Перейти к содержанию
Burbulator

NIS 2010: Sonar не работает на USB drives

Recommended Posts

Кирилл Керценбаум
в Касперском для рабочих станций такое есть

В Symantec Endpoint Protection это тоже есть, так как Автозапуск на корпоративном ПК - не нужен и этим "злом" можно пожертвовать, домашние пользователи многим "злом" жертвовать не готовы, удобство важнее безопасности в данном случае

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
valet
в Касперском для рабочих станций такое есть :)

В KIS тоже наличествует. ;)

домашние пользователи многим "злом" жертвовать не готовы, удобство важнее безопасности в данном случае

А в качестве опции (по выбору пользователя) такую возможность сделать не планируется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GAndrey
в Касперском для рабочих станций такое есть

Вообщето отключение автозапуска со сменных носителей есть еще начиная с KIS2009. Так что это уже давно не новинка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Данная проблема эскалирована, думаю завтра к утру будет понятно - баг или такой дизайн

есть какие-то новости? бага (и когда обещают исправления) или дизайн?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
есть какие-то новости? бага (и когда обещают исправления) или дизайн?

Все не так просто, пока разбираются с чем это связано, с другими образцами детект на USB работает, с этим - нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Все не так просто, пока разбираются с чем это связано, с другими образцами детект на USB работает, с этим - нет

Кирилл, Вы так и не ответили.

Где ещё можно посмотреть состояние кейса, кроме как узнать по телефону?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Где ещё можно посмотреть состояние кейса, кроме как узнать по телефону?

Либо снова обратиться через Чат (на английском), либо по телефону - на русском

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
valet
А зачем?

Потому что данный функционал (автозапуск) потенциально опасен (что признала и MS), и пользователям, не имеющим достаточной квалификации для редактирования реестра и не нуждающимся в автозапуске, данная фича была бы полезна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
с другими образцами детект на USB работает, с этим - нет

У флешек обычно ФС FAT/FAT32. С этим не связано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Все не так просто, пока разбираются с чем это связано, с другими образцами детект на USB работает, с этим - нет

С учетом того, что другие зловреды на USB детектируются, имеется надежда, что все-таки проблема не в "дизайне", а значит, баг может быть исправлен.

Ждем хороших новостей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Появились ли какие-то новости?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Появились ли какие-то новости?

Как будет точно известно напишу - пока предварительно в следующем обновлении движка SONAR это должны поправить (пока разбираются в чем причина), так как движок обновляется вместе с Базами через Live Update - то как фикс будет, все произойдет автоматически

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
так как движок обновляется вместе с Базами через Live Update - то как фикс будет, все произойдет автоматически

т.е. раньше ноября эта ошибка исправлена не будет? (Если не ошибаюсь, где-то "говорилось", что след. обновление 2010-й версии будет в ноябре)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
т.е. раньше ноября эта ошибка исправлена не будет?

Почему? Как я уже сказал - движок Сонара - это часть сигнатурной Базы Сонара - обновить его легко (кстати с момента релиза 2010 версии Сонар уже обновлялся, кто-нибудь заметил?), как фикс будет и пройдет проверку качества - загрузится с очередным обновлением через LiveUpdate, думаю в октябре это точно произойдет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
(кстати с момента релиза 2010 версии Сонар уже обновлялся, кто-нибудь заметил?),

Я заметил фикс в виде отдельного файла на ФТП Симантека.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Я заметил фикс в виде отдельного файла на ФТП Симантека.

Это совсем другое

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Почему? Как я уже сказал - движок Сонара - это часть сигнатурной Базы Сонара - обновить его легко (кстати с момента релиза 2010 версии Сонар уже обновлялся, кто-нибудь заметил?), как фикс будет и пройдет проверку качества - загрузится с очередным обновлением через LiveUpdate, думаю в октябре это точно произойдет

спасибо! извините, я не понял, что Сонар это часть сигнатурной базы ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov

Как уже объяснил Кирилл, модуль SONAR обновляется и подвергается необходимым изменениям/исправлениям при помощи

обычных автоматических обновлений LiveUpdate - т.е. в любое время, по мере необходимости (см. рис.)

--->

97a0abd182b1.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Итак, проблема полностью исправлена, дата выпуска обновленной версии SONAR - конец октября 2009, сейчас идет процесс контроля качества

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak
Как уже объяснил Кирилл, модуль SONAR обновляется и подвергается необходимым изменениям/исправлениям при помощи

обычных автоматических обновлений LiveUpdate - т.е. в любое время, по мере необходимости (см. рис.)

--->

97a0abd182b1.png

То-есть если специалисты Symantec обнаружат новый вид вирусов или каких нибудь уязвимостей, решит добавить новый вид детекта (ну защиты) - они могут его выпустить, а Нортон закачает и установит его?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
То-есть если специалисты Symantec обнаружат новый вид вирусов или каких нибудь уязвимостей, решит добавить новый вид детекта (ну защиты) - они могут его выпустить, а Нортон закачает и установит его?

Совершенно верно и ждать для этого обновления самого продукта (также доступного обычно через LiveUpdate) совсем не обязательно, но так как при этом необходим жесткий контроль качества - от момента исправления до его публичной доступности может проходить до месяца

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

спасибо за хорошие новости :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Кирилл Керценбаум Vadim Fedorov

Очень рад, что проблема близится к исправлению.

А подробности багфикса подлежат публикации или это непубличная информация?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×