Перейти к содержанию
Сергей Ильин

Антивирус Альтаир - очередной фейк или казахский антивирусный убийца?

Recommended Posts

Dmitriy K
1. Загуглите, если лень, вот вам официальный сайт софтины http://www.pc-st.com/us/index.htm

2. Тот же касперский детектит по хешам в базах + эвристика. Эмсисофт - только по ним, как и ClamAV. Вы походу не в курсях?) Где батники? не вижу.

Альтаир так же ищет по хешам, я сам пробовал в модифицирующихся приложениях которые обнаруживает Альтаир изменять байты, антивирус все равно детектит. Значит и другие способы скана имеются, по мимо сверки с Md5

1. Я спрашиваю ВАС, знаете ли ВЫ как работает это приложение? Я не спрашиваю, где его скачать.

2. По второму вашему ответу - :facepalm: - вместо тысячи слов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
1. Я спрашиваю ВАС, знаете ли ВЫ как работает это приложение? Я не спрашиваю, где его скачать.

2. По второму вашему ответу - :facepalm: - вместо тысячи слов.

Вы ппц трудный... Вот с сайта:

"PC Security Test is a free program for Windows that checks computer security against viruses, spyware and hackers. With a few mouse clicks, users can easily control the efficiency of their protection software (anti-virus programs, spyware scanners and firewalls).

PC Security Test simulates virus, spyware and hacking attacks and monitors the responses of your protection software. Don't worry, no real viruses are involved ! After the tests are complete, PC Securtiy computes a security index and provides tips on improving PC security."

первое: Секьюрити Тест проверяет, может ли антивирус обнаружить добавление в автозагрузку? - ответ ДА Альтаир обнаружил это, я нажал кнопку "Удалить из автозагрузки", потому что я не хочу чтобы какая то странная хрень загружалась автоматически с системой.

второе: проверяет, может ли антивирус обнаружить всем известный тестовый файл eicar? - ответ Да Альтаир эту вату тоже обнаружил

третье: проверяет, может ли антивирус обнаружить модифицированный троян, и сует в систем32 трояна с названием system32.exe - Ответ ДА это тоже обнаружил и удалил

четвертое: проверяет, может ли антивирус очистить вредоносное ПО из процессов, если оно уже запущено - этот тест тоже прошел.

Потом Секьюрити Тест ожидает несколько секунд, для того чтобы пользователь смог просканировать компьютер для антивирусов не имеющий защиту в реальном времени. И выдает результат.

Можно заметить, что Альтаир сработал в реал тайм. И все успешно заблокировал. По этому в его эффективности я еще раз убеждаюсь.

altair_mcafee.PNG

McAfee определенно что-то знает ... :unsure:

МакАфи частенько вордпрес блокирует

Результат вирустотал: 2 детекта из 39

Opa.png

post-19986-1371132181_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Вы ппц трудный... Вот с сайта:

"PC Security Test is a free program for Windows that checks computer security against viruses, spyware and hackers. With a few mouse clicks, users can easily control the efficiency of their protection software (anti-virus programs, spyware scanners and firewalls).

PC Security Test simulates virus, spyware and hacking attacks and monitors the responses of your protection software. Don't worry, no real viruses are involved ! After the tests are complete, PC Securtiy computes a security index and provides tips on improving PC security."

первое: Секьюрити Тест проверяет, может ли антивирус обнаружить добавление в автозагрузку? - ответ ДА Альтаир обнаружил это, я нажал кнопку "Удалить из автозагрузки", потому что я не хочу чтобы какая то странная хрень загружалась автоматически с системой.

второе: проверяет, может ли антивирус обнаружить всем известный тестовый файл eicar? - ответ Да Альтаир эту вату тоже обнаружил

третье: проверяет, может ли антивирус обнаружить модифицированный троян, и сует в систем32 трояна с названием system32.exe - Ответ ДА это тоже обнаружил и удалил

четвертое: проверяет, может ли антивирус очистить вредоносное ПО из процессов, если оно уже запущено - этот тест тоже прошел.

Потом Секьюрити Тест ожидает несколько секунд, для того чтобы пользователь смог просканировать компьютер для антивирусов не имеющий защиту в реальном времени. И выдает результат.

Можно заметить, что Альтаир сработал в реал тайм. И все успешно заблокировал. По этому в его эффективности я еще раз убеждаюсь.

МакАфи частенько вордпрес блокирует

Результат вирустотал: 2 детекта из 39

Opa.png

Хрень на постном масле, но вы продолжайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Хрень на постном масле, но вы продолжайте.

Вы только тролите) Безо всяких доводов))

Что хрень?Оо Вирустотал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
2. Тот же касперский детектит по хешам в базах + эвристика.

 А мужики-то и не знают ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Теперь знают. ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

Больше ненависти! Давайте что ли фактов вброшу немного...

Из 289мб инсталлируемого хлама 238мб занимают официальные майкросовтовские инсталляторы .net фреймворков. Зачем им сразу все версии (2.0, 3.0, 3.5, +сервиспаки) не понятно. Разве что для солидности.

"базы" - половина .adm файлов либо пустая, либо содержит преведы вида "211:little boy :]]]] I know about your little problem :D"

Остальные (16 файлов, разбитые по первому символу) содержат MD5'ки в текстовом(!) виде

Соответственно внутри 37 741 142 байта всего / 33 байта на хэш == 1 143 670 хэшей

Не густо, надо сказать. Четкие посоны лимон хэшей за квартал добавляют.

Начинаем вытягивать файлы по хэшам (я посмотрел штук 200), и таки да, это не фэйк, файлы таки существуют

Но есть одно большое НО - 95% это DOS'овые вирусы 90х годов!

Мало того, что это совершенно неактуальный мусор 15-ти летней давности, так еще и детектить вирусы по хэшам от всего файла абсолютно бессмысленно. Это файло представляет из себя 0-поколение вируса, т.е. дроппер/goat со всеми комментариями, как автор прикладывал образец к е-зинесу (а в 90х это было нормой), что с реальным заражением не имеет никакой корреляции.

Судя по всему аффтор(ы) просто обсчитали какую-то раритетную публичную помойку типа vx.netlux.org

На мой взгляд это не фэйк-ав, а чистой воды "цыгантивирус" (с) сами-знаете-кто

Отличный бизнес судя по всему. Такое поделие пишется за месяц парой пьяных студентов, а потом демпингуем, берем локальные тендеры, и на майами =)

Еще доставляет "иммунизация" флэшек по заветам Бабушкина (usb.bat):

attrib -s -h -r autorun.*del autorun.*mkdir %~d0AUTORUN.INFmkdir <\?%~d0AUTORUN.INF..>attrib +s +h %~d0AUTORUN.INF

Bye-bye годовой отчет с именем autorun.xls

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
man-bsa
Не только Куропаткин выходит на госзакупки. http://altair.winzard.kz/?page_id=54

Я и сам с Альтаиром на госзакупках. К тому же на моем компьютере он установлен, как на домашнем, так и на рабочем.

Я тоже его ставил почти год назад.

Интерфейс - явные проблемы с цветами и шрифтами, опять же что такое Patch? Неужели нельзя было нормальную морду ему сделать.

Студенты из политеха или энерго лучше бы справились не особо напрягаясь за какой-нибудь зачет.

По работе программы - вообще ерунда какая-то, что этот антивирус вообще делает?

Из реальных зловредов взятых из карантинов McAfee, Kaspersky и Dr.Web ничего не обнаружил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Некторый офф. Если посмотреть шире, то окажется, что существует целый класс программ, у которых реальный функционал может полностью отсутствовать, а реализованным быть лишь в виде описания к программе, картинок в меню и индикатора прогресса.

Пример - антивирус, шифровальщик данных, чистильщик реестра, ускоритель чего-нибудь, дефрагментатор, наверно еще можно чего много добавить.

Т.е. вместо реальных действий можно сделать оболочку, прорекламировать и продавать. Ну кто вот реально определит без помощи нормального дефрагментатора, что фэйковый, просто сначала показал ужасную раздробленную картину, а потом, в течение 5 минут нарисовал ровнехонький рисунок из кирпичиков. А юзер будет доволен.

Получаем некие плацебо программы (при условии что не вредят). Из аналогичных вещей вспоминаются аудиофильские сверхдорогие кабели из бескислородной меди с многокаратным золотом, не вредят конечно, но легко выкачивают приличные суммы из лопухов, которым просто нужны понты.

