Перейти к содержанию
Сергей Ильин

Антивирус Альтаир - очередной фейк или казахский антивирусный убийца?

Recommended Posts

priv8v

вопрос в том откуда мне надо взять зловред, который задетектит альтаир? качать с порносайтов, заражаться через drive-bу атаки, запускать вложения... как понять, что он работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
вопрос в том откуда мне надо взять зловред, который задетектит альтаир? качать с порносайтов, заражаться через drive-bу атаки, запускать вложения... как понять, что он работает?

Эм, не знаю) Попробуй флешку повтыкать в разные компьютеры, если у тебя к таковым доступ имеется, где нибудь на работе или у знакомых. У меня так обнаруживал вредоносов. А до этого была какая то хрень с оперой, постоянно винлокеры лезли, тоже блокировал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
как понять, что он работает?

Так разрабы и предлогали Ильину в личке, протестировать по актуальным вредоносам! В чем тогда проблема? Вот и поставим точку в споре, узнаем ху из ху... B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

У меня сейчас очень мало малвари, т.к отошел немного от дел...свежей малвари за последний месяц может только пару

гигов наберется, на следующей неделе буду географически недалеко от коллекции и ...

а можно интереснее еще сделать - взять и начать по очереди запускать винлоки.. у меня под рукой было пара штук... как-то не заметили винлоки альтаира и заблочили винду... ((

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
У меня сейчас очень мало малвари, т.к отошел немного от дел...свежей малвари за последний месяц может только пару

гигов наберется, на следующей неделе буду географически недалеко от коллекции и ...

а можно интереснее еще сделать - взять и начать по очереди запускать винлоки.. у меня под рукой было пара штук... как-то не заметили винлоки альтаира и заблочили винду... ((

Скинь проверю, и сразу на анализ отправлю, если правда не заметил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Так, давайте перейдем к делу) Видно, что на форуме залежались некоторые комментаторы которые без понятия политики антивирусных вендоров

Ну да. Вы не видите в этой теме партизан :) ...точнее представителей известных антивирусных компаний? А они есть... :) Я серьезно. В работе нашего форума принимают участие представители раличных антивирусных вендоров, включая "дятлов" и тех, кто определяет эту политику. В этой дискуссии представители известных антивирусных компаний тоже принимают, в той или иной степени, участие. Им ли не знать как это все работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Сам писал вирус который очень долго сидел на компьютере с каспером и ждал своего часа. К счастью

Здесь я приводил уже этот пример

Из описания на MS:

Virus:Win32/Ramnit!remnants is a detection for remnants within files that are improperly infected by Virus:Win32/Ramnit.

Because of the buggy nature of the infection, the remnant code does not load when the executable is run. The host file may or may not execute when run.

Рамнита, говоришь поймал? Кстати, в состав этой

тут идёт непереводимый фольклор

программы входит интересная библиотека CureitLib.dll как раз для лечения рамнита: и html, и htm, и dll, и exe лечим. Вообще всё лечим и про маску для зараженных файлов (BW ~ mgr.exe) тоже не забываем.

И еще немного эпичного бреда: нам так сложно сделать не кейс-инсенситив определение расширений файлов, что мы хреначим .exe и .EXE как два разных формата. Тоже самое и для остальных :facepalm: Захардкодим имена баз (списков MD5)? Да без проблем! Хардкодим в ServiceAIS.exe

с этим человеком мы помирились, но троян до сих пор сидит не спаленный, причем самое обычное приложение, которое разнесет пользовательский пк.
Это хорошо, что вы с ним помирились, а то когда будет "разносить пользовательский пк" столько шрапнели может быть. Не надо так.
Лично я уже около 50 коробок продал, и хоть бы один человек пожаловался. Как я уже говорил, у меня он так же установлен.
Пруфы, пуфы, пруфы!!!11

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Ну да. Вы не видите в этой теме партизан ...точнее представителей известных антивирусных компаний? А они есть... Я серьезно. В работе нашего форума принимают участие представители раличных антивирусных вендоров, включая "дятлов" и тех, кто определяет эту политику. В этой дискуссии представители известных антивирусных компаний тоже принимают, в той или иной степени, участие. Им ли не знать как это все работает.

Потому и говорю, что некоторые. А партизанам будет легче все отрицать, кому хочется чтобы была открыта тайна наикрутейших антивирусных софтин?)

--

Dmitriy K - я вас вообще не понял)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Vermillion, а о каких тайных антивирусных программ вы говорите? Все уже перетерто до мелочей, все все знают.

Вы всерьез считаете, что Антивирус Альтаир лучше таких программ как Norton, Kaspersky, Bitdefender, Avast, Eset и т.д.? Давайте даже не будем брать в расчет забавные технические детали работа Альтаира. Интересно лично ваша персональная оценка. Если Альтаир лучше, то почему? Мне действительно очень интересно это услышать от человека, который его продает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Vermillion, а о каких тайных антивирусных программ вы говорите? Все уже перетерто до мелочей, все все знают.

