Перейти к содержанию

Recommended Posts

Agent

Просто_Юзер

Был лишь один продукт - Norton AntiBot. А так, компоненты оптимизации можно приобрести в пакете утилит от Symantec Norton Utilites.

Так же исключительно Backup на 25 гб можно приобрести в отдельном продукте. "Norton Online Backup"(Если не ошибаюсь)

(Это не первоапрельская шутка wink.gif)

Сегодня не до шуток. Новая версия Конфикера выходит на охоту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Неужели?

Поговорим про кис8 - тут зависит от многого - например от наличия/отсутствия от цифровых подписей, от общего поведения программы в системе (какой SR) она наберет, от возможности провести нормальную эмуляцию и исследовать все действия (могу заверить, что провести эмуляцию моего лик-теста и правильно выяснить все что он делает в системе - это как 2 пальца об асфальт). и т.д

А если же говорить именно про поведенческие блокираторы, то, например кису7 совершенно безразлично есть цифр подписи или нет - он все равно спросит. Аутпост, вроде, аналогично поступает. авира если может нормально исследовать файл также обзовет каким-нибудь TR/Agent.* файл, меняющий тупо стартпэйдж в осле...

Иными словами вопрос в том - спрашивать у юзера о разрешении/запрещении смены стартовой в осле или нет, а также какой рейтинг опасности должен получать такой идиотский файл как вышеприведенный лик-тест:

1). отсутствуют цифровые подписи

2). открывает на чтение файл из папки с виндоус

3). не имеет видимых окон

4). не выдает никаких запросов

5). изменяет настройки браузера

6). молча завершает после всего этого свою работу

имхо, тут только установки дров не хватает.

:)

PS: как нортон360 реагирует на редактирование файла hosts ? ;)

PS2: если накодить по-быстрому просто файл, меняющий стартовую страницу на заданную без всяких обращений к файлам - для упрощения анализа файла антивирусами, то получим такую картину:

http://www.virustotal.com/ru/analisis/f6c3...933e9ffc6d53f24

С чего это все невзлюбили файлы, которые просто-напросто меняют стартовую страницу в осле?:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
С чего это все невзлюбили файлы, которые просто-напросто меняют стартовую страницу в осле?:)

Думаю, что людям всё-таки не нравится, когда кто-то без спроса что-то делает с их имуществом. Меня это не касается - у меня IE нет, но вы же сами говорите:

по-моему каждый уважающий себя антивирус (если есть хипс/пдм) или отдельно такая тулза орет благим матом на редактирование настроек браузера IE. К примеру кис8 (кинул знакомому этот файл) влет дает моему элементарному лик-тесту "кличку" HEUR:Trojan.Win32.StartPage :)

Именно поэтому и спрашиваестя: почему одно можно, а другое нет? Менять системные настройки через автозапуск явно троянское поведение.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

ну ведь смотрится на все действия комплексно....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
ну ведь смотрится на все действия комплексно....
если стартовую страницу менять с помощью javascript он орёт, а если с vbs-script - нет

Какой комплекс здесь играет?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

ява-скрипт - в браузере, вполне мозможно, что юзер и не хочет менять стартовую страницу - поэтому выдается благой мат о изменении стартовой.

а если запускать файл vbs, то это видимо считается действиями админа и пропускается.

хотя лучше все равно коворить методом лик-тестов или в крайнем случае их исходных кодов, что бы можно было реально от чего-то отталкиваться.

хотя это уход от темы обсуждения нортона360 и проблемы того нужно детектировать изменение стартовой страницы и нормально анализировать комплексно опасность приложения или нет..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
хотя это уход от темы обсуждения нортона360 и проблемы того нужно детектировать изменение стартовой страницы и нормально анализировать комплексно опасность приложения или нет..

По теме: надо бы, но это нереально из-за целовой аудитории таких решений безопасности.

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

ладно. замнем тему изменения стартовой страницы браузера - все равно уже больше никто, думаю, по данному вопросу высказываться не будет.

Следующий вопрос (теперь я уже буду зондировать почву, а уже потом только выкладывать лик-тесты, дабы избежать "спорных" лик-тестов):

полное блокирование всего GUI антивируса (окна программы, а также всех всплывающих сообщений - обнаружение вирусов и т.д - в общем полное исчезновение (сокрытие каким-либо способом) от глаз юзера вышеперечисленного. - является ли это багой или недоработкой или уязвимостью?..

(причем это достигается не разбиванием монитора об стену или его потушение программными методами - идет разговор об атаке непосредственно на антивирус)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
полное блокирование всего GUI антивируса (окна программы, а также всех всплывающих сообщений - обнаружение вирусов и т.д - в общем полное исчезновение (сокрытие каким-либо способом) от глаз юзера вышеперечисленного. - является ли это багой или недоработкой или уязвимостью?..

Если антивирус это позволяет, то тогда это всё равно не хорошо, конечно. Я бы скорее это назвал недоработкой. Само по себе прибитие GUI (теоретически) не должно ослаблять защиты и не должно сказываться на ядре АВ, хотя неудобств из этого будет всё равно куча.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Двояко. Если вредонос будет заблокирован и его выполнение провалится, то это недоработка, не влияющая на безопасность. Если вредонос запустится (настройки по умолчанию), то это полный провал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

priv8v

Мне кажется что ваш лик-тест очень спорен.

Его даже серьезным то считать сложно.