Мне кажется для этих программ надо новое определение уже вводить.

Вспомнилось - недавно был скандал с поисковиками мячей для гольфа, которые поставлялись как детекторы взрывчатых веществ http://www.webground.su/topic/2013/05/02/t322/ Похоже как раз на фэйк антивирус, так как при наступлении реальной проблемы она не будет обнаружена.

ничего не напоминает?

Устройства Маккормика ADE 651 (Advanced Detection Equipment), если бы работали, были бы настоящим спасением от террористов, наркоторговцев, контрабандистов и всех возможных преступников. На вид прибор выглядит предельно просто: металлическая палочка на шарнире прикреплена к пластиковой ручке и подсоединена с помощью провода к небольшой коробке, которая вешается на пояс. Судя по испытаниям, работа прибора напоминает поиск воды с помощью лозы. Антенна должна указывать в направлении, где находится спрятанный предмет.

Маккормик обещал, что ADE 651 поможет найти чуть ли не любое вещество: взрывчатку, оружие, наркотики, различные жидкости, слоновую кость, купюры разного достоинства и даже людей. Реклама сулила, что прибор способен находить предметы с высоты пяти километров над землей, на глубине одного километра под землей и на глубине 31 метра под водой.

При этом устройство не требовало подзарядки, так как работало якобы на «электростатической энергии человеческого тела». В коробочку, к которой подсоединялась ручка с антенной, предлагалось вставить карточки разного цвета. Каждый цвет соответствовал типу предмета, который требовалось найти: будь то наркотики, валюта или взрывчатка. Утверждалось, что на карточках записана специальная программа, однако в действительно это были просто разноцветные пластинки без намека на особые технологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Этой ночью мы с DrGolova шли по схожему пути, с разницей, что он опубликовал результаты исследований, а я лег спать :) Потому повторяться не буду, а напишу пару дополнений.

1. База антивируса наполнялась в том числе из популярных вирусных коллекций, которые раскиданы по всяким варезным и не только сайтам, где люди скачивают эту коллекцию непонятно чего и ругают друг друга и антивирусы, что они не обнаруживают зловреды... например: в сети очень популярна коллекция из 3732 вирусов. Коллекция вирусов для тестирования антивируса. Вирусная коллекция для теста. (жирный шрифт для поисковика). Данные коллекции представляют из себя мусор в виде хрен пойми чего и зловредов под операционную систему DOS.

2. Большинство детектов (ну, вдруг где-то есть еще детект по имени файла...) сделано именно по md5 хешу файла целиком - качаем коллекцию, меняем какой-либо байт у нескольких файлов - детект отваливается.

3. В данной коллекции есть интересный файлик под названием TMTMID.TXT - хотя правильнее его было назвать по смыслу - readme.txt. Обычный текстовый файлик, описание коллекции. Название детекта очень красивое - Malware.Unclassifed.EE2 (почему именно EE2? да потому что с этих символов начинается md5 данного файла). Там в архиве есть еще несколько файликов из класса "readme" и они тоже прекрасно выпиливаются данным чудо-антивирусом.

4. Даже некоторые крупные ав-конторы идут на поводу у хомячков и добавляют в вирусные базы эту коллекцию хлама...причем ладно бы если б она была добавлено в 90-лохматом году, так нет же - за последние пару лет видно, что количество детектов растет. А такие новые антивирусы, как Зилля, Нано, разумеется тоже не должны отставать от планеты всей и добавили в базу практически всю вирусную коллекцию.

PS: А из серьезных вендоров кто-нибудь добавил этот ридми в базу как вирус? :lol: Обидно, но нет и детекта на остальные ридми от аверов с ВТ также не наблюдается.

PS2: прикладываю архив с данным вирусом... без пароля :o

PS3:

5 чел. читают эту тему (гостей: 2, скрытых пользователей: 1)

Пользователей: 2 ak_, Зайцев Олег

Олег, давай с нами :)

TMTMID.zip

TMTMID.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Получаем некие плацебо программы (при условии что не вредят). Из аналогичных вещей вспоминаются аудиофильские сверхдорогие кабели из бескислородной меди с многокаратным золотом, не вредят конечно, но легко выкачивают приличные суммы из лопухов, которым просто нужны понты.