Вы всерьез считаете, что Антивирус Альтаир лучше таких программ как Norton, Kaspersky, Bitdefender, Avast, Eset и т.д.? Давайте даже не будем брать в расчет забавные технические детали работа Альтаира. Интересно лично ваша персональная оценка. Если Альтаир лучше, то почему? Мне действительно очень интересно это услышать от человека, который его продает.

Так ведь этот шутник уже написал:

Плюсы и минусы Altair`а

Плюсы:

Сканирует файлы в реальном времени - проверено

Знает о старых вирусах, с условием того что антивирус новый

Отправляет файлы на анализ только если пользователь разрешит это действие

С помощью "Зонд" модуля можно обнаружить новые небезопасные программы и вовремя заблокировать их

Информирует, когда программы добавляют себя в автозагрузку

Следит за изменениями в реестре

Создает вакцину на флешках (правда все тем же классическим батником)

Не жрет ресурсы компьютера

Имеет гаджет рабочего стола и виртуальную клавиатуру (аля Каспер, или у симантика вроде тоже есть подобное?)

По словам разработчиков - во время обновления трафик мегалайн не учитывается (хостинг в Казактелекоме или подписан какой то договор?)

Отправляет модифицированные файлы в карантин, где можно восстановить или удалить их

Низкая стоимость по сравнению с зарубежными торговыми марками

Минусы:

Фаервол практически не документирован, зато сетевой монитор более чем интуитивно понятен

Родительский контроль работает с помощью редактирования и перекрытия доступа к файлу hosts

Если отсутствует доступ в интернет, выполняются какие то странные щелчки, как будто в папку переходишь. Нужно ставить галочку на "работать автономно" в обновлениях, тогда щелчки пропадают

Работает на высоком уровне, хотя если хорошо ладит с API, думаю это не страшно

Заключение

В общем не жалею, что купил Altair. Модули обновились уже дважды после установки, сигнатуры раз 5-7, а это значит - продукт развивается. Не думал, что когда нибудь в Казахстане будет свой антивирус. Если компьютер все таки заразится, буду сразу постить)). У каждого антивируса есть свои минусы и плюсы, по моему мнению Altair не должен уступать другим брендам и развиваться в дальнейшем.

P.S. Я работаю в сфере продаж компьютерных комплектующих и софта, сейчас по планам подавать заявку на партнерство. С такими ценами без проблем будет расходиться в народ, а уж на тендерах тем более.

P.P.S. Мля, пока писал, антивирус словил еще одного винлокера, теперь полезу менять дырявый браузер))

http://yvision.kz/post/301667

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
:facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
о каких тайных антивирусных программ вы говорите?

Я говорю что кроме самих разработчиков, мало кто знает каким образом выполняются те или иные функции.

Вы всерьез считаете, что Антивирус Альтаир лучше таких программ как Norton, Kaspersky, Bitdefender, Avast, Eset и т.д.? Давайте даже не будем брать в расчет забавные технические детали работа Альтаира. Интересно лично ваша персональная оценка. Если Альтаир лучше, то почему?

Разве я говорю, что Альтаир лучше?) Я только пытаюсь объяснить почему этот антивирус не фейк и имеет право на свое существование. И не забывайте что вы говорите о продукте, который не покупал ядро у других брендов! И ему всего год!. Каким он был год назад и сейчас это огонь и вода. Еще через год будет еще лучше, в этом я уверен.

Что лично мне нравится в Антивирусе:

1. Реально классная вещь, это восстановление скрытых и системных файлов и папок на флешках. Какой антивирус еще так делает? Другие просто удаляют заразу, а тот переполох, что зараза нанесла остается. Сейчас начнут стрелять типа "Да не нада нам такой функции, да это ацтой и пр." А это круто!

2. Зонд - а не надоела ли вам такая дрянь как GuardMail, праториан, гуглхэшхендлер? Подобного вирусного маркетинга навалом. Осталось только забить себе оперативку ими. С помощью Зонд`а я блокирую их.

3. Удаление малварей - вы говорите, что Альтаир не находит вредоносов, потому что ищет сравнивая по хеш-сумме которой кот наплакал. Это не так! Сравнивая с нодом32, если нод опознал заразу в оперативке - он просит перезагрузку, даже лечащая утилита веба так не делает. Альтаир, обнаружив заразу в оперативке, все равно ее удалит, без всяких перезагрузок. Я уже объяснял почему база хешей маленькая, блин ну включите логику хоть на пару минут, ребята)) Была бы база пользователей как у Каспера, понятно дело, она бы и шифровалась и не 2 млн. была, так каспер и работает не 1 год.

Так ведь этот шутник уже написал

аа, это давно уже) там многое они исправили))

ЗЫ.

1. Покажите мне антивирус который умеет восстанавливать скрытые файлы на флехе) Отдельно утилиты не предлагать!

2. Я напишу не большую софтину, которая просто изменяет ключи реестра в Winlogon или заблокирует вам диспетчер задач с помощью того же реестра. Что потом будете делать? За загрузочным диском побежите чтобы загружать куст? Ваш антивирус 100% будет нем как рыба!

