Перейти к содержанию
vaber

Защита от руткитов в Антивирусе Касперского 7.0

Recommended Posts

vaber

В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

rootkits.rar

rootkits.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

А чего пишет при нажатии

А. Удалить в обычном алерте

Б. Что происходит или не происходит при исполнении лечения активного заражения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А чего пишет при нажатии

А. Удалить в обычном алерте

Б. Что происходит или не происходит при исполнении лечения активного заражения?

Если нажать карантин или удалить - то ничего не происходит (равносильно - пропустить) - это видно на скринах с элиткейлоггером. В данном случае нажималось удалить (видно - написано не обработан). И так во всех случаях - кроме с анриалом. Там после нажатия "удалить" предлагается провести лечение активного заражение. После перезагрузки руткит активен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

vaber, а unreal.a какой-либо из тестируемых в нашем тесте антируткитов способен детектировать?

Rootkit Unhooker вроде должен брать его, по заявлениям авторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber, а unreal.a какой-либо из тестируемых в нашем тесте антируткитов способен детектировать?

Rootkit Unhooker вроде должен брать его, по заявлениям авторов.

Анриала обнаруживают из нашего теста только Rootkit Unhooker (и не удивительно - ведь автор один у этого руткита и антируткита), а также gmer (но он только обнаруживает - удалить он мало что может).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Unreal.a совершенно спокойно светится красным цветом в отчетах AVZ и менеджере модулей пространства ядра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vorobey1
В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

Как я понял речь идёт о бетке которую предлагают тут: http://soft.softodrom.ru/ap/p2.shtml но не понял в чём отличия от предедущих сборок? И почему по цифрам сборка ниже чем предедущая?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

Как я понял речь идёт о бетке которую предлагают тут: http://soft.softodrom.ru/ap/p2.shtml но не понял в чём отличия от предедущих сборок? И почему по цифрам сборка ниже чем предедущая?

Ну если 7 ниже, чем 6, тогда я могу только направить вас в начальную школу на урок арифметики ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Unreal.a совершенно спокойно светится красным цветом в отчетах AVZ и менеджере модулей пространства ядра.

В какой версии AVZ??

4.24 я еще не проверял (но там походу моло отличий в плане детекта руткитов). Или Вы имеете ввиду работу систему AVZ PM??

В прочем как доберусь до своего ПК - проверю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vorobey1
В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

Как я понял речь идёт о бетке которую предлагают тут: http://soft.softodrom.ru/ap/p2.shtml но не понял в чём отличия от предедущих сборок? И почему по цифрам сборка ниже чем предедущая?

Ну если 7 ниже, чем 6, тогда я могу только направить вас в начальную школу на урок арифметики ;)

Сорри, сравнил только конечные цифры :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Unreal.a совершенно спокойно светится красным цветом в отчетах AVZ и менеджере модулей пространства ядра.

В какой версии AVZ??

4.24 я еще не проверял (но там походу моло отличий в плане детекта руткитов). Или Вы имеете ввиду работу систему AVZ PM??

В прочем как доберусь до своего ПК - проверю.

Прошу смотреть. Скрин снимался на AVZ 4.23 (еще не успел обновить русскую версию).

24.PNG

post-509-1174229423.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Прошу смотреть. Скрин снимался на AVZ 4.23 (еще не успел обновить русскую версию).

NickGolovko

Вы лучше обновите unreal Ж))

Вскоре после выпуска unreal.a был выпущен багфикс к нему (выложили обновленный анрил), который не детектится антируткитами, которые "вешают" нотифи - то есть AVG, Avira и утилитой AVZ.

В Вашем случае AVZ задетектил анрила только благодаря активированному avz PM.

Если Вы установите пофикшеный Unreal.a то он не даст работать AVZ PM и соответственно AVZ его не обнаружит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Хорошо, проверю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

киньте кто-нибудь unreal.a чего-то найти его немогу..

где-то валялся у меня а где незнаю, сейчас его и не найду уже..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
киньте кто-нибудь unreal.a чего-то найти его немогу..

где-то валялся у меня а где незнаю, сейчас его и не найду уже..

+1, искал - не нашел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Да. Теперь видим только запись в реестре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Да. Теперь видим только запись в реестре.

Так она и так видна Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Да. Теперь видим только запись в реестре.

То, что драйвер в системе установлен? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Да. Теперь видим только запись в реестре.

Так она и так видна Ж)

Ну так и я о том же :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ezhikkk

У кого стоит Каспер 7,скажите,стоит ли его ставить?Система с ним не тормозит?И чем он лучше 6 версии?

Beta версия,вроде,бесплатная,если я не ошибаюсь..?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
У кого стоит Каспер 7,скажите,стоит ли его ставить?

Это бета-версия и этим все сказано :)

Но думаю стОит :)

Система с ним не тормозит?

Не больше чем с КАВ 6.0

И чем он лучше 6 версии?

Лучше руткиты ловит и лик-тесты проходит.

Beta версия,вроде,бесплатная,если я не ошибаюсь..?

Да, Вы правы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Storm кроме того эта бета первая полу рабочая, её ставить только для бета тестиования..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
кроме того эта бета первая полу рабочая, её ставить только для бета тестиования..

Вот и я говорю, что это бета и этим все сказано. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Привожу скрины работы новых модулей в бетке касперского 7. В частности скрины детекта Кострата, анриала (драйвера удаляются) и скрины некоторых вердиктов эвристика.

Лично мне показалось, что эвристик неплохой и вполне может войти в тройку в майском Retrospective/ProActive Test на av-comparatives.org (если конечно успеют выпустить).

skrin.rar

unreal.JPG

Costrat.JPG

skrin.rar

post-173-1175310024.jpg

post-1-1175310024.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Mawa27
      Я пользуюсь услугами вот этих ребят https://prohoster.info.Они предоставляют комплексные услуги по созданию сайтов и их обслуживанию, начиная от выбора доменного имени, заканчивая доп. услугами для его защиты от вирусных атак.
    • Sawa26
      Ребят,где приобрести надежный хостинг?
    • Alexey Markov
      Настоящий тест файерволов - это когда вы пытаетесь зайти на сайт со взрослым контентом, к примеру, казино https://slots-doc.com/ . Вот тут-то наступает момент истины.  Брандмаузер должен быть настроен так, чтобы позволить  программному обеспечению подключаться к серверу. Вопрос - как настраивать? Внутри панели управления брандмауэра как праивло есть список программ и разрешений для каждого файла программы. Эти разрешения устанавливаются по умолчанию при первом запуске нашей программы под брандмауэром. Он спросит вас, что делать, и если вы нажмете ОК и примете их рекомендацию, программа будет заблокирована. Чтобы исправить это, вам нужно найти этот список программ и установить их разрешения, выбрав «Разрешить все» или эквивалент неограниченного доступа. Это будет что-то похожее на процесс ниже, хотя расположение будет отличаться в каждом брандмауэре. Откройте панель управления брандмауэром (часто дважды щелкните значок брандмауэра возле системных часов Windows или найдите в меню «Пуск»).
      Нажмите на вкладку «Программы» (или иным образом найдите список программ).
      В списке программ вы увидите следующие пункты. Для каждого из них достаточно изменить «Блокировать все» на «Разрешить все» (или использовать наименее ограничивающие разрешения), чтобы вы могли получить доступ к сайту. Инструкции могут различаться, и для получения дополнительной помощи вам следует обратиться к поставщику программного обеспечения брандмауэра.
    • Lavrans
      Могу еще Мелбет букмекера порекомендовать 
      Я на него полный обзор на https://ratingbet.com/bookmaker/myelbyet-obzor-bukmyekyerskoy-kontory-melbet.html имею 
      Действительно,  честная компания,  которая всегда идет на встречу своим клиентам. В любых  непонятных  ситуациях сразу же обращаюсь в службу поддержки,  они оперативно реагируют на заявки
    • MarijyaFrolova
      Играешь за тётку ангела или типо того, по мере прохождения получаешь/апгрейдишь крылья. Дерешься мечем, можно летать вроде. Присутствуют элементы головоломок, типо в принце Персии, но это не точно. Геймплей не особо длинный часов может на 6-10. По месту действия вспоминаются перемещения по парящим островкам не большим.Может, кто знает название игры?
×