Pinch - очередной повод для спора

[Dexter 20]

Периоды, когда NOD32 "не берет" Pincha KAV/KIS значительно продолжительнее и соответственно нетрудно сделать вывод о том, что он пропускает намного больше

Уточню.

Откуда информация?

Tix,

Зная Вашу любовь, можно простить странные посты.

Я тут видел от сотрудника ЛК подобный пост, утверждающий беспрецендентно-быструю реакцию каспера на лимар

P.S. 2Tix

Нда, неделя реакции для стратиона многовато конечно, но общей сути не меняет. Nicht wahr?

[Dr.Golova 55]

> угу, а так же "скоро" добавит действенный эвристик.

В данном случае у понятия "скоро" есть конкретная дата.

К аспротекту есть распаковщики ко всем версиям, проблема в сигнатурах. Да, я признаю что проблема есть, и не может быть решена до выхода следующего движка. Но это будет уже скоро, так что мы не волнуемся =)

[Mr. Justice 771]

Упс. Вернулся на секунду... Постараюсь не возвращаться

Периоды, когда NOD32 "не берет" Pincha KAV/KIS значительно продолжительнее и соответственно нетрудно сделать вывод о том, что он пропускает намного больше

А откуда дровишки?

Это общеизвестный факт. С этим не спорят даже представители ESET (см. пресс-релизы) и пользователи NOD32 (см. официальный форум), считая, что скорость реакции - не самое главное, самое главное - это эвристика.

Откуда ей взятся - высокой скорости реакции, если антивирусные базы NOD32 обновляются всего 1-2 раза в сутки? Зачастую пользователи NOD32 (по крайней мере домашние) сутками (часто неделями) ждут необходимые им обновления антивирусных баз. Почитайте материалы с официального форума ESET.

[Сергей Ильин 1538]

Это общеизвестный факт. С этим не спорят даже представители ESET (см. пресс-релизы) и пользователи NOD32 (см. официальный форум), считая, что скорость реакции - не самое главное, самое главное - это эвристика.

Верно, есетовцы постоянно об этом заявляют, особено в противовес Касперскому и Доктору Вебу на российском рынке.

[vaber 350]

Спец для EYE

Complete scanning result of "ZHanny_friski.exe", received in VirusTotal at 10.28.2006, 12:14:15 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.34 10.27.2006 TR/Spy.Agent.ACU

Authentium 4.93.8 10.28.2006 Possibly a new variant of W32/HLLI-MewOrleans-based!Maximus

Avast 4.7.892.0 10.27.2006 no virus found

AVG 386 10.27.2006 PSW.Ldpinch.CKB

BitDefender 7.2 10.28.2006 DeepScan:Generic.Malware.FYd!lg.A3AD7032

CAT-QuickHeal 8.00 10.27.2006 (Suspicious) - DNAScan

ClamAV devel-20060426 10.28.2006 no virus found

DrWeb 4.33 10.28.2006 Trojan.PWS.LDPinch.1233

eTrust-InoculateIT 23.73.40 10.28.2006 no virus found

eTrust-Vet 30.3.3164 10.28.2006 no virus found

Ewido 4.0 10.27.2006 Trojan.LdPinch.azw

Fortinet 2.82.0.0 10.28.2006 W32/LdPinch.AZW!tr.pws

F-Prot 3.16f 10.28.2006 Possibly a new variant of W32/HLLI-MewOrleans-based!Maximus

F-Prot4 4.2.1.29 10.27.2006 W32/HLLI-MewOrleans-based!Maximus

Ikarus 0.2.65.0 10.28.2006 Backdoor.Win32.Ciadoor.N

Kaspersky 4.0.2.24 10.28.2006 Trojan-PSW.Win32.LdPinch.azw

McAfee 4883 10.27.2006 no virus found

Microsoft 1.1609 10.26.2006 Win32/Ldpinch

NOD32v2 1.1842 10.27.2006 no virus found

Norman 5.80.02 10.27.2006 W32/Suspicious_M.gen

Panda 9.0.0.4 10.27.2006 Trj/LDPinch.TT

Sophos 4.10.0 10.26.2006 Mal/Packer

TheHacker 6.0.1.107 10.27.2006 Trojan/PSW.LdPinch.azw

UNA 1.83 10.27.2006 Trojan.PSW.Win32.LdPinch.47B7

VBA32 3.11.1 10.27.2006 Trojan-PSW.Win32.LdPinch.azw

VirusBuster 4.3.15:9 10.27.2006 no virus found

Aditional Information

File size: 24384 bytes

MD5: 72d3fdba15a1c26b04d9c15e8a3afefe

SHA1: 0cb5e3f52e371342a0896fa8d71c99dd258fc6b1

packers: MEW

packers: MEW

Каспер сигнатурно берет Пинча не меньше, чем NOD эвристикой и сигнатурно вместе Ж)

[EYE 59]

KAV при рекомендованных мною настойках, на данный момент, не пробиваем.

No comments. Абсурд.

Во-первых, следите за своей речью. Тут Вам не базар.

Не понял, это еще что за наставления ? Извольте пояснить.

Хорошо, попытаюсь обяснить "на пальцах".

O'K, попытаюсь в свою очередь, тоже объяснить "на пальцах".

Скорость реакции это конечно же очень важно, но предпочтительней способность поймать его еще до выхода

сигнатуры. И в данном случае, NOD32 обладает такой способностью.

При использовании Каспера, меня не утешит тот факт, что данные потеряю только я, и еще определенный процент пользователей, столкнувшихся с Pinch, зато все остальные, через несколько часов будут защищены от него. Такое утешение хорошо для тех,

кому терять нечего, для всех остальных, это неприемлимо.

Естественно, NOD32 не определит все новые Pinch, но определенный

процент, определить сможет.

EYE дальше спорить будем? Это какраз подтверждение слов Mr. Justice.

Конечно будем, не считаете же Вы, что единственный пример,

можно считать "подтверждением". Начнем собирать статистику.

Откуда ей взятся - высокой скорости реакции, если антивирусные базы NOD32 обновляются всего 1-2 раза в сутки?

NOD32 обладает мощным эвристиком и эмулятором, поэтому ему не требуется обновлять базы "каждый час". (Хотя в определенных

случаях, у ESET наметилась тенденция, более частого обновления баз)

Каспер же, представляет собой сигнатурный сканер, который без

быстрой реакции вирлаб, не сможет обеспечить защиту. Поэтому в 6-й версии добавили т.н. PDM, до появления которого, понятие "защита от неизвестных угроз", было вообще не совместимо с продуктами ЛК,

и создание, которого, несоизмеримо проще, чем создание действенного

и эфективного эвристика и эмулятора с минимальным числом ложных срабатываний.

Странно, что мне пришлось повторить общеизвестные аксиомы...

Каспер сигнатурно берет Пинча не меньше, чем NOD эвристикой и сигнатурно вместе Ж)

Конечно, только вот "берет не меньше" спустя несколько часов (как минимум), после появления соответствующей сигнатуры, а до этого -

bye-bye данные Ж)

[Николай Головко 70]

Нда. Веселая дискуссия

Была тут фраза, что "NOD - антивирус, а KIS - комбайн с PDM"... EYE, я вас умоляю. Вам ли как пользователю Касперского не знать, что Proactive Defense Module входит и в KAV, и в KIS...

А еще сравнивают здесь (что Очень интересно) результаты с VirusTotal, делая на них выводы об отсутствии превентивности у Каспера _шестой_ версии, когда на VT стоит _четвертая_. Это финиш полный, на мой взгляд. Четверка вышла где-то в 2003-2004 годах, так? Поправьте, если вру. В это время у кого-нибудь были превентивные средства защиты? Сыщите NOD32 2003-2004 годов и потестите на нем пинч... тогда и посмотрим.

И к слову. Эвристика (эмулятор) - не та вещь, которая может претендовать на защиту от zero-day угроз и бытность эффективным средством предотвращения вторжений. Это элементарно. 50% детекта, упомянутые в адрес NOD - oh yeah, very good! Да вот только средства перехвата системных функций - это 100% защиты... Потому NOD со своей эвристикой (как и подавляющее большинство решений по безопасности) держится исключительно за счет того, что не все пользователи могут управлять HIPS. Кроме HIPS и политики безопасности, 100% защиту не может обеспечить никто - ни сигнатуры, ни эвристика... Соответственно ни то, ни другое не может позиционироваться как средство защиты от zero-day угроз.

[Mr. Justice 771]

No comments. Абсурд.

Докажите. Не хотите комментировать потому что нет доказательств обратному?

Не понял, это еще что за наставления ? Извольте пояснить.

Прочитайте весь топик от начала и до конца, а также соседние топики. Использование пренебрежительных и неэтичных выражений по отношению к участникам форума не делает Вам чести.

O'K, попытаюсь в свою очередь, тоже объяснить "на пальцах".

Скорость реакции это конечно же очень важно, но предпочтительней способность поймать его еще до выхода

сигнатуры. И в данном случае, NOD32 обладает такой способностью.

Мда...не знаю что и сказать. EYE тут все чрезвычайно просто: прежде чем выпустить очередной сэмпл Pinchа его автор проверит берет ли его эвристикой NOD. В результате - эвристика NOD ничем не будет отличаться от сигнатуры KAV.

По моему всем уже давно понятно в чем в данном вопросе. Почему Вам непонятно я не знаю.

При использовании Каспера, меня не утешит тот факт, что данные потеряю только я, и еще определенный процент пользователей, столкнувшихся с Pinch, зато все остальные, через несколько часов будут защищены от него. Такое утешение хорошо для тех,

кому терять нечего, для всех остальных, это неприемлимо.

Это слишком субъективно.

Естественно, NOD32 не определит все новые Pinch, но определенный

процент, определить сможет.

Он может определить их postfactum. Проактивно в поадвляющем большинстве - нет, ибо за этим пристально следит автор новых сэмплов pincha.

NOD32 обладает мощным эвристиком и эмулятором, поэтому ему не требуется обновлять базы "каждый час".

Все верно NOD 32 обладает мощной и наверное самой совершенной эвристикой и это большое преимущество NOD32, но в случае с Pinchem она, по моему мнению, ничуть не лучше сигнатур KAV/KIS.

(Хотя в определенных

случаях, у ESET наметилась тенденция, более частого обновления баз)

Каспер же, представляет собой сигнатурный сканер, который без

быстрой реакции вирлаб, не сможет обеспечить защиту.

Это правильно. Необходимо соблюдать некторый баланс между проактивной и реактивной защитой, а не полагаться на один из этих подходов полностью.

Поэтому в 6-й версии добавили т.н. PDM, до появления которого, понятие "защита от неизвестных угроз", было вообще не совместимо с продуктами ЛК,

и создание, которого, несоизмеримо проще, чем создание действенного

и эфективного эвристика и эмулятора с минимальным числом ложных срабатываний.

Но он создан и по эффективности не уступает эвристике NOD32.

Странно, что мне пришлось повторить общеизвестные аксиомы...

Вы не сказали для меня ничего нового и с большинством последних Ваших утверждений я полностью согласен.

[A. 875]

Никогда не спорьте с женщинами и поклонниками Нода.

/можете меня цитировать.

[Dexter 20]

Никогда не спорьте с женщинами и поклонниками Нода.

/можете меня цитировать.

Что-то подсказывает мне, что подобное утверждение справедливо для любых фанбоев, включая ваших.

[Alex_Goodwin 81]

STATUS: SCANNINGFile "__1056" received on 11.16.2006 at 13:04:00 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result

AntiVir 7.2.0.39 11.16.2006 HEUR/Crypted

Authentium 4.93.8 11.16.2006 Possibly a new variant of W32/HLLI-MewOrleans-based!Maximus

Avast 4.7.892.0 11.15.2006 no virus found

AVG 386 11.15.2006 PSW.Ldpinch.CJU

BitDefender 7.2 11.16.2006 DeepScan:Generic.Malware.FYd!lg.C0FC6504

CAT-QuickHeal 8.00 11.15.2006 (Suspicious) - DNAScan

ClamAV devel-20060426 11.16.2006 no virus found

DrWeb 4.33 11.16.2006 Trojan.PWS.LDPinch.1249

eTrust-InoculateIT 23.73.57 11.16.2006 no virus found

eTrust-Vet 30.3.3195 11.16.2006 no virus found

Ewido 4.0 11.16.2006 Trojan.LdPinch.bad

Fortinet 2.82.0.0 11.16.2006 W32/LdPinch.BAD!tr.pws

F-Prot 3.16f 11.16.2006 Possibly a new variant of W32/HLLI-MewOrleans-based!Maximus

F-Prot4 4.2.1.29 11.16.2006 W32/HLLI-MewOrleans-based!Maximus

Ikarus 0.2.65.0 11.15.2006 Backdoor.Win32.Ciadoor.N

Kaspersky 4.0.2.24 11.16.2006 Trojan-PSW.Win32.LdPinch.bad

McAfee 4896 11.15.2006 no virus found

Microsoft 1.1609 11.16.2006 Win32/Ldpinch

NOD32v2 1868 11.15.2006 no virus found

Norman 5.80.02 11.15.2006 W32/LdPinch.FDQ

Panda 9.0.0.4 11.15.2006 Suspicious file

Prevx1 V2 11.16.2006 no virus found

Sophos 4.11.0 11.16.2006 Mal/Packer

TheHacker 6.0.1.119 11.15.2006 Trojan/PSW.LdPinch.bad

Aditional Information

File size: 24351 bytes

MD5: e0b0a93e3d95a7ec3aa0be1ace661665

SHA1: 83cd41c895c8fbe8a3fd3b8724781ed10a0ffa9d

packers: MEW

packers: MEW

Берут почти все кроме нода с его супер эвристиком

[Сергей Ильин: Прикрепленный файл перенесен в закрытый форум "Анализ вредоносных программ (malware)"]

[XL 0]

Вопрос то в чем?

Вся правда от создателя

http://www.xakepy.ru/showpost.php?p=115336&postcount=8

Рузумеется, дамрай всегда на шаг впереди как КЛ, так и Eset. Ничто не мешает ему загрузить свежего зверя на virustotal и там все проверить предварительно. Отсутствие детекта входит в условие продажи.

[Mr. Justice 771]

Вопрос то в чем?

Вся правда от создателя

http://www.xakepy.ru/showpost.php?p=115336&postcount=8

Рузумеется, дамрай всегда на шаг впереди как КЛ, так и Eset. Ничто не мешает ему загрузить свежего зверя на virustotal и там все проверить предварительно. Отсутствие детекта входит в условие продажи.

Все верно XL. Несмотря на то что, информация в некоторых деталях устарела смысл - прежний. Автор новых сэмплов пинча без особых усилий обходит эвристик НОДа и сигнатруры КАВа. Эвристик, в сложившийся ситуации не способен защищать пользователей проактивно (превентивно) . ESET корректирует эвристик Post Factum, расчитывая на проактивный (превентивный) детект в будущем. Но этот расчет не оправдывает себя, поскольку автор, прежде чем выпустить новый сэмл Пинча проверяет его на спобосность противостоять КАВу, НОДу (включая эврситику) и т.д. В итоге получается, что на первый план выходит скорость реакции на появление новых сэмплов, а не мнимая эвристика. Это вс его лишь банальная иллюзия, за исключением одного очень важного момента. Если настроить проактивную защиту КАВ так как я указыал выше, то КАВ не пробиваем вообще (если ошибаюсь - выслушаю с удовольствем опровержение). Это кстати вытекает из того, о чем пишет автор новых сэмплов Пинча. И если я не ошибаюсь, в новых версиях КАВ этот "дефект" устранен при использовании нестроек "по умолчанию".

