Защита от руткитов в Антивирусе Касперского 7.0

[vaber 350]

В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

rootkits.rar

rootkits.rar

[TiX 0]

А чего пишет при нажатии

А. Удалить в обычном алерте

Б. Что происходит или не происходит при исполнении лечения активного заражения?

[vaber 350]

А чего пишет при нажатии

А. Удалить в обычном алерте

Б. Что происходит или не происходит при исполнении лечения активного заражения?

Если нажать карантин или удалить - то ничего не происходит (равносильно - пропустить) - это видно на скринах с элиткейлоггером. В данном случае нажималось удалить (видно - написано не обработан). И так во всех случаях - кроме с анриалом. Там после нажатия "удалить" предлагается провести лечение активного заражение. После перезагрузки руткит активен.

[Сергей Ильин 1538]

vaber, а unreal.a какой-либо из тестируемых в нашем тесте антируткитов способен детектировать?

Rootkit Unhooker вроде должен брать его, по заявлениям авторов.

[vaber 350]

vaber, а unreal.a какой-либо из тестируемых в нашем тесте антируткитов способен детектировать?

Rootkit Unhooker вроде должен брать его, по заявлениям авторов.

Анриала обнаруживают из нашего теста только Rootkit Unhooker (и не удивительно - ведь автор один у этого руткита и антируткита), а также gmer (но он только обнаруживает - удалить он мало что может).

[Николай Головко 70]

Unreal.a совершенно спокойно светится красным цветом в отчетах AVZ и менеджере модулей пространства ядра.

[Vorobey1 20]

В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

Как я понял речь идёт о бетке которую предлагают тут: http://soft.softodrom.ru/ap/p2.shtml но не понял в чём отличия от предедущих сборок? И почему по цифрам сборка ниже чем предедущая?

[Николай Головко 70]

В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

Как я понял речь идёт о бетке которую предлагают тут: http://soft.softodrom.ru/ap/p2.shtml но не понял в чём отличия от предедущих сборок? И почему по цифрам сборка ниже чем предедущая?

Ну если 7 ниже, чем 6, тогда я могу только направить вас в начальную школу на урок арифметики

[vaber 350]

Unreal.a совершенно спокойно светится красным цветом в отчетах AVZ и менеджере модулей пространства ядра.

В какой версии AVZ??

4.24 я еще не проверял (но там походу моло отличий в плане детекта руткитов). Или Вы имеете ввиду работу систему AVZ PM??

В прочем как доберусь до своего ПК - проверю.

[Vorobey1 20]

В связи с появлением новой бета-версии Касперского решил проверить возможность детекта им некоторых руткитов.

В частности на unreal.a, Costrat.af (Rustock) и Elitekeylogger.

З.Ы. Данная бета пока только детектит скрытые файлы, но не может удалить.

Как я понял речь идёт о бетке которую предлагают тут: http://soft.softodrom.ru/ap/p2.shtml но не понял в чём отличия от предедущих сборок? И почему по цифрам сборка ниже чем предедущая?

Ну если 7 ниже, чем 6, тогда я могу только направить вас в начальную школу на урок арифметики

Сорри, сравнил только конечные цифры

[Николай Головко 70]

Unreal.a совершенно спокойно светится красным цветом в отчетах AVZ и менеджере модулей пространства ядра.

В какой версии AVZ??

4.24 я еще не проверял (но там походу моло отличий в плане детекта руткитов). Или Вы имеете ввиду работу систему AVZ PM??

В прочем как доберусь до своего ПК - проверю.

Прошу смотреть. Скрин снимался на AVZ 4.23 (еще не успел обновить русскую версию).

[vaber 350]

Прошу смотреть. Скрин снимался на AVZ 4.23 (еще не успел обновить русскую версию).

NickGolovko

Вы лучше обновите unreal Ж))

Вскоре после выпуска unreal.a был выпущен багфикс к нему (выложили обновленный анрил), который не детектится антируткитами, которые "вешают" нотифи - то есть AVG, Avira и утилитой AVZ.

В Вашем случае AVZ задетектил анрила только благодаря активированному avz PM.

Если Вы установите пофикшеный Unreal.a то он не даст работать AVZ PM и соответственно AVZ его не обнаружит.

[Николай Головко 70]

Хорошо, проверю.

[Ego1st 95]

киньте кто-нибудь unreal.a чего-то найти его немогу..

где-то валялся у меня а где незнаю, сейчас его и не найду уже..

[Николай Головко 70]

киньте кто-нибудь unreal.a чего-то найти его немогу..

где-то валялся у меня а где незнаю, сейчас его и не найду уже..

+1, искал - не нашел.

[Kuzz 0]

http://www.rapidshare.ru/216188

[Николай Головко 70]

Да. Теперь видим только запись в реестре.

[vaber 350]

Да. Теперь видим только запись в реестре.

Так она и так видна Ж)

[Storm 0]

Да. Теперь видим только запись в реестре.

То, что драйвер в системе установлен?

[Николай Головко 70]

Да. Теперь видим только запись в реестре.

Так она и так видна Ж)

Ну так и я о том же

[Ezhikkk 0]

У кого стоит Каспер 7,скажите,стоит ли его ставить?Система с ним не тормозит?И чем он лучше 6 версии?

Beta версия,вроде,бесплатная,если я не ошибаюсь..?

[Storm 0]

У кого стоит Каспер 7,скажите,стоит ли его ставить?

Это бета-версия и этим все сказано

Но думаю стОит

Система с ним не тормозит?

Не больше чем с КАВ 6.0

И чем он лучше 6 версии?

Лучше руткиты ловит и лик-тесты проходит.

Beta версия,вроде,бесплатная,если я не ошибаюсь..?

Да, Вы правы.

[Ego1st 95]

Storm кроме того эта бета первая полу рабочая, её ставить только для бета тестиования..

[Storm 0]

кроме того эта бета первая полу рабочая, её ставить только для бета тестиования..

Вот и я говорю, что это бета и этим все сказано.

[vaber 350]

Привожу скрины работы новых модулей в бетке касперского 7. В частности скрины детекта Кострата, анриала (драйвера удаляются) и скрины некоторых вердиктов эвристика.

Лично мне показалось, что эвристик неплохой и вполне может войти в тройку в майском Retrospective/ProActive Test на av-comparatives.org (если конечно успеют выпустить).

skrin.rar

skrin.rar