Перейти к содержанию

Recommended Posts

AXON

В Аваст5 добавили такую штуку, как "экран поведения". Из описания понятно, что это, нечто похожее на проактивную защиту. Интересно посмотреть, как и на что он реагирует?

Добавлял левую программу в автозагрузку, делал самокопирование, запускал с параметрами другие приложения... Никаких признаков жизни, Аваст не подал по этому поводу.

У кого нибудь были срабатывания этого компонента? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

AXON, а вы обзоры принципиально не читаете?

Экран поведения - отслеживает все действия в вашем компьютере, обнаруживая и блокируя любые нестандартные действия, которые могут указывать на присутствие вредоносных программ.

http://www.anti-malware.ru/avast_5_free_antivirus_review

Таким образом, "экран поведения" - это модуль поведенческого анализа действий программ в системе, часть неотъемлемая часть современной проактивной антивирусной защиты. Теперь и в бесплатном Avast! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AXON

Спасибо за ответ.

AXON, а вы обзоры принципиально не читаете?

Вы не поверите, читал :rolleyes:

http://www.anti-malware.ru/avast_5_free_antivirus_review

Таким образом, "экран поведения" - это модуль поведенческого анализа действий программ в системе, часть неотъемлемая часть современной проактивной антивирусной защиты. Теперь и в бесплатном Avast! ;)

В справке к программе примерно это и написано, и я это понимаю. Вопрос в том, как можно узреть работу этого экрана?!! :unsure: Настроек он не имеет, и вполне не ясно, например мне, как он будет себя проявлять во время нежелательной активности.. Просто интересно :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
N!k

Вот примерный перевод с одного из топиков ангельского форума avast!:

Как работает экран поведения?

Теперь, у экрана поведения в avast! 5 есть файл определения (подобный обычному движку обнаружения), который может содержать следующие правила :

ЕСЛИ

-приложение находится в каталоге Windows,

-и приложение упаковано,

-и приложение не подписано доверенным издателем,

-и родительский процесс не xyz.exe,

-и последние вызовы API - api1, api2, api3, api4,

-и приложение недавно поместило файл с именем *.dll в каталог Windows

-и dll устанавливается как глобальный системный хук (перехватчик, ловушка)

-то следует блокировать приложение и отправить соответствующие exe и dll файлов для анализа в вирусную лабораторию

P. S. Экран поведения пока не работает в 64-разрядных ОС, как и сканирование при загрузке :(

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
ЕСЛИ

-то следует блокировать приложение и отправить соответствующие exe и dll файлов для анализа в вирусную лабораторию

как много если :blink: не часто будет сужденно увидеть работу этой компоненты...

ЗЫ в целом аваст 5 произвел очень приятное впечатление...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AXON

В январской версии Аваста, доделан экран поведения! Теперь автозагрузка контролируется :)

Надеюсь, что это будет спасать пользователей от смс-вымогателей (винлокеров).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StarStream
В январской версии Аваста, доделан экран поведения! Теперь автозагрузка контролируется :)

Надеюсь, что это будет спасать пользователей от смс-вымогателей (винлокеров).

Вы так часто встречаете винлокеров? К тому же, для контроля автозагрузки и других критических областей ОС есть много других хороших программ, тут ждать от avast!'a чуда я бы не стал, да и зачем? Все ровно нормальную проактивку они не собирут, не хватит у них на это сил :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais

локеры блокирует успешно, много разных попадались. если нет в базах, то после перезагрузки все ок!

если бы в докторе вебе было нечто подобное, перешел бы на него, уж больно хороший продукт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StarStream
если бы в докторе вебе было нечто подобное, перешел бы на него, уж больно хороший продукт

Чуть больше месяца назад знакомая рассказала о том, что компьютер заблокировался, на экране появилось малиновое окно с тремя голыми тетками и просьбой отправить денег куда следует. Ее муж понес комп в ремонт, ибо сам не знал что и как надо делать. За разблокировку взяли 1000 рублей. Через два дня вирус опять включился. Позвонила мне, я залез на сайт "Лаборатории Касперского" и нашел там код: 12345, который надо было вводить два раза, видимо банер глючный или так задумано было :) И все Ок. Когда я спросил, какой у тебя антивирус она сказала, что Доктор Веб. С трудом выяснил какой версии, оказалось что пятой. Сетевого экрана вообще нет! Самое противное, что продукт лицензионный у нее, денег платила за коробку, но пользоваться вообще им не умеет, даже не знает как сканер запускать и базы обновлять в ручную :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais
Чуть больше месяца назад знакомая рассказала о том, что компьютер заблокировался, на экране появилось малиновое окно с тремя голыми тетками и просьбой отправить денег куда следует. Ее муж понес комп в ремонт, ибо сам не знал что и как надо делать. За разблокировку взяли 1000 рублей. Через два дня вирус опять включился. Позвонила мне, я залез на сайт "Лаборатории Касперского" и нашел там код: 12345, который надо было вводить два раза, видимо банер глючный или так задумано было :) И все Ок. Когда я спросил, какой у тебя антивирус она сказала, что Доктор Веб. С трудом выяснил какой версии, оказалось что пятой. Сетевого экрана вообще нет! Самое противное, что продукт лицензионный у нее, денег платила за коробку, но пользоваться вообще им не умеет, даже не знает как сканер запускать и базы обновлять в ручную :lol:

