Перейти к содержанию
Мутный

Репутационная антивирусная защита Symantec (WS.Reputation.1)

Recommended Posts

Мутный

(1) Это вы про SEP - он имеет настройки. А Norton не имеет таковых.

SEP-даже и не ставил, про NSS говорю там тоже есть настройки, можно сделать так что он будет блокировать все файлы с WS.Reputation.1 ! ;)

 

По сути получится чуть-ли не идеальная защита, только скрипты будет пропускать и всё. Но могут-быть ложные срабатывания ! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

(1) Это вы про SEP - он имеет настройки. А Norton не имеет таковых.

SEP-даже и не ставил, про NSS говорю там тоже есть настройки, можно сделать так что он будет блокировать все файлы с WS.Reputation.1 ! ;)(1)

 

По сути получится чуть-ли не идеальная защита, только скрипты будет пропускать и всё. Но могут-быть ложные срабатывания ! :) (2)

 

(1) Нет такой. Ws.Rep.1 итак всегда удаляется. Скажите примерное название настройки. 

(2) Скрипты Insight не поддерживает. Ложняки есть, конечно. Но в пределах нормы (судя по данным лаб). 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Тут попросили Ws.Rep.1 необсуждать ! Даже и незнаю, может модератор перенесёт посты в новую тему ?

 

 

(1) Нет такой. Ws.Rep.1 итак всегда удаляется. Скажите примерное название настройки.

 

 

Не всегда, я на одном ресурсе это доказал, делал формы на делфи, асме, си и Нортон у меня на дефолте не удалял, зато у пользователя который выкручивал всё на максимум у него была реакция по репе...

 

Вот что он на максимум выкручивал:

 

 

upload_2015-2-28_12-8-41.png

 

Вот его комментарий:

 

 

Эвристику и сонар на максимум!!! Ну и разница в детекте по настройкам очевидна! У меня на вашу форму срабатывает ws.reputation.1 у вас нет!

 

post-21429-0-85693600-1430328394_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Нет, эти настройки с Insight не связаны. Он не прав. Движок Insight не настраивается. Репутация у каждого пользователя может быть разной. Это очевидно из принципа её работы. 

Ну и разница в детекте по настройкам очевидна!

 

Я бы не сказал, что разница очевидная наблюдалась. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

По сути получится чуть-ли не идеальная защита, только скрипты будет пропускать и всё. Но могут-быть ложные срабатывания !

 

Ложных срабатываний может быть очень много. И к тому же будет неизбежно большая серая зона файлов и веб-сайтов, у которых вообще не будет никакой репутации. Что с этим делать? По статистике вендоров такая серая зона составляет десятки процентов.

 

На практике вы скачиваете exe с нулевой репутацией (серый) и зависаете под вопросом: Что с ним делать? :) Приехали. Если будет работать социальная инженерия, что очень часто и происходит, то юзер запустит такой exe. И даже глазом не моргнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Тот кто сделал такие настройки, участвует в тестах (Любительских) и у него чуть-ли не 100% результат, гы-гы ! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Ложных срабатываний может быть очень много. И к тому же будет неизбежно большая серая зона файлов и веб-сайтов, у которых вообще не будет никакой репутации. Что с этим делать? По статистике вендоров такая серая зона составляет десятки процентов.   На практике вы скачиваете exe с нулевой репутацией (серый) и зависаете под вопросом: Что с ним делать? Приехали. Если будет работать социальная инженерия, что очень часто и происходит, то юзер запустит такой exe. И даже глазом не моргнет.

Репутация в реализации Symantec и нужна для автоматической оценки серой зоны. Изначально так было задумано. Её подозрение - повышение агрессивности всех уровней защиты (особенно эвристик как с цепи срывается, Susp.Cloud который) ну и т.д. И вы правы - ложняков много, на популярный софт однако их почти нет - см. тесты, по данным Av-test за весь 2014 год точность защиты выше, чем у точного ESETа, но бывает ведь хочешь найти редкий файл, Ws.Rep.1 ему обеспечен почти наверняка даже если он не вредоносный и даже не новый. Всё же, это нормально, лучше пере,чем недо, особенно с учётом большинства на разумных пользователей.  Опытный проверит файл, новичок перестраховался и доверился антивирусу. Случаются ложняки на практике (уже более 5 лет использую) не часто, белые списки у Symc большие. 

a932558ae890.png

 

 

На практике вы скачиваете exe с нулевой репутацией (серый) и зависаете под вопросом: Что с ним делать?

Это бывает не часто и благо (я видел только один раз за 5 лет), что защита комплексная. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

серая зона файлов и веб-сайтов

Сайты да, если рассуждать с точки зрения блокировки по url, такие сайты без репутации и требующие что-то конфиденциальное вводить анализируются Scam Insight, она предупреждает о рисках, сайт летит в вирлаб.  

