vaber

Защита от руткитов в Антивирусе Касперского 7.0

В этой теме 35 сообщений

В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

rootkits.rar

rootkits.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А чего пишет при нажатии

А. Удалить в обычном алерте

Б. Что происходит или не происходит при исполнении лечения активного заражения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А чего пишет при нажатии

А. Удалить в обычном алерте

Б. Что происходит или не происходит при исполнении лечения активного заражения?

Если нажать карантин или удалить - то ничего не происходит (равносильно - пропустить) - это видно на скринах с элиткейлоггером. В данном случае нажималось удалить (видно - написано не обработан). И так во всех случаях - кроме с анриалом. Там после нажатия "удалить" предлагается провести лечение активного заражение. После перезагрузки руткит активен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

vaber, а unreal.a какой-либо из тестируемых в нашем тесте антируткитов способен детектировать?

Rootkit Unhooker вроде должен брать его, по заявлениям авторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber, а unreal.a какой-либо из тестируемых в нашем тесте антируткитов способен детектировать?

Rootkit Unhooker вроде должен брать его, по заявлениям авторов.

Анриала обнаруживают из нашего теста только Rootkit Unhooker (и не удивительно - ведь автор один у этого руткита и антируткита), а также gmer (но он только обнаруживает - удалить он мало что может).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Unreal.a совершенно спокойно светится красным цветом в отчетах AVZ и менеджере модулей пространства ядра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

Как я понял речь идёт о бетке которую предлагают тут: http://soft.softodrom.ru/ap/p2.shtml но не понял в чём отличия от предедущих сборок? И почему по цифрам сборка ниже чем предедущая?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

Как я понял речь идёт о бетке которую предлагают тут: http://soft.softodrom.ru/ap/p2.shtml но не понял в чём отличия от предедущих сборок? И почему по цифрам сборка ниже чем предедущая?

Ну если 7 ниже, чем 6, тогда я могу только направить вас в начальную школу на урок арифметики ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Unreal.a совершенно спокойно светится красным цветом в отчетах AVZ и менеджере модулей пространства ядра.

В какой версии AVZ??

4.24 я еще не проверял (но там походу моло отличий в плане детекта руткитов). Или Вы имеете ввиду работу систему AVZ PM??

В прочем как доберусь до своего ПК - проверю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

Как я понял речь идёт о бетке которую предлагают тут: http://soft.softodrom.ru/ap/p2.shtml но не понял в чём отличия от предедущих сборок? И почему по цифрам сборка ниже чем предедущая?

Ну если 7 ниже, чем 6, тогда я могу только направить вас в начальную школу на урок арифметики ;)

Сорри, сравнил только конечные цифры :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Unreal.a совершенно спокойно светится красным цветом в отчетах AVZ и менеджере модулей пространства ядра.

В какой версии AVZ??

4.24 я еще не проверял (но там походу моло отличий в плане детекта руткитов). Или Вы имеете ввиду работу систему AVZ PM??

В прочем как доберусь до своего ПК - проверю.

Прошу смотреть. Скрин снимался на AVZ 4.23 (еще не успел обновить русскую версию).

24.PNG

post-509-1174229423.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прошу смотреть. Скрин снимался на AVZ 4.23 (еще не успел обновить русскую версию).

NickGolovko

Вы лучше обновите unreal Ж))

Вскоре после выпуска unreal.a был выпущен багфикс к нему (выложили обновленный анрил), который не детектится антируткитами, которые "вешают" нотифи - то есть AVG, Avira и утилитой AVZ.

В Вашем случае AVZ задетектил анрила только благодаря активированному avz PM.

Если Вы установите пофикшеный Unreal.a то он не даст работать AVZ PM и соответственно AVZ его не обнаружит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

киньте кто-нибудь unreal.a чего-то найти его немогу..

где-то валялся у меня а где незнаю, сейчас его и не найду уже..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
киньте кто-нибудь unreal.a чего-то найти его немогу..

где-то валялся у меня а где незнаю, сейчас его и не найду уже..

+1, искал - не нашел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да. Теперь видим только запись в реестре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да. Теперь видим только запись в реестре.

Так она и так видна Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да. Теперь видим только запись в реестре.

То, что драйвер в системе установлен? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да. Теперь видим только запись в реестре.

Так она и так видна Ж)

Ну так и я о том же :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У кого стоит Каспер 7,скажите,стоит ли его ставить?Система с ним не тормозит?И чем он лучше 6 версии?

Beta версия,вроде,бесплатная,если я не ошибаюсь..?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У кого стоит Каспер 7,скажите,стоит ли его ставить?

Это бета-версия и этим все сказано :)

Но думаю стОит :)

Система с ним не тормозит?

Не больше чем с КАВ 6.0

И чем он лучше 6 версии?

Лучше руткиты ловит и лик-тесты проходит.

Beta версия,вроде,бесплатная,если я не ошибаюсь..?

Да, Вы правы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Storm кроме того эта бета первая полу рабочая, её ставить только для бета тестиования..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
кроме того эта бета первая полу рабочая, её ставить только для бета тестиования..

Вот и я говорю, что это бета и этим все сказано. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Привожу скрины работы новых модулей в бетке касперского 7. В частности скрины детекта Кострата, анриала (драйвера удаляются) и скрины некоторых вердиктов эвристика.

Лично мне показалось, что эвристик неплохой и вполне может войти в тройку в майском Retrospective/ProActive Test на av-comparatives.org (если конечно успеют выпустить).

skrin.rar

unreal.JPG

Costrat.JPG

skrin.rar

post-173-1175310024.jpg

post-1-1175310024.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS