Закрытые темы

[Yen-Jasker 265]

этот сампл известин майкрософт, и ссылка -вот и блочат, только зайти, можно и другим браузером и скачнуть по другому.

Потом у вирусо песателей 5 мельонов и одна ссылки и они все меняются , а сами файлы криптуются по 10 раз на дню, на самом деле такое базами и даже эвристикой можно брать только случайно. Когда это качает народ на вирус тотале нули, и майкрософт ещё не чего не знает.

КИС 2010 зарезал ссылку, жду кто даст тушку готового вируса .

А что это с форумом, почему у тебя написано - 0 сообщений?

[Guest MVRoot]

Судя по скрину - NIS заблокировал обмен сетью процессу спулера. Стало быть - с конкретно этим вариантом руткита после ребута активного в системе ничего не будет

ГЫ. конкректно этот Roоtkit, весь ставиться из файлу, с сетью он работает и много чего делает, а ещё скачает вири)

Будя)

[ak_ 395]

КИС 2010 зарезал ссылку, жду кто даст тушку готового вируса .

А что это с форумом, почему у тебя написано - 0 сообщений?

См. ПМ

В этом разделе сообщения не учитываются.

[Danilka 678]

А ESET его по любому ловит?Каждый новый криптованный файлик? О боже... Видимо его только на него и затачивают сейчас...

А потом читаешь посты:

Подхватил вирус,NOD нашел его,попросил перезагрузку и псоле загрузки-NOD больше не запускается...Что делать?

Лан,это все лирика....

[Maratka 30]

Меньше слушайте и верьте абы кому

KIS2010 блокирует инсталляцию данного руткита. Впрочем -скрин сотрудник ЛК уже давал на предыдущей странице.

Хочу подчеркнуть -именно блокирует, а не спрашивает "что делать", и делает это в обоих режимах - как "для профи", так и "для блонди".

Т.е. пользователю достаточно просто установить КИС2010 - все остальное КИС сделает сам. И с конкретно этим семплом, и скорее всего со всем семейством...

[Ingener 150]

Илья Рабинович, скажите пожалуйста - DW сможет защитить от подобных зловредов?

[Yen-Jasker 265]

Получил тушку Kryptik.VV. KIS 2010 не детектит его при проверке файла. Сейчас поставлю КИС 2010 на виртуальную машину и попробую запустить зловреда, посмотрим что скажет ХИПС и эвристика.

[vaber 350]

Хочу подчеркнуть -именно блокирует, а не спрашивает "что делать", и делает это в обоих режимах - как "для профи", так и "для блонди".

Это я выше уже написал

И с конкретно этим семплом, и скорее всего со всем семейством... smile.gif

Угу, со всем семейством. А вот Agnitum нет Виталий! Если Вы читаете эту тему - то имейте ввиду, что хипс outpost не все варианты блокирует Не то похукали =). Хы-хы

Илья Рабинович, скажите пожалуйста - DW сможет защитить от подобных зловредов?

Защищает, если будет "кодек", "флешплеер", "кряк" запущен недоверенным. Но если пользователь увидит, что его порнуха так и не идет - может и запустить доверенным...по тому кроме DW должен стоять и антивирус.

[Guest Просто_Юзер]

Так,это всё фигня.На днях всё-таки прогоню КИС 2010.

Посмотрим хоть что там...

А то я бету ставил - не понравилось.

[Илья Рабинович 521]

Илья Рабинович, скажите пожалуйста - DW сможет защитить от подобных зловредов?

Не "сможет", а уже давно защищает. Достаточно прогнать семпл через песочницу. Я сделал, а вы?

[Maratka 30]

Угу, со всем семейством. А вот Agnitum нет Виталий! Если Вы читаете эту тему - то имейте ввиду, что хипс outpost не все варианты блокирует Не то похукали =). Хы-хы

Ну мало нам "мирового лидера" с Авирой в этой куче - щас еще и Аутпост придет

А что, гулять так гулять!

Все выставляют все что у них есть по максимуму - у нас на сегодня KIS 2010, у Симентика NIS 2009, что там у Аутпоста?

И меряемся - у кого проще и дешевле получится зарезать вполне конкретного семпла, на пример ну скажем того же FlashPlayer'а

[Yen-Jasker 265]

Защищает, если будет "кодек", "флешплеер", "кряк" запущен недоверенным. Но если пользователь увидит, что его порнуха так и не идет - может и запустить доверенным...по тому кроме DW должен стоять и антивирус.