Если эвристик плагина SafeWeb что-то спалит - блокировка как "подозрительного", о сайте будет тут же сообщено вирлабу.

Есть IPS, который по факту знает зловредные техники и если кто-то зайдёт на такой сайт, где IPS что-то спалит или будет подозревать - сайт репутацию быстро потеряет, если на сайте есть файл,на который что-то сработало от Download Insight до SONAR - репутация снизится, сайт в вирлаб на проверку.

Ну и т.д. и т.п. 

 

 

В целом, репутация сайта формируется через анализ взаимосвязей разных факторов от георасположения до телеметрии (сработки на сайт технологий анализа содержимого, на файлы с сайта...).

 У Symc (как и у ЛК) репутация по сайтам понятие комплексное и если о сайте вообще ничего неизвестно - чисто репутация не поможет, может только предупредить (Scam Insight).

 

Эффективнее всего использовать против веб-сайтов именно репутацию получается у McAfee и TrendMicro. Ложные есть, но так ли это критично, ведь сайтов поисковик выдаёт целую тонну на запрос. Подробнее сказать не могу, не знаю как реализовано.  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Эффективнее всего использовать против веб-сайтов именно репутацию получается у McAfee и TrendMicro. Ложные есть, но так ли это критично, ведь сайтов поисковик выдаёт целую тонну на запрос. Подробнее сказать не могу, не знаю как реализовано.

 

А McAfee такая репутация для сайтов ... просто жесть. Они даже наш сайт считали опасным одно время http://www.anti-malware.ru/forum/index.php?showtopic=4378

Ws.Rep.1 ему обеспечен почти наверняка даже если он не вредоносный и даже не новый. Всё же, это нормально, лучше пере,чем недо, особенно с учётом большинства на разумных пользователей.  Опытный проверит файл, новичок перестраховался и доверился антивирусу. Случаются ложняки на практике (уже более 5 лет использую) не часто, белые списки у Symc большие. 

 

Я вообще рекомендую неопытным юзерам ставить только подписанные ЭЦП программы. В этом случае ложных срабатываний на Ws.Rep.1 не должно быть вообще. Так как почти все из серой зоны скорее всего не будет подписано. Да и вообще сейчас нет смысла ставить непонятный ноунейм софт. Приличные канторы все свои продукты отдают антивирусным компаниям для добавления в белые списки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Я вообще рекомендую неопытным юзерам ставить только подписанные ЭЦП программы

Не подскажишь случаем каким способом и с помощью каких файлов обновляются скайп и адоб плеер? ;)

 

Так как почти все из серой зоны скорее всего не будет подписано.

Тебе дать пруфов на детекты этим детектом на относительно популярное подписанное ПО?

 

 

Приличные канторы все свои продукты отдают антивирусным компаниям для добавления в белые списки.

А кто не отдает - тот сам виноват. Ну да. Антивирус это такое же ПО как и другие, другие программы не должны к нему "ходить на поклон". Все в рамках разумного. Появился детект - можно и самим послать не дожидаясь пока антивирус через свои сенсоры поймет, что лажает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

А кто не отдает - тот сам виноват. Ну да. Антивирус это такое же ПО как и другие, другие программы не должны к нему "ходить на поклон". Все в рамках разумного. Появился детект - можно и самим послать не дожидаясь пока антивирус через свои сенсоры поймет, что лажает.

Так разумнее. Сделал ПО. Отправь заранее всем сразу. В чём проблема? 30 минут потратить? 

Тебе дать пруфов на детекты этим детектом на относительно популярное подписанное ПО?

 

 Всякое возможно, всё таки, область мониторинга конкретного вендора ограничена. Есть тесты (Av-TEST, Dennis), методологии довольно развитые. Они и указывают на меру точности (берут отовсюду реально используемое ПО и соотв. файлы), а ложают все, ложняки эти можно называть "относительно" популярными, Epic False-ами....всё это не важно.

Тема на ФКЛК сегодня: http://forum.kaspersky.com/index.php?showtopic=322618 UDS безопасную программульку спать отправил, а ведь Касперский один из самых точных антивирусов. Ну что тут поделаешь. Производитель программы даже не знал об этом. Кстати, Symc тоже его прибил эвристикой. На технику грех жаловаться. Есть ведь возможность заранее избавиться от потенциальных проблем. Кстати, детекта касперского (как и Symc) на VT не было, значит это был действительно проактивный UDS. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Сделал ПО. Отправь заранее всем сразу. В чём проблема? 30 минут потратить?

Вопрос не в проблеме, а в том, что антивирус априори прав. Т.е то, что он что-то хорошее задетектил выходит не его вина, а то, что автор программы не выслал ему все билды и данные. Итак 30 антивирусам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Не подскажишь случаем каким способом и с помощью каких файлов обновляются скайп и адоб плеер?  

