Pinch - очередной повод для спора

[TiX 0]

Там она неработала Ж)

[EYE 59]

Для справки, в 404 билде введена защита от кликеров и теперь пинчь не в состоянии нажать на кнопку "разрешить" что приводит к тому что все версии пинча блокируются теперь проактивкой.

И все.

Ну что ж, тогда и спорить больше не о чем ?

Теперь все у Каспера прекрасно и Pinch ему больше не страшен.

Хотя...., что-то мне подсказывает, что нарисованная Вами идилия,

закончится не позже..., чем появится очередной Pinch

[vaber 350]

Ну что ж, тогда и спорить больше не о чем ?

Теперь все у Каспера прекрасно и Pinch ему больше не страшен.

Хотя...., что-то мне подсказывает, что нарисованная Вами идилия,

закончится не позже..., чем появится очередной Pinch

Только ненадо через сутки кидать отчет с вирустотала Ж)

МП1 Касперского ещё не вышел.

Мот потом вирусописатели на nod переключаться, чтоб с Каспером не возится. Я к чему? Вот когда выйдет МП1 и будут пинчи опять его опходить - вот тогда и будите восхволять nod.

[EYE 59]

Кстати я уже предлагал вместо режима "спрашивать" использовать режим "блокировать", но мой оппонент решительно проигнорировал это предложение. Конечно, это далеко не всегда удобно, но зато эффективно.

Вы полагаете, что это единственная причина, по которой новые

Pinch беспрепятственно обходит KIS 6, и действительно верите в то,

что это и есть панацея для Каспера ? Ж)

Мот потом вирусописатели на nod переключаться, чтоб с Каспером не возится.

Так по словам некоторых участников форума, вирусописатели

и так уже взялись за NOD32 и он "уже ничего не ловит".

Вот только статистика говорит о другом...Ж)

Я к чему? Вот когда выйдет МП1 и будут пинчи опять его опходить - вот тогда и будите восхволять nod.

А зачем Вы мне это говорите ? Я же не восхваляю грядущий NOD v3.0, например.

Хотя TiX , при этом, "грозится" еще не вышедшим MP 1 Ж)

[Storm 0]

А зачем Вы мне это говорите ? Я же не восхваляю грядущий NOD v3.0, например.

Хотя TiX , при этом, "грозится" еще не вышедшим MP 1 Ж)

МП1 выйдет уже на днях. А когда выйдет третий НОД?

[Mr. Justice 771]

Вы полагаете, что это единственная причина, по которой новые

Pinch беспрепятственно обходит KIS 6, и действительно верите в то,

что это и есть панацея для Каспера ? Ж)

Вы произвольно интерпретируете мои высказывания. Где я писал о том, что это панацея? Наоборот я уже на протяжении нескольких месяцев пытаюсь Вам доказать, что совершеной защиты не бывает и если проактивная защита достаточно быстро обходится вирусописателем, то приоритетным направлением в борьбе с новыми угрозами становится повышение скорости реакции.

По поповоду настроек.

Дело в том, что при тех настройках, которые я предлагал Вам использовать KAV/KIS уверенно детектирует Pinchа и блокирует его деятельность. И я не знаю сколько бы времени понадобилось на то что бы обойти это препятствие, но думаю, что намного больше чем обойти эвристику NODа.

Вот только статистика говорит о другом...Ж)

Какая статистика? Вы имеете в виду данные с virusinfo? Сразу скажу Вам, что их нельзя использовать для сравнения эффективности NOD и KAV.

1. Выборка явно нерепрезентативна.

2. Не представляется возможным учитывать работу повденческого анализатора KAV/KIS.

3. Обобщенная статистика по детектированию Pinch не отражает реальной расстановки сил в силу того, что в течении продолжительного периода времени создатели новых образцов Pinchа не обращали внимания на NOD и он беспрепятственно и непрерывно пользовался своими эвриситическми возможностями.

[Dexter 20]

Обобщенная статистика по детектированию Pinch не отражает реальной расстановки сил в силу того, что в течении продолжительного периода времени создатели новых образцов Pinchа не обращали внимания на NOD и он беспрепятственно и непрерывно пользовался своими эвриситическми возможностями.

Потрясающая логика.

Извините.

Зачем пользоваться программой если она постоянно "взламывается" вирусописателями, не обеспечивая адекватной скорости реакции?

