Перейти к содержанию
Сергей Ильин

Антивирус Альтаир - очередной фейк или казахский антивирусный убийца?

Recommended Posts

Vermillion
"Я послал своё унылое говно другому унылому говну". Mr. Беляш style детектед

"Эксперт", нехорошо выражаться)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

печально читать такие посты. Когда вирмейкеры пишут оду АВ продукту. парадокс, да? У меня столько вопросов - по вашему - глупых, что задавать не хочу просто. Но знаю, что, ежели мне попадется на проверке сей продукт - он будет вынесен из организациию

ПыСы. Связь с вирмейкерами - не комильфо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Товарищ нам пытается доказать, чтто авер действует по схеме: подозрительные файлы с компа юзера отправляются в вирлаб, исследуются и добавляются в базу. На все это нужно хотя бы сутки (в более короткий срок нереально).

Допустим, что это правда и антивирус работает именно так. В реальной жизни имеем с этого следующее:

1. трой загрузился, спер пароли и самоудалился

2. трой отредактил хостс, нэйсервер, стартпэйдж и самоудалился

3. зловред на каждой системе сбивает сигну (правит десяток байт)

4. винлокер все залочил и все... приплыли

5. зловред загрузил драйвер и его уже не достать...

6. зловред проник и зашифровал все файлы

Но говорить об этом смешно, учитывая технологическую убогость продукта - ни о каком откате изменений, блокировке зловредных действий и т.д нельзя говорить без драйвера, который полсистемы хуками повяжет.

Время жизни зловреда - пара суток максимум, т.е когда он будет добавлен в базы, то он уже не будет распространятся, а другой, которого нет в базе еще.

И еще - система добавления постфактум спустя пару суток у альтаира видимо потому, что он офигенно круто умеет лечить активное заражение (ирония).

..и это не говоря уже о полнейшей технологической убогости - поиск по md5 всего файла и опрос десятка ключей реестра в бесконечном цикле наглядно отображает технологический уровень и остальных его функций, которые просто не хочется ковырять.

Воот что я хотел услышать! По больше бы таких комментаторов (без сарказма).

1. трой загрузился, спер пароли и самоудалился

Это вполне вероятно.

2. трой отредактил хостс, нэйсервер, стартпэйдж и самоудалился

Хостс не может отредактировать, Альтаир его блочит, стартпейдж по моему тоже, нужно глянуть... неймсервер - возможно.

3. зловред на каждой системе сбивает сигну (правит десяток байт)

Не каждый зловред это делает. Но да, и такому быть.

4. винлокер все залочил и все... приплыли

У меня небольшая сборка винлокеров, из них только 1 детектится Альтаиром, некоторые блокируются Зондом, остальные могут заблокировать систему, но после перезагрузки все равно они больше не загружается, потому что Альтаир восстановил реестр и не дал попасть локеру в автозагрузку (хотя даже зонд не сработал на него).

5. зловред загрузил драйвер и его уже не достать...

Ну почему же нет??? Как был зарегистрирован, так же будет и удален.

6. зловред проник и зашифровал все файлы

Впервые слышу о таком зловреде! Но было бы интересно узнать. Ща загуглю))

что он офигенно круто умеет лечить активное заражение

Ну на сколько офигенно или нет, этого мы не знаем.

Все 6 пунктов можно отнести к любому антивирусу) Но вы уже начинаете меня в чем то убеждать!

печально читать такие посты. Когда вирмейкеры пишут оду АВ продукту. парадокс, да? У меня столько вопросов - по вашему - глупых, что задавать не хочу просто. Но знаю, что, ежели мне попадется на проверке сей продукт - он будет вынесен из организациию

ПыСы. Связь с вирмейкерами - не комильфо

Оо а где связь???

Вроде чувак раскаялся и побежал сдаваться виртуальному копу) А может завязал с писаниной вирусни, или сработал патриотизм.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Уважаемые админы, долго ли этот клоун будет ошиваться на форуме? Или по аналогии с матисом: пусть сначала за$рет весь форум и только потом заблокируем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Оо а где связь???

