Перейти к содержанию
B .

Не работает Интернет? Ложное срабатывание антивируса Avast на tcpip.sys

Recommended Posts

Leonid
... Антивирус, не умеющий лечить- это доктор, не умеющий ставить диагнозы.

Илья, при всём уважении к Вам, если уж Вы затронули тему медицины, то в ней, как известно, главным является не лечение, а именно профилактика, которая обходится гораздо дешевле, чем лечение, которое к тому же может быть запоздалым и бесполезным!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
уж нельзя Е.К. постебаться (в данном случае) над Авастом. Чтож ему теперь как королю Баварскому шататься по форумам под маской простолюдина? Данный ложняк достоин шаманской пляски вокруг неудачника. чтобы конкуренты били себя в грудь (какие мы хорошие, и хорошо что не мы сейчас в центре пляски :)) и показывали пальцем на виновника, чтобы неповадно было ему рубить сук на котором висит Интернет. Так оно быстро вылечивает захворавшего вендора.

Вспоминается 5-8 лямов китайцев, которые не умеют так громко кричать, как Е.К., но которые остались без IE как раз после фолса продукта ЛК :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hector

Е.К. упомянул в сюжете НЗ (Новая Зеландия) да там эту контору знают ну максимум 100 человек:) на двух островах. Там у всех на слуху Trend Micro, Norton, MacAfee

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Но обсуждать это на полном серьёзе - мне на вас всех смешно, честное слово.

Меня в этой истории занимает не сам факт ложного срабатывание, их у всех было много, а его контекст. А он состоит в том, что бесплатный антиирус (понятно, что большая часть пострадавших использовали версию avast! Free Antivirus) массово запорол пиратские копии Windows XP. Хорошо, скажем более политкорректно - "модифицированные копии Windows XP".

В итоге любители халявы проклинают компанию Avast Software и голосуют ногами в сторону Microsoft Security Essentials. Предъявить претензии антивирусной компании они не могут - это означает признать факт использования нелицензионной/модифицированной копии Windows. В общем интересный прецедент получился.

В итоге от этого скандала выигрывает ИМХО пока только одна компания - Microsoft. При чем дважды: 1. получает больше клиентов MSE; 2. получает переходы на Windows 7/8 (старая система все равно уже запорота, многим проще переставить).

но ведь рассматриваются как частные случае, т.к пропустить заражение может любой антивирус, даже тот которым часто пользуются для лечения, то в таком случае (в случае заражения) необходимо воспользоваться сторонним предложением для лечения.

Уже в пору говорить не о лечении компьютера, а о восстановлении системы. Антивирус откуда-то должен взять убитый/замененный драйвер, чистый вариант подмененной библиотеки. Если говорить в контексте данной темы, то avast должен был заменить драйвер на нормальный вариант, лечение было бы именно в этом. А он его, драйвер, тупо прибил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VIKING

Вот это ближе к теме!!!

+100500

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Там вроде бы еще массовый падёж был в Польше и Китае - там тоже был русский патченый драйвер? Или местные умельцы постарались? Мне просто любопытно..

Китай, насколько мне известно, как раз и является одним из гнездилищ пиратства и вареза. В Польше, по слухам, с этим тоже далеко не все гладко. Так что почему бы и нет?

Однако вернемся к нашим "Авастам". Позицию Евгения Валентиновича вполне можно понять: содержание вирлаба, конечно, требует серьезных фиансовых затрат. Тут и зарплаты, и аренда офиса, и бесплатный чай с плюшками аналитикам, и вот это всё. В такой ситуации любому руководителю будет обидно, если другой вендор затырит чужой детект и добавит сигнатуры в собственные базы. Тогда возникает резонный вопрос: почему, зная о происходящем, «ЛК» продолжает сотрудничество с ВТ и другими подобными он-лайн сервисами? Поступление новых семплов? Уверен, в «ЛК» есть и другие источники, вряд ли в процентном соотношении ВТ представляет собой самый крупный из них. Пиар? Да не смешите… А заимствование детектов, полагаю, будет продолжаться, по крайней мере, до тех пор, пока это не противоречит лицензии использования сервиса.

Мне вот интересно, что произойдет, когда Google начнет использовать базы ВТ в собственных продуктах. Прикрутит какой-нибудь монитор к «Хрому», например. Ведь не зря же они купили этот сервис? Кто первый обвинит Google в воровстве? <_<

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В такой ситуации любому руководителю будет обидно, если другой вендор затырит чужой детект и добавит сигнатуры в собственные базы. Тогда возникает резонный вопрос: почему, зная о происходящем, «ЛК» продолжает сотрудничество с ВТ и другими подобными он-лайн сервисами? Поступление новых семплов? Уверен, в «ЛК» есть и другие источники, вряд ли в процентном соотношении ВТ представляет собой самый крупный из них. Пиар? Да не смешите… А заимствование детектов, полагаю, будет продолжаться, по крайней мере, до тех пор, пока это не противоречит лицензии использования сервиса.

Не получится ничего. Ну уйдет ЛК из VirusTotal, Jotti и прочих. Что мешает поставить внутри компании Антивирус Каспреского (его можно даже купить официально на кого-то из партнеров) и гонять себе сколько будет душе угодно? Думаю, что у всех вендоров в офисе есть куча машин с продуктами конкурентов, исследуют, изучают, тярыт что-то друг у друга - обычная конкурентная борьба. Так что разрулить это не получится так просто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Васька

Так вот оно чо Михалыч. Мне недавно знакомый жаловался, что у него инет пропал, после того, как Аваст вируса прибил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Не получится ничего. Ну уйдет ЛК из VirusTotal, Jotti и прочих. Что мешает поставить внутри компании Антивирус Каспреского (его можно даже купить официально на кого-то из партнеров) и гонять себе сколько будет душе угодно? Думаю, что у всех вендоров в офисе есть куча машин с продуктами конкурентов, исследуют, изучают, тярыт что-то друг у друга - обычная конкурентная борьба. Так что разрулить это не получится так просто.

Илья, ну Вы работали в "ЛК", сейчас вот в "InfoWatch" трудитесь, Вам, наверное, виднее, как это делается на практике ;) От себя добавлю, что формат баз, как Вам, безусловно известно, у разных вендоров различается. Как и принцип построения сигнатур. Нет, пофантазировав, можно, конечно, завести какую-нибудь виртуалку, поставить чей-то левый продукт, прогонять через него файлы, фиксировать наличие детекта... Ммм... Робота, наверное, придется какого-нибудь написать, который для детектируемых файлов будет строить сигнатуру и добавлять ее в базу... Но ведь это - геморрой, согласитесь. "К чему этот долгий, никчемный и утомительный процесс?" (С) Есть и менее трудозатратные способы :)

К тому же, полнота баз - далеко не самая важная характеристика хорошего антивирусного продукта, если рассматривать вопрос глобально. Не менее важно, как антивирус справляется с активными заражениями, как работает эвристика, как работает движок. Какие компоненты присутствуют в продукте и насколько они эффективны. Вот это все в совокупности и приводит нас к понятию "хорошая, эффективная антивирусная программа".

Поэтому если рассматривать тот же "Аваст" в аспекте "ату его, у них базы тыреные", то это не аргумент с точки зрения конечного потребителя. Потребителю важно другое: от угроз оно защищает? Ну да, с основной задачей худо-бедно справляется (насколько эффективно - другой вопрос ;) ). Приятным женским голосом "вирусная база обновлена" говорит? Говорит. Ощущение защищенности пользователю дает? Ну, вроде как. Да еще и бесплатное...

Я, конечно, не защищаю наших уважаемых коллег из "Аваста", но на высококонкурентном рынке "тыренье" чего-то друг у друга - увы, неизбежный процесс :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
этот товар пользуется большей популярностью чем товар под брендом ЛК.

Компания OPSWAT, подсчет проведен в июне 2012 г.

Avast – 17,4% от мировой клиентской базы...

1. Я бы не стал относиться к мнению Опсвата настолько серьёзно. У них очень специфическая выборка (у них на сайте вроде описано что и как они считают). Если тупо применять эту методологию...

2. ... Ага..

Золотые слова!

Относится всерьёз к OPSWAT™, и особенно к другой методологии оценочной Сертификации продуктов (у них на сайте http://www.opswat.com/certified/products вроде описано что и как они считают) - несерьёзно и несолидно! Особенно некоторым солидным брендам ( http://www.opswat.com/certified/opswat-certified-partners - commitment to interoperability!)

Ого...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Илья, при всём уважении к Вам, если уж Вы затронули тему медицины, то в ней, как известно, главным является не лечение, а именно профилактика, которая обходится гораздо дешевле, чем лечение, которое к тому же может быть запоздалым и бесполезным!

Так я и не говорил про то, что лечение главнее профилактики. Просто вы говорите, что профилактика важнее лечения настолько, что на последнее можно вообще не сильно обращать внимание. Я же говорю о том, что в защитном ПО все компоненты важны, нет "более важного" или "менее важного".

Практически, я наблюдаю от, что люди из антивирусной индустрии продолжают петь мантру "детект это наше всё, везде и всегда", что есть полная чушь и перегиб. Вы предлагаете другой перегиб "предотвращение есть нашё все, везде и всегда". Практика же показывает, что любой перегиб приводит к проблемам в долгосрочной перспективе.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
military
вроде описано что и как они считают) - несерьёзно и несолидно! Особенно некоторым солидным брендам (

Согласен. Вообще не понятно, ведь ЛК является партнером компании OPSWAT

OPSWAT Certified Partners http://www.opswat.com/certified/opswat-certified-partners

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Илья, ну Вы работали в "ЛК", сейчас вот в "InfoWatch" трудитесь, Вам, наверное, виднее, как это делается на практике ;) От себя добавлю, что формат баз, как Вам, безусловно известно, у разных вендоров различается. Как и принцип построения сигнатур. Нет, пофантазировав, можно, конечно, завести какую-нибудь виртуалку, поставить чей-то левый продукт, прогонять через него файлы, фиксировать наличие детекта... Ммм... Робота, наверное, придется какого-нибудь написать, который для детектируемых файлов будет строить сигнатуру и добавлять ее в базу... Но ведь это - геморрой, согласитесь. "К чему этот долгий, никчемный и утомительный процесс?" (С) Есть и менее трудозатратные способы :)

К тому же, полнота баз - далеко не самая важная характеристика хорошего антивирусного продукта, если рассматривать вопрос глобально. Не менее важно, как антивирус справляется с активными заражениями, как работает эвристика, как работает движок. Какие компоненты присутствуют в продукте и насколько они эффективны. Вот это все в совокупности и приводит нас к понятию "хорошая, эффективная антивирусная программа".

Поэтому если рассматривать тот же "Аваст" в аспекте "ату его, у них базы тыреные", то это не аргумент с точки зрения конечного потребителя. Потребителю важно другое: от угроз оно защищает? Ну да, с основной задачей худо-бедно справляется (насколько эффективно - другой вопрос ;) ). Приятным женским голосом "вирусная база обновлена" говорит? Говорит. Ощущение защищенности пользователю дает? Ну, вроде как. Да еще и бесплатное...

Я, конечно, не защищаю наших уважаемых коллег из "Аваста", но на высококонкурентном рынке "тыренье" чего-то друг у друга - увы, неизбежный процесс :)

Небольшая поправочка сразу, в Инфовотче я тоже работал до 2009 года. Прув в подписи ;)

Логика верная, при желании все это автоматизируется достаточно просто и не нужно завязываться ни на какой VirusTotal, зависеть от доступности стороннего сервиса. Посложнее конечно, но на выходе то все гораздо прикольнее. :)

Если говорить об Авасте, то не надо забывать про их облако. У них куча статистики, пожалуй у них должна быть одна из наиболее крупных БД по файлам от их бесплатной армии юзеров. Дальше конвертировать эту БД в репутационную, т.е. определить какие файлы прохие, а какие хорошие, через аналог VirusTotal и все. Вспомните, какой был рост уровня защищенности у Аваста после релиза облачной 5-ки.

На счет аргумента или не аргумента для потребителя соглашусь. Почти нереально объяснить большинству людей в чем смысл покупать в Ролекс или Луи Витон за 10к евро, если точно такой же по характеристикам и внешнему виду можно купить в переходе станции метро. Нет, конечно, кому-то важна принадлежность к кругу избранных, понты и все такое. Они не хотят быть "ослабевшим лососем" (лохом) купившем тоже самое дешевле, но много ли таких ... В этом есть большая проблема доказать массам, что нужно платить за качественный Антивирус Касперского, Norton, McAfee, а не брать бесплатный, цитирую E.К. "антивирусный секонд-хенд" от кого-то еще.

Посты о воровстве детекта и технологий выделил в отдельную тему!

http://www.anti-malware.ru/forum/index.php?showtopic=24658

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
В этом есть большая проблема доказать массам, что нужно платить за качественный Антивирус Касперского, Norton, McAfee, а не брать бесплатный, цитирую E.К. "антивирусный секонд-хенд" от кого-то еще.

Тут есть ещё одна проблема. Пропуски вредоносов, точнее, их количество. Массовые "секонд-хенд" антивирусы практически мало в чём уступают ведущим производителям по уровню предотвращения заражения (на самом деле, иногда даже превосходят, ибо компенсируют плохое лечение более хорошим предотвращением), и тут возникает вопрос: "а зачем платить за то, что дыряво ничуть не меньше, чем бесплатники?". Ну а по параметру "ложное срабатывание на системных файлах Windows" у каждого производителя есть своё "маленькое цифровое кладбище", никто не избежал сей доли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
На счет аргумента или не аргумента для потребителя соглашусь. Почти нереально объяснить большинству людей в чем смысл покупать в Ролекс или Луи Витон за 10к евро, если точно такой же по характеристикам и внешнему виду можно купить в переходе станции метро. Нет, конечно, кому-то важна принадлежность к кругу избранных, понты и все такое. Они не хотят быть "ослабевшим лососем" (лохом) купившем тоже самое дешевле, но много ли таких ... В этом есть большая проблема доказать массам, что нужно платить за качественный Антивирус Касперского, Norton, McAfee, а не брать бесплатный, цитирую E.К. "антивирусный секонд-хенд" от кого-то еще.