 

Понимаю о чем ты :) В эту компанию еще Java нужно добавить, у которой неподписанный апдейтер был. Возможно сейчас это поменялось. Но тут ситуация такая, что апдейт приходит автоматом. А другое дело, если ты качаешь какой-то непонятный exe с говнохранилища "всебесплатноездесь.рф" :)

 

 

Тебе дать пруфов на детекты этим детектом на относительно популярное подписанное ПО?

 

Было бы неплохо. Это кстати будет хорошей иллюстрация доверия антивирусных вендоров к тому или иному удостоверяющему центру.

 

А кто не отдает - тот сам виноват. Ну да. Антивирус это такое же ПО как и другие, другие программы не должны к нему "ходить на поклон". Все в рамках разумного. Появился детект - можно и самим послать не дожидаясь пока антивирус через свои сенсоры поймет, что лажает.

 

Не должны, но в условиях риска быть задетектированными имеет смысл наладить контакт с антивирусниками. Хорошо если это будет какой-то плеер для десктопа и его у кого-то выпилят. А если это процесс от БД в продакшене или корпоративное ПО типа ERP? Пострадает клиент в первую очередь и будут прямые финансовые потери.

Вопрос не в проблеме, а в том, что антивирус априори прав. Т.е то, что он что-то хорошее задетектил выходит не его вина, а то, что автор программы не выслал ему все билды и данные. Итак 30 антивирусам.

 

Уже были случае совершенно субъективного детекта. Припоминаем случае с DrWeb и Zona или DrWeb и MediaGet. Это вообще большая проблема, которая выходит за рамки топика и ее смогут отрегулировать только судебные прецеденты. Заплатит какое-нибудь ООО "Доктор Веб" за неудачные детект миллионов 10 руб и потом будет думать лучше, аккуратнее работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Заплатит какое-нибудь ООО "Доктор Веб" за неудачные детект миллионов 10 руб и потом будет думать лучше, аккуратнее работать

Очень хороший вопрос можно ли привлекать за детекты. Например сфолсил кто-то на драйвер винды или какой-то другой системный файл - может ли его (антивирус) хоть кто-то привлечь к ответственности? Или тот же случай с Зоной. За что тут судить? Не за клевету же.

 

PS: про пруфы помню, накидаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Было бы неплохо. Это кстати будет хорошей иллюстрация доверия антивирусных вендоров к тому или иному удостоверяющему центру.

Выбирайте :)

 

Microsoft Corporation

https://www.virustotal.com/ru/file/ff900419dd2cee70af7de77ffe385bd333332e1db033a7d981c6bf215fea6bd1/analysis/

 

WinRar

https://www.virustotal.com/ru/file/7861114d70bf04831530bef71739fa0931a5a5a3f72e54b27ad5f9f6e0d253e7/analysis/

 

Malwarebytes Anti-Exploit

https://www.virustotal.com/ru/file/1f3bb33f6b86eda145965705d3bc4033dc552adad905a81305dd8066e1375350/analysis/

 

ElcomSoft

https://www.virustotal.com/ru/file/c2252106250857ef3c45445a10eaff700b5bd154a657795be8dd877ac6ec09e9/analysis/

 

Hideman VPN

https://www.virustotal.com/ru/file/f978f704be776efa657240b78b24942bdde39ae303b5424c2b5a7cff34873233/analysis/

 

Hamster Video Converter

https://www.virustotal.com/ru/file/0617c8c1be55ea923fbfef8d0a92957b8a753e47fb77d847d33778ae563e011c/analysis/

 

На текущий момент по каждой из этих ссылок красуется только один детект - WS.Reputation.1

 

PS: каждому из этих файлов не менее 5 месяцев жизни и они популярны (судя по разным именам заливок на вирустотал и тому, что по каждому из них еще неплохая статистика голосования пользователей). Также каждый из этих файлов имеет валидную ЭЦП.

Единственно что надо учитывать, что эта репутация сложно воспроизводима - в одном месте у одного пользователя может быть одно, у другого - другое. Т.е на файл на моем компеьютере может быть такой детект, а при заливке на VT - может не быть, равно и наоборот.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47
На текущий момент по каждой из этих ссылок красуется только один детект - WS.Reputation.1

 

Расписались в незнании  принципов работы репутационных технологий. VT нормально показывает только СИГНАТУРЫ! (ибо все остальные вердикты у нормальных вендоров давно комбинированные и зависят от многих факторов). Очевидный факт. 

Подойдут только скрины с установленным продуктом. 

Неужели вы не обратили внимания на мою строчку из прошлого поста: "Кстати, детекта касперского (как и Symc) на VT не было, значит это был действительно проактивный UDS. "

Сработка на файл была, а на VT не было, точно также на VT она может быть, а в реальности не быть. Есть множество уточняющих ситуацию признаков, вот и всё. Скачайте файл с https - вообще никогда детекта не будет от Insight. Разбираться во всём надо.

