Перейти к содержанию
priv8v

Александр Матросов или "такие товарищи нам совсем не товарищи"

Recommended Posts

priv8v

Хотелось бы обсудить с общественностью текущую деятельность Александра Матросова - вирусного (не поворачивается язык сказать "антивирусного") аналитика компании ESET.

Думаю, что особо пояснять и комментировать его деятельность не нужно, сами можете видеть, что им генерируется значительная доля информации в нашем антивирусном пространстве.

Вообще, принято обсуждать его компетенцию в этой области, но дело это не благородное, потому постараюсь от этого воздержаться.

Исходным толчком к созданию этой темы послужили его многочисленные обзоры трояна Gapz, в которых он подробно и со вкусом описывает его технологии. Свое поведение Матросов объясняет так:

"Находя интересный новый трюк или способ обхода средств защиты я не вижу смысла его скрывать"

(это он ответил на сообщение типа "а не офигел ли он помогать зловредописателям, публикуя такие подробности").

Не могу удержаться и не поиронизировать над тем, что для него это был _новый_ трюк обхода... но речь не об этом. Дело в том, что своими публикациями он наносит вред не только пользователям других антивирусов, но и пользователям nod32. Он раскрывает такие технические подробности, что по ним потом можно исходный код писать с закрытыми глазами (что и было сделано - код был опубликован на гитхабе).

Считаю, что такое явление как он - это позор для нашего фронта (фронта борцов с малварью).

Ситуация такая: Матросов находить зловред с новой технологией, изучает его и трубит со всеми подробностями через СМИ. В данной ситуации хочется благодарно и с уважением взглянуть в сторону других АВ-компаний, которые упомянули данного трояна лишь вскользь без подробностей, только намекнув на некие новые технологии.

http://habrahabr.ru/company/eset/blog/171929/ - тут в первых комментариях директор Центра вирусных исследований и аналитики компании ESET Александр Матросов снизошел до того чтобы мне ответить...

PS: данный пост никем не проплачен. если кто желает проплатить - я не против :lol:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mr.triggers

Данный инжект продавался на закрытых форумах как "обход HIPS".

Купить его код и встроить себе мог почти любой желающий, у кого были деньги.

Теперь же обход в паблике и лежит на github'е, а ваше негодование настораживает: Неужели вы были в доле?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot

Security by obscurity или спрятать под ковер ;) неработает оно никогда и нигде

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Лично я тут скорее воздержусь и от защиты и от обличения.

Если публикуемая кем угодно информация - помогает нам улучшать наши продукты, то я только за.

А проблемы клиентов ESET из-за отсутствия у ESET способов борьбы с описываемыми ими методами - это в первую очередь проблемы самого ESET.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Security by obscurity или спрятать под ковер ;) не работает оно никогда и нигде

Только "Security by obscurity" тут не к месту.

Если публикуемая кем угодно информация - помогает нам улучшать наши продукты, то я только за.

Так не помогает :) Лично я заметил лишь увеличение семейств малвары (уже семейств так 7-8, хотя до публикации есетом было 4, из которых два - один и тот же код на базе power loader - они продали его разработчикам буктита CPD) с таким инжектом (не один в один, но передача управления через ту же апи).

Нам то все-равно, мы детектим такое поведение, а вот остальные...

Находя интересный новый трюк или способ обхода средств защиты я не вижу смысла его скрывать, чем больше о нем будет известно, тем в более выгодной позиции находятся все разработчики защитного ПО

Жаль не пояснил, в какой такой выгодной позиции находятся разработчики и какие именно :)

З.Ы. Все эти статьи от есет публикуются с целью одной лишь рекламы себя, а не как Матросов пытается всех убедить "Security by obscurity", "в более выгодной позиции находятся все разработчики защитного ПО".

З.Ы. Пусть выбрали такой путь - пжлста, но если бы они своих же пользователей защищали от публикуемого ими инжекта, могли детектировать и лечить те буктиты, о которых они уже где только можно написали... Так они этого не делают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

VFaR, толсто троллите

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Тут сложная ситуация. С одной стороны, Матросов рассказывает о методах обхода защиты, что должно стимулировать сознательных вендоров совершенствовать защиту. Если они конечно его читают (А читают ли?). С другой стороны, это подстава юзеров со слабой защитой.

ИМХО, Александр просто слишком увлекся самопиаром и в погоне за славой уже забывает тщательно взвесить все за и против.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

По мне так стыдно давать ресеч, если свой же продукт не защищает от угрозы и не будет защищать. У Есета нет ни детекта ни лечения активного заражения. Скорее всего и "эвристически", проактивно, продукт ничего не ловит. (имею ввиду инжект).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexis
По мне так стыдно давать ресеч, если свой же продукт не защищает от угрозы и не будет защищать. У Есета нет ни детекта ни лечения активного заражения. Скорее всего и "эвристически", проактивно, продукт ничего не ловит. (имею ввиду инжект).

Ну наконец-то прямой честный вердикт о продуктах Eset.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • FrankDyclE
      Карниз для мебели является важным элементом, который выделяет стиль и придает интерьеру уникальность и изысканность. Эти детали создают ощущение гармонии и элегантности в каждом уголке вашего дома. Плинтус для мебели идеально создан для завершения дизайна интерьера, внося особую черту шика и современности. Этот элемент способен сделать вашу мебель настоящим центром внимания.

      Использование карниза для мебели позволяет обогатить интерьеру роскошь и индивидуальность. Эти детали помогают созданию гармонии и подчеркивают ваш выразительный вкус. Карниз для отделки — это оптимальный выбор для тех, кому важны красота и качество. Эти элементы создают в интерьер изящество и античную элегантность, выделяя ваш индивидуальный стиль.

      Плинтус для мебели обогатит интерьер, внеся изысканность и стиль. Эти декоративные элементы объединяют современные тенденции с утонченными акцентами, создавая идеальную атмосферу. Выбирая карниз для мебели, вы добавляете интерьеру глубину и индивидуальность. Эти детали подчеркнут стиль в каждом уголке вашего дома, сочетая традиции и новые тенденции.

      карнизы мдф купить
      карниз
      плинтус мдф дуб
      карниз для мебели мдф
      галтели на потолок
      плинтус напольный мдф купить
      фото деревянных карнизов
      плинтус галтель
      резной деревянный карниз
      плинтус мдф 80
      карниз мебельный мдф
      карниз из дерева
      карнизы деревянные двухрядные настенные
      мдф плинтус для пола
      плинтус мдф белый мм
    • PR55.RP55
      Как бы это выявлять и исправлять в uVS ? https://forum.kasperskyclub.ru/topic/464495-pojmal-virusa-pereimenovalis-sluzhby/
    • Ego Dekker
      Домашние антивирусы для macOS были обновлены до версии 7.5.74. Добавлена поддержка macOS Sequoia (версия 15).
    • PR55.RP55
      Можно сделать так чтобы объект в списке отображался не под своим именем, а под именем критерия. ( или по результату проверки на V.T ) - ( по настройке в settings.ini ) Для чего? Например в списке есть: oikgcnjambfooaigmdljblbaeelmeke odbmjgikedenicicookngdckhkjbebpd Но объект  может отображаться внятно: oikgcnjambfooaigmdljblbaeelmeke = T-Сashback1 — кэшбэк-сервис odbmjgikedenicicookngdckhkjbebpd = T-Сashback2 — кэшбэк-сервис  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.8.
×