Илья, я очень рад, что мы пришли к "судьбоносному консенсусу", как говаривал Михаил Сергеевич :) Я бы даже предложил другое сравнение: не "Ролекс" за 10К у производителя или за 10 долларов в переходе, а "Ролекс" за 10К против, скажем, изделия минского завода "Луч" за 150 долларов. Да, не столь престижно, но надежно, с заводской гарантией, и время показывает примерно так же. Сам пользуюсь, рекомендую (не реклама).

Основная моя претензия к озвученной здесь позиции E.К. заключается, пожалуй, в том, что смысл дискуссии свелся к сентенции "бесплатный секонд-хенд антивирус для нищебродов прибил пиратскую винду у нищебродов, и нечего тут обсуждать". Я, конечно, немного передергиваю, но общий смысл таков. Абстрагируясь от происхождения вирусных баз "Аваста" следует сказать, что вопрос лицензионности или нелицензионности системы - это вопрос не антивирусной программы, а совести пользователя. В идеале антивирусное ПО должно защищать пользователя любой системы, вне зависимости от того, при каких обстоятельствах ее приобрел пользователь. Исключение - MSSE, там это прямо указано в условиях EULA. С этой точки зрения "эпик фейл", о котором я упомянул в первом сообщении этого треда, заключается отнюдь не в том, что ""Аваст" обосрамился, давайте потыкаем в него острой палкой". Фолзят все. Просто в данном случае фолз продукта, который должен защищать систему, вылился в глобальный факап для пользователей. И если такое обновление ушло в релиз, то, по большому счету, "Авасту" стоило бы собрать сотрудников тестлаба, и вывернуть их мехом внутрь.

Я просто пытаюсь понять, как такое вообще могло случиться. Хотя предположение Е.К. немного проливает свет на. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Коллеги, если вы не очень выучили, но все-таки следите за индустрией: это же любимая пиар-стратегия Е.К. - сравните:

- "антивирус из нищей Словакии"

- "старомодный питерский интроверт"

- "неуклюжие немецкие г-антивирусы с г-детектом"

(выражения не дословные, но дух передают - и начинались они в момент серьезной промо-атаки указанных компаний на русский рынок).

А с форумов дотошные журналисты и юзеры подхватывают сие - и перепевают, перепевают на другие лады, не тыкая при этом в Е.К. - ибо бизнес-персона мировой величины, не то что Олег Тиньков "какой-то".

Опять же, чего стОит история с "местным" лифтером Виталегом (и если бы его не было, его нужно было бы придумать в пиар-отделе ЛК) - косноязычным сумасбродным горе-славословом в пользу Есета.

К "пиратской" истории же Евгений Валентинович откровенно "примазался", отдавая дань PR-успехам главного в России сочувствующего Партии Пиратов (речь про Павла Дурова), который везде трубит про свободу контента (а сам перекладывает ответственность за разведенную медиапомойку на юзеров, чуть что).

Если по теме: вообще-то, пора уже создавать рейтинг фолсов, где ЛК будет на законной третьей-пятой строке (в зависимости от массовости). Только вот Китай русских и польских юзеров, спиративших ХРюшу, не колет ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VIKING

Прочитал последние сообщения, спасибо всем за спокойный конструктивный разговор...

Ведь "могем" если нужно разговаривать спокойно и главное уважительно выслушивать друг друга...

Спасибо!!!

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
К "пиратской" истории же Евгений Валентинович откровенно "примазался", отдавая дань PR-успехам главного в России сочувствующего Партии Пиратов (речь про Павла Дурова), который везде трубит про свободу контента (а сам перекладывает ответственность за разведенную медиапомойку на юзеров, чуть что).

Виталий, полагаю, "пиратская" тема - весьма болезненная для многих здешних обитателей, и вполне способна увести дискуссию в сторону флуда. Тут еще раз отмечу: по моему скромному мнению, это вопрос не конкретного антивирусного продукта, который мы сейчас обсуждаем, а, скорее, морально-этической сферы. И право на жизнь имеют обе точки зрения. Я вот, например, использую на всех домашних машинах (где не стоит Линукс) исключительно лицензионный софт. Но это мои личные тараканы: мне, например, крайне неприятно, когда продукт моего интеллектуального труда злостно пиратят и бесплатно раздают на торрентах. Отнимая тем самым кусок хлеба у моих детей. Поэтому я стараюсь по возможности приобретать лицензии нужных мне в работе продуктов, в качестве своеобразной дани уважения разработчикам, либо искать доступные аналоги под GNU/GPL.

