Перейти к содержанию
Сергей Ильин

Eset Nod32 - это модно и круто?

Recommended Posts

SAlex

Я лично сталкивался несколько раз с тем, что нод вирус обнаруживает, а удалить не может.

Еще была очень грустная история с Trojan.Packed.166 (Packed.Win32.PolyCrypt.d по версии касперского). По рунету прокатилась очередная волна взломов сайтов в середине сентября с инжектом шифрованного кода на данный вирус. Спустя почти 3 недели нод все молчал...хотя все остальные вендоры его уже добавили в базы. Я конечно понимаю что при желании подобную ситуацию можно найти для любого антивируса но все равно неприятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Еще была очень грустная история с Trojan.Packed.166 (Packed.Win32.PolyCrypt.d по версии касперского).

> ... но все равно неприятнo

Так ведь этот поликрипт может любой купить за 3 вебмани.

Да, он глючной и работает только на руской ХР-SP2 (и то не всегда), но его покупают и обертывают троянов, заточенных именно под русскую сцену. Да, он полиморфный, и масками его не зедетектишь. Да, он привязывается к константам ядра винды (поэтому работает только на определенных билдах). Но ловить-то это как-то надо. Чисто эмулирующие продукты типа нода отвалились сразу, мы делаем дженерики на код, а остальные похоже просто забили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Чисто эмулирующие продукты типа нода отвалились сразу, мы делаем дженерики на код, а остальные похоже просто забили.

Что значит забили? Наши записи типа Trojan.Packed.166 как раз прекрасно справляются с детектом этого безобразия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SAlex

Там кроме нода многие его не видели кстати: норман, аваст и иже с ними, панда выдавала generic детект. Веб как и каспер нормально справлялись, знаю потому как с утра дома видел детект веб ав каспера, а спустя пару часов специально посмотрел с работы (там сетка закрыта вебом).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
...

Так ведь этот поликрипт может любой купить за 3 вебмани.

Да, он глючной и работает только на руской ХР-SP2 (и то не всегда), но его покупают и обертывают троянов, заточенных именно под русскую сцену.

...

Да, он привязывается к константам ядра винды (поэтому работает только на определенных билдах).

...

ряд версий успешно генерит рабочее файло под Win2k

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> ряд версий успешно генерит рабочее файло под Win2k

Вполне возможно - шанс совпадения не так уж и мал - 1 к 256 =)

В смысле что в этом поликрипте есть сравнения типа "если байт по этому адресу не равен 55 то зацикливаемся". Адрес естественно где-то в kernel32.dll

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
> ряд версий успешно генерит рабочее файло под Win2k

Вполне возможно - шанс совпадения не так уж и мал - 1 к 256 =)

В смысле что в этом поликрипте есть сравнения типа "если байт по этому адресу не равен 55 то зацикливаемся". Адрес естественно где-то в kernel32.dll

ok. Спасибо за пояснения.

Чисто эмулирующие продукты типа нода отвалились сразу, мы делаем дженерики на код, а остальные похоже просто забили.

Что значит забили? Наши записи типа Trojan.Packed.166 как раз прекрасно справляются с детектом этого безобразия.

Что касается предмета разговора:

стало интересно, нагенерил файлов (в слегка извращенной форме - несколько сот) на трех известных обои продуктам версиях.

релизный DrWeb 4.44 (4.44.0.9170/4.44.1.10260) определил ~ 96 %

Kav v6.0.3.830 ... ~ 93 %

разумеется, это лишь голые слова. И причин верить - нет.

Просто не знаю, можно ли в данном случае употреблять слово "прекрасно".

(Валерий, это не персонально в ваш адрес шпилька.

Просто слишком много выражений вроде "отлично" и "гарантированно")

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Что касается предмета разговора:

стало интересно, нагенерил файлов (в слегка извращенной форме - несколько сот) на трех известных обои продуктам версиях.

релизный DrWeb 4.44 (4.44.0.9170/4.44.1.10260) определил ~ 96 %

Kav v6.0.3.830 ... ~ 93 %

Не понял, что Вы хотели показать этим тестом? Что Dr.Web больше задетектил, чем КАВ? Как у других антивирусов дела с этими нагенерёнными файлами? Незадетекченные файлы, а заодно и "генераторы" отправили в обе антивирусные лаборатории?

Добавлено спустя 4 минуты 16 секунд:

Ещё вопрос, на всякий случай. Вы проверяли все из сгенерённых файлов на то, что они запускаются вообще и сохраняют свои вредоносные функции в частности?

