Лечение vs предотвращение заражения?

[ntoskrnl 155]

Большинство вендоров отказываются от качественного лечения, интересно с чем это может быть связано? Нет желания/возможности, или современные угрозы настолько сложны, что качественное лечение миф? Так или иначе считаю отказ от лечения серьёзным пробелом в безопасности при отсутствии 100% защиты от заражения.

20 лет назад малварь занималась переворачиванием экрана, осыпанием буковок на нём и напеванием песенок через пищалку. Изредка могла как-нибудь напакостить на дискетке или даже(!) на винте, но всё это убиралось подручными средствами, вроде того же нортоновского дискедита, а то и просто редактированием autoexec.bat. Вирусы были на уровне студенческой шкоды, а материальные потери выражались, в основном, в простое техники/работников на время "буйства" таких "вирусов" и человеко-часами на их выкорчёвывание. Такую дрянь было проще и быстрее просто лечить, к тому же при архитектуре популярных тогда осей ни о каких серьёзных возможностях предотвращения программными путями нечего было и думать.

10-15 лет назад малварь занималась рассылкой спама, накручиванием порносчётчиков, подменами стартовых страниц и разными пакостями на десктопе, в вордовых доках и т.п. но уже появились "звоночки" вроде "ван-халфа" или "чернобыля", которые целенаправленно гробили данные или даже аппаратуру, или разные автодозвонщики, которые уже лезли в кошелёк. Антивирусные вендоры чухнули всё это дело и начали спешно втыкать в продукты резидентные сканеры. Зачем? А чтобы пытаться предотвратить заражение, благо состоявшийся переход на винды способствовал этому архитектурно. Тем не менее, в основном материальные затраты опять, в основном, были связаны с простоем, приведением хозяйства в исходное состояние и т.п. и больщую часть малвари, по-прежнему, было проще быстрее и дешевле лечить даже после состоявшегося заражения.

Сейчас и уже ~лет пять малварь ворует деньги. Ворует учётные данные, целенаправленно ворует конфиденциальные данные, используется, как уже видно, для промышленного саботажа на государственном уровне, похоже, что уже используется спецслужбами и практически выходит в военно-политическую плоскость. Можете "вылечить" украденные деньги, пароли, личные данные и т.п.? И вендоры, видя всю эту лавочку, и видя, что одними сигнатурами сыт не будешь, начинают внедрять в продукты хипсы, поведенческие блокираторы, облака, и т.д, и т.п. Т.е., опять пытаются предотвратить заражение, уже на другом техническом уровне. Кто-то с бОльшим успехом, кто-то с меньшим. Поэтому непонятно, почему Вы в заглавии противопоставляете лечение предотвращению. К тому же популярной становится идея лечения, как отдельной платной услуги, вместо взимания ежегодной платы, что заразишься, что не заразишься, что вылечит антивирус, что не вылечит. В мировой экономике творятся такие штуки, что хочется зажмуриться, а кушать хотят и антивирусные компании, и те кто раньше по кредитке скупал лицензии, не думая.

И ещё

Так или иначе считаю отказ от лечения серьёзным пробелом в безопасности при отсутствии 100% защиты от заражения.

Где именно Вы видите этот отказ вендоров от лечения?

[priv8v 960]

diletant

прочитайте 21 сообщение. считайте, что это вендор. или представитель это тот, кто имеет такую бумагу, на которой написано "Представитель" и как шериф носит в кармане печать, дабы нести людям истину от вендора заверенную этой печатью, кровью и его подписью?

[diletant 5]

Где именно Вы видите этот отказ вендоров от лечения?

Тест на лечение активного заражения служит неплохим показателем состоятельности некоторых вендоров. Заявления плохолечащих вендоров об отказе от лечения я не видел.

[ntoskrnl 155]

Тест на лечение активного заражения служит неплохим показателем состоятельности некоторых вендоров. Заявления плохолечащих вендоров об отказе от лечения я не видел.

Нет, этот тест, к сожалению, вообще ничего дельного не показывает, поскольку многие вендоры стали разделять функционал лечения и обнаружения/предотвращения по разным продуктам. и ни один вендор в здравом уме никогда не посоветует устанавливать продукт на заражённую систему. Лотерея.

[Danilka 678]

А если юзер не значет, что система заражена? А тот продукт, который он ставит себе, даже не детектит заражение, так как его производитель положил болт на это... Как быть этому юзеру?

[ntoskrnl 155]

А если юзер не значет, что система заражена? А тот продукт, который он ставит себе, даже не детектит заражение, так как его производитель положил болт на это... Как быть этому юзеру?

Фиг его знает, Данила, как быть этому юзеру. Я не идеализирую вендоров, но мнение о тесте у меня лично именно такое. Многие вендоры, в том числе и ЛК, если не ошибаюсь, рекомендуют проверить систему спецутилитами перед установкой. Лучше так вообще ставить продукт на свежую систему, а многие продукты идут в предустановке. Многие могут не добавлять функционал лечения в основной продукт исходя из вероятности заражения (и "неотбития") конкретной малварью. Короче, это уже в плоскости гадания о глубинных мотивах каждого конкретного вендора, причём над достаточно маленькой выборкой сэмплов. Т.е., в принципе, тест показывает, что данный конкретный продукт "не работает" с данной конкретной малварью (и это при условии её предварительной "инсталяции"), но никак не говорит о том, что вендоры забили на лечение в целом.

[Danilka 678]

Фиг его знает, Данила, как быть этому юзеру.

Вот и я о том же. Остается ему надеяться на удачу и что его продукт вдруг хотябы задетектит заражение.

но мнение о тесте у меня лично именно такое.

Я вообще про этот тест не говорил.

Многие вендоры, в том числе и ЛК, если не ошибаюсь, рекомендуют проверить систему спецутилитами перед установкой.

у ЛК предлагается утилита только в том случае, если возможное заражение мешает установке.

Ну а про остальное - ИМХО должно быть и то и то. Перекос в одну из сторон - это угроза безопасности.

[sww 486]

Т.е., в принципе, тест показывает, что данный конкретный продукт "не работает" с данной конкретной малварью

Я уже 1000 раз говорил. Не конкретной малварью, а конкретной методикой сокрытия! Когда ж до вас до всех дойдет - в руткитах используется не так уж много технологий и если в продукте реализован универсальный механизм противодействия, то ему насрать с каким семейством он имеет дело.

[strat 275]

А если юзер не значет, что система заражена? А тот продукт, который он ставит себе, даже не детектит заражение, так как его производитель положил болт на это... Как быть этому юзеру?

Да забейте на этих юзеров, они ведь не ваш продукт ставят, значит вам все равно. Если когда и узнают, что там у них вирус, то придут к вам или нет, неважно. Если юзер доволен то тем более на него забейте - не ваш клиент. Если юзер будет недоволен, то он не только сделает антирекламу неправильному вендору но и постарается наверно найти тех, кто умеет справляться с этим. Хотите пользы себе - улучшайте лечение, работайте над его совершенствованием всегда и зорко выглядывайте недовольных юзеров других вендоров, подсовывайте им тесты, возможность вылечиться бесплатно и т.д. Это все окупится. Как ни крути, а лечение это конкурентное преимущество вот и развивайте его.

[Danilka 678]

strat, дык тут речь в глобальном понимании.

[ntoskrnl 155]

Я уже 1000 раз говорил. Не конкретной малварью, а конкретной методикой сокрытия! Когда ж до вас до всех дойдет - в руткитах используется не так уж много технологий и если в продукте реализован универсальный механизм противодействия, то ему насрать с каким семейством он имеет дело.

Кто-то где-то когда-то упоминал именно руткиты?

[strat 275]

и если в продукте реализован универсальный механизм противодействия, то ему насрать с каким семейством он имеет дело.

в кои то веки не соглашусь по существу

Нет такого универсального механизма ни у веба ни у вас и ни у кого. Иначе не лепили бы вы чуть не каждый месяц новую версию TDSSkiller, а веб не позорился бы с лечением активного заражения Rustock http://www.anti-malware.ru/malware_treatment_test_2011 лечение которого сам первый и анонсировал. А раз нет, то и говорить не о чем, сферический конь в вакууме.

Да и вообще, был бы универсальный механизм то и ловили бы вообще все 100% вирусов и этого бы форума не было.

[Юрий Паршин 330]

в кои то веки не соглашусь по существу

Нет такого универсального механизма ни у веба ни у вас и ни у кого. Иначе не лепили бы вы чуть не каждый месяц новую версию TDSSkiller, а веб не позорился бы с лечением активного заражения Rustock http://www.anti-malware.ru/malware_treatment_test_2011 лечение которого сам первый и анонсировал. А раз нет, то и говорить не о чем, сферический конь в вакууме.

Да и вообще, был бы универсальный механизм то и ловили бы вообще все 100% вирусов и этого бы форума не было.

Универсальный механизм есть и работает. Или может у вас другие сведения? А вот у других вендоров то да - одни костыли на костыле.

Утилита TDSSKiller предназначена уже далеко не только для лечения TDSS (она еще и детектор аномалий), и обновляется она лишь для поддержания актуальности (ZeroAccess там разные, и.т.п).

