Борис Шаров: Мы будем жить по другим законам

[alexgr 556]

или.главные герои идут в обход? обход увидим там, когда дойдут герои? как шли в мобильных антивирусах-главное прокукарекать-а там и трава не рости? Угроз по сути не много, но попытаться денюжек срубить? Версия 4.0 не научила?

Бууууу

Директор ООО «Центр технической поддержки «Доктор Веб» Алексей Гребенюк отметил, что семейство вирусов в скором времени будет пополняться новым поколением вредоносных программ для мобильных устройств в связи с широким распространением последних. Первый вирус этого поколения - Cabir2004, ориентированный на платформу Symbian, - породил длинную цепочку вариаций на тему. По словам Алексея Гребенюка, заражение такими вирусами может коснуться не только КПК и мобильных телефонов, но и других устройств, таких как автомобили представительского класса, самолеты, океанские лайнеры, уже сегодня имеющих технические контроллеры на борту, которые могут стать полноценными системами, пригодными для атак.

Слова - видимо А.Гостева. Мне они не принадлежат. Но проверить вариант заражения могу, что и сделаю - для вас, Александр

Добавлено спустя 1 минуту 13 секунд:

Бууууу

Дык ента... ОТВЕТ РЫНКУ! =)

Дык -эта... ответ Гостеву...А. Кстати, некоренному Москвичу

Добавлено спустя 39 секунд:

и таки - версия 4.0 не научила?

Добавлено спустя 3 минуты 3 секунды:

где она - ваша локальная эпидемия в Москве? Место определите - хочу сэмпл "вживую" схватиь на один из 3 телефонов -один смартфон под Симбиан, иные под альтернатывными ОС...Таки ГДЕ?

Добавлено спустя 3 минуты 46 секунд:

и где те тысячи/миллионы заражений в Украине? хочу увидеть либо услышать источник для презентаций Гостева

[A. 875]

Слова - видимо А.Гостева. Мне они не принадлежат.

http://spbit.ru/news/n8888/

[Иван 290]

я вот читал и у меня простите сложилось впечатление, что alexgr немного нетрезв....ужас какой-то, остапа понесло

даже комментить неохота

[alexgr 556]

Слова - видимо А.Гостева. Мне они не принадлежат.

http://spbit.ru/news/n8888/

Велик слог журналистов. Сорри всем, этого не читал. От себя замечу, что такого зверя, как Cabir2004, я просто не знаю. Не давали сей опус на вычитку :cry: Здесь - во многом - мнение журналиста, поскольку в докладе этого просто не было, а интервью у меня никто не брал. Так что не знаю, откуда подобный опус с ошибками.

Всей тусовке - извинения. Был неправ

Добавлено спустя 3 минуты 9 секунд:

а в целом - мое мнение - время мобильных зверей пока не наступило. Пока живем в борьбе с концептами

[Storm 0]

Так, давайте выруливать от мобильный вирей, к нашим, простым Win32.

Прошу кого-нить однозначно ответить на пару вопросов для разъяснения ситуации:

1) Признает ли Доктор Веб под словом проактивная защита следующий смысл? Проактивная защита - это метод или набор методов (в неком антивирусе) призванных обнаруживать вирусы неизвестные на данный момент специалистам вирусной лаборатории (этого некого антивируса).

2) Имел ли в виду Б. Шаров под словом "проактив" понятие проактивной защиты в указанном выше контексте?

У меня только одна просьба, отвечать на оба вопроса в виде: однозначный ответ + комментарий от себя (комментарий пишется по желанию, можно и без него).

ЗЫ К чему я? Дело в том, что Б. Шаров не упомянул что он имеет в виду под словом "проактив". К тому же есть еще одна деталь: если Spider Mail поймал в почтовом SMTP (исходящем) трафике вирус, то он тут же кидает сообщение вроде "На Вашем компьютере идет рассылка зараженных писем. Проверьте свой комп сканером". Разве это не проявление проактивной защиты в предложенном мной контексте?

Кстати, есть у Доктор Веба одна технология для борьбы в вирьем, "Spider-Netting":

http://www.antiviruses.ru/about_antivirus/spidern.htm

http://forum.drweb.ru/lofiversion/index.php/t26339.html

Добавлено спустя 14 минут 4 секунды:

Вот кстати и линк родственный:

http://sysadmin.mail.ru/pforum/viewtopic.p...4e8bb8ac8d034e3

[Valery Ledovskoy 1082]

Кстати, есть у Доктор Веба одна технология для борьбы в вирьем, "Spider-Netting":

Эта технология существует только в SpIDer Guard для Windows 9x. Без неё там довольно тяжко. Слишком дырявые эти ОС.

В SpIDer Guard для NT-образных Windows пока такого нет. Но есть много других приятных вещей.

[Storm 0]

Эта технология существует только в SpIDer Guard для Windows 9x.

Это я знаю, об этом я прочел по второму своему линку.

Но есть много других приятных вещей.

В плане проактивного детекта?

ЗЫ Здесь и далее под проактивной защитой я подразумеваю ту защиту, которая подпадает под мое определение.

[Valery Ledovskoy 1082]

В плане проактивного детекта?

ЗЫ Здесь и далее под проактивной защитой я подразумеваю ту защиту, которая подпадает под мое определение.

Нет.

[Dmitry Perets 30]

В плане проактивного детекта?

ЗЫ Здесь и далее под проактивной защитой я подразумеваю ту защиту, которая подпадает под мое определение.

Нет.

Почему нет? Как раз под определение Storm'а чудесно подпадает любая кодовая эвристика. А она в Др.Вебе есть... И даже совсем не плохо работает вроде как...

[Valery Ledovskoy 1082]

Почему нет?

Я ответил формально. В модуле SpIDer Guard нет эвристики. Она есть в движке, услугами которого пользуются все сканирующие компоненты, в т.ч. SpIDer Guard.

[Storm 0]

Эта технология

Ок, хоть это и не было вопросом, но все равно спасибо за прояснение ситуации. Вы можете ответить на два основных вопроса? Хотя бы на второй (думаю возможность сделать уточнение по внутрифирменным каналам у Вас есть. в крайнем случае Б. Шаров уже однажды заглядывал на этот форум, и мы по прежнему рады его появлению ).

Для удобства сразу линк дам:

http://www.anti-malware.ru/phpbb/posting.p...ote&p=23307

[Valery Ledovskoy 1082]

Я принципиально вчера и сегодня не принимал и не буду принимать участие в дискуссии по процитированной статье.

Т.к. Ваши вопросы сформулированы на основе материалов статьи Бориса Шарова, то будет лучше, если на эти вопросы ответит он сам.

Просто я могу неправильно проинтерпретировать его мысли, т.к. не знаю, что он подразумевал в том или ином случае.

Ближайшее время и место, где можно будет ему задать эти вопросы лично - ИнфоСекьюрити (26-28 сентября).

[Сергей Ильин 1538]

Мне лично не нравится направленность этой статьи. Дело даже не отказе от "проактива", которая бурно обсуждалась выше. Не радует посыл "все вокруг - плохие и глупые, а мы бдуем играть по другим правилам".

Примерно такой логики придерживается, например, Северная Корея. Но там государство может как-то прожить само, а Доктору Вебу нужны деньги рынка, который живет по другим правилам.

[Dexter 20]

Не радует посыл "все вокруг - плохие и глупые

Мне кажется, что посыл другой.

Суть в том, что они не хотят втирать доверчивому и необразованному пользователю якобы супер-пупер технологии от которых этому пользователю все-равно толку мало или нет.

Грустно мне, что стремление к честной игре стало чем-то предосудительным.

[Dmitry Perets 30]

Грустно мне, что стремление к честной игре стало чем-то предосудительным.

А мне грустно, что вы упорно находите в такой позиции "стремление к честной игре"...

[alexgr 556]

вот пример так называемого проактива

Из двух возможных действий выбираем «Закрыть»...Однако, несмотря на это, сразу появляются характерные для данного вредоносного кода признаки заражения. После перезагрузки появилось окно с предложением о перечислении денежных средств. Вместо индикатора текущего времени в правом нижнем углу появилась типичная для этого вируса надпись.

Таким образом, антивирус NOD32 не смог предотвратить заражение...

Что эндюзеру делать? С Plastix один на один будет ему не очень уютно

[Dmitry Perets 30]

вот пример так называемого проактива

Это пример эмулятора. Анализа поведения на "живой" системе у НОДа нет. Что очень помешает Eset'у в его ESS.

Таким образом, антивирус NOD32 не смог предотвратить заражение...

Ну... да =) Не смог. Есть такой грешок у НОДа. Не может он удалять файлики, которые уже пробрались в папку system32 и залочились, вроде как. Непонятно только, каким образом они туда проникают... Вроде ж должен был эмулятор словить ещё при попытке записи. Ан нет, не словил. Облом-с =)

А что вы этим хотели показать? Что "проактив" бесполезен? =)

[Dexter 20]

А мне грустно, что вы упорно находите в такой позиции "стремление к честной игре"..

Вот, например.

Вы любите колу, я кофе.

Я считаю колу ядом, Вы склоняетесь к тому что кофе невкусен, в нем не хватает присущего коле химического привкуса.

Выпив 2 литры колы Вы получите тот же эффект от кофеина, что и я от одной чашки.

Но эффект один и тот же.