Полная аналогия -Internet Explorer.

Выборка явно нерепрезентативна

Во-первых, почему?

Во-вторых, не надо воспринимать информацию, исходя из собственных убеждений. Информация от них не зависит

Не представляется возможным учитывать работу повденческого анализатора KAV/KIS.

А зачем?

Не у каждого пользователя каспера стоит версия 6, это раз.

Далеко не у каждого пользователя, имеющего кав6 включена проактивка. Я лично знаю организацию, где она сознательно не включена на 120 компах, это два.

Знаете как обычно рядовой пользователь устанавливает проги?

Yes,yes, i agree, yes, allow, yes ну и так далее, совершенно не смотря на текст, это три.

Проактивка каспера,ИМХО, на сегодня - просто баловство и развлечение для продвинутых пользователей сайтов, подобных антималваре.ру, ну и помощь маркетингу

[Mr. Justice 771]

Потрясающая логика.

Извините.

Зачем пользоваться программой если она постоянно "взламывается" вирусописателями, не обеспечивая адекватной скорости реакции?

Полная аналогия -Internet Explorer.

А что антивирус предназанчен исключительно для борьбы с Pinchем?

Во-первых, почему?

Да потому, что слишком мало образцов исследуется.

Во-вторых, не надо воспринимать информацию, исходя из собственных убеждений. Информация от них не зависит

Да ну? Спасибо теперь буду знать.

А зачем?

Не у каждого пользователя каспера стоит версия 6, это раз.

Далеко не у каждого пользователя, имеющего кав6 включена проактивка. Я лично знаю организацию, где она сознательно не включена на 120 компах, это два.

Это проблемы пользователей. Далеко у каждого пользователя вообще установлен антивирус, далеко не все пользователи пользуются резидентным монитором, далеко не все пользователи....

Не забывайте что сравнениваем не психологию пользователей, а конкретные антивирусы.

Знаете как обычно рядовой пользователь устанавливает проги?

Yes,yes, i agree, yes, allow, yes ну и так далее, совершенно не смотря на текст, это три.

Проактивка каспера,ИМХО, на сегодня - просто баловство и развлечение для продвинутых пользователей сайтов, подобных антималваре.ру, ну и помощь маркетингу

Простите на это отвечать не буду. Уже не раз обсуждалось.

[Dexter 20]

А что антивирус предназанчен исключительно для борьбы с Pinchем?

Тема про пинч.

Поверьте, я очень прохладно отношусь к антивирусным способностям NOD, но пинча и лимара он бьёт лучше.

[Alex_Goodwin 81]

Во-первых, почему?

Да потому, что многие постят только те вирусы, которые не смог отработать их штатный антивирус, и только если он не справился и есть подозрения, то данные файлы проверяются на вирустотале и постятся на вирусинфо. У многох штатный АВ это КАВ, соответственно такая и получается статистика.

По поводу нода: если пинч запаковать даже известным упаковщиком (Не UPX), то НОД ничего не поймает.

[Dexter 20]

многие постят только те вирусы, которые не смог отработать их штатный антивирус, и только если он не справился и есть подозрения, то данные файлы проверяются на вирустотале и постятся на вирусинфо. У многох штатный АВ это КАВ, соответственно такая и получается статистика.

Вот здесь http://www.antimalware.ru/phpbb/viewtopic....95&start=45

Сергей Ильин имеет совершенно противоположную точку зрения на этот вопрос.

зависит от того, кем их взяли первоначально, у того и будет хороший результат.

P.S.

многие постят только те вирусы, которые не смог отработать их штатный антивирус

Именно поэтому там почти постоянно в лидерах drWeb и каспер?

P.P.S. Впрочем, я закончил.

[EYE 59]

...приоритетным направлением в борьбе с новыми угрозами становится повышение скорости реакции.

Ну естественно, что же еще повышать, если продукт не обладает

способностью превентивно бороться с новыми угрозами...

Только вот в случае с NOD32, шансы не стать жертвой нового Pinch,

примерно 50/50. В случае с Каспером - и так понятно...

И это при том, что NOD32 это всего лишь антивирус,

а Каспер 6, это комбайн с PDM, "синхрофазотроном" и прочим маркетингом.

По поповоду настроек.

Дело в том, что при тех настройках, которые я предлагал Вам использовать KAV/KIS уверенно детектирует Pinchа и блокирует его деятельность.

Mr. Justice, Вы о чем вообще говорите ?

KAV/KIS уверенно детектирует новый Pinch только тогда, когда сигнатура появляется в базах.

А по-поводу настроек, то Вам бы рассказать о них опытным пользователям Каспера 6, которые при настроенном на полный максимум KIS 6, познакомились с новым Pinch, потеряли свои данные данные, а после, долго пытались на форуме Каспера получить

ответ на риторический вопрос- " на хрена Попу баян, если есть...".

А заодно, рассказать им про то, что:

при тех настройках, которые я предлагал Вам использовать KAV/KIS уверенно детектирует Pinchа и блокирует его деятельность.

________________________________________

Какая статистика? Вы имеете в виду данные с virusinfo? Сразу скажу Вам, что их нельзя использовать для сравнения эффективности NOD и KAV.

1. Выборка явно нерепрезентативна.

Странно, до сегоднешнего дня я не замечал с Вашей стороны

каких-либо претензий к статистике с virusinfo и к

ее "репрезентативности". И насколько я помню, вы ее использовали

при обсуждении тех или иных вопросов.

в течении продолжительного периода времени создатели новых образцов Pinchа не обращали внимания на NOD и он беспрепятственно и непрерывно пользовался своими эвриситическми возможностями.

Да, действительно, ну не подлец ли этот NOD32

Вы же сами говорили, что NOD32 Pinch "уже не ловит",

т.к. и за него взались создатели Pinch.

Только вот статистика, вещь упрямая - ее как "тесты", "за уши не притянешь".

Добавлено спустя 10 минут 37 секунд:

А что антивирус предназанчен исключительно для борьбы с Pinchем?

Может не стоит задавать откровенно идиотских

вопросов, оправдывая импотенцию Каспера и отсутствие

у него действенного эвристического анализатора ?

Или NOD32, по Вашему мнению, только с Pinch способен бороться ?

[Storm 0]

Предлагаю закрыть тему. Вы друг другу все равно ничего не докажете и каждый останется при своем мнение. Время вас рассудит...

[Alex_Goodwin 81]

1.Я повторюсь: обойти нод достаточно просто - запаковавать пинч неизвестным ноду упаковщиком. Каспера так легко не обойти.

2. На вирус инфо нет отдельной статистике по пинчу!

3. Сомневаюсь, что нод ловит пинч статистически лучше чем Каспер. К тому же Пинч специально для обхода Каспера затачивают.

4. Обновляться надо ноду быстрее и базы нормальные создавать, а не кричать-"Сам дурак" в ответ на то, что не поймал Каспер не поймал и Нод.

[EYE 59]

По поводу нода: если пинч запаковать даже известным упаковщиком (Не UPX), то НОД ничего не поймает.

Странная фраза. Из нее можно сделать вывод о том, что NOD32

знает только UPX. О том, каким это детством отдает, говорить не буду...

Тут можно и про ASProtect вспомнить, чудная вещь.

Упаковываешь им "подопытного", и все - Каспер "онемел".

[Storm 0]

Тут можно и про ASProtect вспомнить, чудная вещь.

Упаковываешь им "подопытного", и все - Каспер "онемел".

Я не буду говорить, что поддержку аспака обещают добавить в самое ближайшее время и уже известна дата этого "события". Я просто напомню, что тест на поддержку упаковщиков КАВ выдержал весьма достойно.

[EYE 59]

Я не буду говорить, что поддержку аспака обещают добавить в самое ближайшее время и уже известна дата этого "события".

Хорошо, тогда и я не буду говорить о том, сколько

месяцев ЛК не может "раскусить" этот протектор, и о том,

какова цена подобным "обещаниям".

Я просто напомню, что тест на поддержку упаковщиков КАВ выдержал весьма достойно.

И я напомню, что и NOD32 показал себя достойно, к тому же,

продемонстрировав явный прогресс в этом вопросе.

[Alex_Goodwin 81]

Типичный ответ типа "Сам дурак". Отсюда http://antimalware.ru/index.phtml?part=tests видно, что Нод тоже ASProtect не берет. Вообще из 3 Каспер взял 2, а Нод 1.

В итоге Dr.Golova скоро добавит распаковку, а в Ноде по-прежнему "демонстрируют явный прогресс".