Можно сказать что все антивирусы - мифические фейки, любой при небольшом желании, может творить что захочет на компьютере.

Единственный антивирус который пробил свет в дополнительную защиту - Outpost. И Всё! Остальные все те же супер - убийцы распространенных малварей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion

Кстати.... По поводу вирусного маркетинга, на этом форуме была уже дискуссия? Интересно было бы почитать, что об этом говорят знатоки и как к этому относятся антивирусные вендоры?? Например файл runme.exe или runprog.exe (честно забыл как правильно) после загрузки в Темп, скачивает (и/или распаковывает) в хайд режиме известный Гуард и браузер Хром для мейла. На панели задач без согласия пользователя появляются ярлык хрома и ярлык "однокласников" (быстрый доступ на них с того же хрома). Почему антивирусы, в том числе Альтаир молчат??? Ведь определенно Trojan/Downloader!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Закрывайте эту тему, все уже разжевали 100 раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Троля в бан, на альтаир детект, это реально фэйк-ав.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Троля в бан, на альтаир детект, это реально фэйк-ав.

Обоснуй, если есть какие-то новые доводы. Дмитрий верно сказал уже +100500 раз пережевано...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash

Почему антивирус? Он лечит файловые вирусы?

Или антитроян, который по хешам трояны детектит?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Анна Шуткина

Скажите, этот антивирус защищает ли от вирусов в интернете на сайтах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Закрывайте эту тему, все уже разжевали 100 раз.

ИМХО пока рано закрывать раз некоторые считают Альтаир полноценным антивирусом, несмотря на все вышесказанное.

Почему антивирус? Он лечит файловые вирусы?

Надо проверить как каком-нибудь Virus.Win32.Virut

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Надо проверить как каком-нибудь Virus.Win32.Virut

Немного полиморфизма и руткит-технологий? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Сделал относительно большое тестирование данного продукта. А именно:

1. Тест сигнатурного детекта - проверил микро-набор (что-то в районе полутора тысяч) актуальных в марте малварей. Причем это самые вкусняшки - все популярные антивирусы находят там порядка 98-99%.

Просканил это дело Альтаиром... думал, что не найдет вообще ничего... НО он нашел!!! Уровень детекта - 0.9%

Вот примеры:

https://www.virustotal.com/ru/file/a64356f5...14c66/analysis/

https://www.virustotal.com/ru/file/b30988c6...sis/1371402433/

https://www.virustotal.com/ru/file/521b1e96...772fe/analysis/

Все это нашел Альтаир (некоторые из найденных им малварей)... Вот честно - я в шоке. Непонятно зачем авторам добавлять что-то кроме коллекции дос-вирусов? Совесть грызть стала или почему? Почему ему не сидится спокойно, а он добавляет что-то в вирусную базу?

2. Динамический тест. Проводился посредством запуска популярных винлоков (сигнатурного детекта на них не было). Интересно, что антивирус действительно пытается им как-то противостоять (например, ему очень не нравится, когда кто-то пытается изменить ключ userinit). Какие-то винлоки он даже пытался завершить и завершал.

Ключи мониторит AIS.exe в бешеном цикле опрашивая около десятка популярных ключей автозапуска.

Какой вывод? Вывод, что авторы сделали нечто, пытающееся из себя изображать нечто крутое и делают на этом шекель. Причем изображает оно из себя значительно лучше творения Бабушкина, оно даже способно ввести в заблуждение неискушенных в АВ-технологиях программиста, не говоря уже о домохозяйках и различных экспертов из разных комиссий.

PS: все это тестирование проходило в моем фирменном стиле - на коленке в течение 20 минут :)

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

для этих людей важен не уровень безопасности, а комплаенс. Нужен АВ продукт - нате вам. Там же не написано, что он там какие то сертификаты должон иметь или там обеспечивать что-то там..... Вот ежели будет такое требование - то Бабушкину и иже с ними будет не особо много места

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Какой вывод? Вывод, что авторы сделали нечто, пытающееся из себя изображать нечто крутое и делают на этом шекель. Причем изображает оно из себя значительно лучше творения Бабушкина, оно даже способно ввести в заблуждение неискушенных в АВ-технологиях программиста, не говоря уже о домохозяйках и различных экспертов из разных комиссий.

Все правильно, самый настоящий "бумажный антивирус". Правильно Алексей написал:

для этих людей важен не уровень безопасности, а комплаенс. Нужен АВ продукт - нате вам. Там же не написано, что он там какие то сертификаты должон иметь или там обеспечивать что-то там..... Вот ежели будет такое требование - то Бабушкину и иже с ними будет не особо много места

Они скоро еще прикупят себе сертификат ФСТЭК и тогда все наши аргументы про технологическую убогость будут несостоятельными потому, что есть бумажка, по которой в соответствие с ТУ это будет считаться антивирусом. Я давно жду пока будет такой прецедент. По бумажке его можно будет покупать и все будет чинно. А особо рьяным аудиторам можно будет показать как он досовские вирусы находит, ну или подборку свежака.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Главная их ошибка, - что с самого начала, берут деньги, за сырой продукт. :punish:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×