Мне кажется для этих программ надо новое определение уже вводить.

Предлагаю использовать термин "бумажный антивирус" по аналогии с "бумажной безопасностью". Формально такой антивирус, например, рассматриваемый Альтаир, на бумаге может подходить под условия тендера, может по формальным признакам считать антивирусом (качество в данном случае не рассматривается). Другой вопрос, что бумажный антивирус на практике будет бесполезный. Но кого это волнует в коррумпированной среде? Все получили откаты, контракты, на бумаге все чин чином. Защита закуплена, установлена, аудитору можно показать, если что :) В общем все довольны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Нет, мне кажется надо более хлесткое название, понятное всем, что-то вроде "распил (или роспил по навальному) антивирус" или "откат антивирус" чтобы по названию сразу было ясно что это. заголовок "В тендере участвует откат антивирус" вполне доносит смысл поделки. Это при условии продажи продукта, если не продают, то пусть делают что хотят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Ага, значит результаты по ВТ, вполне можно принимать за реальное положение дел, может кому то спасут кошелёк)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion

Так, давайте перейдем к делу) Видно, что на форуме залежались некоторые комментаторы которые без понятия политики антивирусных вендоров пишут всякую ересь и хаят современные разрекламированные программы. Причем большенство - тупые и бесполезные софтины. Я не говорю что Altair, который нам предлагают так называемая компания workscape супер продукт. Но есть в нем потенциал, именно для Казахстанского пользователя. Я объясню свою точку зрения.

Давайте посмотрим примеры с другими антивирусами.

Ответьте мне на вопросы, или скажите где я не прав:

1. Откуда другие вендоры пополняют вирусную базу и почему она такая огромная а не лям с лишним, как в Альтаире?

- Мой ответ, от пользователей у которых установлены эти антивирусы. Каждое антивирусное решение должно не только защищать от известных злостных программ, но и от модифицированных. А так же обязаны принимать файлы для анализа, или отчеты с каждого компьютера своих пользователей в автоматическом режиме. И чем больше пользователей у антивируса, тем быстрее база накапливается.

На примере нода32 могу сказать, что база которая была выпущена неделю назад, а лицензия закончилась, уже будет не актуальной, так как модифицированный зловред будет обнаружен позже, но вы этого не увидите. Здесь я приводил уже этот пример http://vermillion.yvision.kz/post/312066

Все вендоры нам громко твердят обновляйте эту чертову базу, покупайте нашу лицензию! Потому, что если вы один из сотни пользователей которому попал новый зловред, он обязательно заразит вашу систему до не узнаваемости, и ценой вашей ОС обновятся другие пользователи в течении n`ного времени. Если вам повезет, то вирус тоже будет удален, если нет, восстанавливайте систему ручками.

Сидят аналитики, и смотрят в мониторы, пытаются обнаружить новую заразу на компьютерах своих клиентах. Опа! Обнаружен зловред, считываем его Md5 или другой тип суммы, ищем его уникальность и кидаем к себе в накопительный лист. Лист накопился, отлично обновляем наших пользователей. Правильно Касперский называет своих аналитиков - дятлами) Сидят и только успевают хеши кидать, ведь пользователей то в каждом континенте сотни тысяч.

Я не говорю, что не имеются гибридный способ сканирования, у Каспера он очень даже good. Но в Альтаире есть такая штука как Зонд, как песочница и блокировщик подозрительных приложений, правда его еще допиливать и допиливать, но идея хороша, чем то смахивает на Авастовский сандбокс.

2. Представьте на Ваш компьютер, на которым находится интересная для хакера информацию попал вирус. Он сможет утащить важную инфу, с условием того, что установлен известный антивирус с последними базами?

- 100%, да. И не только утащить важное, но и убить вашу систему, так что вы запаритесь восстанавливать информацию. И это будет не руткит, так, как руткиты больше палятся антивирами, чем безобидное на первый взгляд ПО, в некоторых случаях даже без прав администратора можно хорошую кашу заварить.

