Перейти к содержанию
Mr. Justice

Почему АМ не делиться вирусными коллекциями со всеми желающими

Recommended Posts

Mr. Justice
Обычный сайт рассылки не делает, и базу с сэмплами может получить любой человек.

Это запрещено Уголовным кодексом РФ. Мы не занимаемся преступной деятельностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bombom
Это запрещено Уголовным кодексом РФ. Мы не занимаемся преступной деятельностью.

А если соглашение прикрутить, что за скачивание данных файлов, юзер сам несет ответственность.По такому принципу как работают вирусные помойки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
А если соглашение прикрутить, что за скачивание данных файлов, юзер сам несет ответственность.По такому принципу как работают вирусные помойки

Это соглашение не может отменить действие запрещающих норм УК РФ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
почему сразу же у лаборатории.Я про обычный сайт.На котором обычные люди проводят тесты разных антивирусов

как тогда вирусные помойки работают и обновляються ежедневно?Сервера в другой стране?Или что тогда?

Этот вопрос лучше задать владельцам вирусных помоек. Они для нас не являются объектом для подражания. Предлагаю закрыть обсуждение этого вопроса. Ответ дан - мы не будем нарушать закон, даже по многочисленным просьбам трудящихся. Думаю, коллеги по АМ меня в этом поддержут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Скажите, какой смысл расшаривать вирусные коллекции всему свету?

Честно говоря, я не вижу для этого разумных причин. А вот риском правового характера хоть отбавляй. Мы работаем в правовом поле РФ, а значит при желании можно будет легко подвести под "распространение вредоносных программ".

Но даже если абстрагироваться от юридических рисков, то все равно выкладывать самплы/утилиты в открытый доступ плохая идея. Эксперты, в том числе и от венлоров и так имеют к ним доступ, могут получить по запросу. А не слишком продвинутые пользователи, будут качать, производить со всем этим добром какие-то манипуляции и писать что у них что-то не получается или что-то не воспроизводится. И в этом случае придется каждому показывать на его ошибки, рассказывать как правильно всем этим пользоваться. Мы превратимся из тестлаба в тестсуппорт :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

ваш сайт тут же попадет в блеклисты у всех вендоров и все дела.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
ваш сайт тут же попадет в блеклисты у всех вендоров и все дела.

Вот вот ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×