Ну, а пиар - такой пиар :) Каждый старается продвигать свой продукт, как умеет :)

Прочитал последние сообщения, спасибо всем за спокойный конструктивный разговор...

Ведь "могем" если нужно разговаривать спокойно и главное уважительно выслушивать друг друга...

Ну так рынок, на самом деле, предельно тесный. Все друг друга знают, если не лично, то через вторые руки. К чему разборки? Ну и одно дело делаем... ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Snejoker
Тут говорят, что после очередного обновления Avast у пользователей WinXP блокируется tcpip.sys, как вредоносная программа (пруф). Похоже на эпический провалъ facepalm.gif . Интересно, как такое могло случиться?

думаю это самый вероятный ответ на этот вопрос

Мне очень любопытно.... Поскольку мне наиболее понятен вот такой сценарий: пролетал криво полеченный драйвер, который детектился другими ав по куску оставшегося в драйвере зловредного кода. Робот Аваста "схавал" драйвер (по чужим детектам) и ляпнул сигнатуру на чистый оригинальный код драйвера. Вуаля.

Есть одни рыбаки, которые в кое в чем ковыряются (я про опарышей), а есть, которые в спец.магазин идут за блесной. Вопрос для потребителя. У какого рыбака рыба вкуснее и полезнее?

А всё остальное - эмоции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Согласен. Вообще не понятно, ведь ЛК является партнером компании OPSWAT

OPSWAT Certified Partners http://www.opswat.com/certified/opswat-certified-partners

Это уходит в офтопик но т.к. я этим занимаюсь не могу не уточнить. Мы работаем с ними по обеспечению совместимости с их фреймворком, это необходимо для совместимости с NAP системами.

Это не значит что их обзоры по методологии "чьи антивирусы мы чаще удаляем у тех и больше рынок" правильные.

Кстати они запустили свой мультидвижковый онлайн сканер и даже пытаются его продавать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Feeble
Е.К. упомянул в сюжете НЗ (Новая Зеландия) да там эту контору знают ну максимум 100 человек:) на двух островах. Там у всех на слуху Trend Micro, Norton, MacAfee

Не надо ля-ля, в НЗ каспер очень популярен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest ENVi

Правильно, антивирус это люди - много людей, команда, то что они сделали, делают, смогут сделать, и сделают. Их технологии.

Поднявшись на определенный уровень эти люди выводят на свой уровень всех остальных, новичков, набирают талантливую команду, назад дороги нет, только вперёд.

Аваст не ровня Касперскому! И сколько там людей которые нечего не понимают его будут использовать не важно - за всякие коврижки, пустые понты, и хорошую рекламу. Я им не буду пользоваться, даже если не я им за лицензию антивируса буду платить, а они мне.

Так же как все остальные антивирусы не ровня для NOD32.

The next generation of NOD32 Technology. Essential Security against Evolving Threats

:wub:B):)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

ENVi

Виталег, вы хоть раз покупали антивирус?) хоть тот же нод?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
E.K.
- "антивирус из нищей Словакии"

- "старомодный питерский интроверт"

- "неуклюжие немецкие г-антивирусы с г-детектом"

...

Опять же, чего стОит история с "местным" лифтером Виталегом (и если бы его не было, его нужно было бы придумать в пиар-отделе ЛК) - косноязычным сумасбродным горе-славословом в пользу Есета.

У Вас тоже очень неплохо получается! Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme
Многие пользователи Аваста (и других бесплатников) - вполне обеспеченные люди на вполне легальном софте. Но им проще "скачать и поставить", чем "купить, скачать и поставить" - а о воровском происхождении этого "Луча" они просто не в курсе.

Вот я не первый день "наблюдаю" за антивирусной индустрией и честно говоря, считаю, что некоторые платные антивирусы хуже и более того - опасней некоторых бесплатных. А при том, что "скачать и поставить" проще, чем "купить", очевидно - часто выбирается более простой вариант.

А чего хотеть от людей неследящих за темой? Для них совсем нет разницы, как Вы верно заметили.

(в моей семье на компах стоит платный АВ, если же нужно порекомендовать кому-либо антивирус, я порекомендую сначала его, а если надо "проще", то MSE - в случае лицензионной винды или же аваст в случае нелицензионной.)