Мне интересно немного другое - у меня свежие базы КИС 2010, в задаче проверки объектов выставлена эвристика на максимум и углубленный поиск руткитов. Проверка объектов не детектит зловред.

Нет в базах - нет детекта? А где эвристика?

Может эвристика подкачала потому что это реальный зловред, а у моего теста нет спонсора - ЛК ?

[Guest MVRoot]

Не блокирует, где у вас там скин на установку сервиса-драйвера, блочил .tmp Я то знаю что не блочить 2010

А хелперы на Вирус-инфо, знають что кис2009 его пропускает, и кис2009 от определенных померать)

А узеры КИС -Сидят заруткнитиные И не очём не подозревают)

А вот ESS4 не детектя ни один файл(как и все авири -посля криптовак-хитрых) видит в памяти rootkit Win32/Rootkit.Agent.ODG, Win32/Agent.ODG , и эту штуку им не обойти не коды, стоит убрать файл-роткит -всё детект как и положено пропадёт)

[vaber 350]

Нет в базах - нет детекта? А где эвристика?

Может эвристика подкачала потому что это реальный зловред, а у моего теста нет спонсора - ЛК smile.gif?

Неужели Вы наивно полагаете, что все малвары детектятся антивирусами еще до компиляции? =) Вирмейкеры тоже хотят мани, потому использую всякие ухищрения, дабы добиться отсутствия эвристического детекта. Потому в таких случаях остается надежда только на хипс. С чем данный конкретный продукт на конкретной малваре успешно справляется. В отличии от многих других.

[ak_ 395]

http://www.virustotal.com/ru/analisis/1c26...3cac-1246387479

[Ingener 150]

Не "сможет", а уже давно защищает. Достаточно прогнать семпл через песочницу. Я сделал, а вы?

Я ничего не гонял, виртуальную машину для теста ставить лень, а на живой системе пробывать не охота...

Продукт у вас хороший, но меня жаба душит при мысле отдать 500 р. за ключик... И хочется, и колется как говорится...

[Yen-Jasker 265]

Неужели Вы наивно полагаете, что все малвары детектятся антивирусами еще до компиляции? =) Вирмейкеры тоже хотят мани, потому использую всякие ухищрения, дабы добиться отсутствия эвристического детекта. Потому в таких случаях остается надежда только на хипс. С чем данный конкретный продукт на конкретной малваре успешно справляется. В отличии от многих других.

Я полагаю, что если есть в продукте эвристика, то она должна не только фолсить, выдавая на нормальных программах "поведение, похожее на червя", но и детектить реальные вирусы.

Меня не интересуют тесты. В КИС 2010 зачем-то есть ползунок с тремя уровнями эвристики. Зачем он, если реальный зловред не детектится даже на максимуме?

Я много раз поднимал этот вопрос - в чем разница между разными положениями ползунка уровней эвристики (в Справке ответа нет), ответа от разработчиков до сих пор нет.

Может стоит отключить бесполезную эвристику при проверке объектов, если она не детектит реальные новые зловреды?

[Guest MVRoot]

Вот тема на такой же Rootkit -cамозашита не сработала

http://forum.drweb.com/index.php?showtopic=280870

На качпер 2009 куча тем на Вирус-инфо)

[vaber 350]

Меня не интересуют тесты. В КИС 2010 зачем-то есть ползунок с тремя уровнями эвристики. Зачем он, если реальный зловред не детектится даже на максимуме?

Зачем в машине на спидометре написано 240, если реально по дороге до работы больше 90 ездить нельзя? Нет детекта на этом семпле - будет на другом. Семпл аналитики изучат, выпустят апдейт модуля эвристики и появится детект. И он будет до тех пор, пока вирмейкеры не обратят на это внимание и не почистят пакер. Никакая эвристика не дает 100% детекта. Чем выше детект - тем выше риск увеличить процент f/p. Именно по этому кроме сигнатур, эвристиков есть еще женерики, хипс, песочницы и проч. Чтобы в случае, если не сработает один компонент - спасет другой. Видите - даже наличие урла в блэк листе спасает пользователя. Это тоже одна из ступеней защиты.

[ak_ 395]

Вот тема на такой же Rootkit -cамозашита не сработала

http://forum.drweb.com/index.php?showtopic=280870

На качпер 2009 куча тем на Вирус-инфо)

Виталик, а что же Нод тоже оплошал в той теме? http://www.virustotal.com/ru/analisis/d390...31c3-1245529767

[Guest MVRoot]

http://virusinfo.info/showthread.php?t=459...1%EA%E8%E9+2009

ентот такой же!