Вроде чувак раскаялся и побежал сдаваться виртуальному копу) А может завязал с писаниной вирусни, или сработал патриотизм.

связь - прямая. И это типа - самые страшные борцы с ересью - раскаявшиеся грешники? Не смешите. Здесь уже столько ереси нанесли - что уже скучно. А то что вы широко известных троянов - крипторов не знаете - это двойка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Уважаемые админы, долго ли этот клоун будет ошиваться на форуме? Или по аналогии с матисом: сначала за$рем весь форум и только потом заблокируем?

Здесь половина клоунов. Я могу более ничего не писать, тогда это будет обычное обсирание продукта без оснований. Всегда должен быть какой то альтернативный взгляд при обсуждении чего либо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

а вы пока его достоинств не показали. Как то так. Голословно и неубедительно. особенно про сканер понравилось и про базу записей. Честно :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
связь - прямая. И это типа - самые страшные борцы с ересью - раскаявшиеся грешники? Не смешите. Здесь уже столько ереси нанесли - что уже скучно. А то что вы широко известных троянов - крипторов не знаете - это двойка.

Мне известны трояны, которые могут шифровать свое тело или модифицировать. Знаю про вин32, которые добавляют свое тело к приложениям. А про крипторов, к сожалению :(

а вы пока его достоинств не показали. Как то так. Голословно и неубедительно. особенно про сканер понравилось и про базу записей. Честно

Ну я же писал выше...

Давайте я буду писать по одному достоинству, а вы все дружно его обсирать и говорить мне почему это не достоинство, ок? Так понятнее будет)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion

Начну с малых достоинств:

Первое: Альтаир, при подключении накопителя восстанавливает скрытые файлы и папки, удаляет объект Autorun.lnk

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Альтаир, при подключении накопителя восстанавливает скрытые файлы и папки

А если я их сам скрыл?

удаляет объект Autorun.lnk

С какой целью удалять ярлык с именем Autorun? Ты расширением файла не ошибся? :facepalm:

А если я сам накатал авторан для автозапуска файла? Тоже удалит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
С какой целью удалять ярлык с именем Autorun? Ты расширением файла не ошибся?

А если я сам накатал авторан для автозапуска файла? Тоже удалит?

Да, ошибся с .inf... я хотел сказать что еще он удаляет *.lnk все ярлыки.

Да, он все удалит и приведет все к нормальному состоянию) А зачем вам создавать ярлыки на флешке, автораны и скрывать файлы или делать их системными? Хотя лан, первое обсирание принято)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
еще он удаляет *.lnk все ярлыки

С целью?

А зачем вам создавать ярлыки на флешке, автораны и скрывать файлы или делать их системными?

Это противозаконно? Или это каким-то образом нарушит работу системы? Почему я не могу поменять атрибуты объекта, если сама система предоставляет мне такие возможности? Некоторые флешки идут с софтом (backup и прочие мелкие программки), который как раз запускается с авторана.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion

Второе: Альтаир следит за автозагрузкой и если в автозагрузку попал какой-то новый файл, уведомляет пользователя. Пользователю предлагается: Запретить файлу автоматическую загрузку, разрешить или удалить его из системы.... Ннада?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Второе: Альтаир следит за автозагрузкой и если в автозагрузку попал какой-то новый файл, уведомляет пользователя. Пользователю предлагается: Запретить файлу автоматическую загрузку, разрешить или удалить его из системы.... Ннада?

Это ты о том бесконечном цикле, про который писал priv8v?

Какие кусты реестра мониторит твое чудо, господин продажник/разработчик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Это ты о том бесконечном цикле, про который писал priv8v?

Какие кусты реестра мониторит твое чудо, господин продажник/разработчик?

Ага, о нем. Но ближе к делу, почему нет?

