Перейти к содержанию
Krec

Недовольство техподдержкой

Recommended Posts

Krec

Всем с новым годом!

Хотел узнать что творится с ESET ? несколько лет назад был очень хорошим и реактивным. очень бысто реагировал на все запросы и вынес/снес сигнатуры.

А сейчас (особо в 2010г. ) просто ужасно. отправляешь вирус, а они в ответ: "опиши что он делает, откуда нешел, кто делал". Может им сразу сигнатуру дать, чтоб добавили в базу?

Ну или новый прокол: отправляешь полиморфный криптованный вирус, они сканируют в вирустотале и ссылку дают тебе, якобы там нет вируса :D Цирк а не техподдержка.

Недавно цепял серьезный вирус/троян. Кое как восстановил систему и скал очередной раз файлы феликом с потрахами в ESET, чтоб внесли в базу, а они мне пишут:

Присланные Вами файлы не являются вирусами и соответственно не опасны. Спасибо.

вообще издеваются. На вирустотале проверяю - 60% вендоров других определяют факт вируса, а ESET утверждает, что все отлино. И только через недели вот определяется, как вирус/троян. Я специально сохранил этот вирус, чтоб проверить реаксию ESET - неделю после отпарвки вирусов.

Звонил как то в пятницу вечером :D Мне сказали все вирусы/невирусы будут рассмотрены понедельник, в Словакии. Т.е. если твой бизнес стоит, то надо подождать по понедельника, и то если смогут понять что за вирус и сделать сигнатур. Я просто работаю с многими вендорами и обслуживаю несколько парккомпьютеров с разными антивирусными платформами и скажу самый отвратительный - это ESET. Хотя раньше всем рекомендовал только NOD32, но сейчас из за техподержки в этом году всех буду веревести .

Наверно перейду на BitDefender.. уже какой раз в вирустотале вижу один из активных..

А NOD32 - в топку , со своим техподдержкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Просто раньше вирлаб был в Словакии, и там всё проверяли как надо, когда открыли в России, такое и началось

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
Просто раньше вирлаб был в Словакии, и там всё проверяли как надо, когда открыли в России, такое и началось

Да мне на оборот сказали. типа все так долго, потому что они все запросы обрабатывают в РУ и отправляют в Словакию, а оттуда как придет ответ/результат - ХЗ (так и сказали).

Сказали еще, "мы не стоим на месте, в планах открыть в РУ свой вирлиб"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Сказали еще, "мы не стоим на месте, в планах открыть в РУ свой вирлиб"

Не понял -- а что Александр Матросов в RU-офисе ESET'а возглавляет тогда? Вроде ж позиционировалось именно как российский вирлаб ESET, нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Так и есть, Александр Матросов - руководитель Центра вирусных исследований и аналитики российского представительства компании.

На русскоязычном сайте этот центр так и называется - VirusLab

Ссылка - http://www.esetnod32.ru/.company/.viruslab/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Но это же не значит, что вирусы ковыряют у РФ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Krec, подозрительные файлы лучше отправлять на samples@eset.com в архиве с паролем «infected», там, в Словакии, их исследуют и вынесут вердикт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Но это же не значит, что вирусы ковыряют у РФ...

Ну да. Человек возглавляет отдел форвардов писем в Словакию?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Ну да. Человек возглавляет отдел форвардов писем в Словакию?..

Скорей всего им просто лень, и они проверяют файлы либо на вирус тотале, либо отправляют в вирлаб в Словакии

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Скорей всего им просто лень

Ну, если было бы лень, то вряд ли компания стала содержать лентяев. ;)

Скорее всего ЦентроESET сам медлит и ещё не предоставил необходимого для полноценной лаборатории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
Скорей всего им просто лень, и они проверяют файлы либо на вирус тотале, либо отправляют в вирлаб в Словакии

точно так и делают. они мне сказали, что мы все запросы пересылаем Словакию и там принимают вердикт.

очередной раз, когда отправил вирус и через 2 дня прошел ответ, что там нет ничего - я уже злой звоню и говорю что за люди вообше там работают? со сколы дети на пол ставке анализируют? получаю т.п. ответ:

"Мы не виноваты, все выводы делает Словакия. "

А в RU или нет никакого вируслаба или там одно школо сидит.

подозрительные файлы лучше отправлять на samples@eset.com в архиве с паролем «infected», там, в Словакии, их исследуют и вынесут вердикт.

И так отправил когда то - из 3-х запросов 1 пропал, один исправили, а другой прошлось звонить и сказать, чтоб поторопились..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Krec

А каким образом принимаете решение в отношении отправляемых файлов?

