Перейти к содержанию

Recommended Posts

Latin

Ну вот дождался тестов от anti-malware продуктов Агнитума. Радует, надеюсь тесты продолжатся. Тем более, что защиту, как говорят, улучшат.

Добавлю свою ложку мёда ;). Просматривая эту тему вспомнил, что у OSS 6 в период бета-тестирования были проблемы с определением этого тестового вируса в архивах и решил проверить как сейчас с этим. Определяет. Все нормально.

Но это я к вопросу о комплексной защите о которой безустанно говорит Виталий. На той тестовой ВМ ещё установлен и KAV 6 и соответственно OSS отключил свой on-access для совместимости. Тем не менее запуск eicar он словил вот таким вот образом:

А вот OPF 4 нет.

tst_eicar_nomlw.png

post-673-1193931335.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Тем не менее запуск eicar он словил вот таким вот образом:

Очень смешно =) И какую такую память другого приложения пытается изменить Eicar?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Очень смешно =) И какую такую память другого приложения пытается изменить Eicar?

А сам EICAR тут ни при делах. Судя по скрину, запускается виртуальная машина DOS и куда-то лезет. Учитывая, что EICAR - прога досовская, то все логично...

Другой вопрос, что это не является обнаружением EICAR'а, как такового.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Другой вопрос, что это не является обнаружением EICAR'а, как такового.

Имхо это больше похоже на фолс =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin

Dmitry Perets

А это и не ложное срабатывание антивируса. Я, если вы помните, не говорил о том, что так его детектировал встроенный антивирус. Это окошко функции Anti-Leak которая как раз и отвечает за отслеживание подобных действий. Это скорее всего демонстрация "круговой обороны" от Агнитум. Контроль всего и вся, так превозносимый "Host Protection".

Вопрос в другом, почему сработал этот модуль на запуск DOS-загрузчика при дефолтовых настройках свежеустановленного ОСС? Как вы заметили, я написал, что ОР4 который установлен как рабочий и соответственно настроенный не сработал. И как надо поступить в этом случае пользователю? Ведь фактически, как прав dot_sent, это не является в чистом виде детект EICAR антивирусом, и соответственно не может быть ложной сработкой этого самого антивируса. Тем более, что в данном случае, как я писал, on-access отключён самим ОСС в целях совместимости с КАВ, а проверка на вирусы выполняется только on-demand.

Данный пример можно расценить что и при выключенном антивирусе защита останется и чем-нибудь да заразу словит. Вот только эта защита, опять же из данного примера, несколько э... параноидальная, это да, согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
qvazar

ИМХО: Как я понимаю, и как уже было описано, VirusBuster как отдельный продукт не слишком состоялся, и по большей части по причине малого процентного соотношения - есть/найдено, что не говорит о никчемности движка, а чаще о самой лаборатории и подборки вирусной коллекции, т.е. в простонародье "базы сигнатур", и по утверждению уважаемого "Виталий Я", именно свои базы, а не базы VirusBuster-овской лаборатории они использовать и будут, что не может не радовать.

Опять же стоит обратить внимание на то, что пока никаких сравнительных тестирований по поводу антивирусного компонента компании Агнитиум на движке VirusBusters - нету. И для себя я именно так позиционирую данное решение. Пока не возникает нареканий по поводу работы данного продукта.

Правда есть некоторые минусы,:

1. Хотелось бы видеть базы обновлений в более открытом виде, т.е. не запрятанные за тридевять земель в недрах локального диска, ну и соответственно разрешить обновление с локальных носителей, а не в обязательном порядке через центр обновления. Не мешало бы сократить в размере эти самые обновления, по своему территориальному нахождению не имею возможности безлимитного выхода в интернет, а качать порой массивные обновления ой как тяжело.

2. Не все пользуются почтовыми продуктами доблестной компании microsoft, почему бы не включить общую проверку анти-спамерной защиты или увеличьте количество поддерживаемых продуктов.

3. В 2008 версии по сравнению с 2007 и OFP интерфейс браундмаэра стал менее информативный, нету разделения, как было по протоколами TCP и UDP, а иногда ох как надо.

4. По поводу Веб-контроля, и конкретно блокировки рекламы по размеру, даже при введении адресов сайтов на которых не будет блокироваться реклама, она же всё равно на них блокируется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
и по утверждению уважаемого "Виталий Я", именно свои базы, а не базы VirusBuster-овской лаборатории они использовать и будут, что не может не радовать.

Может ткнете пальцем на это утверждение. Мне помнится смысл был такой: "мы будем использовать базы вирусбустера в сочетание со своими". Просто в ином случае какой смысл было покупать движок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
qvazar

в сочетание со своими
- строить коня, если он есть я думаю бессмысленно. Использовать полностью свои базы тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
строить коня, если он есть я думаю бессмысленно.

Сорри, не понял.

Использовать полностью свои базы тоже.

Вот про это я и говорю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
qvazar

Да просто ребятки взяли движок, насколько он хорош видно только им, взяли их наработки и добавили своих. Время покажет насколько действенно. Так сказать: "Весна покажет, кто где гадил" :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Да просто ребятки взяли движок, насколько он хорош видно только им, взяли их наработки и добавили своих. Время покажет насколько действенно. Так сказать: "Весна покажет, кто где гадил" Very Happy

Первые тесты будет уже в конце года, вот и посмотрим :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
Первые тесты будет уже в конце года, вот и посмотрим
Да, давайте посмотрим. Однако, пока это не началось, сделаем некие ставки - слабые места ВирусБастер и, соответственно, ОСС - детектирование пакеров/архиваторов, активное противодействие, скорость реакции...

Возможно что кто нибудь добавит свои варианты, но результат будет тот же. В общем сделаем ставки, господа! :)

Выигравший получит приз! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Приз - триалка ОСС :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Приз - триалка ОСС Laughing

Есть другой вариант - лицензионный Norton 360 :D

http://www.anti-malware.ru/phpbb/viewtopic.php?t=3692

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Выигравший получит приз! :)

Да я б даже полную версию с вирусБастером не хотел бы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

TANUKI

А ВирусБастер уже продается? На русском рынке такого продукта нет.

Сергей Ильин

Norton 360 - это freeware для anti-malware? ;) Разве это не раздел "Межсетевые экраны (Firewall)"? А то предлагать в нем хоть немного, но "шарящим" людям приз - продукт для домохозяек... :? (вспоминаем местные тесты на проактивку и detect rate + лик-тесты двух ведущих в этом плане порталов). Не понимаю :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Виталий Я.

Ну, благодаря стараниям Агнитума теперь появится, пусть и в коктейле с фаерволлом :)

А что еще в качестве приза предлагать? Помоему вполне логично. ведь у специалистов есть свои предпочтения, а простым посетителям форума - это отличный подарок если не для себя, то для знакомых домохозяек и домохозяинов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

TANUKI

для вас это будет просто антивирус в составе модуля Anti-Malware. кстати, brand placement в Аутпосте владельцам сайта должен нравиться ;)

Ну, а с распространенностью некоторых "защитных" "антивирусных" продуктов половина штатовских и китайских компьютеров дружными рядами в ботнеты и попадают, ибо защищающим по умолчанию фаерволом в них порой только пахнет :evil: ИМХО

Могу сказать, что OSS именно для простых пользователей и предназначен, хоть по воле модераторов и отнесен к фаерволам. Спасибо за упор на необычную для рынка "фаервольную" базу продукта. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

Виталий Я.

хоть по воле модераторов и отнесен к фаерволам.

да уж :) не место ему здесь боле, куда нить к "комбайнам" - Защита от вредоносных программ - антивирусы, антишпионы (anti-virus, anti-spyware)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А что еще в качестве приза предлагать? Помоему вполне логично. ведь у специалистов есть свои предпочтения, а простым посетителям форума - это отличный подарок если не для себя, то для знакомых домохозяек и домохозяинов Smile

Ага, именно, отличный приз и подарок. Поэтому и предложил :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Релизнулся OSS 2008 Christmas Edition (вместе с OFP 2008), много чего зафиксено и улучшено. Из особо примечательного - новый движок VB с новым форматом баз, что дало экономию в размере 10 Мб (теперь дистриб весит 30-35 Мб в зависимости от типа процессора и локализации). Подробности вроде повесили в новости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Don't.Care.A.Fig

Outpost Firewall Pro (6.0.2220.223.0446) все еще не защищает от кейлоггеров - не проходит тесты Anti-Keylogger Tester'а http://www.firewallleaktester.com/aklt.htm (кроме directx (?))

(http://www.outpostfirewall.com/forum/showthread.php?t=22091)

в то время, как, например, Comodo Personal Firewall, если не ошибаюсь, проходит не менее 6 из 9.

Не всегда обнаруживает загрузку kernel-mode драйвера, пример - консольная утилита Kernel PS v0.4 http://www.virusinfo.info/soft/knlps04.rar легко прибивает сервис OFP и OFP при этом не выдает никаких предупреждений, иконка в трее на пару секунд становится серой, правда, сервис тут же перезапускается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

А есть утилиты. который проходят все 9 из 9 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

От файрволлов уже требуют ловли кейлоггеров ?

Ох ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin

A., вы правы. Когда был просто брандмауэр требовали прикрутить к нму антивирус. Прикрутили. Оказалось, что это плохо и сейчас многие говорят дайте нам просто фаер. Дали просто файрвол опять плохо, не ловит кейлогеры. Нет предела совершенства? :)

Don't.Care.A.Fig

А то что можно отрубить это плохо, наверное, хотя пару-тройку лет об этом и не думали вообще. Вспомните какие были тогда тесты вообще и на протечку в частности. А вот то что восстанавливается как раз и говорит о неплохом качестве самозащиты.

Согласны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×