Просто слишком много в последнее время проводится тестирований по сильно "упрощённым методикам".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Что касается предмета разговора:

стало интересно, нагенерил файлов (в слегка извращенной форме - несколько сот) на трех известных обои продуктам версиях.

релизный DrWeb 4.44 (4.44.0.9170/4.44.1.10260) определил ~ 96 %

Kav v6.0.3.830 ... ~ 93 %

Не понял, что Вы хотели показать этим тестом? Что Dr.Web больше задетектил, чем КАВ?

Валерий, я не собирался никого задевать.

Хотел сказать только следующее:

если взять не самый новый ПолиКрипт (например, лежащий там и сям 1.4.1),

~произвольный десяток не самых распространенных (но детектящихся) малвар и убить полчаса на криптование данного добра,

то результат по детекту будет ощутимо отличаться от 100%

Поэтому выражение "прекрасно" показалось мне слегка преувеличенным.

Этим примером я не ставил целью какое-либо сравнение DrWeb и Kav

(это все будет позже), просто хотел показать, что вышесказанное актуально для сильных в данном отношении продуктов.

Как у других антивирусов дела с этими нагенерёнными файлами?

Дела обстоят "еще худше".

Незадетекченные файлы, а заодно и "генераторы" отправили в обе антивирусные лаборатории?

Все незадетекченные файлы, если не будет возражений со стороны Сергея Ильина,

будут предоставлены по завершении теста пакеров.

Ещё вопрос, на всякий случай. Вы проверяли все из сгенерённых файлов на то, что они запускаются вообще и сохраняют свои вредоносные функции в частности?

Просто слишком много в последнее время проводится тестирований по сильно "упрощённым методикам".

да, разумеется, все файлы были вполне работоспособны.

У некоторых (немногих) наблюдались незначительные визуальные последствия упаковки ресурсов (проще говоря,

потеря части битмапов и прочей графики). Что никак не влияло на функциональность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

NickXists, спасибо за информацию.

По моим данным, Пакеды, ссылки на которые приходят по почте, ловятся, замечательно. Конечно, у меня нет данных по сотням сэмплов. Но то, что видел в своей почте - этого для меня (со стороны пользователя) достаточно.

Будем ждать более точных результатов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Нод32 рулит! И базы обновлений халявные рулят! базы обновлений здесь видел: [link deleted by p2u]

Явная поддержка пиратства. Компания Eset одобряет такой вид обновления? У них точно будут проблемы с предложением 'Скачать ключ к Касперскому'...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Компания Eset одобряет такой вид обновления?

Не только одобряет, но, мне кажется, и поощряет! Все ради популярности! Иначе бы с ключиками к НОД32 было бы так же все проблематично. как к Авира или КАВ :)

Ведь почему НОД32 такой популярный? Былая слава самого мега-эвристического антивируса в прошлом + к этому самый простой способ пиратского обновления баз = самый популярный антивирус среди любителей халявы :) и они его действительно считают лучшим :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Не только одобряет, но, мне кажется, и поощряет! Все ради популярности! Иначе бы с ключиками к НОД32 было бы так же все проблематично. как к Авира или КАВ :)

Ведь почему НОД32 такой популярный? Былая слава самого мега-эвристического антивируса в прошлом + к этому самый простой способ пиратского обновления баз = самый популярный антивирус среди любителей халявы :) и они его действительно считают лучшим :)

ровно вчера вычищал трояшек у паренька с нодом, ответ на вопрос почему нод32 был интересным - это же лучший из БЕСПЛАТНЫХ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

А мне одна краля сегодня звонит и говорит, что ей мол не надо Касперского и ДоктораВеба, ей надо получше - Панду и Нод. Ей так специалисты с работы посоветовали.

И каким словом назвать таких специалистов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
И каким словом назвать таких специалистов?

молодцы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
молодцы?

мягко сказано... тогда уж -- крутомодные молодцы (в согласии с темой топика).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
И каким словом назвать таких специалистов?

* Если Панда и Нод, то тогда это очень уж крутые специалисты - девушке без их помощи дома не обойтись; если эти продукты вместе ставить на один компьютер, то тогда есть великая возможность, что Винда сама грузиться не будет.

* Если Панда или Нод, то тогда эти 'специалисты' уже по крайне мере лет 5 ни Касперского ни Доктора Веба вживую не видели, и поддерживают просто старые мифы, на которые особенно фанаты Нода тоже любят играть...