Вы бесконечно видите по ТВ сказки про то, как замечательна, полезна и вкусна кола.

И потягивая её, постоянно думаете об этом.

Я просто пью кофе.

Схожи мы в одном.

И Вы и я получаем то, что хотим, рынок отвечает и Вашим и моим потребностям.

И это - великолепно.

[Dmitry Perets 30]

Вот, например.

Вы любите колу, я кофе.

Прочитал и тут же залил аватарку =)

[Dexter 20]

Вот, например.

Вы любите колу, я кофе.

Прочитал и тут же залил аватарку =)

Исправить фразу про 2 литра на три? ))

[alexgr 556]

А что вы этим хотели показать? Что "проактив" бесполезен? =)

Ни в коем разе! Это иллюстрация лишь того, что - пока эта технология находится на разных этапах разработки у различных вендоров - ни в коем разе не считать ее панацеей и рекламировать ее так широко... Ведь много обсуждений - это тоже реклама в какой то степени.

ЗЫ: 6 от ЛК не пропускает этого зверя. А НОД32 пропускает, а базы до сих пор не дополняет. Забота о юзере?

[Иван 290]

пока эта технология находится на разных этапах разработки у различных вендоров - ни в коем разе не считать ее панацеей и рекламировать ее так широко... Ведь много обсуждений - это тоже реклама в какой то степени.

Пресловутый проактив появился не случайно: это разумное стремление создать некие более универсальные алгоритмы детектирования, которые снимут нагрузку на вирусные лаборатории, корпящие над сотнями вирусов ежедневно.

alexgr, если бы статья была написана этими вашими словами, а не словами

"проактива не дождетесь", - усмехается Борис Шаров

мне бы она показалась более разумной и взвешенной

[alexgr 556]

я понимаю, но позиция моя остается прежней (хотя, может, я и устарел) - пока непонятно, что скрывают за "проактивностью" разные вендоры (я не оцениваю несколько определений, рожденных в рамках дискуссии в форуме - они мне интересны, безусловно) - получается какой то кошмар и неопределенность. Пример - см. выше на эффект от Plastix. Один ловит на уровне проактива и надежно блокирует, второй - имитирует... Поэтому для меня это - вопрос терминологии, который как то надо устаканить для того же эндюзера. Второе - технологии не стоят на месте и терминологические споры им нисколько не мешают. Причем как вирусные, так и антивирусные. Если у кого то появится скажем "превентивная" защита-по сути технологической это ничего не изменит, изменит, возможно, подход эндюзера (новый термин - новая защита - почему нет?), да и обратит внимание тестеров. В остальном займет свое место в строю, и не более.

В остальном - я думаю, что спор может превратиться в некий софистический собор с темой что лучше революция или эволюция? Но это сугубо мое личное мнение.

[aibolit66 0]

На мой взгляд Борис Шаров придерживается стандартного для Доктор Веб хода: если у нас нет какой-то технологии и мы на данный момент не в состоянии ее разработать - значит надо сказать всем, что эта технология не нужна, вредна или представляет из себя чистый пиар.

Как тонко подмечено, однако

[Артём 0]

Таким образом, антивирус NOD32 не смог предотвратить заражение...

Что эндюзеру делать? С Plastix один на один будет ему не очень уютно

Признайтесь, на каком флудо-форуме этот скриншот нашли?

У меня Нод перехватывает в момент его записи на диск!

И есть возможность для выбора действий!

Уже больше года прошло, а Вы всё с этим Пластиком носитесь!

alexgr

Откуда: Киев сообщение #453948 (Ответ на: #453941)

Дата: вс, 11 июня 2006 08:49

именно об этом и шла речь! из 6 один пропущен, один - весьма характерный для именно нашего рынка - обнаружен на уровне эвристика! И толковать приведенный собственный лог поэтому надо все же уметь. Это реально важно, поэтому легко пишется скрипт для этого, и сразу выплывает реальная цифра.

2. Я говорил еще о качастве лечения. Пластикс, запущенный под НОД - отрабатывает! Вот в чем был вопрос. Система, несмотря на сообщение НОД о подозрении,после этого скорее мертва, чем жива

3. Этот тестовый набор не давал распаковывать - ни Касперский, ни Доктор Веб. Отключал мониторинг. Иначе никак, просто все сразу в карантине.

4. Про кейген. Конечно, надо обновлять ядро. Потому что очень часто технологичеки ядро просто не в состоянии бороться с зверем нового поколения. Проверяли последовательно на нескольких версиях Нортон антивируса - эффективность на новых росла с версией! тут "+" СНГ шных продуктов в том, что ядро обновляется в период действия лицензии автоматически и бесплатно.

Файрволл в этих работах даже включал )

Кстати, тот тестовый набор Нод тоже не даёт распаковать!