Перейти к содержанию

Recommended Posts

wx.
Так что, Нортон 2012 теперь TDL вообще не видит или Rampant что-то упустил при тестировании?

Активное заражение tdl3 Нортон любой версии как не видел, так и не видит и соответственно по-прежнему не лечит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Интеллектуальные описания? Ё-ма, народ. Что это вообще должно означать?

Антивирус без баз. :) Ну практически без баз.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Совсем не без баз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Ну да, когда через год/два одна русская компания сделает подобное, это безусловно будет объявлено технологическим прорывом и этими ... а - инновациями :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Антивирус без баз. :) Ну практически без баз.

Чушь не порите. Базы там есть, просто немного упрощены и объединены в особые классы. К примеру, проявилось новое название детекта WS.Viral1 и т.д.

Конечно, радуют ответы таких "экспертов" Сижу и читаю с попкорном.

Активное заражение tdl3 Нортон любой версии как не видел, так и не видит и соответственно по-прежнему не лечит.

Вы хоть знаете по какому принципу происходит его обнаружение???

И не надо тут рассказывать сказки о том, как по расписанию срабатывает анти-руткит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Практически=базы там есть, но их мало. Без облака получишь заражение каким нибудь относительно старьем с флешки.

Активное заражение tdl3 Нортон версии... по-прежнему не лечит. .

http://www.anti-malware.ru/malware_treatment_test_2011 тут подтверждение есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Практически=базы там есть, но их мало. Без облака получишь заражение каким нибудь относительно старьем с флешки.

Да что Вы говорите. Откуда такие познания? Вы знаете структуру этих баз?

Не надо тут делать дурачка из интел. баз. С включёнными интел. базами защита не падает ни в коем разе и обеспечивается должным образом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Да что Вы говорите. Откуда такие познания? Вы знаете структуру этих баз?

Не надо тут делать дурачка из интел. баз. С включёнными интел. базами защита не падает ни в коем разе и обеспечивается должным образом.

Вы посты выше перечитайте...

К примеру:

Если параметр Интеллектуальные описания включен, то Norton Internet Security активирует базовый набор описаний вирусов, содержащий описания наиболее важных с точки зрения Symantec угроз. Если параметр Интеллектуальные описания выключен, то Norton Internet Security активирует полный набор описаний вирусов, содержащий описания всех угроз, известных Symantec. По умолчанию параметр Интеллектуальные определения включен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Клоунаду тут устраивать не надо. Типа "народ, это вообще что" или "это упущение".

Вы посты выше перечитайте...

К примеру:

Спасибо, я это прекрасно знаю. Опять же повторюсь: на обеспечение базового уровня защиты это не влияет.

А утверждения типа " вот подхватишь с флешки и " - это сплошной бред.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Вы хоть знаете по какому принципу происходит его обнаружение???

И не надо тут рассказывать сказки о том, как по расписанию срабатывает анти-руткит.

А правда - по какому принципу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
А правда - по какому принципу?

В таких базах содержатся описания наиболее важных зловредов. А что касается остальных- то не значит, что их взяли и просто так выкинули. Они есть и объединены в особые группы, классы и т.д. К примеру, теперь малварь имеет вот такой детект: WS.Malware2, WSViral1 и т.д.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
http://www.anti-malware.ru/malware_treatment_test_2011 тут подтверждение есть.

В отчете по указанной ссылке написано про TDL3: "Обнаруживает, но не может удалить", т.е. предлагает скачать утилиту по удалению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Они есть и объединены в особые группы, классы и т.д. К примеру, теперь малварь имеет вот такой детект: WS.Malware2, WSViral1 и т.д.

Серьезно? А где об этом можно почитать? Хоть на английском, хоть на русском.

В отчете по указанной ссылке написано про TDL3: "Обнаруживает, но не может удалить", т.е. предлагает скачать утилиту по удалению.

Не то процитировал, я имел ввиду лечение активного заражения. Ща поправлю. Спасибо, а то вони будет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
В таких базах содержатся описания наиболее важных зловредов. А что касается остальных- то не значит, что их взяли и просто так выкинули. Они есть и объединены в особые группы, классы и т.д. К примеру, теперь малварь имеет вот такой детект: WS.Malware2, WSViral1 и т.д.

