Перейти к содержанию
Сергей Ильин

Антивирус Альтаир - очередной фейк или казахский антивирусный убийца?

Recommended Posts

Dmitriy K
1. Загуглите, если лень, вот вам официальный сайт софтины http://www.pc-st.com/us/index.htm

2. Тот же касперский детектит по хешам в базах + эвристика. Эмсисофт - только по ним, как и ClamAV. Вы походу не в курсях?) Где батники? не вижу.

Альтаир так же ищет по хешам, я сам пробовал в модифицирующихся приложениях которые обнаруживает Альтаир изменять байты, антивирус все равно детектит. Значит и другие способы скана имеются, по мимо сверки с Md5

1. Я спрашиваю ВАС, знаете ли ВЫ как работает это приложение? Я не спрашиваю, где его скачать.

2. По второму вашему ответу - :facepalm: - вместо тысячи слов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
1. Я спрашиваю ВАС, знаете ли ВЫ как работает это приложение? Я не спрашиваю, где его скачать.

2. По второму вашему ответу - :facepalm: - вместо тысячи слов.

Вы ппц трудный... Вот с сайта:

"PC Security Test is a free program for Windows that checks computer security against viruses, spyware and hackers. With a few mouse clicks, users can easily control the efficiency of their protection software (anti-virus programs, spyware scanners and firewalls).

PC Security Test simulates virus, spyware and hacking attacks and monitors the responses of your protection software. Don't worry, no real viruses are involved ! After the tests are complete, PC Securtiy computes a security index and provides tips on improving PC security."

первое: Секьюрити Тест проверяет, может ли антивирус обнаружить добавление в автозагрузку? - ответ ДА Альтаир обнаружил это, я нажал кнопку "Удалить из автозагрузки", потому что я не хочу чтобы какая то странная хрень загружалась автоматически с системой.

второе: проверяет, может ли антивирус обнаружить всем известный тестовый файл eicar? - ответ Да Альтаир эту вату тоже обнаружил

третье: проверяет, может ли антивирус обнаружить модифицированный троян, и сует в систем32 трояна с названием system32.exe - Ответ ДА это тоже обнаружил и удалил

четвертое: проверяет, может ли антивирус очистить вредоносное ПО из процессов, если оно уже запущено - этот тест тоже прошел.

Потом Секьюрити Тест ожидает несколько секунд, для того чтобы пользователь смог просканировать компьютер для антивирусов не имеющий защиту в реальном времени. И выдает результат.

Можно заметить, что Альтаир сработал в реал тайм. И все успешно заблокировал. По этому в его эффективности я еще раз убеждаюсь.

altair_mcafee.PNG

McAfee определенно что-то знает ... :unsure:

МакАфи частенько вордпрес блокирует

Результат вирустотал: 2 детекта из 39

Opa.png

post-19986-1371132181_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Вы ппц трудный... Вот с сайта:

"PC Security Test is a free program for Windows that checks computer security against viruses, spyware and hackers. With a few mouse clicks, users can easily control the efficiency of their protection software (anti-virus programs, spyware scanners and firewalls).

PC Security Test simulates virus, spyware and hacking attacks and monitors the responses of your protection software. Don't worry, no real viruses are involved ! After the tests are complete, PC Securtiy computes a security index and provides tips on improving PC security."

первое: Секьюрити Тест проверяет, может ли антивирус обнаружить добавление в автозагрузку? - ответ ДА Альтаир обнаружил это, я нажал кнопку "Удалить из автозагрузки", потому что я не хочу чтобы какая то странная хрень загружалась автоматически с системой.

второе: проверяет, может ли антивирус обнаружить всем известный тестовый файл eicar? - ответ Да Альтаир эту вату тоже обнаружил

третье: проверяет, может ли антивирус обнаружить модифицированный троян, и сует в систем32 трояна с названием system32.exe - Ответ ДА это тоже обнаружил и удалил

четвертое: проверяет, может ли антивирус очистить вредоносное ПО из процессов, если оно уже запущено - этот тест тоже прошел.

Потом Секьюрити Тест ожидает несколько секунд, для того чтобы пользователь смог просканировать компьютер для антивирусов не имеющий защиту в реальном времени. И выдает результат.

Можно заметить, что Альтаир сработал в реал тайм. И все успешно заблокировал. По этому в его эффективности я еще раз убеждаюсь.

МакАфи частенько вордпрес блокирует

Результат вирустотал: 2 детекта из 39

Opa.png

Хрень на постном масле, но вы продолжайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Хрень на постном масле, но вы продолжайте.

Вы только тролите) Безо всяких доводов))

Что хрень?Оо Вирустотал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
2. Тот же касперский детектит по хешам в базах + эвристика.

 А мужики-то и не знают ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Теперь знают. ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

Больше ненависти! Давайте что ли фактов вброшу немного...

Из 289мб инсталлируемого хлама 238мб занимают официальные майкросовтовские инсталляторы .net фреймворков. Зачем им сразу все версии (2.0, 3.0, 3.5, +сервиспаки) не понятно. Разве что для солидности.

"базы" - половина .adm файлов либо пустая, либо содержит преведы вида "211:little boy :]]]] I know about your little problem :D"

Остальные (16 файлов, разбитые по первому символу) содержат MD5'ки в текстовом(!) виде

Соответственно внутри 37 741 142 байта всего / 33 байта на хэш == 1 143 670 хэшей

Не густо, надо сказать. Четкие посоны лимон хэшей за квартал добавляют.

Начинаем вытягивать файлы по хэшам (я посмотрел штук 200), и таки да, это не фэйк, файлы таки существуют

Но есть одно большое НО - 95% это DOS'овые вирусы 90х годов!

Мало того, что это совершенно неактуальный мусор 15-ти летней давности, так еще и детектить вирусы по хэшам от всего файла абсолютно бессмысленно. Это файло представляет из себя 0-поколение вируса, т.е. дроппер/goat со всеми комментариями, как автор прикладывал образец к е-зинесу (а в 90х это было нормой), что с реальным заражением не имеет никакой корреляции.

