдельно рассмотреть варианты для персональных пользователей и корпоративных клиентов.

Такой вопрос возникает в свете развития проактивных технологий, которые не дают четкого ответа что за угроза была обнаружена и, самое главное, чем она опасна. Т.е. угроза проактивно угроза ликвидируется, но понять, что это и какую опасность представляет нельзя.

Насколько я помню, например, об этом на конференции InfoSecurity 2005 говорил Девид Перри (Trend Micro), что клиенту важно не просто удалить вирус/троян/spyware и т.д., но и узнать характеристики пойманного вредоносного объекта. К сожалению, проактивные методы эту задачу не решают, остаются только старые добрые сигнатуры.

Я конечно понимаю, что Перри сказал это скорее как отмазку на наезд, что Trend Micro не развивает должным образом проактивные технологии, но в этом, на мой взгляд есть выжный смысл.

Подобного мнения придерживаются и некоторые другие эксперты.

Но на практике вредоносов так много, что каждого никто не будет препарировать и смотреть что он мог натворить или даже натворил (если был обнаружен уже в сетке компании или на домашенм компе). Поэтому знать характеристики заразы может и не так важно.

Какие будут мыслы у сообщенства на этом счет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

а как реализовать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
..skip..

Насколько я помню, например, об этом на конференции InfoSecurity 2005 говорил Девид Перри (Trend Micro), что клиенту важно не просто удалить вирус/троян/spyware и т.д., но и узнать характеристики пойманного вредоносного объекта. К сожалению, проактивные методы эту задачу не решают, остаются только старые добрые сигнатуры.

На мой взгляд, это часть идеологии. Если бы Trend Micro захотел реализовать супер-эвристику, как это они раньше старались (ну как вставить картинку в этом форуме?!), то они бы это сделали.

..skip..

Какие будут мыслы у сообщенства на этом счет?

Когда вирусы блокируются на почтовом или Веб-шлюзе, то мне все равно, что они заблокировали --- главное, чтобы не было ложных срабатываний. Но вот если вирус/spyware обнаружен уже запущенным, то всегда очень хочется знать, что он мог отправить автору, а не только успокоится фактом, что его удалила умная автоматика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Raven_River

Размышления опытных пользователей, знающих чего они хотят и понимающих что происходит :)

Уважаемые, а ведь большинству пользователей абсолютно без разницы, что убил или заблокировал антивирус, главное для них результат, а не детали процеса. А рынок концентрирует своё внимание именно на большинстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

простые пользователи на этом форуме поднимите руки..

кому всё равно..???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
простые пользователи на этом форуме поднимите руки..

кому всё равно..???

Дома, мне все равно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

дома у меня вообще нет антивируса..

потому что....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Raven_River
простые пользователи на этом форуме поднимите руки..

кому всё равно..???

Дома, мне все равно.

Аналогичная ситуация

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

У меня дома тоже нет антивируса. Для этого случая пожалуй все понятно - не обязаятельно знать.

Для корпоративных клиентов, я думаю, это знать нужно (за исключением пожалуй случая шлюза, тут я согласен с Михаилом).

Если на компе у ген. директора вдруг найден троян (спайвар), ваши действия?

Я конечнопонимаю, что первая мысль - затереть это дело, чтоб никто не узнал, а то могут быть скандалы, проблемы и т.п.

Но все же лучше понять, какая инфа могла уйти налево.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
простые пользователи на этом форуме поднимите руки..

кому всё равно..???

Дома, мне все равно.

Поддерживаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Вышеозначенный разговор вёлся между старожилами три года назад. А как сейчас?

Думаю, ситуация уже такова, что:

ЗНАТЬ (записать) хотя бы название малвари для Пользователя - значит иметь хоть малейшее представление о том, что творится с твоим компом (собенно, если активно пользуешься съемно-переносными носителями данных);

а НЕ ЗНАТЬ - полнейшая безалаберность, попустительство и вирусоносительство.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Вышеозначенный разговор вёлся между старожилами три года назад. А как сейчас?

Мне НЕ всё равно в том смысле, что название зловреда - неинтересно, но сам факт попадания чего-то на мой комп без моего ведома - недопустим, так как доказательство непрофессионализма (я считаю даже сам момент предупреждения программ защиты об угрозе уже провалом в моей защите). Я обязательно выяснил бы, как этот гад попал бы у меня на компе, чтобы больше такого не было. Скорее всего я и переустановил бы систему полностью. Ценного при этом ничего нет на компе. Программ защиты тоже нет.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Ценного при этом ничего нет на компе.

А где же тогда хранятся ваши семейные или личные ценности? (я не про деньги!)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А где же тогда хранятся ваши семейные или личные ценности? (я не про деньги!)

Фотки, музыки, фильмы, и так далее? Всё на дисках, естественно...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ааа, видно их не так много. А вот у некоторых их бывает тааак много, что на дисках не умещается... :)

Потому и дрожат над каждым глюком. Вирусов боятся.

А вот позапрошлогодний случай, когда все пользовательские файлы превращались в клыко-зубы поверг пострадавших в мегашок. До сих пор не знаю точного названия того червя, что залезал через письма и вебстраничную почту. Типа вируса-шантажиста, но не тот, что был в прошлом году.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А вот позапрошлогодний случай, когда все пользовательские файлы превращались в клыко-зубы поверг пострадавших в мегашок. До сих пор не знаю точного названия того червя, что залезал через письма и вебстраничную почту. Типа вируса-шантажиста, но не тот, что был в прошлом году.

Virus.VBS.Agent.c - "Диструктивная" реклама?

85b899ae2c4c.jpg

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Virus.VBS.Agent.c

Ага, или Email-Worm.VBS.Agent.j.

На тот момент и многим позднее избавления от него не было. Я отправлял собранные образцы в антивирусные компании. Искали, искали. Ждали, ждали - не дождались. Я запустил восстановление удалённых файлов (всё равно туда-сюда пользователи их перекидывают постоянно, а дубликаты удаляют) и так вернул девушке большинство её файлов.

А как файлы можно было всё быстро вернуть, не написано. Простой переустановкой системы с нуля?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А как файлы можно было вернуть, не написано. Просто переустановкой системы с нуля?

Они на самом деле не стёрлись - зверь поместил поверх эту картинку, но восстановить фотки можно было специальными программами, такие как Easy Recovery - точно уже не помню...

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Они на самом деле не стёрлись - зверь поместил поверх картинку

Но я помню, что размер файлов одного и того же типа стал одинаковым.

А я восстанавливал из удалённого при помощи RMF, что было под рукой, названия только стёрлись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
а НЕ ЗНАТЬ - полнейшая безалаберность, попустительство и вирусоносительство.

Согласен!

Это единственная претензия у меня к великолепному и удобному Нортон 360. Извините, но я хочу знать, где я лоханулся и какой скаченный дистрибутив какой-нибудь игрушки был с вирусом. А меня просто ставят перед фактом :(

Считаю, что у человека должен быть выбор. Очень хорошо это реализовано в Авира. Ставишь галку "режим эксперта" и у тебя появляется расширенное меню для "порулить" антивирусом.

П.С. было бы идеально, если бы антивирус еще и давал корткую заметку о действии удаленной заразы по ее типу. Например: "зловред такого-то типа обнаруженный на вашем ПК обычно крадет пароли к аське, почте и кредитным карточкам. Пожалуйста, на всякий случай измените свои пароли".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Это единственная претензия у меня к великолепному и удобному Нортон 360.

Дело в том что концепция Norton 360 изначально была - меньше знаешь, крепче спишь - то есть максимальный автоматизм. Однако таких несогласных с этой концепцией как Вы, TANUKI, было много (в том числе и я). Поэтому в Norton 360 3.0 все это решено:

N360_1.jpg

N360_2.jpg

post-44-1236549213_thumb.jpg

post-44-1236549231_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
было бы идеально, если бы антивирус еще и давал корткую заметку о действии удаленной заразы по ее типу.

Или хотя бы гиперссылочку на свой или другой информационный сайт, где есть подробности об этом зловреде.

Например, такая функция есть в a-squared Anti-Malware и очень давно (в окне проверки и в онлайн-отчёте), а также у других зарубежных программ.

Поэтому в Norton 360 3.0 все это решено:

Ай, да Нортон! Ай, да... ! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Дело в том что концепция Norton 360 изначально была - меньше знаешь, крепче спишь - то есть максимальный автоматизм. Однако таких несогласных с этой концепцией как Вы, TANUKI, было много (в том числе и я). Поэтому в Norton 360 3.0 все это решено:

Когда тестировал бетку тройки не обратил на это внимание. Спасибо. Но все же хотелось бы видеть путь к зараженному файлу. На скринах я этого не вижу...

Например, такая функция есть в a-squared Anti-Malware и очень давно (в окне проверки и в онлайн-отчёте), а также у других зарубежных программ.

Такая штука есть во многих продуктах, в том же Каспере. Только вот информация подробная отсутствует в большинстве случаев :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
На скринах я этого не вижу...

Просто это Tracking Cookie, их как файлов не существует, не лучший пример, а других вирусов у меня не водится :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Просто это Tracking Cookie, их как файлов не существует, не лучший пример, а других вирусов у меня не водится :rolleyes:

Т.е. путь будет показан по идее? :) Отлично :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×