Это не то. Я спрашивал по какому принципу происходит обнаружение руткита :)

Активное заражение tdl3 Нортон любой версии как не видел, так и не видит и соответственно по-прежнему не лечит.
Вы хоть знаете по какому принципу происходит его обнаружение???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Это не то. Я спрашивал по какому принципу происходит обнаружение руткита :)

Вы хоть знаете по какому принципу происходит его обнаружение???

Немного своеобразно.

Именно модуль IPS обнаруживает присутствие TDL. А если точнее, то TDL будет распознан лишь тогда, когда выйдет на связь с центром. Как только же буткит выйдет на связь, то пользователь увидит сообщение о заражении, содержащее ссылку на утилиту лечения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Немного своеобразно.

Именно модуль IPS обнаруживает присутствие TDL. А если точнее, то TDL будет распознан лишь тогда, когда выйдет на связь с центром. Как только же буткит выйдет на связь, то пользователь увидит сообщение о заражении, содержащее ссылку на утилиту лечения.

То есть очередной УГ-детект, не удивлен.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
В таких базах содержатся описания наиболее важных зловредов. А что касается остальных- то не значит, что их взяли и просто так выкинули. Они есть и объединены в особые группы, классы и т.д. К примеру, теперь малварь имеет вот такой детект: WS.Malware2, WSViral1 и т.д.

Дополню лишь, что прежде всего в сокращённых базах оставляют то, что есть в "живой природе".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Вы хоть знаете по какому принципу происходит его обнаружение???

Еще раз повторяю - антивирусы Симантек/Нортон до сих пор не способны ни увидеть активное заражение tdl3, ни вылечить его.

Ни при полной проверке, ни при быстрой, ни при проверке во время простоя, ни при проверке по-требованию.

Ну попросту не видят они зараженный драйвер, не видят. Детекта в памяти тем более нет. Так понятно ?

Скрины:

2284267m.png

3121815m.png

3145388m.png

То, что вы описали как "своеобразный детект IPS" называется убогим костылем на основе косвенных признаков, а не детектом.

Хотя даже наличие такого костыля еще нужно перепроверить. Пока у меня нет никакой уверенности в том, что ваша информация корректна,

либо применима ко всем модификациям руткита. Буквально вчера проверял Нортон на активном tdl3. Никакого детекта естественно не было.

Ни настоящего, ни "своеобразного" костыльного. Сниффер при этом показывал пачку соединений, устанавливаемых зверушкой.

И что-то я срабатываний IPS не видел даже спустя 30-40 мин.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Дополню лишь, что прежде всего в сокращённых базах оставляют то, что есть в "живой природе".

Корректней будет звучать так:

То, что встречается в "живой природе" по оценке вирлаба Symantec. Но оценка вирлаба Symantec не является истиной (особенно касаемо той же СНГ).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

wx., вам задали один вопрос. Ответ по-моему прост: "да/нет".

Из того, что вы написали, я новой информации не узнал. Говорю для особо одарённых: обнаружение данного руткита было в 2011 версии, а в 2012 скоро реализуют. Об этом заявили разработчики.

P.S. от скрина ЛК'шной лечилки просто тошнит, да и не менее чем от Вебовской :lol:

Danilka, а какой же она является (оценка), ложной что ли? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
обнаружение данного руткита было в 2011 версии, а в 2012 скоро реализуют

Вы, простите, невменяемы? Вам удалось прочитать пост #46? Цветные картинки из этого поста вам удалось разглядеть? Смысл и того и другого вам удалось понять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Вы, простите, невменяемы? Вам удалось прочитать пост #46? Цветные картинки из этого поста вам удалось разглядеть? Смысл и того и другого вам удалось понять?

:facepalm:

Свои припадки оставьте при себе.

2238206.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Danilka, а какой же она является (оценка), ложной что ли? :lol:

Все очень просто - не факт, что для пользователей СНГ будет актуальный список детектируемых угроз в этих "урезанных" сигнатурах - это раз. А во вторых не факт, что и в мировых рамках будет также актуальный список угроз. И в обоих случаях не просто актуальный - а действительно отражающий реальность. А это уже угроза безопасности пользователей и рискованный шаг со стороны Symantec.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
P.S. от скрина ЛК'шной лечилки просто тошнит, да и не менее чем от Вебовской

Ладно там ЛКшной, а Др.Веб тут то при чём?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Ладно там ЛКшной, а Др.Веб тут то при чём?

Да опять же все просто - фанатик детектед... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×