Судя по всему аффтор(ы) просто обсчитали какую-то раритетную публичную помойку типа vx.netlux.org

На мой взгляд это не фэйк-ав, а чистой воды "цыгантивирус" (с) сами-знаете-кто

Отличный бизнес судя по всему. Такое поделие пишется за месяц парой пьяных студентов, а потом демпингуем, берем локальные тендеры, и на майами =)

Еще доставляет "иммунизация" флэшек по заветам Бабушкина (usb.bat):

attrib -s -h -r autorun.*del autorun.*mkdir %~d0AUTORUN.INFmkdir <\?%~d0AUTORUN.INF..>attrib +s +h %~d0AUTORUN.INF

Bye-bye годовой отчет с именем autorun.xls

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
man-bsa
Не только Куропаткин выходит на госзакупки. http://altair.winzard.kz/?page_id=54

Я и сам с Альтаиром на госзакупках. К тому же на моем компьютере он установлен, как на домашнем, так и на рабочем.

Я тоже его ставил почти год назад.

Интерфейс - явные проблемы с цветами и шрифтами, опять же что такое Patch? Неужели нельзя было нормальную морду ему сделать.

Студенты из политеха или энерго лучше бы справились не особо напрягаясь за какой-нибудь зачет.

По работе программы - вообще ерунда какая-то, что этот антивирус вообще делает?

Из реальных зловредов взятых из карантинов McAfee, Kaspersky и Dr.Web ничего не обнаружил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Некторый офф. Если посмотреть шире, то окажется, что существует целый класс программ, у которых реальный функционал может полностью отсутствовать, а реализованным быть лишь в виде описания к программе, картинок в меню и индикатора прогресса.

Пример - антивирус, шифровальщик данных, чистильщик реестра, ускоритель чего-нибудь, дефрагментатор, наверно еще можно чего много добавить.

Т.е. вместо реальных действий можно сделать оболочку, прорекламировать и продавать. Ну кто вот реально определит без помощи нормального дефрагментатора, что фэйковый, просто сначала показал ужасную раздробленную картину, а потом, в течение 5 минут нарисовал ровнехонький рисунок из кирпичиков. А юзер будет доволен.

Получаем некие плацебо программы (при условии что не вредят). Из аналогичных вещей вспоминаются аудиофильские сверхдорогие кабели из бескислородной меди с многокаратным золотом, не вредят конечно, но легко выкачивают приличные суммы из лопухов, которым просто нужны понты.

Мне кажется для этих программ надо новое определение уже вводить.

Вспомнилось - недавно был скандал с поисковиками мячей для гольфа, которые поставлялись как детекторы взрывчатых веществ http://www.webground.su/topic/2013/05/02/t322/ Похоже как раз на фэйк антивирус, так как при наступлении реальной проблемы она не будет обнаружена.

ничего не напоминает?

Устройства Маккормика ADE 651 (Advanced Detection Equipment), если бы работали, были бы настоящим спасением от террористов, наркоторговцев, контрабандистов и всех возможных преступников. На вид прибор выглядит предельно просто: металлическая палочка на шарнире прикреплена к пластиковой ручке и подсоединена с помощью провода к небольшой коробке, которая вешается на пояс. Судя по испытаниям, работа прибора напоминает поиск воды с помощью лозы. Антенна должна указывать в направлении, где находится спрятанный предмет.

Маккормик обещал, что ADE 651 поможет найти чуть ли не любое вещество: взрывчатку, оружие, наркотики, различные жидкости, слоновую кость, купюры разного достоинства и даже людей. Реклама сулила, что прибор способен находить предметы с высоты пяти километров над землей, на глубине одного километра под землей и на глубине 31 метра под водой.

При этом устройство не требовало подзарядки, так как работало якобы на «электростатической энергии человеческого тела». В коробочку, к которой подсоединялась ручка с антенной, предлагалось вставить карточки разного цвета. Каждый цвет соответствовал типу предмета, который требовалось найти: будь то наркотики, валюта или взрывчатка. Утверждалось, что на карточках записана специальная программа, однако в действительно это были просто разноцветные пластинки без намека на особые технологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Этой ночью мы с DrGolova шли по схожему пути, с разницей, что он опубликовал результаты исследований, а я лег спать :) Потому повторяться не буду, а напишу пару дополнений.

1. База антивируса наполнялась в том числе из популярных вирусных коллекций, которые раскиданы по всяким варезным и не только сайтам, где люди скачивают эту коллекцию непонятно чего и ругают друг друга и антивирусы, что они не обнаруживают зловреды... например: в сети очень популярна коллекция из 3732 вирусов. Коллекция вирусов для тестирования антивируса. Вирусная коллекция для теста. (жирный шрифт для поисковика). Данные коллекции представляют из себя мусор в виде хрен пойми чего и зловредов под операционную систему DOS.

2. Большинство детектов (ну, вдруг где-то есть еще детект по имени файла...) сделано именно по md5 хешу файла целиком - качаем коллекцию, меняем какой-либо байт у нескольких файлов - детект отваливается.

3. В данной коллекции есть интересный файлик под названием TMTMID.TXT - хотя правильнее его было назвать по смыслу - readme.txt. Обычный текстовый файлик, описание коллекции. Название детекта очень красивое - Malware.Unclassifed.EE2 (почему именно EE2? да потому что с этих символов начинается md5 данного файла). Там в архиве есть еще несколько файликов из класса "readme" и они тоже прекрасно выпиливаются данным чудо-антивирусом.

4. Даже некоторые крупные ав-конторы идут на поводу у хомячков и добавляют в вирусные базы эту коллекцию хлама...причем ладно бы если б она была добавлено в 90-лохматом году, так нет же - за последние пару лет видно, что количество детектов растет. А такие новые антивирусы, как Зилля, Нано, разумеется тоже не должны отставать от планеты всей и добавили в базу практически всю вирусную коллекцию.

PS: А из серьезных вендоров кто-нибудь добавил этот ридми в базу как вирус? :lol: Обидно, но нет и детекта на остальные ридми от аверов с ВТ также не наблюдается.

PS2: прикладываю архив с данным вирусом... без пароля :o

PS3:

5 чел. читают эту тему (гостей: 2, скрытых пользователей: 1)

Пользователей: 2 ak_, Зайцев Олег

Олег, давай с нами :)

TMTMID.zip

TMTMID.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Получаем некие плацебо программы (при условии что не вредят). Из аналогичных вещей вспоминаются аудиофильские сверхдорогие кабели из бескислородной меди с многокаратным золотом, не вредят конечно, но легко выкачивают приличные суммы из лопухов, которым просто нужны понты.

Мне кажется для этих программ надо новое определение уже вводить.

Предлагаю использовать термин "бумажный антивирус" по аналогии с "бумажной безопасностью". Формально такой антивирус, например, рассматриваемый Альтаир, на бумаге может подходить под условия тендера, может по формальным признакам считать антивирусом (качество в данном случае не рассматривается). Другой вопрос, что бумажный антивирус на практике будет бесполезный. Но кого это волнует в коррумпированной среде? Все получили откаты, контракты, на бумаге все чин чином. Защита закуплена, установлена, аудитору можно показать, если что :) В общем все довольны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Нет, мне кажется надо более хлесткое название, понятное всем, что-то вроде "распил (или роспил по навальному) антивирус" или "откат антивирус" чтобы по названию сразу было ясно что это. заголовок "В тендере участвует откат антивирус" вполне доносит смысл поделки. Это при условии продажи продукта, если не продают, то пусть делают что хотят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Ага, значит результаты по ВТ, вполне можно принимать за реальное положение дел, может кому то спасут кошелёк)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion

Так, давайте перейдем к делу) Видно, что на форуме залежались некоторые комментаторы которые без понятия политики антивирусных вендоров пишут всякую ересь и хаят современные разрекламированные программы. Причем большенство - тупые и бесполезные софтины. Я не говорю что Altair, который нам предлагают так называемая компания workscape супер продукт. Но есть в нем потенциал, именно для Казахстанского пользователя. Я объясню свою точку зрения.

Давайте посмотрим примеры с другими антивирусами.

Ответьте мне на вопросы, или скажите где я не прав:

1. Откуда другие вендоры пополняют вирусную базу и почему она такая огромная а не лям с лишним, как в Альтаире?

- Мой ответ, от пользователей у которых установлены эти антивирусы. Каждое антивирусное решение должно не только защищать от известных злостных программ, но и от модифицированных. А так же обязаны принимать файлы для анализа, или отчеты с каждого компьютера своих пользователей в автоматическом режиме. И чем больше пользователей у антивируса, тем быстрее база накапливается.

На примере нода32 могу сказать, что база которая была выпущена неделю назад, а лицензия закончилась, уже будет не актуальной, так как модифицированный зловред будет обнаружен позже, но вы этого не увидите. Здесь я приводил уже этот пример http://vermillion.yvision.kz/post/312066

Все вендоры нам громко твердят обновляйте эту чертову базу, покупайте нашу лицензию! Потому, что если вы один из сотни пользователей которому попал новый зловред, он обязательно заразит вашу систему до не узнаваемости, и ценой вашей ОС обновятся другие пользователи в течении n`ного времени. Если вам повезет, то вирус тоже будет удален, если нет, восстанавливайте систему ручками.

Сидят аналитики, и смотрят в мониторы, пытаются обнаружить новую заразу на компьютерах своих клиентах. Опа! Обнаружен зловред, считываем его Md5 или другой тип суммы, ищем его уникальность и кидаем к себе в накопительный лист. Лист накопился, отлично обновляем наших пользователей. Правильно Касперский называет своих аналитиков - дятлами) Сидят и только успевают хеши кидать, ведь пользователей то в каждом континенте сотни тысяч.

Я не говорю, что не имеются гибридный способ сканирования, у Каспера он очень даже good. Но в Альтаире есть такая штука как Зонд, как песочница и блокировщик подозрительных приложений, правда его еще допиливать и допиливать, но идея хороша, чем то смахивает на Авастовский сандбокс.

2. Представьте на Ваш компьютер, на которым находится интересная для хакера информацию попал вирус. Он сможет утащить важную инфу, с условием того, что установлен известный антивирус с последними базами?

- 100%, да. И не только утащить важное, но и убить вашу систему, так что вы запаритесь восстанавливать информацию. И это будет не руткит, так, как руткиты больше палятся антивирами, чем безобидное на первый взгляд ПО, в некоторых случаях даже без прав администратора можно хорошую кашу заварить.

1. Альтаир собирает базу только из пользователей, на которых установлен сей антивирус, ну может быть еще какие то дополнительные источники, типа 3732 супер вируса. По этому база еще мала. Учитывая всего год работы, а с официальной версией - пол года (!). Это совсем не значит, что пользователи не защищены. Даже на оборот, аналитикам быстрее добавлять сигнатуры и анализировать новые вирусы, когда меньше пользователей. И детектить можно по одному источнику то бишь рабочей станции, а не ждать пока вирус распространится на сотню юзеров, а потом рисовать красивые графики географического распространения на своем сайте.

2. По мимо хэшей, имеется детект модифицирующихся программ + песочница. Которые уменьшат риск появления нового вируса.

3. Был случай, когда нод удалил трояна по этому пути: HKLM\Software\Microsoft\...\Winlogon\userinit, а в реестре, естественно ничего не исправил. Для пользователя, который понятия не имеет что такое загрузочный диск это оказалось критичным. Стоял бы Альтаир, вирус был бы обнаружен, а ветка реестра поставлена на свое законное место, будь то C:\Windows\system32\userinit.exe.

4. Про автозагрузку походу антивирусы вообще забыли. Мне лично неприятно, когда в нее лезет не понять что. Тот же GuardMail или GeolocationProvider (как то так). С помощью Альтаира это легко забанить.