[strat 275]

Универсальный механизм есть и работает. Или может у вас другие сведения?

и обновляется она лишь для поддержания актуальности

А с чего бы это ей обновляться, если бы она была универсальной? Без обновления неужели не может справиться с чем то?

[sww 486]

Кто-то где-то когда-то упоминал именно руткиты?

Гм, глаза разуйте уже. Тест лечения активного заражения - там одни руткиты и есть.

[diletant 5]

А с чего бы это ей обновляться, если бы она была универсальной?

Обновление свойственно всем развивающимся продуктам, возможно допиливают какие то баги.

[sww 486]

Нет такого универсального механизма ни у веба ни у вас и ни у кого.

Юра уже ответил, универсальный механизм есть и отлично работает. Все делалось постепенно и постоянно дорабатывается. Уж нам лучше знать, что у нас есть, а чего нет, не так ли?

Да и вообще, был бы универсальный механизм то и ловили бы вообще все 100% вирусов и этого бы форума не было.

Вы о чем вообще? 100% какого детекта?

[sergey ulasen 200]

А с чего бы это ей обновляться, если бы она была универсальной? Без обновления неужели не может справиться с чем то?

Эххх, не понимает...

И вообще какой-то бредовый топик. Все это уже обсуждалось здесь миллионы раз.

[Юрий Паршин 330]

А с чего бы это ей обновляться, если бы она была универсальной? Без обновления неужели не может справиться с чем то?

Без обновлений она может обнаружить заражение (в некоторых случаях и вылечить), но не может вылечить то, что требует спец. процедуры лечения (речь о эпидемии драйверных инфекторов ZeroAccess - все последние обновления утилиты связаны с ними) - универсально их можно лишь обнаружить, но не пролечить.

[diletant 5]

И вообще какой-то бредовый топик. Все это уже обсуждалось здесь миллионы раз.

Возможно пора закрывать?, лучший ответ внизу, дальше пошёл флейм.

Жаркая тема будет однако.

На самом деле те, кто не может предоставить лечение, еще не могут, в большинстве своем, предоставить и детект активного заражения. А без детекта и лечить нечего.

Я вот искренне не понимаю - эти вендоры настолько тупы, что не осознают то, что их продукт может ставиться уже на зараженный ПК (причем юзер может и не знать, что он заражен) на котором когда то стоял другой АВ? Хотя и может просто и нет мозгов, чтобы написать процедуру лечения, и поэтому не добавляют детект, чтоб не позориться.

P.S. Сейчас посыпятся аргументы "профи" - мол зараженная система - это скомпрометированная система и должна быть переустановлена. Но их тоже можно понять - они всего лишь пытаются оправдать продукт, которым пользуются. Причем оправдать перед самими собой, самоуспокоение как говорится.

P.P.S. Касаемо сабжа - качественное лечение есть, но оно реализовано у тех компаний, которые могут это реализовать - ЛК и Dr.Web. А остальные или вообще не детектят или тупо не могут вылечить, а иногда предлагают скачать сторонние утилиты, которые тоже не блещут лечением. Но, справедливо стоит отметить, нужно реализовывать не только лечение, но и качественную защиту.

[sergey ulasen 200]

Возможно пора закрывать?, лучший ответ внизу, дальше пошёл флейм.

А вы чего ждали ? Что сейчас все эксперты выползут на свет божий и в тысячный раз начнут повторять эту мантру специально для вас ?

Откройте соответствующие тесты, комментарии ним, их обсуждение, интервью с экспертами. Ознакомьтесь с материалом. И ваши вопросы испарятся мгновенно.

[Юрий Паршин 330]

Вообще говоря, мне сложно понять логику вида: "Раз вы поддерживаете утилиту, значит продукт не справляется".

[Danilka 678]

Вообще говоря, мне сложно понять логику вида: "Раз вы поддерживаете утилиту, значит продукт не справляется".

Самое интересное - если такое говорят юзеры других АВ, то они не понимают, что утилиту то именно для них и делают.

[strat 275]

Без обновлений она может обнаружить заражение (в некоторых случаях и вылечить), но не может вылечить то, что требует спец. процедуры лечения (речь о эпидемии драйверных инфекторов ZeroAccess - все последние обновления утилиты связаны с ними) - универсально их можно лишь обнаружить, но не пролечить.

А может ли tdsskiller обнаружить заражение биос? нет? странно, почему? надо обновить его (tdsskiller)?

[ntoskrnl 155]

Гм, глаза разуйте уже. Тест лечения активного заражения - там одни руткиты и есть.

Да? Это Scano -руткит? Rorpian или Glaze- руткиты? Там даже Xorpix обычный.