Офф-топ, но связано: Естественно ей имеет смысл заранее определить, какие программы на её компьютере несовместимы с желаемым продуктом по безопасности. Это не реклама, но я знаю, что ЛК, например, предоставляет для этого прекрасное он-лайн средство на их сервере во Франции: GSI Parser

Выбираем окошко 'Доступ для незарегистрированных пользователей', и грузим туда отчёт тулзы SystemInfo (установка не требуется). Подождём минутку, и сайт вам скажет, какие программы на компьютере несовместимы с продуктами Касперского. По крайне мере у вас есть возможность оценить заранее, будут ли проблемы такого рода, или нет, и можно будет либо заранее отказаться от установки, либо вызвать помощь более опытного друга для решения проблемы. Я считаю, что каждый производитель продуктов безопасности должен это делать если он действительно заботится о своих (хотя бы потенциальных) клиентах. Выковырять плохо удалённые элементы (драйвера, библиотеки (dll), и пр.) предыдущих программ защиты - неприятное занятие, и тем более не под силу среднему пользователю... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А мне одна краля сегодня звонит и говорит, что ей мол не надо Касперского и ДоктораВеба, ей надо получше - Панду и Нод. Ей так специалисты с работы посоветовали.

И каким словом назвать таких специалистов?

Ребята могли специально посоветовать слабенький антивирус, чтобы потом прийти в гости для ликвидации активного заражения так сказать :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Ребята могли специально посоветовать слабенький антивирус, чтобы потом прийти в гости для ликвидации активного заражения так сказать :D

На этом наживаются, кстати, многие "эникейщики по вызову". Качают CureIt, вычищают частично систему, затем сливают с вареза (или чаще - триалку с флешки) Nod32, так что активность вредоносины на месяцок притихает... Получают за "лечение ПК + установку антивируса"... И вновь приходят через 2 месяца. На том и живут!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
На этом наживаются, кстати, многие "эникейщики по вызову".

Есть, кстати, и 'честные' ребята среди них, но они устанавливают пиратские версии настоящих антвивирусов и берут деньги по цене лицензионных.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

ну, вот...а может им просто девушка понравилась и ищут повод для свидания? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

(довольно)

Да я смотрю, вы тут все молодцы... (с)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
ну, вот...а может им просто девушка понравилась и ищут повод для свидания? :D

У "девушек", судя по общению с "сисадминами на час", чаще всего пивное пузико и неуемное желание продолжить лазать еще по порносайтам :)) К тому же гусары-эникейщики (в отличие от сантехников) с дам денег не берут!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег777

Ну я, например, в свободное время тоже могу сходить к друзьям компьютер полечить. Ради искусства и любви к компьютерам. К тому же - опыт, ведь все случаи уникальные и интересные.

Вот только я ставлю пробную версию КАВ (или КИС в зависимости от необходимости) и честно предупреждаю, что в течение месяца нужно купить лицензию. Или с человеком иду в магазин и пальцем показываю на коробочку. Его дело только денюжку заплатить.

Ну а расчет или пивом или кофе... Гусары денег не берут (с)

по-этому, чаще всего, мой визит ("чинить комп") однократный :( - больше помощь не нужна. разве только продлить лицензию. ;) Или пива попить...

А вот таких, которые за деньги ставят антивирус нод32, тем более с пиратским ключем, я терпеть не могу: халявщики, позорящие честное имя АйТишника :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Если Панда или Нод, то тогда эти 'специалисты' уже по крайне мере лет 5 ни Касперского ни Доктора Веба вживую не видели, и поддерживают просто старые мифы, на которые особенно фанаты Нода тоже любят играть...
Ребята могли специально посоветовать слабенький антивирус, чтобы потом прийти в гости для ликвидации активного заражения так сказать
Есть, кстати, и 'честные' ребята среди них, но они устанавливают пиратские версии настоящих антвивирусов и берут деньги по цене лицензионных.
а может им просто девушка понравилась и ищут повод для свидания?
А вот таких, которые за деньги ставят антивирус нод32, тем более с пиратским ключем, я терпеть не могу: халявщики, позорящие честное имя АйТишника

Ребята, всё правильно, все -- в точку!!! А та краля больше не звонила - видно нашла рублей за 100 описанных выше махинаторов с пиратскими пандами и нодами. Ну что ж, поделом, наверное.

прекрасное он-лайн средство на их сервере во Франции: GSI Parser
Благодарю за ссылку - понравилась. :)

посоветовать слабенький антивирус, чтобы потом прийти в гости для ликвидации активного заражения так сказать
Если бы они ещё знали как это делается. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×