ИМХО каждый антивирус должен не только успевать дятловским способом добавлять в базу хэши, но и иметь в себе альтернативные способы для обнаружения несанкционированного доступа к компьютеру из вне. Этим обладает один из моих любимых АВ - Outpost Security.

Альтаир не фейк антивирус и не бумажный, это антивирус который не отличается ничем от современных, но пока еще работает с малым количеством своих пользователей. И те функции, которые сейчас выполняются в этом антивирусе, наиболее приближены к реальной безопасности системы, а не тупое колотилово мд5 как в Австрийских пацанах. Есть еще куча недочетов и не совсем корректных выполнений своих функций для современной защиты. Но судя по http://altair.winzard.kz/?cat=4 с такими темпами скоро они все будут исправлены.

З.Ы.

А вообще каждый антивирус до сих пор имеет ряд своих минусов. Но врятли они буду писать на своих сайтах, как хренова работает в таком то месте их код, или грамотно ли устроены такой то функциональный процесс. Они просто запилят новую версию.

Если рассматривать какой нибудь другой антивирус и заранее ожидать от него фигню. То ее только и обнаружишь, а про логику вообще можно забыть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Итак все понятно "антивирус" Альтаир пустышка. Я вообще не пойму зачем на него еще тратить нужно свое время?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Откуда другие вендоры пополняют вирусную базу и почему она такая огромная а не лям с лишним, как в Альтаире?

- Мой ответ, от пользователей у которых установлены эти антивирусы. ... И чем больше пользователей у антивируса, тем быстрее база накапливается. ...На примере нода32 могу сказать, что база которая была выпущена неделю назад, а лицензия закончилась, уже будет не актуальной

1. основной путь набора вирусных баз это отнюдь не файлы, которые сабмитятся от пользователей через KSN/LiveGrid и т.д

2. Так можно про _любой_ антивирус сказать - база недельной давности у _любого_ антивируса является неактуальной

3. независимо от количества файлов в базе (все с чего-то начинали) детектить их нужно не по md5-хэшу

Представьте на Ваш компьютер, на которым находится интересная для хакера информацию попал вирус. Он сможет утащить важную инфу, с условием того, что установлен известный антивирус с последними базами?

- 100%, да.

Или вы таким образом таргетированную атаку назвали? Или мы про Zbot говорим? Допустим он не палится базама N-ного антивируса на сегодняшний день и попал через уязвимый плагин на комп юзеру... вот только у нормального антивируса есть и эмулятор, и защита от эксплоитов, и фаервол, и поведенческий блокиратор (во время инжекта спалит) и защита персональных данных - попробует спереть пароли от фтп, а фиг ему... чуете к чему? к тому, что _нормальный_ АВ комплекс имеет кучу возможностей заблочить зловреда даже без помощи баз.

Альтаир собирает базу только из пользователей, на которых установлен сей антивирус, ну может быть еще какие то дополнительные источники, типа 3732 супер вируса. По этому база еще мала. Учитывая всего год работы, а с официальной версией - пол года (!). Это совсем не значит, что пользователи не защищены.

1. А зачем файлы ридми было детектить?

2. Это совсем не значит, что пользователи не защищены?! А как проверить защиту? От какой угрозы они защищены? Скажите простую вещь - где найти в интернете реальную малварь, которую бы обнаружил альтаир? (аналогичные коллекции зловредов конца 70-х не предлагать скачивать).

а ветка реестра поставлена на свое законное место, будь то C:\Windows\system32\userinit.exe.

там другое значение должно быть

Про автозагрузку походу антивирусы вообще забыли. Мне лично неприятно, когда в нее лезет не понять что. Тот же GuardMail или GeolocationProvider (как то так). С помощью Альтаира это легко забанить.

любой нормальный АВ-комплекс знает куда больше мест автозагрузки (и других критичных мест системы, которые сложно классифицировать, например, Shell) и контролирует туда запись. и это даже можно настраивать...

Этим обладает один из моих любимых АВ - Outpost Security.

Зачет. Возражать не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion

Если точнее быть 2106674, точное количество сигнатур в базах Altair. Пришлось на делфи написать небольшую софтину для подсчета)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

а дубликаты есть? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
1. основной путь набора вирусных баз это отнюдь не файлы, которые сабмитятся от пользователей через KSN/LiveGrid и т.д

2. Так можно про _любой_ антивирус сказать - база недельной давности у _любого_ антивируса является неактуальной

3. независимо от количества файлов в базе (все с чего-то начинали) детектить их нужно не по md5-хэшу

1. файлы и отчеты, еще облако

2. значит все таки файлы и отчеты)) ну еще на форумах время от времени помогают

3. все детектят именно по хэшу, не обязательно по md5 + дополнительные плюшки

Или вы таким образом таргетированную атаку назвали? Или мы про Zbot говорим? Допустим он не палится базама N-ного антивируса на сегодняшний день и попал через уязвимый плагин на комп юзеру... вот только у нормального антивируса есть и эмулятор, и защита от эксплоитов, и фаервол, и поведенческий блокиратор (во время инжекта спалит) и защита персональных данных - попробует спереть пароли от фтп, а фиг ему... чуете к чему? к тому, что _нормальный_ АВ комплекс имеет кучу возможностей заблочить зловреда даже без помощи баз.

Как и Альтаир имеет дополнительные возможности для блокировки, но обмануть ппц легко любой антивирус. Сам писал вирус который очень долго сидел на компьютере с каспером и ждал своего часа. К счастью с этим человеком мы помирились, но троян до сих пор сидит не спаленный, причем самое обычное приложение, которое разнесет пользовательский пк.

1. А зачем файлы ридми было детектить?

2. Это совсем не значит, что пользователи не защищены?! А как проверить защиту? От какой угрозы они защищены? Скажите простую вещь - где найти в интернете реальную малварь, которую бы обнаружил альтаир? (аналогичные коллекции зловредов конца 70-х не предлагать скачивать).

1. Хз, как я и говорил, у всех есть касяки)

2. Точнее середины 90х) Вопрос в том, какая из этих малварей будет находится на юзеровском компе до тех пор пока не обновится база.

там другое значение должно быть

1. Какое? Просто userinit?))

любой нормальный АВ-комплекс знает куда больше мест автозагрузки (и других критичных мест системы, которые сложно классифицировать, например, Shell) и контролирует туда запись. и это даже можно настраивать...

Не любой. Альтаир так же контролирует не только общий и пользовательский Run.

а дубликаты есть? :)

Неа, тоже проверено )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
1. файлы и отчеты, еще облако

2. значит все таки файлы и отчеты)) ну еще на форумах время от времени помогают

3. все детектят именно по хэшу, не обязательно по md5 + дополнительные плюшки

1. ага, про пауки, хонепоты не слышали?

3. разницы между хэшем и мд5 хешем не ощущаем?

1. Хз, как я и говорил, у всех есть касяки)

2. Точнее середины 90х) Вопрос в том, какая из этих малварей будет находится на юзеровском компе до тех пор пока не обновится база.

1. это не косяк - это и есть технология антивируса.

2. Что? Я ничего не понял.

Что умеет данный антивирус? Все, что есть в его базах - это хлам 20-летней давности, добавленный по md5, чтобы тупые юзеры, желающие проверить крутость антивируса видели, что он удаляет все файлы в папке (даже все ридми...)

Какое? Просто userinit?))

запятая на конце там должна быть <_<

Не любой. Альтаир так же контролирует не только общий и пользовательский Run.

Не любой? :) Что же не детектируют Касперский и Аутпост?

PS: вы либо тролль (автор сего чуда), либо реально не понимаете, что ТАКОЕ продавать нельзя - оно ни от чего не защищает - оно никакие вирусы не ловит и не лечит - максимум может удалить архив с коллекцией вирусов под DOS и мониторить пару ключиков реестра (даже если 10).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
1. ага, про пауки, хонепоты не слышали?

3. разницы между хэшем и мд5 хешем не ощущаем?

1. Ловушки и IDS практически та же система, что и песочница. Я говорил про выделенку типа облака.

2. А кроме МД5 больше сумм не знаем?

1. это не косяк - это и есть технология антивируса.

2. Что? Я ничего не понял.

Что умеет данный антивирус? Все, что есть в его базах - это хлам 20-летней давности, добавленный по md5, чтобы тупые юзеры, желающие проверить крутость антивируса видели, что он удаляет все файлы в папке (даже все ридми...)

1. это косяк, как и тот косяк когда симантик детектил половина установочных файлов с одной из программ для создания инсталляторов. Или нод32 - 3 обчищал время от времени буффер обмена.

2. Этот антивирус умеет поддерживать базу в актуальном состоянии для пользователей у которых установлен этот антивирус. Смотреть здесь http://altair.winzard.kz/?page_id=32

запятая на конце там должна быть

Ну не придирайся хД еще .exe должно быть)

Не любой? Что же не детектируют Касперский и Аутпост?

Аутпост не трогать! Это другая тема) Кроме каспера и аутпоста по моему еще более сотни антивирусов, м?) Не все правильнее сказать.

PS: вы либо тролль (автор сего чуда), либо реально не понимаете, что ТАКОЕ продавать нельзя - оно ни от чего не защищает - оно никакие вирусы не ловит и не лечит - максимум может удалить архив с коллекцией вирусов под DOS и мониторить пару ключиков реестра (даже если 10).

1. Я не автор этого чуда, но авторам респект! Такое продавать нужно и развивать тоже нужно. Лично я уже около 50 коробок продал, и хоть бы один человек пожаловался. Как я уже говорил, у меня он так же установлен. А полюбил я этот АВ после хорошей блокировки Винлокеров.

P.S. вы скорее всего супер-агент Касперского) У него есть такие люди.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
2. А кроме МД5 больше сумм не знаем?

Разве Альтаир какие-то еще хэши юзает? есть свои разработки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Разве Альтаир какие-то еще хэши юзает? есть свои разработки?

Я выше писал уже. Обычно когда Альтаир перемещает файл в карантин и детектит его как модифицированное ПО. Значит он его обнаружил не по хэшу. Я пробовал вытаскивать его из карантина и менять байты и имя файла. Альтаир все равно его детектил.

Про многие косяки ребят из workscape над антивирусом Altair я писал им по электронке. Большинство они исправляли с новыми модулями. И кстати адекватные люди, если бы делали фейк, послали бы меня сразу, или игнорили. Но сразу видно, что есть амбиции развивать свой продукт.

кстати про ошибку с виндовс сервер на их сайте, Я спалил))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

ближе к теме: какие вредоносы он может обнаружить? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
ближе к теме: какие вредоносы он может обнаружить?

Взято с сайта разработчика:

"ALTAIR блокирует появление баннеров рабочего стола, троянских

программ, руткитов, программ шпионов, бэкдоров, ботнетов

и др. С высокой точностью определяет вредоносный код.

Если вирус не известен, система ZOND© делает его

«обездвиженным» до следующего обновления сигнатур. Имеется возможность установки программы прямо на зараженный компьютер, с последующей очисткой."

