Перейти к содержанию
alx19

SAV 9/10 пропускал троян Downloader-AWA Почему? - 2

Recommended Posts

Сергей Ильин
Возможно ли такое что эвристика McAfee VSE8 столь совершенна (она признанно считается лучше чем у Symantec SAV) что фирме McAfee не требуется так часто править сигнатуры как Symantec, что пользователям McAfee VSE8 не надо так часто отсылать(в отличии от пользователей Symantec) зараженные файлы в McAfee чтобы он начал удалять/лечить их сам?

У McAfee вообще довольно неплохая эвристика кстати говоря, по тестам http://www.anti-malware.ru/index.phtml?par...anid=proactive1,

http://www.anti-malware.ru/index.phtml?par...;anid=proactive

Она не такая совершенная как скажем у Nod32 или BitDefender, но по сравненмю с Symantec все таки лучше. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

SuperBrat

почтовый робот McAfee не детектировал этого зверя

Я говорю о McAfee VirusScan 8i Enterprise + patch 13 + Antispyware + Engine 5100+ самые новые на тот момент базы

Наверное Вы уже подметили что сайты (не самих AV вендоров на их сайтах) куда можно отправить зараженные файлы для анализа не всегда используют для анализа самый новый антивирусный софт.

Например от Symantec как правило используется SAV 8. Новее я не видел ни разу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Наверное Вы уже подметили что сайты (не самих AV вендоров на их сайтах) куда можно отправить зараженные файлы для анализа не всегда используют для анализа самый новый антивирусный софт.

Например от Symantec как правило используется SAV 8. Новее я не видел ни разу.

Это, как я понимаю, камешек в огород www.virustotal.com? ;) Тут я согласен. Могли бы уже поменять версию.

У McAfee вообще довольно неплохая эвристика кстати говоря, по тестам http://www.anti-malware.ru/index.phtml?par...anid=proactive1,

http://www.anti-malware.ru/index.phtml?par...;anid=proactive

Она не такая совершенная как скажем у Nod32 или BitDefender, но по сравненмю с Symantec все таки лучше.

Сергей Ильин, да эвристика у NOD32 просто замечательная! Мой любимый фотосалон защищен этим "чудом". ;) Пришлось поменять флешку на CD в качестве носителя, чтобы не лечить ее каждый раз SAV'ушкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей Ильин, да эвристика у NOD32 просто замечательная! Мой любимый фотосалон защищен этим "чудом". Wink

Эвристика у них хорошая, а вот все остальное не очень :-)

Отсюда и проблемы возникают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rayoflight
Например от Symantec как правило используется SAV 8. Новее я не видел ни разу.

Symantec со своим SAV уже не присуствует на virustotal.com

Trend Micro исчезла оттуда ещё раньше.Из грандов осталась только McAfee.Странная ситуация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk
SMC for Exchange это Symantec Mail Security for Microsoft Exchange?

Да, имел ввиду его, прошу прощения за ошибку :oops: (болею я...)

Добавлено спустя 1 минуту 32 секунды:

Короче: Возможно ли появление аналогичной ситуации (с такой возней с отправкой зараженных файлов своему антивирусному вендору), но на месте Symantec -> McAfee, а на месте McAfee -> Symantec?

Простите, а я не об этом написал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Неправда ваша дяденька, SMC for Exchange до сих пор или еженедельно или Rapid

То есть нет варианта частоты автоматического обновления каждый день? Уверены?

SMC for Exchange это Symantec Mail Security for Microsoft Exchange?

Совершенно верно

Возможно ли такое что эвристика McAfee VSE8 столь совершенна (она признанно считается лучше чем у Symantec SAV) что фирме McAfee не требуется так часто править сигнатуры как Symantec, что пользователям McAfee VSE8 не надо так часто отсылать(в отличии от пользователей Symantec) зараженные файлы в McAfee чтобы он начал удалять/лечить их сам?

Что она значительно лучше чем у Symantec это факт, но то что это дает право McAfee реже обновляться это вряд ли, ведь эвристика вещь очень опасная, особенно в копоративной среде, именно поэтому продукты например Касперского, обладающие действительно очень сильными технологиями эвристики мало используются корпоративными пользователями (достает их эта эвристика), а вот продукты McAfee, Symantec и Trend Micro обладающие хоть и в разной степени слабыми эвристиками, лидируют на корпоративном рынке.

МОРАЛЬ: не в эвристике счастье и безопасность

Возможно ли появление аналогичной ситуации (с такой возней с отправкой зараженных файлов своему антивирусному вендору), но на месте Symantec -> McAfee, а на месте McAfee -> Symantec?

На 100% ДА, уверяю вас, что найдется много вирусов которые знает Symantec, но не знают McAfee, Trend Micro и даже возможно Касперский, а возможно с точностью наоборот, поэтому так и важна ЭШЕЛОНИРОВАННАЯ АВ ЗАЩИТА

Т.е. у вас нет эшелонированной защиты? Достаточно заразиться одному компьютеру, пусть и по вине конкретного антивируса, как ляжет вся ваша сетка?

Так быть не должно, это же АЗЫ

Эвристика у них хорошая, а вот все остальное не очень

Отсюда и проблемы возникают.

А значит можно считать, что ничего и нет

Symantec со своим SAV уже не присуствует на virustotal.com

Trend Micro исчезла оттуда ещё раньше.Из грандов осталась только McAfee.Странная ситуация.

Значит кто-то что-то боится показать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
rayoflight писал(а):Symantec со своим SAV уже не присуствует на virustotal.com

Trend Micro исчезла оттуда ещё раньше.Из грандов осталась только McAfee.Странная ситуация.

Значит кто-то что-то боится показать

И правильно, что Symantec вышла из этого сервиса. Сплошная дискредитация хорошего антивируса. Старая-престарая 8-я версия не могла открыть архивы или проверить новые типы malware. Зато потом на всех форумах писали, что Symantec уже спекся. Когда вышел KAV6 немногие знали, что ЛК просто догоняла SAV 10.1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
И правильно, что Symantec вышла из этого сервиса. Сплошная дискредитация хорошего антивируса. Старая-престарая 8-я версия не могла открыть архивы или проверить новые типы malware. Зато потом на всех форумах писали, что Symantec уже спекся. Когда вышел KAV6 немногие знали, что ЛК просто догоняла SAV 10.1.

Полностью согласен.

Вот поэтому, я очень скептически отношусь к этим сервисам. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Вот поэтому, я очень скептически отношусь к этим сервисам.

Не впадайте, Пит, в пессимизм. Польза от них есть. ;) Где бы вы или я достали сразу 10-20 антивирусов для теста неизвестного мусора?

Вот, попробуйте еще сервис: http://scanner.virus.org/

На мой взгляд, он не хуже других и не стремится унизить тот или иной антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Вот, попробуйте еще сервис: http://scanner.virus.org/

Свеженький, еще в бете! SuperBrat, спасибо за ссылку, я об этом сервисе не знал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk
Неправда ваша дяденька, SMC for Exchange до сих пор или еженедельно или Rapid

То есть нет варианта частоты автоматического обновления каждый день? Уверены?

Настройка-то есть. А базы?!! (Умище-то я как спрячу?!! :) ) Мы про частоту обновлений или запросов? Правда должен сделать оговорку - это касается версии 4.6.2.108 как в 5-ке не знаю - она у меня на РапидАпдейте сидит.

Что она значительно лучше чем у Symantec это факт, но то что это дает право McAfee реже обновляться это вряд ли

А кто сказал что McAfee реже обновляется? Разве что выходные пропускают.... но при эпидемиях и в выходные выпускают внеплановые, а так - активность в выходные ниже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rayoflight
К сожалению, Trend Micro не получает рассылку с этого адреса

Как это "не получает"?Получает.

http://virusinfo.info/showpost.php?p=78458&postcount=29

Аж на 2 адреса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

rayoflight, ни разу не ответили, как другие вендоры. Хотя, если посылать на их адреса, то ответ приходит. Может вышли из проекта?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rayoflight

SuperBrat

Странно,мне они всегда отвечают.Может,письма не все и не всегда доходят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
SuperBrat, через форму они всегда отвечают

http://www.trendmicro-europe.com/avservice

Спасибо, я знаю этот адрес. Через форму мне отвечали.

Мой алгоритм отправки зловреда на проверку такой: пишу письмо с вложением в виде zip-архива (пароль: infected), в адресаты добавляю

vendors[at]spywarefix.org и newvirus[at]z-oleg.com. Так я убиваю сразу пару десятков "зайцев". ;) Такой алгоритм не отнимает много времени и большинство антивирусных вендоров предупреждены.

P.S. Если кто-то знает еще email для массового оповещения антивирусных компаний, буду рад узнать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×