..................

"mbae.exe" Insight работает только с Download Insight и только при загрузке дроппера.  :D Ws.Rep.1 не будет как вердикта, если файл уже внутри системы, ибо агрессивность имеет смысл только при защите от внешних угроз, дабы не испортить работу юзера. VT отжигает и здесь или вы отжигаете, наверное и то, и то.  

P.S. Отсюда у меня большие вопросы к любителям поговорить на Хабрике об этом обо всём, выложить на Хакере мега- тест на хэш-сигнатуры=ужас и т.д. Мракобесие, да и только. Уж думал, что на A-M такого нет. Фанатизм руссофилийский взамен разума - вот что это. Разочаровался. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Расписались в незнании принципов работы репутационных технологий.

Да шо вы говорите? А ничего, что у меня там же написано тоже самое, но другими словами?

 

Единственно что надо учитывать, что эта репутация сложно воспроизводима - в одном месте у одного пользователя может быть одно, у другого - другое. Т.е на файл на моем компеьютере может быть такой детект, а при заливке на VT - может не быть, равно и наоборот.

 

 

Уж думал, что на A-M такого нет. Фанатизм руссофилийский взамен разума - вот что это.

Во как мы заговорили-то. Специально это скопирую сюда чтоб не потерли. Потом если сами не уйдете с форума можно сюда будет носом тыкать, что вы сами в каждой теме про Симантек ла-ла, а фанатизм как раз у других видите. Я очень тонко троллю и слишком хорошо знаком с разными технологиями (а с чего мне семью-то кормить?), поэтому могу себе позволить технический троллинг кого угодно на грани фола (кроме тех с кем у меня личное хорошее многолетнее знакомство).

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Сработка на файл была, а на VT не было, точно также на VT она может быть, а в реальности не быть. Есть множество уточняющих ситуацию признаков, вот и всё. Скачайте файл с https - вообще никогда детекта не будет от Insight. Разбираться во всём надо.

 

Что-то не пойму чем это утверждение, отличается от этого:

 

 

Единственно что надо учитывать, что эта репутация сложно воспроизводима - в одном месте у одного пользователя может быть одно, у другого - другое. Т.е на файл на моем компеьютере может быть такой детект, а при заливке на VT - может не быть, равно и наоборот.

 

 

По сути вы подтвердили сказанное выше... :)

 

А так лично я не понимаю две причины:

 

1)По какой причине я должен отправлять свои программы в вирлаб, вот представьте например корпорацию, большую корпорацию (Международную даже...) !

В этой корпорации идёт разработка софта, оборудования и т.д. Оборудование меняется, софт меняется, дополняется и т.д. И что каждый раз пересылать, ждать пока кто-то там ответит и т.д. ? А если с точки зрения безопасности нежелательно пересылать, что делать ?

 

2)Белые списки - хорошо, но с таким подходом зачем вообще такой огород гарадить, т.е. можно-же как-то даже средствами винды ограничить запуск файлов, ограничить учётку и т.д.

Поняли, к чему я клоню ? Зачем тогда АВ ? Вон есть программы, ограничиивают запуск/права программ, по различным критериям и ненадо никаких облаков, баз и прочее не нужно это ! Работают быстро кстати...

 

 

на Хакере мега- тест на хэш-сигнатуры=ужас и т.д. Мракобесие, да и только. Уж думал, что на A-M такого нет. Фанатизм руссофилийский взамен разума - вот что это. Разочаровался.

 

Ну здесь есть тема этого теста, вот кстати:http://www.anti-malware.ru/forum/index.php?showtopic=28976

 

Если есть какие-то вопросы, выслушаем тут вроде совсем другое обсуждается ! Причём тут репутация и детект по хешам ? Или репутация - по вашему это детект по хешу ? Непонял это предложение !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Оборудование меняется, софт меняется, дополняется и т.д. И что каждый раз пересылать, ждать пока кто-то там ответит и т.д. ?

 

Ложные детекты являются проблемой мелких контор. Они и бегают на поклон к антивирусам, а кому-то типа Java, Winrar, Adobe это ни к чему - их софт настолько известен, что ложняк бьет не по ним, а по антивирусу.

 

Причём тут репутация и детект по хешам ?

Камрада припекает и он бурлит эмоциями, поэтому тащит в тему все, что только может вспомнить, а вспомнить не так уж и много можно. Следующий шаг это уже переход на личности форумчан, админа и форума целиком (ФКП).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • AprilNox
      Has anybody used CBD before? I am very keen to get some CBD Honey Sticks for coughing. Can someone recommend a good brand? I'm presently contemplating JustCBD and Goldleaf Spektrum. Many thanks
    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.700.
    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
×