Вопрос в том как именно кроме МД5 он обнаруживает вредоносы? Если смотреть краткую схему работы Зонд. То доходишь до "Приложение относится к опасным?", а вот каким образом Зонд определяет опасность приложения, этого мне не знать) Про модифицированные файлы тоже хз. Но факт в том что обнаруживает их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • KievLoterm
      Електрична тепла підлога в Києві тут
    • AM_Bot
      Компания «АВ Софт» является российским производителем средств обеспечения информационной безопасности, которые вендор разрабатывает с 2010 г. Портфель продуктов включает в себя систему защиты от целевых атак ATHENA, программный комплекс для имитации корпоративной инфраструктуры LOKI, антивирусный мультисканер OCTOPUS, корпоративный мессенджер BOND и другие продукты, уже зарекомендовавшие себя у российских заказчиков.    ВведениеПозиционирование вендора на рынкеСектор рынкаATHENALOKIOCTOPUSBONDCRIMLABNFIКатегории заказчиковНовые продуктыЗарубежные проектыГибкость и адаптация решенийПартнёрская сетьСертификацияПодведение итоговВыводыВведениеБренд «АВ Софт» придумал Антон Чухнов, основатель компании, имея скромное желание изменить индустрию информационной безопасности в России. Сердце потребителей планировалось пронзить стрелой чего-то нового и оригинального.В 2010 году системы на базе технологии «песочницы» обладали слабой гравитацией на рынке, многим идея казалась неперспективной и странной. Антон пришел от неё в восторг и объединил в первом прототипе системы ATHENA возможность анализировать поведение программного обеспечения с антивирусным мультисканером. Единство технологий принесло первый коммерческий успех, который стал отправной точкой для набора команды и развития продукта.В 2016–2019 гг. палитра предложений компании существенно увеличилась. В ней появились классы решений по маскировке операционных систем, защите мобильных устройств и мониторингу компрометации сетевых устройств. Каждое разработанное решение имеет свой стиль и концептуальное преподнесение. Система ATHENA стала флагманским продуктом и гибко адаптировалась под различные инфраструктурные пожелания заказчиков. Компания стала участником ассоциации АРПП «Отечественный софт», резидентом инновационного центра «Сколково», выиграла несколько конкурсов по инновациям в сфере ИТ и безопасности.В 2020 г. компания «АВ Софт» стала лауреатом гранта российского фонда РФРИТ по разработке системы ложных распределённых целей на базе технологии «deception». Новое решение позволит имитировать ИТ-инфраструктуру организации и заманивать злоумышленников в «ловушки», оберегая реальные устройства от кибератак. Система ATHENA была выбрана для участия в отечественном мультисканере (аналоге VirusTotal), который уже активно проходит тестирование. Также компании удалось развить партнёрскую сеть и реализовать ряд научно-технологических проектов.В команде есть всё необходимое для развития и роста: концентрация идей, потенциал для создания новых продуктов и самый важный бриллиант для любого вендора — доверие заказчиков.Позиционирование вендора на рынкеОбъективная оценка вендора на рынке играет важную роль для потребителей продуктов и услуг в области информационной безопасности. Управление рисками при выборе поставщика решений для защиты ИТ-инфраструктуры требует высоких профессиональных компетенций. Базовая оценка контрагента, выполняемая финансовым отделом, может упустить важные аспекты этой весьма наукоёмкой сферы.Можно выделить следующие направления анализа организаций, специализирующихся на разработке программного обеспечения и оказании услуг в области информационной безопасности:сектор рынка,категории заказчиков,создание новых продуктов,зарубежные проекты,гибкость и адаптация решений,партнёрская сеть,сертификация.Оценка всегда предполагает градацию её уровней, поэтому была разработана шкала присвоения веса по каждому параметру оценки. Таблица 1. Параметры оценки вендора№Параметр1 балл2 балла3 балла1.Сектор рынкаНаправление продуктов всего одноЕсть 2–3 направления продуктовЕсть больше 3-х направлений продуктов2.Категории заказчиковТолько государственные организацииПрисутствуют государственные и коммерческие организацииПрисутствуют государственные, коммерческие и зарубежные заказчики3.Новые продуктыНовые продукты создаются реже чем раз в 5 летНовые продукты создаются раз в 2–3 годаНовые продукты создаются каждый год4.Зарубежные проектыЕсть 1 зарубежный проектЕсть 2–5 зарубежных проектовЕсть более 5-ти зарубежных проектов5.Гибкость и адаптация решенийРешения очень редко допускают индивидуализациюДопускается частичная индивидуализацияВсе решения могут гибко адаптироваться под нужды заказчика6.Партнёрская сетьЕсть 1–2 партнёраПартнёрская сеть невелика и находится в развитииРазвитая партнёрская сеть (более 10-ти партнёров)7.СертификацияКомпания имеет 1 сертификатЧасть продуктов компании имеет сертификациюВсе продукты компании имеют сертификацию Сектор рынкаЗдесь важно учесть возможность не только начитаться маркетинговых материалов на сайте, но и получить пробную версию или возможность организации «пилота», который не потерпит крушение, что достоверно подтвердит наличие самих продуктов.У компании «АВ Софт» есть следующие направления решений:антивирусный мультисканер,песочница (sandbox),ловушки (deception),контроль сетевого взаимодействия устройств,криминалистический анализ,безопасная коммуникация.Разнообразие направлений продуктов в компании даёт представление о системном охвате рынка, развитии смежных компетенций у специалистов и потенциальной возможности построения сложных конструкций в ИТ-инфраструктуре.Пробные версии показывают возможности продуктов компании, о которых будет рассказано далее.ATHENAФлагманский продукт по защите от целенаправленных атак AVSOFT ATHENA SANDBOX с помощью методов поведенческого анализа и искусственного интеллекта способен проверять всю входящую в компанию информацию на наличие опасного и вредоносного содержимого.Внутри системы ATHENA присутствует множество инструментов проверки, которые можно разделить на два больших блока анализа: статический и динамический. Рисунок 1. Интерфейс системы ATHENA При прохождении файлом или веб-ссылкой статического вида анализа выполняется проверка контента на наличие известных сигнатур множеством локальных антивирусных ядер, синтаксическими анализаторами (парсерами) и искусственным интеллектом, а также осуществляется сбор информации по исследуемому объекту во внешних репутационных базах данных.При динамической проверке осуществляется анализ поведения файла в имитационной среде — «песочнице» (она может быть как виртуальной, так и физической), которая соответствует реальному рабочему месту пользователя или серверу компании. В ней происходят запуск файла, провоцирование его на вредоносные действия, сбор событий о его поведении и вынесение вердикта на основе результатов аналитического блока и поведенческих сигнатур, которые разработаны командой аналитиков «АВ Софт».Стоит отметить, что в системе ATHENA присутствует широкая линейка поддерживаемых в песочницах операционных систем, включающая отечественные ОС:Microsoft Windows;Linux:Astra Linux,RedOS,Alt Linux,Red Hat Enterprise Linux,Debian,Ubuntu,openSUSE,CentOS;Android.После завершения всех видов анализа система ATHENA отображает подробный отчёт. Рисунок 2. Отчёт по проверке в системе ATHENA Рисунок 3. Отчёт по проверке сетевого трафика в системе ATHENA Важно обращать внимание на современность и удобство интерфейсов систем, которые вы берёте попробовать. Сейчас уже вполне устойчиво сформировались общепризнанные требования и правила по эргономике, грамотному использованию цветовых палитр, а также интерактивным возможностям современного программного обеспечения. Если вы осознаёте, что интерфейс часто вводит вас в заблуждение или недоумение, т. е. вы не понимаете, куда нужно двигаться и что делать, и вместо службы доставки вкусного ужина пытаетесь дозвониться до службы поддержки вендора, то что-то идёт не так. Любое нарушение графическими интерфейсами устоявшихся сценариев поведения пользователей тормозит бизнес-процессы компании.LOKIПрограммный комплекс AVSOFT LOKI DECEPTION имитирует корпоративную инфраструктуру на базе технологии «deception» и позволяет виртуально моделировать на различном уровне любое устройство в организации, включая оборудование IoT и IIoT (контроллеры АСУ ТП). Рисунок 4. Интерфейс системы LOKI Имитация устройств осуществляется с помощью ловушек (honeypot) и песочниц (sandbox). На рабочих местах сотрудников и серверах разворачиваются приманки, которые ведут в ловушки и песочницы, уводя вектор атаки от реальных устройств.Использовать систему LOKI несложно, достаточно сделать 4 шага:Просканировать подсети для определения состава активных устройств.Система сама предложит ловушки к ним, можно будет просто согласиться с её выбором.Развернуть ловушки в выбранной подсети одной кнопкой.Скачать приманки на рабочие места и установить их. Рисунок 5. Панель статистики системы LOKI Сейчас линейка имитируемых устройств в системе LOKI уже включает в себя большой список типов и моделей, который активно пополняется: рабочие станции, серверы, маршрутизаторы, межсетевые экраны, IP-телефоны, IP-камеры, принтеры и сканеры, PoS-терминалы, ЧПУ-станки. Рисунок 6. Карта сети ловушек и реальных устройств в системе LOKI При работе с программным продуктом не стоит забывать о простоте его использования, чтобы любой шаг был естественен и логично следовал из предыдущего. В системе LOKI есть эта особенность, хотя изначально концепция идеи может сформировать представление о чём-то громоздком и сложном. Конечно, комплексы, автоматизирующие процессы в информационной безопасности, имеют большие функциональные возможности, но продукт должен стараться исключать людей из процесса, выполняя по максимуму всё самостоятельно, т. к. человеческий фактор — это всегда риск.OCTOPUSСистема AVSOFT OCTOPUS MULTISCANNER — это антивирусный мультисканер, который может быстро обрабатывать большие объёмы трафика и подходит в том числе для небольших компаний за счёт невысокой стоимости.Внутри системы — больше 20-ти локальных антивирусных ядер, при желании можно добавить и больше. Помимо этого есть модули статического анализа файлов, модели на базе машинного обучения, интеграция с внешними репутационными сервисами.Можно отправить на проверку самые разнообразные типы файлов: исполняемые, офисные, скрипты, мобильные приложения, архивы, включая многотомные и закрытые паролем, и др. Рисунок 7. Страница проверки файлов в системе OCTOPUS При оценке любой современной системы важно учитывать скорость обработки данных; если вендор предлагает решить её только за счёт «железа», то это — порочная практика, т. к. она всегда ставит перед заказчиком вопрос о дополнительных затратах. Важно уточнять у вендора, как происходит обработка очередей и больших объёмов задач, чтобы подстраховать себя от незапланированных финансовых потоков во внешний мир.BONDAVSOFT BOND MESSENGER — мессенджер для безопасного корпоративного общения. Он позволяет управлять всей коммуникацией в компании через собственный сервер. После развёртывания мессенджера в инфраструктуре никто кроме уполномоченных администраторов из персонала заказчика не имеет доступа к серверу, включая самих разработчиков программы. Рисунок 8. Интерфейс мессенджера BOND Получение быстрого доступа к продукту, как в случае с мессенджером, который можно просто скачать и поставить, даёт возможность сразу оценить его характеристики и принять решение. Если приходится пройти сражение с драконом или спасти принцессу, чтобы получить «пилот» или пробный доступ, то стоит задуматься, стоит ли ввязываться в этот бой, поскольку так же сложно могут быть выстроены и другие процессы, связанные с поддержкой или инсталляцией в инфраструктуру.CRIMLABКриминалистическая лаборатория AVSOFT CRIMLAB ANALYTICS предоставляет инструменты для детального анализа файлов и разнообразной агрегации собранных данных: сравнение исследований, создание коллекций, формирование базы знаний и др. Решение актуально для центров мониторинга информационной безопасности (SOC) и компаний, которые хотят развить компетенции своих специалистов в данной области. Рисунок 9. Схема работы CRIMLAB Решение позволяет проводить детальный анализ содержимого любого типа файлов, изучать его поведение в виртуальных и физических песочницах, тонко индивидуализировать параметры среды исследования и добавлять инструменты исследований, а также осуществлять ретроспективный анализ. Рисунок 10. Подробный отчёт по файлу Возможность тонкой индивидуализации внутренних функций и настроек системы всегда говорит о её гибкости и адаптивности, это уже стало базовым качеством многих современных программных продуктов. Не стоит забывать, что осуществление индивидуализации не должно быть сложным или запутанным, т. к. это повышает риск ошибок, система должна запрещать пользователю выполнять заведомо некорректные настройки.NFIНебольшой программно-аппаратный комплекс AVSOFT NFI контролирует взаимодействие сетевых устройств с внешней сетью (интернетом). NFI представляет собой устройство, которое берёт в кольцо сетевые пакеты, работая на 3-м уровне модели OSI. Инспектор способен оперативно выявить и заблокировать компрометацию любого сетевого устройства и оповестить об этом службу безопасности. Рисунок 11. Схема работы AVSOFT NFI NFI имеет графический интерфейс, в котором можно задавать правила фильтрации и управлять устройством. Рисунок 12. Интерфейс программно-аппаратного устройства NFI Итак, компанией охвачены востребованные направления на рынке информационной безопасности и этих направлений больше 5-ти, что даёт основание присвоить ей 3 балла по принятой методике оценки.