Leopoldus

как убедиться, что Symantec AntiVirus действительно работает

В этой теме 13 сообщений

Всем доборого дня.

Читал когда-то в Инете, что вирус или троян могут заблокировать Norton AntiVirus так, чтобы пользователь об этом не догадался, то есть, имитируетеся активность NAV (иконка NAV в system tray показывает, что монитор Files System Auto-Protct включен)? У меня возникло подозрение, что на моем компе после запуска одного подозрительного файла стало как раз происходить нечто подобное. Смотрел статус служб NAV в Services, большинство имеет статус активных (Started), но некоторые другие отключены (нпр. SavRoam, Symantec SPBBCSvc и др.). Впрочем, может, так и должно быть?

Кроме того, происходит задержка с автоматическим обновлением вирусных баз, хотя с ручным обновлением никаких проблем. Например, сегодня 07.07.2008, а база обновлялась в последний раз 04.07.2008, то есть, 3 дня назад, хотя в настройках LiveUpdate задан интервал обновления каждые 720 минут

Если опасность подобной имитации, в принципе, существует, то можно ли как-то проверить, работает ли NAV на самом деле или только делает вид?

Заранее спаисбо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если опасность подобной имитации, в принципе, существует, то можно ли как-то проверить, работает ли NAV на самом деле или только делает вид?

Создать тестовый файл Eicar сохранить, запустить...

Если он обнаружен - защита работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Создать тестовый файл Eicar сохранить, запустить...

Если он обнаружен - защита работает.

Спасибо, это работает.

Маленькая поправка к совету: при включенном мониторе File System Auto-Protect запускать тестовый файл не требуется, достаточно просто сохранить текстовый файл на диск, причем с любым именем и расширением, например, test.txt а не только .COM.

Правда, совершенно непонятно, почему при сохранении на диск страницы HTML http://www.viruslist.com/ru/search?VN=EICAR-Test-File, содержащей данный код, этот HTML-файл всё-таки не определяется как вирус :o

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Потому что eicar это

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

и ничего больше. А посмотрите HTML-код сохраненной странички...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А посмотрите HTML-код сохраненной странички...

Я тоже сначала подумал, что там этот код как-то хитро разбит невидимыми спецсимволами и пр. Но когда проверил HTML-код страницы, то увидел, что ничего подобного: этот самый "вирусный" код там пристутствует в явном виде без всяких искажений. Что и повергло меня в удивление.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так и должно быть, потому что наличие в html-файле фрагмента тестового файла - не повод для срабатывания антивируса, по крайней мере, потому, что в этом виде он не запустится и не выведет свою зловещую надпись :)

Так же, как слово "virus" в тексте файла тоже не 100% признак его вредоносности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так и должно быть, потому что наличие в html-файле фрагмента тестового файла - не повод для срабатывания антивируса, по крайней мере, потому, что в этом виде он не запустится и не выведет свою зловещую надпись

Так же, как слово "virus" в тексте файла тоже не 100% признак его вредоносности

+1

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так и должно быть, потому что наличие в html-файле фрагмента тестового файла - не повод для срабатывания антивируса, по крайней мере, потому, что в этом виде он не запустится и не выведет свою зловещую надпись

Так же, как слово "virus" в тексте файла тоже не 100% признак его вредоносности.

При всем уважении к гуру осмелюсь заметить, что данное объяснение кажется противоречащим логике.

Как я уже писал, NAV определяет "вирис" при сохранении кода на диск в файл test.txt и автоматически блокирует этот файл и помещает его в карантин.

В чём же принципиальная разница включением кода в файл с расширением .TXT и файл с расширением .HTM? В обоих случаях файлы не являются исполнимыми (при этом HTM как тип все-таки потенциально более опасен, чем TXT, так как может содержать скрипты и пр.).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В чём же принципиальная разница включением кода в файл с расширением .TXT и файл с расширением .HTM? В обоих случаях файлы не являются исполнимыми (при этом HTM как тип все-таки потенциально более опасен, чем TXT, так как может содержать скрипты и пр.).

Разница в том, что HTML-файл, в котором код EICAR'а находится в середине файла, не сможет быть запущен на выполнение, даже если его переименовать из .html в .com. А вот если переименовать текстовый файл, содержащий только тело EICAR'a из test.txt в test.com, то он будет вполне исполняем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот если переименовать текстовый файл, содержащий только тело EICAR'a из test.txt в test.com, то он будет вполне исполняем.

Понял, спасибо! Это действительно логично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Создать тестовый файл Eicar сохранить, запустить...

Если он обнаружен - защита работает.

На современной ОС (x64) не получится запустить этот файл, к сожалению :(

____

Почти "Итальянская забастовка". Я добрый, отзывчивый, культурный, все строго по правилам. Прошу обращаться на ВЫ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Но детект все равно есть (Win 7 x64).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скажите есть ли разница между купленным и скаченным Symantec AntiVirus ?? Не могу определится Мне сказали, что я могу его купить на http://www.softmagazin.ru/soft/antivirusy_i_bezopasnost/symantec но там и цена я смотрю не малая, просто чтобы не прогадать, что бы не получилось, что я выкинул деньги, а потом сидел локти кусал. Подскажите плз !!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS