Перейти к содержанию
~HDjack~

Можно ли доверять Trend Micro?

Recommended Posts

Сергей Ильин

Давайте все таки придерживаться темы это ветки!

Если есть желание обсудить "эластичность" вирусных движков, откройте новую тему, это совсем не сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

мы касаемся эластичности тренд микро..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
суть то правильная..

такой подход объясняется тем, что достаточно написать один вирус, затем произвести несколько процедур перепаковки и редактирования уже откомпилированного кода (в дебаге) и получится 10 разновидностей.. но посути - БУМАГА С ВИРУСОМ (исходник) один..

Сценарий, описанный вами, не практике не реализуется.

Автор вируса все перекомпилирует из исходников и порождает кучу вариаций на тему без колдовства над скомпилированным кодом. Все последние эпидемии это подтверждают.

Зачем кому-то модифицировать какой-нибудь Mytob? Для пополнения ботнета автора исходного вируса?! Он даже спасибо не скажет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

вопрос.. откуда вы знаете как на практике???

Важно, чтоб вирус не обнаружился.. какими методами не важно.

Но конечно.. проще изменять исходный код, но коллеги..

вы знаете какой процень скрипт кидди????? которые имеют только откомпиллированные варианты..

речь идёт не о майтубе.. чаще всего так модифицируют серверные части известных троянов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Автор вируса все перекомпилирует из исходников и порождает кучу вариаций на тему без колдовства над скомпилированным кодом. Все последние эпидемии это подтверждают.

Зачем кому-то модифицировать какой-нибудь Mytob? Для пополнения ботнета автора исходного вируса?! Он даже спасибо не скажет.

Я согласен с Михаилом, вирусописатели сейчас - это профи, бизнесмены в сфере криминала, им нет смысла менять чей-то вирус, что результатами пульзовался кто-то другой. Нужно увеличивать свои бот-сети для организации DDoS атак и рассылки спама, вот что может принести реальные бабки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
вопрос.. откуда вы знаете как на практике???

Вы можете назвать эпидемию, которая разразилась после того, как некто модифицировал известный вирус? Я --- не могу.

Важно, чтоб вирус не обнаружился.. какими методами не важно.

Правильно. Фокус в том, что чем изощреннее методы, тем медленнее работает антивирус, тем сложнее протестировать сигнатуры на сбои и ложные срабатывания.

Но конечно.. проще изменять исходный код, но коллеги..

вы знаете какой процень скрипт кидди????? которые имеют только откомпиллированные варианты..

Я не знаю. Мне всегда казалось, что "скрипт киддии" умеет пользоваться только программками-генераторами с GUI, а не менять код вируса в отладчике. Вообще угроза от скрипт кидди последнее время отошла на второй (если не на десятый план). Сейчас вирусы пишут матерые дядьки --- профессиональные программисты.

речь идёт не о майтубе.. чаще всего так модифицируют серверные части известных троянов

Расскажите подробнее. На примерах. Интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

понятно дело, концепция понятна..

комплекс защитных мер от общих угроз, но коллеги, давайте рассмотрим ситуацию, когда ревнивый муж засылает самопального трояна жене на рабочий комп..

зашёл на секурити лаб, и почитал мою болтовню с офтопиком.. какие прекрасные реверсивные трояны.. и о том что методов борьбы с ними нет..

зашёл в яндекс (отключил антивирус) набрал реверсный троян скачать..

зашёл на хакер .. почитал - сделал (это всё работает) не дураки писали (зачем то)

всё...

Антивирус молчит, файрвол молчит, инфо вотч, молчит..прокся бездейтсвует

..

меры борьбы на сек лабе я тоже написал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
понятно дело, концепция понятна..

комплекс защитных мер от общих угроз, но коллеги, давайте рассмотрим ситуацию, когда ревнивый муж засылает самопального трояна жене на рабочий комп..

зашёл на секурити лаб, и почитал мою болтовню с офтопиком.. какие прекрасные реверсивные трояны.. и о том что методов борьбы с ними нет..

зашёл в яндекс (отключил антивирус) набрал реверсный троян скачать..

зашёл на хакер .. почитал - сделал (это всё работает) не дураки писали (зачем то)

всё...

Антивирус молчит, файрвол молчит, инфо вотч, молчит..прокся бездейтсвует

..

меры борьбы на сек лабе я тоже написал.

Вы совершаете логическую ошибку. Угрозы общего характера (вирусы, спам, прочее) и целевые атаки, это разные категории. Для целевой атаки, упомянутый вами муж-программер, сначала проверит на антивирусе, как у супруги, что его детище не ловится, а потом отправит его. Если даже используется антивирус, который по достоинству оценил автор на упомянутом сайте, то "мужу" придется повозиться на 5 мин. дольше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

ошибок я не совершаю..потому что мы обсуждаем эластичность алгоритма работы антивируса.. по просьбе модератора.. только вашего.

на примере статьи из хакера..

И опять же напомню сигнатуру откомпилированного трояна сменить нельзя..поэтому даже при тех действиях, которые я описал.. троян должен быть отловлен (если есть такой метод).

муж необязательно программер.. тут не надо быть семь пядей во лбу, вы читали учебники по информатике??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Извините, но я не понимаю смысла такой дискуссии?

Брокер, что вы конкретно хотите доказать, что Trend Micro не идеален? ДА, любой антивирус не выдержит это испытание. Я вам даже больше скажу, целевая атака - против нее антивирус не спасет, тут уже используются другие методы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

тема называется

можно ли доверять.... ???

мы обсуждаем сильные и слабые стороны..

я лично ничего не имею против тренд-микро, но модератор попросил говорить не общими словами,а частностями..

Я поддверждаю, что таких испытаний мало кто выдержит..

Да простит меня модератор..

В любом случае, вероятность такой угрозы крайне мала.. :) это радует

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
ошибок я не совершаю..потому что мы обсуждаем эластичность алгоритма работы антивируса.. по просьбе модератора.. только вашего.

Я имел в виду другой вид ошибки.

В контексте Trend Micro: Компания Trend Micro исследует новые угрозы и старается оперативно представить средства противодействия им. Разумеется можно заменить "Trend Micro" любым другим антивирусным брендом и фраза останентся верной, с тем отличием, что разные компании немного поразному рассматривают разные виды угроз. Разрабатывать продукт, который защищает от несуществующей угрозы --- пустая трата сил и времени. Ясно, что грань между несуществующей угрозой и возможной угрозой не очевидна для неспециалиста.

То, что рассматривается в упомянутой статье --- это крайне маловероятный сценарий (так как не ясны мотивы злоумышленника), примеры использования которого мне не известны.

Описанный вами сценарий --- это целевая атака для защиты от которой антивирус не помошник. Разумеется, что некоторые антивирусы в некторой конфигурации могу защитить от целевой атаки, но это только по глупости атакующего, который не проверил свое детище на прогукте, который использует для защиты выбранная жертва. Расчитывать на глупость атакующего не стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Описанный вами сценарий --- это целевая атака для защиты от которой антивирус не помошник.

Да. Как я писал выше я согласен.

Что интересно, для отдельно взятой Компании любая атака, неизвестным её антивирусу вирусом, будет целевой. При этом только в случае премиум поддержки (с) у Компании есть гарантии того, что антивирус выпустит обновление оперативно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Что интересно, для отдельно взятой Компании любая атака, неизвестным её антивирусу вирусом, будет целевой.

Это будет не "атака", а эпидемия. "атака" --- не очень подходящее слово. А "эпидемия", "целевой" быть не может. Это даже не звучит.

При этом только в случае премиум поддержки (с) у Компании есть гарантии того, что антивирус выпустит обновление оперативно.

Да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

можно доверять,иначе список тех фирм котрые им пользуется небыл бы таким обширным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Georgy N. Budnikov

Господа, пользовался pc-cillin is 2006 всего 2 дня и поймал некую заразу: pc-cillin не запускается - выдает ошибку и выгружается из памяти; в системной панели появляется предупреждение о заражении компьютера и предлагается установить спец. софт (название не помню) при этом подменяется дом. страница. Этот факт вызвал неприятное ощущение, БитДефендером (не сочтите за рекламу, просто был под рукой) просканил систему, нашел несколько троянцев, trend micro anti-spyware тоже убил несколько гадов. В итоге, пока не переустановил pc-cillin, он работать не захотел. Что ж, оставлю пока его, посмотрю что будет далее. Хотя интерфейс, заявленные характеристики антивируса и низкая нагрузка на проц так обнадеживали. Всем удачи!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Вопрос: он - PC-cillin 2006 - был установлен на чистую систему? Стояло ли что-нибудь ещё из средств защиты в этот момент?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×