И повторюсь, я не уверен, что копирование детекта великий грех, копий детекта за авастом лично я не замечал(хотя вероятно это есть), а вот детект аваста и отсутствие его у авп видел)), впрочем как и видел копии у икаруса(платного) или авиры

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      значит добавлю это дело в uVS, иногда будет полезно распутывать цепочки запуска
    • santy
      Привет. предложенный метод сработал.     но здесь он и в задачи попал, возможно не успел все зачистить    
    • AM_Bot
      Платформа «Антифишинг» позволяет проводить высокоэффективное обучение сотрудников и выработку у них навыков безопасного поведения при работе за компьютером, в интернете и с электронной почтой. В результате значительно снижается риск успешных кибератак, большая часть которых начинается с рассылки вредоносных писем. Новая версия платформы получила ряд уникальных функций, среди которых — отслеживание ключевых показателей в режиме реального времени, прямое взаимодействие с SOC и пользовательский поток данных Threat Intelligence, а также максимально реалистичные полноэкранные атаки.    ВведениеНовая система визуализации2.1. Показатели охвата по ключевым процессам2.2. Показатели эффективности процессов и детализация показателей охвата2.2.1. Эффективность работы с сотрудниками2.2.2. Эффективность процессов обучения2.2.3. Эффективность процессов тренировки навыковПлагин «Антифишинга»: сотрудники сообщают об атаках и помогают защитить организациюГруппировка сотрудников по приоритетам и уровню рискаИмитированные атаки5.1. Реалистичные полноэкранные атаки5.2. Шаблоны атак из электронной почтыАвтоматизация через API «Антифишинга»: параметр externalKeyАвторизация администраторов через LDAPАнонимизация данныхВыводыВведениеФишинг и другие цифровые атаки на сотрудников продолжают оставаться основным способом проникновения в корпоративные сети, а также самым эффективным средством доставки вредоносных программ и получения учётных данных пользователей. В основе этих атак лежат не эксплойты и другие технические средства, а социальная инженерия. Воздействуя на слабые места людей с помощью выверенных психологических приёмов, преступники убеждают сотрудников компаний выполнить нужные им действия.По данным исследований «Антифишинга», собранных в отчёте о защищённости сотрудников в 2020 году, в среднем 37 % людей открывают письма мошенников, а 79 % из них совершают затем опасные для компании действия: вводят свои логины и пароли на сторонних сайтах, открывают потенциально опасные вложения или даже скачивают и устанавливают вредоносные программы, замаскированные под обновления системы.Проблему с небезопасным поведением людей обычно пытаются решить техническими блокировками и через обучение (повышение осведомлённости). Однако, по данным исследования, после года обучения лишь 9 % сотрудников меняют своё поведение на безопасное.Намного более выраженный эффект даёт проведение тренировок навыков безопасного поведения сотрудников с помощью имитированных атак, максимально похожих на реальные атаки преступников.Платформа «Антифишинг» позволяет проводить обучение сотрудников с помощью курсов в привычном SCORM-формате и тренировать навыки безопасного поведения с помощью имитированных атак.В новой версии 2.4.3 была значительно расширена функциональность системы, добавлена удобная визуализация процессов обучения и тренировки навыков, а также внедрена возможность ещё сильнее вовлекать сотрудников в защиту компании.Рассмотрим эти возможности более подробно.Новая система визуализацииЧтобы качественно и эффективно управлять любыми процессами безопасности, в частности — обучением и тренировками навыков сотрудников, объективно оценивать результаты и вовремя вносить изменения, важно видеть наглядную картину по всем ключевым показателям в режиме реального времени.Новые визуальные представления «Антифишинга» позволяют наглядно увидеть главные показатели охвата сотрудников процессами обучения и тренировки навыков, а также оценить ключевые показатели эффективности этих процессов.Показатели охвата по ключевым процессам Рисунок 1. Визуализация показателей по ключевым процессам Первая группа показателей, которые мы рекомендуем контролировать, — показатели охвата процессов обучения (повышения осведомлённости) и тренировки навыков сотрудников по информационной безопасности: по людям, по обучению, по тренировкам и по мотивации.Каждый такой показатель позволяет оценить, сколько людей в компании в принципе добавлены в систему и участвуют в процессах (были назначены на обучение, проходили тренировки навыков), а также отображает очень важный индикатор, о котором обычно забывают: склонность сотрудников к соблюдению правил безопасности.Показатели эффективности процессов и детализация показателей охватаВторая группа показателей — данные по эффективности процессов, которые раскрываются при выборе соответствующего показателя охвата.Эффективность работы с сотрудникамиЭтот график показывает, как изменялось число сотрудников, которые были добавлены в систему или разрешены в лицензии, а также общее число сотрудников в организации.График помогает увидеть детальное и историческое изменение данных, которые определяют показатель охвата по людям: ось абсцисс — время, ось ординат — число сотрудников в указанной категории. Рисунок 2. Динамика изменения охвата по людям Эффективность процессов обученияЭтот график показывает, какая доля общего числа сотрудников прошла или не прошла обучение в назначенный срок, либо находится на обучении, либо ни разу не была назначена на обучение. Рисунок 3. Динамика показателей эффективности обучения по времени Так же как и в предыдущем случае, на оси абсцисс — время, а на оси ординат — число сотрудников в указанной категории.Эффективность процессов тренировки навыковЗдесь показано, какая доля общего числа сотрудников не тренировалась, выдержала атаку либо выполнила то или иное небезопасное действие. Рисунок 4. График изменения показателей эффективности процессов Ось абсцисс — по-прежнему время, а ось ординат — вновь число сотрудников в указанной категории.Плагин «Антифишинга»: сотрудники сообщают об атаках и помогают защитить организациюПомимо проверки и тренировки навыков «несовершения» опасных действий, очень важно формировать у сотрудников привычки безопасного, правильного поведения.Важно, чтобы люди не только могли заметить какую-то цифровую атаку и не стать её жертвой, но и сообщили о ней в службу безопасности, таким образом активно помогая защите своей организации.Чтобы формировать у сотрудников нужные навыки, мы добавили плагин «Антифишинга», который позволяет сообщать об атаках по электронной почте непосредственно из почтового клиента Microsoft Outlook. Рисунок 5. Плагин «Антифишинга», интегрированный в окно сообщения Microsoft Outlook Теперь сотруднику не нужно помнить адрес и номер телефона службы безопасности — в его рабочем пространстве всегда есть возможность «Сообщить об атаке».Плагин интегрируется с инфраструктурой Microsoft Exchange и Office 365, что позволяет службам безопасности сразу получить все исходные сообщения от сотрудников, провести детальный анализ этих сообщений и применить соответствующие технические меры защиты.После корректной установки сотрудники видят у себя в почтовом клиенте Microsoft Outlook новый плагин (рис. 6). Рисунок 6. Кнопка плагина в панели инструментов Outlook После нажатия на плагин сотрудник видит окно обратной связи.Если атака была имитированной, то окно выглядит так, как показано на рисунке 7. Рисунок 7. Окно плагина после сообщения об атаке Плагин попросит сотрудника разметить эту атаку по психологическим векторам и по атрибуции. Они описаны в классификации «Антифишинга», об этих же векторах рассказывается в обучающих курсах, которые проходит сотрудник. Дополнительное внимание сотрудника к эмоциям, которые вызвала атака, помогает сформировать важный навык психологического торможения и более осознанное отношение к возможным цифровым атакам в будущем.После сообщения об атаке через плагин письмо с имитированной атакой удаляется из почтового ящика пользователя, атака отображается в поле «Сообщил об атаке», к текущему статусу сотрудника в системе добавляется цветной ободок, а к рейтингу — 1 балл. Рисунок 8. Всплывающие подсказки информируют о действиях сотрудника Плагин умеет различать имитированные атаки из «Антифишинга» и не пересылает их на анализ в службу безопасности.Если же сотрудник выявит реальную атаку, то окно обратной связи будет выглядеть так, как на рисунке 9. Рисунок 9. Интерфейс плагина после детектирования реальной атаки В этом случае сотрудник также может разметить атаку по психологическим векторам и атрибуции.Копия письма со всеми заголовками и содержимым пересылается на адрес службы безопасности и переносится в папку нежелательной почты в почтовом ящике сотрудника.Фактически, благодаря плагину «Антифишинга» сами сотрудники могут генерировать внутренний социоинженерный поток данных (фид) Threat Intelligence, который службы безопасности могут использовать, чтобы быстро и вовремя останавливать активные цифровые атаки. Теперь служба безопасности сможет выявлять и анализировать возможные инциденты, а также реагировать на них ещё быстрее.Вот как это работает (см. рис. 10). Рисунок 10. Формирование социоинженерного фида Threat Intelligence благодаря коммуникации пользователей и экспертов SOC Внимательные и лояльные сотрудники выявили цифровую атаку.Статистика об этих безопасных и корректных действиях сохранилась в «Антифишинге».Исходные данные ушли на анализ в адрес корпоративного центра мониторинга и реагирования на инциденты (Security Operations Center, SOC).Аналитики смогли провести расследование и извлечь собственные индикаторы компрометации (IoC).SOC блокирует атаки по выявленным IoC на технических средствах защиты ещё до того, как информация об этих IoC станет доступна во внешних фидах.Группировка сотрудников по приоритетам и уровню рискаРазные категории сотрудников имеют различные приоритеты с точки зрения рисков и процессов безопасности. Не всегда эти приоритеты отражаются организационной структурой — часто сотрудники из разных подразделений и отделов должны быть сведены в единую параллельную структуру, которая имеет свой приоритет и позволяет вести процессы особенным способом.