Отправкой на VT или проверкой другими антивирусными сканерами?

Можно скинуть парочку ссылок-отчётов с VT, которые не хочет детектить Nod32?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
А каким образом принимаете решение в отношении отправляемых файлов?

по разному. Я не силен в реверсинге и дизасемблирование, но примитивные вещи могу понять. Я просто имею дело с некоторыми группами, которые занимаются как вирусописанием, так и криптовкой и аналозом кодов. И часто мне прикодится по этому поводу общатся с антивирусными компаниями.

Ради интереса пол года изпользовал полиморфный троян и в прошлом неделе начал палится ND32 :))) Только я его в VT не проверял, но стаб критпора выл точно чист перед криптом.

Бывают ситуации, когда сам наступаю на чее то грабли, как это был последний раз.. установился типа дефрагментатора диска и хрен что сможешь делать. NOD32 молчит, а интерактивный режим фильтрации (файрволл) каким то образом пропустил загрузку JS аплета, который потом распаковался и скачал себе тело вируса уже. При это NOD32 молчал!!! оказывается еще и в файрволе есть выявленный баг..

Бывает еще и проблемы с метасплойтом, многие скрипты ловит как троян/кейлогер и т.п. дела.

Недавно долго бился, чтоб исключили ложное срабатывание в пакете SQLMAP, в котором NOD32 видел 3 вируса. А он на 100% был чист. Сейчас уже после 2_х недельного борьбы не детектируется.

А насчет ссылок смысла нету скинуть уже, т.к. или я забил на них или уже VT 100% детектируется.

Но если будет что то свежее - скину, хотя уже делаю планы на переход другой антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Я просто имею дело с некоторыми группами, которые занимаются как вирусописанием, так и криптовкой и аналозом кодов.

Вот где "собака зарыта". Конечно, если они там напишут вчера вирус, то каким образом антивирусные лаборатории узнают о нём сегодня. :D Как минимум надо, чтобы эти вирусы где-то запалились и, желательно, не один раз.

Ради интереса пол года изпользовал полиморфный троян и

...сам наступаю на чее то грабли, как это был последний раз.. установился типа дефрагментатора диска и хрен что сможешь делать. NOD32 молчит, а интерактивный режим фильтрации (файрволл) каким то образом пропустил загрузку JS аплета

...Бывает еще и проблемы с метасплойтом, многие скрипты ловит как троян/кейлогер

...переход другой антивирус.

С таким "послужным списком" ни один антивирус не поможет, комбайн, конечно может что-то сделать, если файр опять не подведёт.

Вам нужно попробовать бессигнатурную проактивную защиту. Тогда ни с троянами, ни файерами, ни с аплетами и эксплоитами проблемы не будет. Могут подсказать как минимум два таких решения. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
Вот где "собака зарыта". Конечно, если они там напишут вчера вирус, то каким образом антивирусные лаборатории узнают о нём сегодня.

Я все это очень хорошо знаю. даже наверно больше, что многие работники NOD32. А дела в том, что я говорю о вирусам, которые детектируются на VT с такими AV как Bitdefender, Kaspersky и еще 2-3 штук.

Не спорю - трудновато прятать под крипт от FUD, т.к. у NOD32 изначально хорошо сложено эвристический сканер.

Но это не компенсирует авантюрную техподдержку.

С таким "послужным списком" ни один антивирус не поможет, комбайн, конечно может что-то сделать, если файр опять не подведёт.

спорный вопрос...

Вам нужно попробовать бессигнатурную проактивную защиту. Тогда ни с троянами, ни файерами, ни с аплетами и эксплоитами проблемы не будет. Могут подсказать как минимум два таких решения.

Ну да.. в принципе много слышал о нем, но думаю еще очень сырой будет и куда ложных срабатываний будет. Это как сенсор аномалий..

Недавно участовал в одном ИБ семинаре и компания Safe’n’Sec (http://www.safensoft.ru) представлял т.п. продукт.. Но черт возми этот продукт мне не внушает доверие. Я еще в 2007 году работал с ихней "рогатом" файрволом. Удалил через день. нервы не выдержали :)))))))

Так что буду рад работать с любым адекватным продуктом. если есть такое - можете подсказать, а то думаю как не печально, но с NOD32 надо прощатся. Мне кажется контора отстат просто..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
...не внушает доверие. Я еще в 2007 году работал с ихней "рогатом" файрволом. Удалил через день. нервы не выдержали

Бывает. ;) Но это сила привычки. И прошло уже несколько лет с 2007 года. Пора пробовать снова.