прибил кис2009)

А другие не прибивають, только он их неувидить)

[Yen-Jasker 265]

Зачем в машине на спидометре написано 240, если реально по дороге до работы больше 90 ездить нельзя? Нет детекта на этом семпле - будет на другом. Семпл аналитики изучат, выпустят апдейт модуля эвристики и появится детект. И он будет до тех пор, пока вирмейкеры не обратят на это внимание и не почистят пакер. Никакая эвристика не дает 100% детекта. Чем выше детект - тем выше риск увеличить процент f/p. Именно по этому кроме сигнатур, эвристиков есть еще женерики, хипс, песочницы и проч. Чтобы в случае, если не сработает один компонент - спасет другой. Видите - даже наличие урла в блэк листе спасает пользователя. Это тоже одна из ступеней защиты.

240 на спидометре при наличии электронного ограничителя скорости и запретов на езду на такой скорости - это маркетинг.

Ползунок эвристики с тремя уровнями - тоже маркетинг.

Если аналитики изучат этого зловреда - они просто добавят его в базу, и апдейт модуля эвристики не будет нужен. После выхода новой модификации зловреда эвристика опять ничего не покажет.

ХИПС защищает, но зачем нужно три уровня эвристики - чтобы тормозила и давала повод троллям кричать "КИС - тормоз"?

Если эвристика плохо ловит, то достаточно просто опции "включить эвристику" или "выключить эвристику", без ползунков, значение которых не описано в Справке.

Качество Справки заслуживает отдельного разговора, не буду упоминать что там натворили.

[Maratka 30]

Я полагаю, что если есть в продукте эвристика, то она должна не только фолсить, выдавая на нормальных программах "поведение, похожее на червя", но и детектить реальные вирусы.

В данном случае Вы спутали эммулятор с проактивной защитой.

Проактивная защита - это такая штука, которая смотрит на поведенеи прогораммы в реальной системе, и по некоторым ключевым событиям срабатывает. В данном случае срабатывание было на попытку ФАРа самоскопирываться на сетевой ресурс - чем и занимаются черви. Пояснять что такое черви я с Вашего позволения не буду.

Меня не интересуют тесты. В КИС 2010 зачем-то есть ползунок с тремя уровнями эвристики. Зачем он, если реальный зловред не детектится даже на максимуме?

Я могу рассказать это Вам, но Вы не поверите.

Впрочем попытаюсь....

Итак - если некий эвристик станет безошибочно детектить 100% зловредов без единого фалса, то

1) Это приведент к тому, что все остальные технологии, как то: сигнатуры, ПДМ, ХИПС станут неактуальными.

2) Это совершенно не устроит вирусописателей, ибо им за то деньги и платят, чтобы обходить антивири. И они свою работу делают. Потому этот эвристик рано или поздно будет обойден.

3) Что приведет к мировому коллапсу -ведь индустрия антвивирусописателей уже отказалась от ХИПСа и сигнатур.

Дошло?

Я много раз поднимал этот вопрос - в чем разница между разными положениями ползунка уровней эвристики (в Справке ответа нет), ответа от разработчиков до сих пор нет.

В чуствительности, и скорости. Повышая чувствительность, мы увеличиваем количество продетекченных объектов и садим скорость.

Может стоит отключить бесполезную эвристику при проверке объектов, если она не детектит реальные новые зловреды?

Если она у Вас не детектит реальные зловреды - то безуслово стОит отключить. Вы получите несколько бОльшую скорость проверки объектов.

[Danilka 678]

Yen-Jasker-эвристика у KIS/KAV 2010 не тормозит при любом уровне!

Сам проверь. Только уточню- не тормозит в прямом смысле этого слова. Естественно на производительность влияет.

[Guest MVRoot]

Виталик, а что же Нод тоже оплошал в той теме? http://www.virustotal.com/ru/analisis/d390...31c3-1245529767

Вот в том и фокус активного ESS4 увидит в памяти как Win32/Rootkit.Agent.ODG или Win32/Agent.ODG ,и эту штуку вирусопесателем не обойти проверено временем!!!

А Качпер2009-10 только опукается и нечего не увидить) Как минемум пока он в база не попадеть но из тем тогоже вирус инфо он удалить не могет и file.sys не увидить , а уж таких накриптуют автоматом...