[EYE 59]

Типичный ответ типа "Сам дурак". Отсюда http://antimalware.ru/index.phtml?part=tests видно, что Нод тоже ASProtect не берет. Вообще из 3 Каспер взял 2, а Нод 1.

В итоге Dr.Golova скоро добавит распаковку, а в Ноде по-прежнему "демонстрируют явный прогресс".

Для страдающих выборочной "слепотой" и непониманием,

привожу скриншоты результатов данного теста.

Напоминаю для "непонявших" - говорим о ASProtect

Итого:

Из 8 "подопытных", упакованных этим протектором,

Каспер определил - 0

NOD32 определил - 3, продемонстрировав, частичную способность

детектировать вредоносные экземпляры, защищенные этим протектором. (благодоря эммулятору, судя по всему )

В итоге Dr.Golova скоро добавит распаковку...

угу, а так же "скоро" добавит действенный эвристик.

Насколько я помню, в ЛК это многозначительно называется "в свое время", и производит просто непередаваемое впечатление на фетиширующих подростков Ж)

[Сергей Ильин 1538]

Давайте поддержку пакеров и последний тест обсуждать в специальной ветке "Тест - детектирование упакованных вирусов". :off:

Тем более, что тут все ясно, Касперский конечно в этом хорош, но как правильно заметил EYE, Нод хорошо прогрессирует, а по тому же ASProtect за счет своего generic unpacker выглядил даже лучше.

[Alex_Goodwin 81]

Сорри за :off: НО: Возможно это не унпакер справился, возможно сигнатурки поверх пишутся (а-ля мы сами запакуем и поверх задетектим)

[Mr. Justice 771]

А что антивирус предназанчен исключительно для борьбы с Pinchем?

Тема про пинч.

Поверьте, я очень прохладно отношусь к антивирусным способностям NOD, но пинча и лимара он бьёт лучше.

Не верно. Периоды, когда NOD32 "не берет" Pincha KAV/KIS значительно продолжительнее и соответственно нетрудно сделать вывод о том, что он пропускает намного больше.

[Dexter 20]

Упс. Вернулся на секунду... Постараюсь не возвращаться

Периоды, когда NOD32 "не берет" Pincha KAV/KIS значительно продолжительнее и соответственно нетрудно сделать вывод о том, что он пропускает намного больше

А откуда дровишки?

[Mr. Justice 771]

Ну естественно, что же еще повышать, если продукт не обладает

способностью превентивно бороться с новыми угрозами...

Это касается NOD32. KAV при рекомендованных мною настойках, на данный момент, не пробиваем. С выходом 404 билда, насколько я знаю, он непробиваем и с натстройками "по умолчанию".

Только вот в случае с NOD32, шансы не стать жертвой нового Pinch,

примерно 50/50. В случае с Каспером - и так понятно...

Откуда цифры?

А по-поводу настроек, то Вам бы рассказать о них опытным пользователям Каспера 6, которые при настроенном на полный максимум KIS 6, познакомились с новым Pinch, потеряли свои данные данные, а после, долго пытались на форуме Каспера получить

ответ на риторический вопрос- " на хрена Попу баян, если есть...".

Настройки "на максимум" и настройки, которые я предложил выше - абсолютно разные вещи. Неужели это непонятно?!

Странно, до сегоднешнего дня я не замечал с Вашей стороны

каких-либо претензий к статистике с virusinfo и к

ее "репрезентативности". И насколько я помню, вы ее использовали

при обсуждении тех или иных вопросов.

Неужели? А я уже забыл. В каком это месте я ссылался на virusinfo при обсуждении данной проблемы? Вы серьезно считаете, что можно делать выводы на основании результатов анализа 10-15 случаев?

Вы же сами говорили, что NOD32 Pinch "уже не ловит",

т.к. и за него взались создатели Pinch.

Я прошу Вас читать внимательно что я пишу и прошу Вас не делать никаких выводов за меня. NOD32 в течении длительного периода времени имел возможность беспрепятственно пользоваться своей эвристикой. Так как на него не обращали внимания....Этот период никак нельзя учитывать при сравнении эффективности KAV и NOD.

Только вот статистика, вещь упрямая - ее как "тесты", "за уши не притянешь".

Где ваша статистика?

Может не стоит задавать откровенно идиотских

вопросов, оправдывая импотенцию Каспера и отсутствие

у него действенного эвристического анализатора ?

Во-первых, следите за своей речью. Тут Вам не базар.

Во-вторых, эвристика в данном случае ничего не решает. Повторяю это уже наверное в 50-раз.

Хорошо, попытаюсь обяснить "на пальцах".

Допустим первоначально Pinch ловится NODом и KAV. На следующий день это стало известно создателю новых сэмплов Pinchа. Он, естественно, находит способ обхода эвристики NOD и сигнатуры KAV и беспрепятственно реализует его, выпуская новый сэмпл, который не детектируется ни NOD ни KAV (напомню что оба антивируса находятся "под прицелом" создателей Pinchа). Обратите внимание, что эвристика NOD ничуть не лучше сигнатур KAV, так как ни эвристика ни сигнатура данных антивирусов не способна противостоять рассматриваемому экземпляру Pincha (об этом позаботились авторы этого троянца). Далее, представим, что указанный сэмпл попадает в руки аналитиков ЛК и ESET. Что делают аналитики? В ESET начинаеют совершенствовать эвристику (или создают противоядие в виде сигнатуры) и выпускают через некоторое время необходимое обновление. В ЛК создают соответствующую сигнатуру и в кратчайший срок выпускают необходимое обновление антивирусных баз. А вот теперь самое главное. Срок между обнаружением нового сэмпла троянца и появлением новых средств противодействия у ЛК, в среднем, значительно меньше, чем у ESET и, следовательно в этот период число заразившихся клиентов ESET значительно выше чем пострадавших клиентов ЛК. Так как подавляющее большинство не успевает заразится. Ну что тут неясного?

[TiX 0]

Complete scanning result of "Anna.scr", received in VirusTotal at 10.27.2006, 06:42:03 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.32 10.26.2006 HEUR/Crypted

Authentium 4.93.8 10.27.2006 Possibly a new variant of W32/HLLI-MewOrleans-based!Maximus

Avast 4.7.892.0 10.26.2006 no virus found

AVG 386 10.26.2006 PSW.Ldpinch.CKR

BitDefender 7.2 10.27.2006 DeepScan:Generic.Dialer.5DAB36F2

CAT-QuickHeal 8.00 10.26.2006 (Suspicious) - DNAScan

ClamAV devel-20060426 10.27.2006 no virus found

DrWeb 4.33 10.26.2006 Trojan.PWS.LDPinch.1243

eTrust-InoculateIT 23.73.38 10.27.2006 no virus found

eTrust-Vet 30.3.3158 10.26.2006 no virus found

Ewido 4.0 10.26.2006 Trojan.LdPinch.bag

Fortinet 2.82.0.0 10.27.2006 SPY/LdPinch

F-Prot 3.16f 10.27.2006 Possibly a new variant of W32/HLLI-MewOrleans-based!Maximus

F-Prot4 4.2.1.29 10.27.2006 W32/HLLI-MewOrleans-based!Maximus

Ikarus 0.2.65.0 10.26.2006 no virus found

Kaspersky 4.0.2.24 10.27.2006 Trojan-PSW.Win32.LdPinch.bag

McAfee 4882 10.26.2006 no virus found

Microsoft 1.1609 10.26.2006 Win32/Ldpinch

NOD32v2 1.1838 10.26.2006 no virus found

Norman 5.80.02 10.26.2006 W32/Suspicious_M.gen

Panda 9.0.0.4 10.27.2006 no virus found

Sophos 4.10.0 10.26.2006 Mal/Packer

TheHacker 6.0.1.106 10.26.2006 Trojan/PSW.LdPinch.bag

UNA 1.83 10.26.2006 Trojan.PSW.Win32.LdPinch.5EC9

VBA32 3.11.1 10.26.2006 Trojan-PSW.Win32.LdPinch.bag

VirusBuster 4.3.15:9 10.26.2006 no virus found

Aditional Information

File size: 53890 bytes

MD5: ecec55ce1dd960924dd8c01b636f1bcc

SHA1: 797811bbda799d00cecdc7f36fc4e51edf0f6e6e

packers: MEW

packers: MEW

Добавлено спустя 5 минут 31 секунду:

EYE дальше спорить будем? Это какраз подтверждение слов Mr. Justice.

Инфа с virusinfo.