Перейти к содержанию
priv8v

Александр Матросов или "такие товарищи нам совсем не товарищи"

Recommended Posts

priv8v

Хотелось бы обсудить с общественностью текущую деятельность Александра Матросова - вирусного (не поворачивается язык сказать "антивирусного") аналитика компании ESET.

Думаю, что особо пояснять и комментировать его деятельность не нужно, сами можете видеть, что им генерируется значительная доля информации в нашем антивирусном пространстве.

Вообще, принято обсуждать его компетенцию в этой области, но дело это не благородное, потому постараюсь от этого воздержаться.

Исходным толчком к созданию этой темы послужили его многочисленные обзоры трояна Gapz, в которых он подробно и со вкусом описывает его технологии. Свое поведение Матросов объясняет так:

"Находя интересный новый трюк или способ обхода средств защиты я не вижу смысла его скрывать"

(это он ответил на сообщение типа "а не офигел ли он помогать зловредописателям, публикуя такие подробности").

Не могу удержаться и не поиронизировать над тем, что для него это был _новый_ трюк обхода... но речь не об этом. Дело в том, что своими публикациями он наносит вред не только пользователям других антивирусов, но и пользователям nod32. Он раскрывает такие технические подробности, что по ним потом можно исходный код писать с закрытыми глазами (что и было сделано - код был опубликован на гитхабе).

Считаю, что такое явление как он - это позор для нашего фронта (фронта борцов с малварью).

Ситуация такая: Матросов находить зловред с новой технологией, изучает его и трубит со всеми подробностями через СМИ. В данной ситуации хочется благодарно и с уважением взглянуть в сторону других АВ-компаний, которые упомянули данного трояна лишь вскользь без подробностей, только намекнув на некие новые технологии.

http://habrahabr.ru/company/eset/blog/171929/ - тут в первых комментариях директор Центра вирусных исследований и аналитики компании ESET Александр Матросов снизошел до того чтобы мне ответить...

PS: данный пост никем не проплачен. если кто желает проплатить - я не против :lol:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mr.triggers

Данный инжект продавался на закрытых форумах как "обход HIPS".

Купить его код и встроить себе мог почти любой желающий, у кого были деньги.

Теперь же обход в паблике и лежит на github'е, а ваше негодование настораживает: Неужели вы были в доле?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot

Security by obscurity или спрятать под ковер ;) неработает оно никогда и нигде

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Лично я тут скорее воздержусь и от защиты и от обличения.

Если публикуемая кем угодно информация - помогает нам улучшать наши продукты, то я только за.

А проблемы клиентов ESET из-за отсутствия у ESET способов борьбы с описываемыми ими методами - это в первую очередь проблемы самого ESET.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Security by obscurity или спрятать под ковер ;) не работает оно никогда и нигде

Только "Security by obscurity" тут не к месту.

Если публикуемая кем угодно информация - помогает нам улучшать наши продукты, то я только за.

Так не помогает :) Лично я заметил лишь увеличение семейств малвары (уже семейств так 7-8, хотя до публикации есетом было 4, из которых два - один и тот же код на базе power loader - они продали его разработчикам буктита CPD) с таким инжектом (не один в один, но передача управления через ту же апи).

Нам то все-равно, мы детектим такое поведение, а вот остальные...

Находя интересный новый трюк или способ обхода средств защиты я не вижу смысла его скрывать, чем больше о нем будет известно, тем в более выгодной позиции находятся все разработчики защитного ПО

Жаль не пояснил, в какой такой выгодной позиции находятся разработчики и какие именно :)

З.Ы. Все эти статьи от есет публикуются с целью одной лишь рекламы себя, а не как Матросов пытается всех убедить "Security by obscurity", "в более выгодной позиции находятся все разработчики защитного ПО".

З.Ы. Пусть выбрали такой путь - пжлста, но если бы они своих же пользователей защищали от публикуемого ими инжекта, могли детектировать и лечить те буктиты, о которых они уже где только можно написали... Так они этого не делают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

VFaR, толсто троллите

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Тут сложная ситуация. С одной стороны, Матросов рассказывает о методах обхода защиты, что должно стимулировать сознательных вендоров совершенствовать защиту. Если они конечно его читают (А читают ли?). С другой стороны, это подстава юзеров со слабой защитой.

ИМХО, Александр просто слишком увлекся самопиаром и в погоне за славой уже забывает тщательно взвесить все за и против.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

По мне так стыдно давать ресеч, если свой же продукт не защищает от угрозы и не будет защищать. У Есета нет ни детекта ни лечения активного заражения. Скорее всего и "эвристически", проактивно, продукт ничего не ловит. (имею ввиду инжект).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexis
По мне так стыдно давать ресеч, если свой же продукт не защищает от угрозы и не будет защищать. У Есета нет ни детекта ни лечения активного заражения. Скорее всего и "эвристически", проактивно, продукт ничего не ловит. (имею ввиду инжект).

Ну наконец-то прямой честный вердикт о продуктах Eset.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
    • fafa
      Но именно от плохих водителей оно именно защитит. По крайней мере если водитель будет ехать и не пропускать ни одной ямы, то ни какая ходовая не выдержит. Так, что давайте просто лучше водить, и тогда пленка не надо.
×