Тем более он совместим с ESET-продуктами, если делать всё правильно.

А DefenseWall HIPS & Personal Firewall тоже уже пробовали (http://www.softsphere.com/rus/)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
И прошло уже несколько лет с 2007 года. Пора пробовать снова.

На клиентах сначало попробую. Вот весной закончится подписка одной компании, которые 2 года держал на NOD32. Переведу может тогда на "рогатого". только не знаю - антивирусная защита не позворит меня? А то не ловко перед людьми :)))))))

А DefenseWall HIPS & Personal Firewall тоже уже пробовали (http://www.softsphere.com/rus/)?

О, HIPS ! Мне нравятся грамотные NIPS и HIPS системы. в основном с NIPS_ами имел дело.

Но читая про DefenseWall - думаю то, что мне надо. Еще и песочница есть. только сцуко чтоб не был дрявым, пропустил самые коварные malware. Но хоте узнать для начало:

- т.к. он решает вопросы как firewall, так и IPS, то разумеется должен обоновится ?! у него только сигнарурный анализ?

- саппорт нормальный?

- чей продукт?

- А в качестве антивируса каком стоит использовать с ним, чтоб И дружили И хотяб был уверен на 50%, что у меня есть антивирус?

P.S. хм. заметил, что firewall дороже, чем HIPS... с чего это так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
- саппорт нормальный?

- чей продукт?

Так, автор Илья Рабинович - он там в теме по указанной мной ссылке. Он и один из экспертов AM.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Но читая про DefenseWall - думаю то, что мне надо. Еще и песочница есть. только сцуко чтоб не был дрявым, пропустил самые коварные malware. Но хоте узнать для начало:

Если есть вопросы по продукту, то лучше задавать его в соответствующей теме. Здесь это оффтопик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
S.N.Safe&Software

Доброго времени суток!

в принципе много слышал о нем, но думаю еще очень сырой будет и куда ложных срабатываний будет. Это как сенсор аномалий..

Продукты компании SafenSoft работают по иным алгоритмам, нежели детекторы аномалий. Также как и "ложных срабатываний" в классическом понимании этого термина у продуктов не может быть в принципе, за исключением тех продуктов, которые помимо проактивной составляющей используют классический сигнатурный движок.

Недавно участовал в одном ИБ семинаре и компания Safe’n’Sec (http://www.safensoft.ru) представлял т.п. продукт.. Но черт возми этот продукт мне не внушает доверие.

Уточните пожалуйста, о каком конкретно продукте идет речь и по каким критериям наш продукт не внушает Вам доверия?

Я еще в 2007 году работал с ихней "рогатом" файрволом. Удалил через день. нервы не выдержали :)))))))

В 2007 году на рынке присутствовала версия 2.5, в которой действительно присутствовали некоторые дефекты.

На данный момент актуальной версией продуктов SafenSoft является версия 3.5, к выходу готовится 3.6 (на данный момент версия 3.6 находится в стадии бета-тестирования).

В продуктах линейки 3.х присутствуют следующие технологии:

  • V.I.P.O. (Valid Inside Permitted Operations) - защищает все исполняемые приложения системы благодаря обнаружению попыток несанкционированного запуска процессов и блокировки их запуска до того, как процесс может нанести вред системе
  • D.S.E. (Dynamic Sandbox Execution) - специальная среда (sandbox - песочница) для запуска потенциально опасных приложений обеспечивает контроль системных привилегий для блокировки вредоносных действий
  • D.R.C. (Dynamic Resource Control) - контролирует доступ различных приложений к файловой системе, ключам реестра, а также доступ к внешним устройствам и сетевым ресурсам

Разница, как Вы сами можете убедиться, на лицо. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Всем с новым годом!

А сейчас (особо в 2010г. ) просто ужасно. отправляешь вирус, а они в ответ: "опиши что он делает, откуда нешел, кто делал". Может им сразу сигнатуру дать, чтоб добавили в базу?

Я просто имею дело с некоторыми группами, которые занимаются как вирусописанием, так и криптовкой и аналозом кодов.

И чего вы тогда удивляетесь, что вам такие вопросы задают ? :)

Ну или новый прокол: отправляешь полиморфный криптованный вирус, они сканируют в вирустотале и ссылку дают тебе, якобы там нет вируса :D

Если это и правда Матросов - то я очень удивлен что за 3 (или 4?) года с момента увольнения из ЛК ничего не изменилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×