Перейти к содержанию
vaber

Защита от руткитов в Антивирусе Касперского 7.0

Recommended Posts

vaber

В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

rootkits.rar

rootkits.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

А чего пишет при нажатии

А. Удалить в обычном алерте

Б. Что происходит или не происходит при исполнении лечения активного заражения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А чего пишет при нажатии

А. Удалить в обычном алерте

Б. Что происходит или не происходит при исполнении лечения активного заражения?

Если нажать карантин или удалить - то ничего не происходит (равносильно - пропустить) - это видно на скринах с элиткейлоггером. В данном случае нажималось удалить (видно - написано не обработан). И так во всех случаях - кроме с анриалом. Там после нажатия "удалить" предлагается провести лечение активного заражение. После перезагрузки руткит активен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

vaber, а unreal.a какой-либо из тестируемых в нашем тесте антируткитов способен детектировать?

Rootkit Unhooker вроде должен брать его, по заявлениям авторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber, а unreal.a какой-либо из тестируемых в нашем тесте антируткитов способен детектировать?

Rootkit Unhooker вроде должен брать его, по заявлениям авторов.

Анриала обнаруживают из нашего теста только Rootkit Unhooker (и не удивительно - ведь автор один у этого руткита и антируткита), а также gmer (но он только обнаруживает - удалить он мало что может).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Unreal.a совершенно спокойно светится красным цветом в отчетах AVZ и менеджере модулей пространства ядра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vorobey1
В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

Как я понял речь идёт о бетке которую предлагают тут: http://soft.softodrom.ru/ap/p2.shtml но не понял в чём отличия от предедущих сборок? И почему по цифрам сборка ниже чем предедущая?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

Как я понял речь идёт о бетке которую предлагают тут: http://soft.softodrom.ru/ap/p2.shtml но не понял в чём отличия от предедущих сборок? И почему по цифрам сборка ниже чем предедущая?

Ну если 7 ниже, чем 6, тогда я могу только направить вас в начальную школу на урок арифметики ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Unreal.a совершенно спокойно светится красным цветом в отчетах AVZ и менеджере модулей пространства ядра.

В какой версии AVZ??

4.24 я еще не проверял (но там походу моло отличий в плане детекта руткитов). Или Вы имеете ввиду работу систему AVZ PM??

В прочем как доберусь до своего ПК - проверю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vorobey1
В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

Как я понял речь идёт о бетке которую предлагают тут: http://soft.softodrom.ru/ap/p2.shtml но не понял в чём отличия от предедущих сборок? И почему по цифрам сборка ниже чем предедущая?

Ну если 7 ниже, чем 6, тогда я могу только направить вас в начальную школу на урок арифметики ;)

Сорри, сравнил только конечные цифры :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Unreal.a совершенно спокойно светится красным цветом в отчетах AVZ и менеджере модулей пространства ядра.

В какой версии AVZ??

4.24 я еще не проверял (но там походу моло отличий в плане детекта руткитов). Или Вы имеете ввиду работу систему AVZ PM??

В прочем как доберусь до своего ПК - проверю.

Прошу смотреть. Скрин снимался на AVZ 4.23 (еще не успел обновить русскую версию).

24.PNG

post-509-1174229423.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Прошу смотреть. Скрин снимался на AVZ 4.23 (еще не успел обновить русскую версию).

NickGolovko

Вы лучше обновите unreal Ж))

Вскоре после выпуска unreal.a был выпущен багфикс к нему (выложили обновленный анрил), который не детектится антируткитами, которые "вешают" нотифи - то есть AVG, Avira и утилитой AVZ.

В Вашем случае AVZ задетектил анрила только благодаря активированному avz PM.

Если Вы установите пофикшеный Unreal.a то он не даст работать AVZ PM и соответственно AVZ его не обнаружит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Хорошо, проверю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

киньте кто-нибудь unreal.a чего-то найти его немогу..

где-то валялся у меня а где незнаю, сейчас его и не найду уже..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
киньте кто-нибудь unreal.a чего-то найти его немогу..

где-то валялся у меня а где незнаю, сейчас его и не найду уже..

+1, искал - не нашел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Да. Теперь видим только запись в реестре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Да. Теперь видим только запись в реестре.

Так она и так видна Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Да. Теперь видим только запись в реестре.

То, что драйвер в системе установлен? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Да. Теперь видим только запись в реестре.

Так она и так видна Ж)

Ну так и я о том же :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ezhikkk

У кого стоит Каспер 7,скажите,стоит ли его ставить?Система с ним не тормозит?И чем он лучше 6 версии?

Beta версия,вроде,бесплатная,если я не ошибаюсь..?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
У кого стоит Каспер 7,скажите,стоит ли его ставить?

Это бета-версия и этим все сказано :)

Но думаю стОит :)

Система с ним не тормозит?

Не больше чем с КАВ 6.0

И чем он лучше 6 версии?

Лучше руткиты ловит и лик-тесты проходит.

Beta версия,вроде,бесплатная,если я не ошибаюсь..?

Да, Вы правы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Storm кроме того эта бета первая полу рабочая, её ставить только для бета тестиования..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
кроме того эта бета первая полу рабочая, её ставить только для бета тестиования..

Вот и я говорю, что это бета и этим все сказано. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Привожу скрины работы новых модулей в бетке касперского 7. В частности скрины детекта Кострата, анриала (драйвера удаляются) и скрины некоторых вердиктов эвристика.

Лично мне показалось, что эвристик неплохой и вполне может войти в тройку в майском Retrospective/ProActive Test на av-comparatives.org (если конечно успеют выпустить).

skrin.rar

unreal.JPG

Costrat.JPG

skrin.rar

post-173-1175310024.jpg

post-1-1175310024.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • santy
      согласен, не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт. тогда придется все контекстное меню переносить. например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.  
    • alamor
      Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен. А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть. Так что наверно оптимальный вариант был бы: 1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна). 2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.
    • santy
    • santy
      можно, но только через контекстное меню.  а это все то же дополнительное нажатие ПКМ + еще и стрелку вниз/вверх для выбора элемента меню+ click, так что не факт что это будет проще и быстрее. вообщем рационализация спорная, имхо. можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.  
    • PR55.RP55
      Дело то не в этом. Дело в наличие команды:  " Удалить только сам файл" в меню Инфо. значит отдавать команды через меню Инфо. можно. ( Для системных файлов так ,или иначе уже реализована защита ссылок от удаления. ) Вернёмся к теме: " alamor пишет: неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. "  
×