Перейти к содержанию

Recommended Posts

DaTa

Поймать чем? SONAR активизируется при запуске, а не при распаковке, Insight либо по запросу либо принудительно для скачиваемых из Internet. Остается Auto-Protect с убогими сигнатурами по хешу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
там тот же сотрудник компании пояснил, что в реальности так не бывает, чтоб из обычного zip-архива вирус автостартовал, после чего он уточнил, что автостартующий вирус всё же, что логично, идёт как обычный файл, соответственно, ситуация с zip-архивом - нештатная, т.е. искусственная и редкая.

В каком посте сотрудник написал то, что Вы сейчас перечислили? Можно ссылку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Вы читали тему не хуже меня, потому прекрасно знаете, какое сообщение я почти дословно перевёл. ;)

Поймать чем? SONAR активизируется при запуске, а не при распаковке, Insight либо по запросу либо принудительно для скачиваемых из Internet. Остается Auto-Protect с убогими сигнатурами по хешу.

Смотря, какой именно Инсайт: их там несколько.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Вы читали тему не хуже меня, потому прекрасно знаете, какое сообщение я почти дословно перевёл. ;)

Я попросил ссылку на сообщение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Рекомендую перечитать всю ту тему: тогда у Вас будет целостное понимание ситуации и реальности затронутых проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Рекомендую перечитать всю ту тему: тогда у Вас будет целостное понимание ситуации и реальности затронутых проблем.

ANDYBOND, еще раз: _просто_ предоставьте_ ссылку_ на_ то_ сообщение, _которое_ Вы_ "почти дословно перевели"_.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Остается Auto-Protect с убогими сигнатурами по хешу.

А обосновать это можете? Фолсы убирают далеко не по хешу.

Или это о "интеллектуальных описаниях" ? Так это не в счёт.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
ANDYBOND, еще раз: _просто_ предоставьте_ ссылку_ на_ то_ сообщение, _которое_ Вы_ "почти дословно перевели"_.

Я понял: Вам не нужно то сообщение, а нужен лишь флейм. Вопросов нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Я понял: Вам не нужно то сообщение, а нужен лишь флейм. Вопросов нет.

ANDYBOND, Вы опять начинаете юлить и избегать ответа на простую просьбу предоставить пруф-линк?

Итак, в каком конкретно из 25 сообщений сотрудника Симантек можно прочитать то, что Вы, по Вашим же словам, "почти дословно перевели":

"в реальности так не бывает, чтоб из обычного zip-архива вирус автостартовал, после чего он уточнил, что автостартующий вирус всё же, что логично, идёт как обычный файл, соответственно, ситуация с zip-архивом - нештатная, т.е. искусственная и редкая" ?

Я все еще надеюсь на то, что Вы это не придумали в очередной раз и это действительно можно найти в сообщении сотрудника в той теме.

Пруф-линк ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский

Очередной наскок на Symantec понимаю, что на конкурентов даже наскакивать не интересно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.

Проверил как обстоят дела с руткитом ZeroAccess/MAX++.

На данный момент есть сигнатурный детект семпла, поэтому проверил на NIS 2012 с базами 10-и дневной давности от 07.09.2011.

После запуска руткита даже появился алерт Auto-Protect, уведомивший, что угроза - Trojan.Zeroaccess заблокирована, компьютер в безопасности.

2297862.png

Несмотря на это, руткит убивает ccSvcHst, после чего Нортон уже не запускается.

Norton Power Eraser проблему с заражением (уже традиционно?) не решает - либо синий экран после стандартно запрашиваемой перезагрузки перед началом сканирования, либо не запускается. Применяем альтернативное средство.

2356466m.png

Ну и ради интереса запустил этот семпл при установленном KIS 2012. KIS установлен из дистрибутива с цифровой подписью от 05.08.2011. Базы после установки не обновлялись.

Появляется алерт System Watcher-а. Заражения не происходит при любом из двух предложенных вариантов.

3159498m.png

MD5: FBC9B864E48E6FF4D00C3CB243A20F6F

На самозащиту, насколько я понимаю, в Симантек тоже положили большой...привет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

wx., прекратите эту вонь и займитесь спортом что ли лучше, а также уберитесь с этой темы куда подальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

wx.

т.е. всех спасет только KIS2012?

P.S. предлагаю всем не заниматься оскорблениями и самовольным модерированием

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Проверил как обстоят дела с руткитом ZeroAccess/MAX++.

На данный момент есть сигнатурный детект семпла, поэтому проверил на NIS 2012 с базами 10-и дневной давности от 07.09.2011.

После запуска руткита даже появился алерт Auto-Protect, уведомивший, что угроза - Trojan.Zeroaccess заблокирована, компьютер в безопасности.

2297862.png

Несмотря на это, руткит убивает ccSvcHst, после чего Нортон уже не запускается.

У меня руткит не убивает ccSvcHst и Нортон прекрасно запускается у автора просто "руки из жопы" :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
У меня руткит не убивает ccSvcHst и Нортон прекрасно запускается у автора просто "руки из жопы" :D

так заражение происходит или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
т.е. всех спасет только KIS2012?