Категории заказчиковДля вендора большую роль играет получение опыта с разными категориями заказчиков. Все осознают, что государственные и коммерческие организации — это два больших разных «королевства» со своими требованиями и правилами. Непрерывная реконструкция и анализ многогранных кейсов с клиентами может помочь пересмотреть процесс реализации новых проектов. Заказы от коммерческих компаний преимущественно ориентированы на скорость и оптимизацию затрат, от государственных структур — на соблюдение требований регуляторов, а качество, конечно, интересует всех.Компания «АВ Софт» работает как с государственными, так и с коммерческими заказчиками. Веер направлений деятельности клиентов включает в себя промышленность, транспорт, оказание услуг по безопасности и задачи связанные с обороной. Не присутствуют пока зарубежные заказчики, что позволяет поставить по методике оценки 2 балла.Новые продуктыОриентация на создание новых продуктов — обязательный талисман для всех, кто планирует расти. Сфера кибератак развивается со скоростью гепарда, поэтому вендорам важно не упускать шанса моделировать инструменты охоты, которых ни у кого нет или которым есть куда стремиться по уровню качества. Конкуренты всегда помогают в развитии, никогда не сидят спокойно и ждут возможности забрать себе кусочек того, что кто-то потерял, потому что отстал в развитии. Если компания постоянно генерирует новые идеи и не жалеет ресурсов на развитие новых продуктов, то это выделяет её с точки зрения планирования долгосрочной стратегии.Команда «АВ Софт» почти каждый год выпускает новый продукт, и основная концепция компании как таковая базируется на непрерывном выпуске новых продуктов. По методике можно присвоить ей 3 балла.Зарубежные проектыКогда вендор вращается только в своей домашней зоне, это не даёт ему возможности развиться до уровня международных конкурентов, и тем самым он обрекает себя на стагнацию, которая наступит рано или поздно. Очень важно стремиться расширять круг заказов за границами комфортного «стеклянного шара», адаптируя свои решения под требования заказчиков из других стран.Опыта зарубежных проектов компания «АВ Софт» пока не имела шанса получить, поэтому по методике ей ставим 0 баллов.Гибкость и адаптация решенийСпособность продуктов гибко трансформироваться не всегда удобна вендорам, потому что это влечёт за собой дополнительные ресурсы на поддержку и сопровождение. Но желания заказчиков никто не отменял, и пока они не удовлетворены — это всегда отличный повод для действия. Клиентоориентированный подход уже пронизывает все сферы рынка и требует покориться ему в том числе и от поставщиков решений по информационной безопасности.Индивидуализация продуктов компании «АВ Софт» возможна и является одним из обязательных условий работы с заказчиками, взятых на себя командой. Высокая адаптивность продуктов — это всегда отчасти и риск, но при должной оптимизации этого процесса он даёт гораздо больше, чем ограничения клиентов. Формируется совершенно иной уровень доверия, появляется возможность реализовать действительно полезные проекты. По методике мы можем поставить в данной категории 3 балла.Партнёрская сетьРазвитая партнёрская сеть свидетельствует о доверии и устойчивой позиции вендора на рынке. Если среди партнёров есть крупные интеграторы и дистрибьюторы, то это показывает, что компания получила признание у сильных игроков.У компании «АВ Софт» — больше 15-ти партнёров, что даёт основание выставить ей по методике ещё 3 балла.СертификацияПолучение сертификации — ювелирная работа, которая требует в первую очередь стабильности продуктов и чёткого их соответствия заявленным требованиям. При наличии лицензий можно сделать вывод о том, что присутствует баланс между разработкой новых функций и их устойчивым состоянием.Часть продуктов компании «АВ Софт» имеет сертификацию, остальные находятся в процессе её получения, поэтому в нашей финальной метрике мы можем выставить 2 балла.Подведение итоговВ итоговой таблице компания «АВ Софт» получает 16 баллов, что вполне неплохо, но значит, что есть куда стремиться. Цветом выделены баллы, которые компания получила в результате прохождения оценки в рамках настоящего материала. Таблица 2. Методика оценки вендора№Параметр1 балл2 балла3 балла1.Сектор рынкаНаправление продуктов всего одноЕсть 2–3 направления продуктовЕсть больше 3-х направлений продуктов2.Категории заказчиковТолько государственные организацииПрисутствуют государственные и коммерческие организацииПрисутствуют государственные, коммерческие и зарубежные заказчики3.Новые продуктыНовые продукты создаются реже чем раз в 5 летНовые продукты создаются раз в 2–3 годаНовые продукты создаются каждый год4.Зарубежные проектыЕсть 1 зарубежный проектЕсть 2–5 зарубежных проектовЕсть более 5-ти зарубежных проектов5.Гибкость и адаптация решенийРешения очень редко допускают индивидуализациюДопускается частичная индивидуализацияВсе решения могут гибко адаптироваться под нужды заказчика6.Партнёрская сетьЕсть 1–2 партнёраПартнёрская сеть невелика и находится в развитииРазвитая партнёрская сеть (более 10-ти партнёров)7.СертификацияКомпания имеет 1 сертификатЧасть продуктов компании имеет сертификациюВсе продукты компании имеют сертификацию ВыводыОценка вендора может быть адаптирована под потребности конкретной организации и особенности защиты её ИТ-инфраструктуры. Рекомендуется также выстраивать управление рисками в части поставки решений по информационной безопасности и методику оценки качества продуктов и услуг вендора. Читать далее
    • mirkosmetik
      Спасибо, полезно.  
    • andery777
    • Guffy
×