Для решения этой задачи и визуального представления разных категорий сотрудников в «Антифишинге» появилась возможность группировать сотрудников — объединять их без привязки к организационной структуре. Рисунок 11. Наглядное представление с цветовыми кодами групп по числу людей в группах Изначально все сотрудники помещаются в категорию «Сотрудники без группы».Администратор может самостоятельно создавать и настраивать новые группы (рис. 12). Рисунок 12. Создание новой группы риска Сотрудников, которые создают наибольший риск с точки зрения процессов безопасности, рекомендуется помещать в группу наиболее высокого приоритета.Группировка и последующие действия с сотрудниками разных групп могут быть автоматизированы встроенными средствами платформы, а также через API «Антифишинга».Имитированные атакиРеалистичные полноэкранные атакиНовый тип атак выглядит для сотрудника как реалистичная фишинговая страница, на которой даже знающие все правила безопасности люди всё равно могут ввести свой пароль. Рисунок 13. Адрес страницы и домен, значок https и все другие элементы выглядят для пользователя легитимно Механизм создания подобных атак на базе «Антифишинга» задействует Fullscreen API и работает во всех современных браузерах.Атаки создаются с учётом реального окружения пользователя у каждого заказчика — браузеры, операционная система и темы оформления подбираются на этапе согласования шаблона атаки.Шаблоны атак из электронной почтыДля тренировки сотрудников очень важно использовать максимально реалистичные имитированные атаки.Если в организации есть адрес электронной почты, на который уже поступают примеры атак от пользователей, можно подключить этот адрес к «Антифишингу» и загрузить письмо как шаблон имитированной атаки напрямую из электронной почты.Автоматизация через API «Антифишинга»: параметр externalKeyИдентификация сотрудников в «Антифишинге» всегда происходила по адресу электронной почты. В версии 2.4.3 был добавлен новый атрибут, который не видно из интерфейса, но можно использовать при работе с «Антифишингом» через API, как дополнительный параметр в связке с электронной почтой.Схема работы1. При создании и редактировании сотрудника можно будет задать externalKey — внешний (по отношению к «Антифишингу») ключ сотрудника.Запрос будет выглядеть так:curl --location --request POST 'https://antiphish/v2/targets' \--header 'Authorization: Bearer TOKEN' \--header 'Content-Type: application/json' \--data-raw '{   "fullName": "тtbdБВ&sЪs:m;0Х ьДRМPк#aЙuвЧЗIZ ?бДa^шрюu2ЖZMЮэ",   "position": "Менеджер ФhWбш8+рVВ+чёъЕ",   "email": "[email protected]",   "department": {       "id": 80,       "name": "Отдел К^К7~_RLЙЬЩBjhЦ"   },   "marks": [       "яМк",       "-гЛоx5SФB",       "жMишО",       "q"   ],   "externalKey": "006f1f83-b419-4252-8dba-6e7883035301"}'2. Используя externalKey, можно будет найти сотрудника в «Антифишинге» через запрос:/v2/targets/external/externalKeyили/v2/targets/external/?key=externalKey3. Получив объект сотрудника, можно уже оперировать с ним в соответствии с описанными сценариями, в том числе редактировать, удалять, менять адрес электронной почты.Авторизация администраторов через LDAPТеперь пароли для входа и парольная политика администраторов не только определяются локальными настройками «Антифишинга», но и управляются через единый корпоративный каталог LDAP.Для администраторов это упрощает вход в систему. Больше не нужно хранить и запоминать пароли от нескольких систем, можно всегда использовать корпоративную учётную запись. Данные для входа берутся из LDAP, поэтому парольные политики «Антифишинга» по умолчанию соответствуют всем корпоративным требованиям по безопасности.Если учётная запись пользователя в Active Directory, которая подключена к учётной записи администратора в «Антифишинге» с типом авторизации «LDAP», удаляется или блокируется в AD, то администратор больше не сможет заходить в систему.Анонимизация данныхЧтобы избежать ситуаций, когда администратор дискриминирует сотрудников по их показателям в системе, мы добавили в «Антифишинг» возможность анонимизации данных. Это — новый режим работы системы, в котором нельзя сопоставить персональные данные сотрудников с их рейтингом и статистикой по обучению.Анонимный режим позволяет выполнить ряд требований в соответствии с общим регламентом защиты персональных данных — GDPR, что особенно актуально при работе с сотрудниками — гражданами ЕС.ВыводыНовый выпуск платформы «Антифишинг» получил функциональность, которая значительно облегчает работу сотрудников подразделений ИБ и HR:позволяет в режиме реального времени отслеживать состояние защищённости организации от цифровых атак на сотрудников;интегрирует процессы обучения и тренировки сотрудников с процессами мониторинга и реагирования на инциденты, которые уже ведутся в организации с помощью IRP / SOC;выводит коммуникации ИБ-подразделения с остальными сотрудниками на новый уровень. Читать далее
    • Invillagola
      общежитие раменское
      Tegs: общежитие ржавки https://www.hotelhot.ru/

      хостелы в москве без посредников недорого срочно
      хостелы на невском проспекте
      хостелы санкт-петербург забронировать
    • sellAbery
×