[Денис Лебедев 20]

Берут почти все кроме нода с его супер эвристиком

А вы бы не могли прикреплять файлик в раре с паролем к вашему посту? Ну на всяк. случай, потому что на вирустотале все таки не все вендоры :wink:

[Alex_Goodwin 81]

Прикрепил.

[Dexter 20]

/удалено/

[Сергей Ильин 1538]

Друзья, не нужно выкладывать вирье в открытый доступ.

Вы же не хотите, чтобы нас прикрыли за распространение вредоносного ПО, правда?

Для обмена семплами у нас создан специальный закрытый форум "Анализ вредоносных программ (malware)", там все можно и даже нужно выкладывать. Для получения доступа пиши мне.

[Dr.Golova 55]

> Для обмена семплами у нас создан специальный закрытый форум

> Анализ вредоносных программ (malware)", там все можно и даже

> нужно выкладывать. Для получения доступа пиши мне.

Судорожно читаю мантры чтобы туда попсть

[Ego1st 95]

> Для обмена семплами у нас создан специальный закрытый форум

> Анализ вредоносных программ (malware)", там все можно и даже

> нужно выкладывать. Для получения доступа пиши мне.

Судорожно читаю мантры чтобы туда попсть

не вы один=))

[vaber 350]

Что-то новый Каспер (MP1) меня не обрадовал. Они что защиту от пинча так и не придумали???

Ради спортивного интереса отключил монитор и запустил Trojan-PSW.Win32.LdPinch.bdh И ни чего не произошло Ж(

Только в отчете написано, что обнаружена скрытая передача данных по такому-то адресу (21.11.2006 15:18:59 Процесс F:vaberyjsex.exe, обнаружено: потенциально опасное ПО 'Private data and passwords access' (модификация) и 21.11.2006 15:19:01 Процесс F:vaberyjsex.exe, обнаружено: потенциально опасное ПО 'Hidden data sending' (модификация).) А вот баллунов ни каких не видно!!! Вот так!

[Alex_Goodwin 81]

Пароли ушли или нет? Наверное нет, если в отчете есть.

[vaber 350]

В добавок:

1)21.11.2006 16:21:54 F:vaberyjsex.exe Процесс выполняет подозрительные действия.

2)21.11.2006 16:21:56 D:WINDOWSsystem32svchost.exe Попытка запуска браузера с ключами командной строки: "D:Program FilesInternet Exploreriexplore.exe" -Embedding.

3)21.11.2006 16:21:56 F:vaberyjsex.exe Процесс F:vaberyjsex.exe (PID: 2200) пытается отправить данные посредством доверенного приложения. Адрес назначения: http://icq6.info/rfewssde/gate.php Данные: P3ML.TЗашифрованные данные: Content-Type: application/x-www-form-urlencoded

a=msa_msa@mail.ru&b=hrshgrsgreg(Chemist)&d=Chemist_hgegga.bmp&c=UDNNTAAAAAD8HQAAEQAAAAAAAAA и оооочень длинная белиберда.

Пароли ушли или нет? Наверное нет, если в отчете есть.

Как видно из отчета трой передает все собранные данные с помощью скрытого запуска осла Ж) На данном компе выход в инет через прокси с авторизацией. В осле нет пароля и логина (он есть ток в опере т.к. ее и юзают). Потому-то никакие пароли с компа никуда не ушли Ж))

Но обидно, что разработчики за 3 месяца так и несмогли реализовать защиту от пинча Ж(( Теперь с Eye бесполезно будет спорить Ж))

З.Ы. Забавно слышить звуковое сопровождение запуска троя. Слышно как срабатывает поведенческий анализатор и в туже секунду Каспер получает разрешение.

[Alex_Goodwin 81]

Все таки обходят? Всмысле кнопочку разрешить у вас сам трой нажал?

Выложите пинча пожалуйста в соответствующую ветку.

[vaber 350]

Всмысле кнопочку разрешить у вас сам трой нажал?

Ну а кто же еще ,гг Ж))

[Alex_Goodwin 81]

Самозащита включена? MP1 оффициальный? Всмысле не ребилд 4?