Штук 5 в реестре включая ветку для рега native-приложений, господин Гуру/агент Касперского

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Vermillion, давай дальше пиши о плюсах - уже ведь 2 раза обгадился.

Штук 5 в реестре включая ветку для рега native-приложений

Я список просил, а не число.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Я список просил, а не число.

Я не знаю сколько именно и списка тоже не знаю. Есть опция "Блокировать скрытые автозагрузки", он блокирует.

Вы ответьте на мой вопрос - Чем плохо, если пользователь осведомлен о попадании в автозагрузку? У меня Google Updater время от времени туда лезет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Я не знаю сколько именно и списка тоже не знаю.
Штук 5 в реестре включая ветку для рега native-приложений

Ты нормальный или нет? Давай список этих 5 штук.

Чем плохо, если пользователь осведомлен о попадании в автозагрузку? У меня Google Updater время от времени туда лезет.

Т.е. исходя из ваших слов - объект уже прописался на автозапуск и программа сообщила об этом.

Чем плох апдейтер гугла в автозагрузке?

Есть опция "Блокировать скрытые автозагрузки"

Чем скрытая отличается от нескрытой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Ты нормальный или нет? Давай список этих 5 штук.

У меня нет этих 5 штук. Сам тестируй.

Т.е. исходя из ваших слов - объект уже прописался на автозапуск и программа сообщила об этом.

Чем плох апдейтер гугла в автозагрузке?

У меня трафик не резиновый, с USB модема сижу.

Чем скрытая отличается от нескрытой?

Тем, что бывалый пользователь может посмотреть в MSConfig.

На мой вопрос ответь. Ты должен сказать почему это плохо)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Штук 5 в реестре включая ветку для рега native-приложений
Я не знаю сколько именно и списка тоже не знаю.
У меня нет этих 5 штук. Сам тестируй.

У тебя явно есть проблемы и большие :facepalm:

У меня трафик не резиновый, с USB модема сижу.

Windows Update тоже заблокирован? Он качат куда больше.

Тем, что бывалый пользователь может посмотреть в MSConfig.

Что посмотреть?

На мой вопрос ответь.

Если легитимная программа прописывается в автозапуск, то ничего хорошего в том, что альтаир орёт на это нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Если легитимная программа прописывается в автозапуск, то ничего хорошего в том, что альтаир орёт на это нет.

А может я не хочу, чтобы без моего разрешения она туда попадала, м?

У тебя явно есть проблемы и большие

Вы по русски не бiлмесiн? Я сказал "штук 5", примерно те которые наблюдал когда блокировались.

Windows Update тоже заблокирован? Он качат куда больше.

Его в первую очередь.

Ответ не зачет совсем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
А может я не хочу, чтобы без моего разрешения она туда попадала, м?

Не ставь ее вообще :facepalm:

Я сказал "штук 5", примерно те которые наблюдал когда блокировались.

Значит тебе не составит труда привести список.

по русски

Садись. Два.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Не ставь ее вообще

Это жжесть)) Откуда я знаю что программа будет загружаться в автоматическом режиме? Или не устанавливает ли она вместе с собой какуюнить фигню типа гуардмэйла?

Значит тебе не составит труда привести список.

Сначала скажи какие файлы распаковываются во время установки Касперского?) Тебе тоже не должно составить труда это вспомнить, там же видно во время установки. Или можете сказать наизусть все улицы вашего города, вы же часто на свежем воздухе бываете... Блин откуда у вас вообще такие странные вопросы??? Я не писал Альтаир, чтобы знать все что он может блокировать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Ага, о нем. Но ближе к делу, почему нет?

Штук 5 в реестре включая ветку для рега native-приложений, господин Гуру/агент Касперского

Например, http://gladiator-antivirus.com/forum/index...showtopic=24610 - список, причем далеко не полный - содержит _57_ методов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Например, http://gladiator-antivirus.com/forum/index...showtopic=24610 - список, причем далеко не полный - содержит _57_ методов.

Спасибо) Протестирую по всем пунктам

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×