Сомневаюсь.

Тем не менее нельзя не отметить, что с амбициозностью и желанием противостоять действительно сложным угрозам у разработчиков KIS все в порядке.

Странно видеть то, что у Symantec наблюдаются такие проблемы, несмотря на имеющиеся финансовые возможности...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
так заражение происходит или нет?

Нет

Тем не менее нельзя не отметить, что с амбициозностью и желанием противостоять действительно сложным угрозам у разработчиков KIS все в порядке.

:blink: Откуда такие выводы?

Странно видеть то, что у Symantec наблюдаются такие проблемы, несмотря на имеющиеся финансовые возможности...

Какие проблемы?

P.S. Автор явно недоговаривает :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

wx., может разработчикам зарепортите хотя бы, а не будете как бы с нейтральной стороны кидаться фекалиями в сторону Нортона?

желанием противостоять действительно сложным угрозам у разработчиков KIS все в порядке.

Ага, и просьба перезагрузки для удаления вируса с флешки - тоже действительно сложная угроза. :)

Давайте не будем устраивать срач, а сообщим либо разработчиками, либо вывешивать все баги в более мягкой форме и без намёков в постах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский

Whole Product Dynamic Tests В данных тестированиях мы оцениваем качество защиты всех компонентов анти-вирусных продуктов Если посмотреть результаты с Jan по Aug 2011 можно отметить, что у NIS 0,5% пропуска против 1,4% у KIS.

wx.

Для справки: чтобы получить вменяемые результаты при самостаятелном тестировании NIS желательно использовать оригинальный образ ОС на реальной машине. :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
wx., может разработчикам зарепортите

Кейсы перечислены в этой теме. Хеши тоже приведены:

MD5: 0B30DC110E2805F8344D6187EC21F674

MD5: B5BD3922DCEF32762E2987018BC86222

MD5: FBC9B864E48E6FF4D00C3CB243A20F6F

Сотрудники Symantec иногда читают этот форум. Вы считаете, что я должен быть более заинтересован в уведомлении разработчиков, чем штатные сотрудники ?

К тому же, не совсем понимаю, что нового Вы собираетесь рассказать разработчикам. О том, что у Нортона проблемы с лечением TDL3, TDL4 они и так прекрасно знают. О том, что FixTDSS не поддерживается в актуальном состоянии - разработчики знают. О том, что у Нортона проблемы с самозащитой и например, ZeroAccess - они тоже прекрасно осведомлены.

Ну и что бы совсем не осталось неясностей.

В прошлом и позапрошлом году я отправлял репорты разработчикам напрямую - через PM на официальном форуме Симантека. Там были, например, такие люди, как старшие инженеры SONAR Team, глава QA и просто, так сказать, рядовые разработчики. Хотите узнать результат? Помимо благодарности и формального обещания посмотреть проблему - результат нулевой.

а не будете как бы с нейтральной стороны кидаться фекалиями в сторону Нортона?

_Аргументированное_ мнение теперь называется "кидаться фекалиями" ? По все видимости это что-то новое и я отстал от жизни...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
_Аргументированное_ мнение теперь называется "кидаться фекалиями" ?

Да. Подколы в стиле "Странно видеть то, что у Symantec наблюдаются такие проблемы, несмотря на имеющиеся финансовые возможности..." явно демонстрируют истинную цель указания багов.

Вы считаете, что я должен быть более заинтересован в уведомлении разработчиков, чем штатные сотрудники ?

А развёртка виртуальной машины, установка продуктов - это недостаточная заинтересованность, насколько я понимаю?

О том, что у Нортона проблемы с лечением TDL3, TDL4 они и так прекрасно знают. О том, что FixTDSS не поддерживается в актуальном состоянии - разработчики знают. О том, что у Нортона проблемы с самозащитой и например, ZeroAccess - они тоже прекрасно осведомлены.

Тогда чем Вы тут занимаетесь, кроме как бросания фекалий в сторону Симантека? Уведомлены - ждите. Или не ждите. Всё. В чём ещё проблема?

Хотите узнать результат? Помимо благодарности и формального обещания посмотреть проблему - результат нулевой.

Ну это другое дело. Больше мне нечего сказать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Уведомлены - ждите. Или не ждите. Всё. В чём ещё проблема?

Еще я хотел бы принимать участие в обсуждениях в интересующих меня темах форума. Если, конечно, Вы будете столь любезны, что позволите мне это делать =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский

wx. С чего Вы вообще взяли, что разработчики обязаны читать весь этот Ваш бред. :facepalm:

Хватит пудрить людям мозги, заведите блог и там разоблачайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
military
так заражение происходит или нет?

Проводил подобный тест, заражение таки происходит. Результат идентичен результату wx.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Большая просьба к участникам форума: не создавайте препятствия для дискуссии. Мне, например, интересны обсуждаемые здесь, вопросы. Если кому-то дискуссия неинтересна, можно "пройти" мимо. Хотелось бы увидеть факты и комментарии по делу заинтересованных и компетентных лиц. И еще прошу не переходить на личности и соблюдать правила форума. Заранее благодарю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×