1. Альтаир собирает базу только из пользователей, на которых установлен сей антивирус, ну может быть еще какие то дополнительные источники, типа 3732 супер вируса. По этому база еще мала. Учитывая всего год работы, а с официальной версией - пол года (!). Это совсем не значит, что пользователи не защищены. Даже на оборот, аналитикам быстрее добавлять сигнатуры и анализировать новые вирусы, когда меньше пользователей. И детектить можно по одному источнику то бишь рабочей станции, а не ждать пока вирус распространится на сотню юзеров, а потом рисовать красивые графики географического распространения на своем сайте.

2. По мимо хэшей, имеется детект модифицирующихся программ + песочница. Которые уменьшат риск появления нового вируса.

3. Был случай, когда нод удалил трояна по этому пути: HKLM\Software\Microsoft\...\Winlogon\userinit, а в реестре, естественно ничего не исправил. Для пользователя, который понятия не имеет что такое загрузочный диск это оказалось критичным. Стоял бы Альтаир, вирус был бы обнаружен, а ветка реестра поставлена на свое законное место, будь то C:\Windows\system32\userinit.exe.

4. Про автозагрузку походу антивирусы вообще забыли. Мне лично неприятно, когда в нее лезет не понять что. Тот же GuardMail или GeolocationProvider (как то так). С помощью Альтаира это легко забанить.

ИМХО каждый антивирус должен не только успевать дятловским способом добавлять в базу хэши, но и иметь в себе альтернативные способы для обнаружения несанкционированного доступа к компьютеру из вне. Этим обладает один из моих любимых АВ - Outpost Security.

Альтаир не фейк антивирус и не бумажный, это антивирус который не отличается ничем от современных, но пока еще работает с малым количеством своих пользователей. И те функции, которые сейчас выполняются в этом антивирусе, наиболее приближены к реальной безопасности системы, а не тупое колотилово мд5 как в Австрийских пацанах. Есть еще куча недочетов и не совсем корректных выполнений своих функций для современной защиты. Но судя по http://altair.winzard.kz/?cat=4 с такими темпами скоро они все будут исправлены.

З.Ы.

А вообще каждый антивирус до сих пор имеет ряд своих минусов. Но врятли они буду писать на своих сайтах, как хренова работает в таком то месте их код, или грамотно ли устроены такой то функциональный процесс. Они просто запилят новую версию.

Если рассматривать какой нибудь другой антивирус и заранее ожидать от него фигню. То ее только и обнаружишь, а про логику вообще можно забыть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Итак все понятно "антивирус" Альтаир пустышка. Я вообще не пойму зачем на него еще тратить нужно свое время?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Откуда другие вендоры пополняют вирусную базу и почему она такая огромная а не лям с лишним, как в Альтаире?

- Мой ответ, от пользователей у которых установлены эти антивирусы. ... И чем больше пользователей у антивируса, тем быстрее база накапливается. ...На примере нода32 могу сказать, что база которая была выпущена неделю назад, а лицензия закончилась, уже будет не актуальной

1. основной путь набора вирусных баз это отнюдь не файлы, которые сабмитятся от пользователей через KSN/LiveGrid и т.д

2. Так можно про _любой_ антивирус сказать - база недельной давности у _любого_ антивируса является неактуальной

3. независимо от количества файлов в базе (все с чего-то начинали) детектить их нужно не по md5-хэшу

Представьте на Ваш компьютер, на которым находится интересная для хакера информацию попал вирус. Он сможет утащить важную инфу, с условием того, что установлен известный антивирус с последними базами?

- 100%, да.

Или вы таким образом таргетированную атаку назвали? Или мы про Zbot говорим? Допустим он не палится базама N-ного антивируса на сегодняшний день и попал через уязвимый плагин на комп юзеру... вот только у нормального антивируса есть и эмулятор, и защита от эксплоитов, и фаервол, и поведенческий блокиратор (во время инжекта спалит) и защита персональных данных - попробует спереть пароли от фтп, а фиг ему... чуете к чему? к тому, что _нормальный_ АВ комплекс имеет кучу возможностей заблочить зловреда даже без помощи баз.

Альтаир собирает базу только из пользователей, на которых установлен сей антивирус, ну может быть еще какие то дополнительные источники, типа 3732 супер вируса. По этому база еще мала. Учитывая всего год работы, а с официальной версией - пол года (!). Это совсем не значит, что пользователи не защищены.

