Перейти к содержанию
Burbulator

NIS 2010: Sonar не работает на USB drives

Recommended Posts

Burbulator

День добрый,

к сожалению, вынужден подтвердить, что сонар не ловит вирусы, запущенные с флэшки

http://rapidshare.com/files/279911710/Sonar__usb_drive.rar

или тут http://www.sharemania.ru/0211219

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й

Да, есть такая бага.

Проверено не только на виртуальной, но и на реальной машине.

Небольшая деталь:

Если троян скидывает что-нибудь на НDD, то всё ловится,включая дропера, если нет, то гаси свет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Сейчас попробую через One Click Support как-нибудь написать в тех.поддержку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Интересно, комментарии от товарища Кирилла будут? Или опять виноваты неправильные тесты/тестеры/и.т.п.?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й
Или опять виноваты неправильные тесты/тестеры/и.т.п.?

Просто когда некоторые "тестеры" вместе с правдой гонят ложь, то не особо хочется отвечать.

Речь, например, про одного "тестера", который говорил про флешки, параллельно про то, что сонар так же не работает с файлами, находящимися на хдд до установки нортона. А это - ложь.

Ну и т.п.

P.S А мне тесты до лампочки, мне проще накачать разной малвари и посмотреть, кто как с ней борется.:)

Выводы веселые получаются относительно разных продуктов, успешно проходящих разнообразные тесты. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Просто когда некоторые "тестеры" вместе с правдой гонят ложь, то не особо хочется отвечать.

Речь, например, про одного "тестера", который говорил про флешки, параллельно про то, что сонар так же не работает с файлами, находящимися на хдд до установки нортона. А это - ложь.

Ну и т.п.

В бета-версии NIS2010, про которую писали мы с Данилом, сонар также не работал с файлами, "находящимися на хдд до установки нортона". Это была не ложь - как обстоят дела в релизе, не знаю - не проверял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Через чат, тех.поддержка сказала что они открыли кейс и дали мне его номер.

Где можно посмотреть его состояние?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й
Это была не ложь - как обстоят дела в релизе, не знаю - не проверял.

Проверьте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
к сожалению, вынужден подтвердить, что сонар не ловит вирусы, запущенные с флэшки

Данная проблема эскалирована, думаю завтра к утру будет понятно - баг или такой дизайн

Где можно посмотреть его состояние?

Можно позвонить по телефону и сослаться на номер кейса

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Можно позвонить по телефону и сослаться на номер кейса

А есть другие способы кроме телефона?

А то мне звонить в другую страну ради этого не очень хочется.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Да, есть такая бага.

Проверено не только на виртуальной, но и на реальной машине.

Небольшая деталь:

Если троян скидывает что-нибудь на НDD, то всё ловится,включая дропера, если нет, то гаси свет.

Простите, не имею возможности скачать и посмотреть видео сейчас, но по поводу бага: таки запускается и НАНОСИТ ВРЕД?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Данная проблема эскалирована, думаю завтра к утру будет понятно - баг или такой дизайн

Отлично! Хотелось бы до конца понять.

Самому странно от себя такую фразу слышать :rolleyes: , но хорошо, если баг - ибо тогда пофиксят, уверен.

Но если "дизайн" (что это означает?) - что тода?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Но если "дизайн" (что это означает?) - что тода?

Значит никто ничего исправлять не будет.:)

И Symantec потеряет одного пользователя. :rolleyes::rolleyes::rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GAndrey
Но если "дизайн" (что это означает?) - что тода?

Если бага, то поправят в скором времени.

А вот дизайн не меняется в течении одной продуктовой линейки, очень уж это дорого обходится.

Всетаки надеюсь что это бага, иначе мне очень жаль пользователей NIS2010.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Коллеги, во-первых, не будем делать из мухи слона, во-вторых, не будем попусту тратить время, с проблемой разбираются, а желание некоторых отдельных товарищей в очередной раз смешать Norton с грязью будут пресекаться, даже не надейтесь, вы здесь поддержки не найдете

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
про то, что сонар так же не работает с файлами, находящимися на хдд до установки нортона. А это - ложь.

Подтверждаю, что это не соответствует истине. А с целенаправленным распространением подобных инсинуаций, причем ничем не подкрепленных, столкнулся сегодня и на другом форуме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Проблема с флэшками актуальна, я об этом 18 августа писал ещё. Ждём решения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й

:)

Временное (а для многих полезное постоянное :)) решение проблемы, не подходящее, разумеется, для "домохозяек".

1. Отключение автозапуска.

и/или

2. Отключение запуска с флешек.

Для XP Prof

Пуск - выполнить - secpol.msc - политики ограниченного использования программ - дополнительные правила - правая кнопка-создать правило для пути - путь к флешке( F:\ или H:\ или какая у вас там буква) - не разрешено

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Ну, и в дополнение к предыдущему совету - прежде чем запустить исполняемый файл, перетащить его (скопировать) с флешки на рабочий стол.

Плюс эвристик на максимум, в агрессивный режим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
valet
Плюс эвристик на максимум, в агрессивный режим.

Это уже, имхо, перебор. Если при нахождении зловреда на жестком диске файлы нейтрализуются Сонаром, то и в повышении уровня агрессивности эвристика нет необходимости (если только не включить его на постоянку)

А вообще бага, при всей её кажущейся маловероятности и незначительности, достаточно неприятна.

Речь, например, про одного "тестера", который говорил про флешки, параллельно про то, что сонар так же не работает с файлами, находящимися на хдд до установки нортона. А это - ложь.

Это точно не ложь. Проверял. На бете - все так и обстояло. ;)

P.S А мне тесты до лампочки, мне проще накачать разной малвари и посмотреть, кто как с ней борется.:)

Правильный подход, экспериментальный. :)

Выводы веселые получаются относительно разных продуктов, успешно проходящих разнообразные тесты. ;)

Тесты - это тесты. Реальность - это реальность. Верить только тестам нельзя. Для информации посмотреть - это да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Это точно не ложь. Проверял. На бете - все так и обстояло.

На бете может быть, не ставил. А сейчас я с финалом, и Сонар чешет все, что было на диске, при первой моей мысли о запуске, и, чуть что, пихает в карантин. Уже тучу моих портативных прог туда закинул, которые уже 2 года как стоят. Еще раз: проверяет абсолютно все, что запускается, любой исполняемый файл, вне зависимости от времени помещения. Единственно - флешки не видит, это да. А слухи распускают про финал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Сам не могу сейчас проверить, потому прошу у кого есть возможность проверить проблему по внешним HDD, равно как и по HDD, подключаемых через переходник USB, 1394 и др. новые.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Дааа... было бы замечательно, если бы антиврусный продукт при установке предлагал пользователю отключение в любом виде всяких автозапусков в системе. Что-то вроде информашки, мол, для обеспечения дополнительного уровня безопасности, предлагает отключить автозапуск (поставьте галочку, а еще лучше, галочка уже установлена и пользователь ее должен снять сам, если он считает, что запуск ему жизненно необходим), но, естественно, оставить возможность обратного включения автозапуска в системе, буде такое потребуется настоятельно. Кажется, это не так сложно, а некоторые проблемы могли бы быть решены.

P.S. Хотя, судя по обсуждениям на форумах, с этим все же есть проблемы, ибо есть ряд приложений, которым без автозапуска никак, а жаль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Дааа... было бы замечательно, если бы антиврусный продукт при установке предлагал пользователю отключение в любом виде всяких автозапусков в системе. Что-то вроде информашки, мол, для обеспечения дополнительного уровня безопасности, предлагает отключить автозапуск (поставьте галочку, а еще лучше, галочка уже установлена и пользователь ее должен снять сам, если он считает, что запуск ему жизненно необходим), но, естественно, оставить возможность обратного включения автозапуска в системе, буде такое потребуется настоятельно. Кажется, это не так сложно, а некоторые проблемы могли бы быть решены.

P.S. Хотя, судя по обсуждениям на форумах, с этим все же есть проблемы, ибо есть ряд приложений, которым без автозапуска никак, а жаль.

в Касперском для рабочих станций такое есть :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://www.comss.ru/page.php?id=586 При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox ) https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/ Это происходит при пополнении базы SHA1 " Добавить хэши исполняемых файлов каталога в базу проверенных..." Но, не всегда.
    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
×