Проблема - надуманна

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
priv8v

Мне кажется что ваш лик-тест очень спорен.

Его даже серьезным то считать сложно.

Проблема - надуманна

Хватит безумно фанатеть от Симантека,а признать ошибку,которую нашли другие.А не только те "ошибки",как утверждаете,знаете только Вы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Хватит безумно фанатеть от Симантека,а признать ошибку,которую нашли другие.А не только те "ошибки",как утверждаете,знаете только Вы.

Просто_Юзер, Ваш оппонент ничего не утверждает, а лишь высказывает собственное мнение. :)

В конце концов, давайте, не будем ссориться. ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
Просто_Юзер, Ваш оппонент ничего не утверждает, а лишь высказывает собственное мнение. :)

В конце концов, давайте, не будем ссориться. ;)

Тест проводил человек, который похоже, только месяц назад узнал что такое антивирус.

Увы, но не знание у кого самое лучшее детектирование, не изучение тестов наводят на одну мысль - пользователь пришел сюда чтобы проводить антирекламу и придумывать вымышленные угрозы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Просто_Юзер, Ваш оппонент ничего не утверждает, а лишь высказывает собственное мнение.

В конце концов, давайте, не будем ссориться.

Да уж больно оно одностороннее.:)

Увы, но не знание у кого самое лучшее детектирование, не изучение тестов наводят на одну мысль - пользователь пришел сюда чтобы проводить антирекламу и придумывать вымышленные угрозы.

И у кого же самое лучшее детектирование?

На подобных людей не обижаются

Ну-ну...я на Вас не обижался.С чего Вы взяли...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
На подобных людей не обижаются :lol:

Это прямое оскорбление участника. Прошу убрать. Причём, вы обижаете очень компетентного человека; я его давно знаю - он тоже с virusinfo.info. Он не обязан знать все результаты по тестам, но то, что он говорит важнее, чем то, что пользователи обычно читают в рекламах!

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Значит, тест AV-Comparatives реклама? Ммм...это важное для меня открытие.

я его давно знаю - он тоже с virusinfo.info.

Вы про "Просто-юзер" или про "Priv8v"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов

Коллеги, не раздувайте из мухи слона, не переходите на личности.

По поводу Av-comparatives.org, почитайте старые топики 1-2х годичной давности, там все разложено.

К Клементи также много вопросов как и к большинству лабораторий, да видов тестов у него всего два (читай критериев выбора).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Александр Шабанов

Вы, лично, будете верить любительским тестам, угрозы выявленные в которых не стали глобальными и опасными, как говорили и яростно утверждали тестирующие, или авторитетным тестовым лабораториям?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Вы про "Просто-юзер" или про "Priv8v"?

Ник - это виртуальное имя,можно было бы правильно написать...

Паул имел ввиду про priv8v .

Те,кто пытается доказать что Ваше мнение ошибочно либо про ошибки в программе,Вы либо посылаете на *** или слепо отказываетесь верить.

Противоречите много себе...сначала говорите что в каждой программе есть ошибки и в Нортоне,но как только нашёл человек "не из тестов",так это враньё.

Эксперты тоже люди,и тоже ошибаются.

Рискну предположить,что 40% в программах,находят именно пользователи.

А слепо верить тестам,не годится.Как сказал Рашевский Роман:"Самый лучший тест - это у себя на компьютере".В тесте напишут что Нортон невозможно удалить,и Вы поверете?Я бы не брался утверждать,если бы сам не пробовал пользоватся.

Одними тестами руководствоватся - толку тоже большого не даст.

P.S.Тут Вы не имеете влияния на модераторов.Так что от дискуссии уйти не удастся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
Александр Шабанов

Вы, лично, будете верить любительским тестам, угрозы выявленные в которых не стали глобальными и опасными, как говорили и яростно утверждали тестирующие, или авторитетным тестовым лабораториям?

Если бы я верил тестам "авторитетных лабораторий", мы бы здесь свои тесты не проводили.

А авторитет лаборатории лишь зависит от методологии, качества проведения и желания учиться на ошибках.

Деление на "авторитетные" и "любительские" тесты считаю некорректным, авторитет понятие очень субъективное.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Просто_Юзер

Где же я послал на три буквы? И кого? Покажите мне на форуме АМ или на каком-либо другом где я это делал.

И что за влияние? Сон приснился?

Я не буду комментировать этого. Ни в одной теме форума Anti-Malware.ru

p2u

Если "Просто-юзер" прав, то Вы ошиблись. Я не оскорблял Вашего товарища. Я наоборот его уважаю за проделанную работу, но...верится как-то не очень.

Кстати! Столь ужасной опасности, указанной в тесте обнаружено не было. Если бы была такая проблема - пользователи уже бы доложили АВ-Компаниям про новую угрозу. Но залатывать в своих продуктах то, чего похоже нет - невозможно. (Если есть - прошу привести пример пострадавших от этого)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Если "Просто-юзер" прав, то Вы ошиблись. Я не оскорблял Вашего товарища.

Я скормный человек, и всегда готов признать свою неправоту. Кого вы бы ни оскорбляли, подобное:

На подобных людей не обижаются :lol:

я не терплю ни от кого и ни в отношении кого-либо!

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

У Вас Личный ящик на АМ переполнен. Хотелось бы написать сообщение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
У Вас Личный ящик на АМ переполнен. Хотелось бы написать сообщение.

Ещё хуже: я его сам закрыл - PM отключено.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×