1. А зачем файлы ридми было детектить?

2. Это совсем не значит, что пользователи не защищены?! А как проверить защиту? От какой угрозы они защищены? Скажите простую вещь - где найти в интернете реальную малварь, которую бы обнаружил альтаир? (аналогичные коллекции зловредов конца 70-х не предлагать скачивать).

а ветка реестра поставлена на свое законное место, будь то C:\Windows\system32\userinit.exe.

там другое значение должно быть

Про автозагрузку походу антивирусы вообще забыли. Мне лично неприятно, когда в нее лезет не понять что. Тот же GuardMail или GeolocationProvider (как то так). С помощью Альтаира это легко забанить.

любой нормальный АВ-комплекс знает куда больше мест автозагрузки (и других критичных мест системы, которые сложно классифицировать, например, Shell) и контролирует туда запись. и это даже можно настраивать...

Этим обладает один из моих любимых АВ - Outpost Security.

Зачет. Возражать не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion

Если точнее быть 2106674, точное количество сигнатур в базах Altair. Пришлось на делфи написать небольшую софтину для подсчета)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

а дубликаты есть? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
1. основной путь набора вирусных баз это отнюдь не файлы, которые сабмитятся от пользователей через KSN/LiveGrid и т.д

2. Так можно про _любой_ антивирус сказать - база недельной давности у _любого_ антивируса является неактуальной

3. независимо от количества файлов в базе (все с чего-то начинали) детектить их нужно не по md5-хэшу

1. файлы и отчеты, еще облако

2. значит все таки файлы и отчеты)) ну еще на форумах время от времени помогают

3. все детектят именно по хэшу, не обязательно по md5 + дополнительные плюшки

Или вы таким образом таргетированную атаку назвали? Или мы про Zbot говорим? Допустим он не палится базама N-ного антивируса на сегодняшний день и попал через уязвимый плагин на комп юзеру... вот только у нормального антивируса есть и эмулятор, и защита от эксплоитов, и фаервол, и поведенческий блокиратор (во время инжекта спалит) и защита персональных данных - попробует спереть пароли от фтп, а фиг ему... чуете к чему? к тому, что _нормальный_ АВ комплекс имеет кучу возможностей заблочить зловреда даже без помощи баз.

Как и Альтаир имеет дополнительные возможности для блокировки, но обмануть ппц легко любой антивирус. Сам писал вирус который очень долго сидел на компьютере с каспером и ждал своего часа. К счастью с этим человеком мы помирились, но троян до сих пор сидит не спаленный, причем самое обычное приложение, которое разнесет пользовательский пк.

1. А зачем файлы ридми было детектить?

2. Это совсем не значит, что пользователи не защищены?! А как проверить защиту? От какой угрозы они защищены? Скажите простую вещь - где найти в интернете реальную малварь, которую бы обнаружил альтаир? (аналогичные коллекции зловредов конца 70-х не предлагать скачивать).

1. Хз, как я и говорил, у всех есть касяки)

2. Точнее середины 90х) Вопрос в том, какая из этих малварей будет находится на юзеровском компе до тех пор пока не обновится база.

там другое значение должно быть

1. Какое? Просто userinit?))

любой нормальный АВ-комплекс знает куда больше мест автозагрузки (и других критичных мест системы, которые сложно классифицировать, например, Shell) и контролирует туда запись. и это даже можно настраивать...

Не любой. Альтаир так же контролирует не только общий и пользовательский Run.

а дубликаты есть? :)

Неа, тоже проверено )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
1. файлы и отчеты, еще облако

2. значит все таки файлы и отчеты)) ну еще на форумах время от времени помогают

3. все детектят именно по хэшу, не обязательно по md5 + дополнительные плюшки

1. ага, про пауки, хонепоты не слышали?

3. разницы между хэшем и мд5 хешем не ощущаем?

1. Хз, как я и говорил, у всех есть касяки)

2. Точнее середины 90х) Вопрос в том, какая из этих малварей будет находится на юзеровском компе до тех пор пока не обновится база.

1. это не косяк - это и есть технология антивируса.

2. Что? Я ничего не понял.

Что умеет данный антивирус? Все, что есть в его базах - это хлам 20-летней давности, добавленный по md5, чтобы тупые юзеры, желающие проверить крутость антивируса видели, что он удаляет все файлы в папке (даже все ридми...)

Какое? Просто userinit?))

запятая на конце там должна быть <_<

Не любой. Альтаир так же контролирует не только общий и пользовательский Run.

Не любой? :) Что же не детектируют Касперский и Аутпост?

PS: вы либо тролль (автор сего чуда), либо реально не понимаете, что ТАКОЕ продавать нельзя - оно ни от чего не защищает - оно никакие вирусы не ловит и не лечит - максимум может удалить архив с коллекцией вирусов под DOS и мониторить пару ключиков реестра (даже если 10).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
1. ага, про пауки, хонепоты не слышали?

3. разницы между хэшем и мд5 хешем не ощущаем?

1. Ловушки и IDS практически та же система, что и песочница. Я говорил про выделенку типа облака.

2. А кроме МД5 больше сумм не знаем?

1. это не косяк - это и есть технология антивируса.

2. Что? Я ничего не понял.

Что умеет данный антивирус? Все, что есть в его базах - это хлам 20-летней давности, добавленный по md5, чтобы тупые юзеры, желающие проверить крутость антивируса видели, что он удаляет все файлы в папке (даже все ридми...)

1. это косяк, как и тот косяк когда симантик детектил половина установочных файлов с одной из программ для создания инсталляторов. Или нод32 - 3 обчищал время от времени буффер обмена.

2. Этот антивирус умеет поддерживать базу в актуальном состоянии для пользователей у которых установлен этот антивирус. Смотреть здесь http://altair.winzard.kz/?page_id=32

запятая на конце там должна быть

Ну не придирайся хД еще .exe должно быть)

Не любой? Что же не детектируют Касперский и Аутпост?

Аутпост не трогать! Это другая тема) Кроме каспера и аутпоста по моему еще более сотни антивирусов, м?) Не все правильнее сказать.

PS: вы либо тролль (автор сего чуда), либо реально не понимаете, что ТАКОЕ продавать нельзя - оно ни от чего не защищает - оно никакие вирусы не ловит и не лечит - максимум может удалить архив с коллекцией вирусов под DOS и мониторить пару ключиков реестра (даже если 10).

1. Я не автор этого чуда, но авторам респект! Такое продавать нужно и развивать тоже нужно. Лично я уже около 50 коробок продал, и хоть бы один человек пожаловался. Как я уже говорил, у меня он так же установлен. А полюбил я этот АВ после хорошей блокировки Винлокеров.

P.S. вы скорее всего супер-агент Касперского) У него есть такие люди.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
2. А кроме МД5 больше сумм не знаем?

Разве Альтаир какие-то еще хэши юзает? есть свои разработки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Разве Альтаир какие-то еще хэши юзает? есть свои разработки?

Я выше писал уже. Обычно когда Альтаир перемещает файл в карантин и детектит его как модифицированное ПО. Значит он его обнаружил не по хэшу. Я пробовал вытаскивать его из карантина и менять байты и имя файла. Альтаир все равно его детектил.

Про многие косяки ребят из workscape над антивирусом Altair я писал им по электронке. Большинство они исправляли с новыми модулями. И кстати адекватные люди, если бы делали фейк, послали бы меня сразу, или игнорили. Но сразу видно, что есть амбиции развивать свой продукт.

кстати про ошибку с виндовс сервер на их сайте, Я спалил))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

ближе к теме: какие вредоносы он может обнаружить? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
ближе к теме: какие вредоносы он может обнаружить?

Взято с сайта разработчика:

"ALTAIR блокирует появление баннеров рабочего стола, троянских

программ, руткитов, программ шпионов, бэкдоров, ботнетов

и др. С высокой точностью определяет вредоносный код.

Если вирус не известен, система ZOND© делает его

«обездвиженным» до следующего обновления сигнатур. Имеется возможность установки программы прямо на зараженный компьютер, с последующей очисткой."

Вопрос в том как именно кроме МД5 он обнаруживает вредоносы? Если смотреть краткую схему работы Зонд. То доходишь до "Приложение относится к опасным?", а вот каким образом Зонд определяет опасность приложения, этого мне не знать) Про модифицированные файлы тоже хз. Но факт в том что обнаруживает их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×