ну да, такая же ситуация.. поставил вэба v6 на месяц, красивый блин))

а тут раз, и через оперу локер сам установился

почистил комп..(от доктора тоже :)) и поставил аваст 5.1 бесплатный который

там экран поведения все успешно блочит

ведь извесно, что винлоки легко "опускаются" установленным блоком записи в ветки реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit

в итоге даже если поймать эту смс-ную радость - после жесткой перезагрузки - всё ОК

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
ведь извесно, что винлоки легко "опускаются" установленным блоком записи в ветки реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit

в итоге даже если поймать эту смс-ную радость - после жесткой перезагрузки - всё ОК

Дык то же самое делается уже с незапамятных времен в Outpost.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AXON
Вы так часто встречаете винлокеров? К тому же, для контроля автозагрузки и других критических областей ОС есть много других хороших программ, тут ждать от avast!'a чуда я бы не стал, да и зачем? Все ровно нормальную проактивку они не собирут, не хватит у них на это сил :)

Не я конкретно встречаю, а пользователи, которых я сопровождаю, о чем конкретно я и написал в своем топике.

Бороться с "результатами успешной работы антивирусов" - пропусканием винлокеров, я занимаюсь этим от 1 до 3-4 раз в неделю у различных пользователей, с абсолютно различными пакетами антивирусного ПО.

"Норманую проактивку" для подобного антивирусного вендора, собрать не такая уж и сложная задача, я считаю. Драйвера для файловой системы у них работают без проблем, и весьма шустро. Что им мешает написать то же самое и для реестра? Лично я, в них не сомневаюсь.. было бы у них желание.. :)

Что же касается вопроса о "большом количестве других хороших программ для контроля критических областей ОС", - не спорю, они есть, правда не сказал бы, что их прямо таки МНОГО, и все из них прямо таки ХОРОШИЕ. Но я подхожу к вопросу выбора антивируса с точки зрения его взаимодействия с пользователем. Никто не запрещает ставить IS-комбайны или прочие HIPS-овые утилиты, но вопрос в другом - сможет ли среднестатистический пользователь адекватно ответить на вопрос "Разрешить/Запретить", который будет задан этим софтом..??

Большая часть сегодняшних винлокеров, что называется, "тупо прописываются" вместо shell-а или дописываются в userinit, поэтому, тут и спрашивать не нужно, - просто блокируем подобную попытку, и все. Понятно, что ни одно антивирусное решение не способно оградить пользователя от участия в своем функционировании, ровно как, и 100%-защитить. С повышением уровня воздействия АВ-программ на ОС, следует учесть, что уровень пользователя также, должен быть на высоте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AXON
Чуть больше месяца назад знакомая рассказала о том, что компьютер заблокировался, на экране появилось малиновое окно с тремя голыми тетками и просьбой отправить денег куда следует. Ее муж понес комп в ремонт, ибо сам не знал что и как надо делать. За разблокировку взяли 1000 рублей. Через два дня вирус опять включился. Позвонила мне, я залез на сайт "Лаборатории Касперского" и нашел там код: 12345, который надо было вводить два раза, видимо банер глючный или так задумано было :) И все Ок. Когда я спросил, какой у тебя антивирус она сказала, что Доктор Веб. С трудом выяснил какой версии, оказалось что пятой. Сетевого экрана вообще нет! Самое противное, что продукт лицензионный у нее, денег платила за коробку, но пользоваться вообще им не умеет, даже не знает как сканер запускать и базы обновлять в ручную :lol:

Да, сталкивался я с работами подобных "горе-мастеров".. Руки поотрывать им надо :facepalm::):lol:

Честно говоря, я очень скептически отношусь к тому, как винлокеры "уходят", приняв код разблокировки. Ведь если подумать, юзер поверил и заплатил, так зачем винлокеру вообще удаляться тогда? ведь можно просто скрыться на время, а потом снова - ба-бах! и появиться, требуя очередную порцию рублей..

К тому же, способ собственной деинсталляции данных вирусов, у меня под сомнением. А вдруг, горе-разработчик чуток не дописал код, в результате чего, ключ реестра с путем вируса удаляется, а нормальный, системный ключ - не записывается? всяко же бывает :)

Или другой вариант. Возможно, конечно, и совпадение, но кроме винлокеров с ними в паре не редко попадаются и другие зверьки, пришедшие все оттуда же - из сети, и судя по дате создания, пришли они почти в то же время, что и наш винлокер.. И правда, что мешает винлокеру оказаться еще и trojan-downloader-ом ? И в этом случае, просто введя код разблокировки, мы лишь возможно, "удаляем" винлокера, и оставляем все его подарки :)

Поэтому, я всегда стараюсь вручную удалять подобные вирусы, и лишь при невозможности приехать, пользуюсь кодом разблокировки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×