 |
|
|
|
|
ФОРУМ /
КОМПЬЮТЕРЫ И МОБИЛЬНЫЕ ТЕХНОЛОГИИ /
Антивирусные программы
|
|
|
|
|
|
|
|
создать новую тему
•
написать сообщение
|
|
|
09:12 17 января 2011
|
|
тема
Антивирусные программы
|
|
 |
|
|
|
|
Сегодня попался на флешке файлик скрытый с иконкой в форме Notepad. Ежу понятно - вирус. Но Каспер не среагировал.
Загрузил файлик на сайт VirusTotal, который сканирует файл 42-мя антивирусами. Что имеем
Result: 21 /42 (50.0%)
То есть по факту 21 антивирус из 42.
Среди облажавшихся - Каспер, Нод, Доктор Веб, Аваст, ClavAV, Microsoft и некоторые, чьи названия вижу впервые
Среди обнаруживших заразу:
Comodo, F-Secure, McAfee, Norman, Panda, Sophos, Symantec. А так же такие не очень мне знакомые: Ikarus, Jiangmin, K7AntiVirus, nProtect, TheHacker...
То есть очень неоднозначно все...
Сейчас отправлю файл на исследование всем трем лабораториям. Посмотрим.
| |
 АРЕФ
писал:
Имхо, NAT провайдера
|
|
ИМХО, в данном вопросе не может быть "имхо". Нужно четко себе представлять что это такое и с чем едят. Учите матчасть, есть вещи поинтереснее реестра.
|
|
|
12:39 17 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
| |
Felis
писал:
Сегодня попался на флешке файлик скрытый с иконкой в форме Notepad. Ежу понятно - вирус.
|
|
и откуда могли зацепить такой свежий вирус? интересно.
тем более даже когда тот тест не показал ничего. тогда он очень свежий.
|
|
|
12:51 17 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
| |
Felis
писал:
Сегодня попался на флешке файлик скрытый с иконкой в форме Notepad. Ежу понятно - вирус. Но Каспер не среагировал.
|
|
| |
Felis
писал:
Среди облажавшихся - Каспер, Нод, Доктор Веб, Аваст, ClavAV, Microsoft и
|
|
| |
Felis
писал:
Среди обнаруживших заразу:
Comodo, F-Secure, McAfee, Norman, Panda, Sophos, Symantec. А так же такие не очень мне знакомые: Ikarus, Jiangmin, K7AntiVirus, nProtect, TheHacker...
|
|
| |
Felis
писал:
Сейчас отправлю файл на исследование всем трем лабораториям. Посмотрим
|
|
А может этот сайт просто таким образом рекламирует малопопулярные антивирусы. Это ж сколько времения и ресурсов надо было, чтобы проверить всего навсего один файлик!?
Очень бы хотелось узнать результаты исследования лабораторий. Так эти, которые обнаружили, чего говорят?
У меня вот в папке временных файлов интернета много подобных файликов даже с неуказанным типом файла бывает. Антивирус на них не реагирует. А я их просто удаляю, обнаружив.
| |
Felis
писал:
ИМХО, в данном вопросе не может быть "имхо". Нужно четко себе представлять что это такое и с чем едят. Учите матчасть, есть вещи поинтереснее реестра.
|
|
Да вот как ни учи, а все равно попадаешь в реестр. Да и через реестр намного быстрее бывает, чем пока доберешься по вкладкам.
PS. Интересный момент обнаружил с Каспером. У него есть настраиваемая функция контроля портов. Когда смотришь на свой комп из сети, то все порты, указанные для контроля, открыты. И вот насколько этот контроль Каспера может защитить от вторжения или тп.?
|
|
|
12:52 17 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
да это наверное лог файл или подобная мелочь.на том сайте наверное продвигают плохо продаваемые антивирусы.
|
|
|
12:55 17 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
|
| |
Felis
писал:
Загрузил файлик на сайт VirusTotal, который сканирует файл 42-мя антивирусами. Что имеем
|
|
| |
Felis
писал:
Среди облажавшихся - Каспер, Нод, Доктор Веб, Аваст, ClavAV, Microsoft и некоторые
|
|
Имхо, а может они там просто не умеют настраивать эти антивирусы или неправильно настраивают!?
|
|
|
14:42 17 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
| |
АРЕФ
писал:
Имхо, а может они там просто не умеют настраивать эти антивирусы или неправильно настраивают!?
|
|
Поделитесь пожалуйста, что нужно "настраивать" в каспере, что-бы в его базах появилась сигнатура данного вируса? Какой ключ реестра за это отвечает?
|
|
|
15:10 17 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
| |
АРЕФ
писал:
А может этот сайт просто таким образом рекламирует малопопулярные антивирусы.
|
|
Едва ли можно назвать Comodo, F-Secure, McAfee, Norman, Panda, Sophos, и особенно Symantec "малопопулярными".
Это обычный сервер с возможностью проверить файл множеством антивирусов. Удобно же.
| |
АРЕФ
писал:
Очень бы хотелось узнать результаты исследования лабораторий. Так эти, которые обнаружили, чего говорят?
|
|
Доктор веб ответил, что файл находится в их базе данных "чистых файлов".
Каспер ответил "вредоносный код не обнаружен"
Вот так. Половина антивирусов матерятся, что там "бэкдор", а у этих двух - вредоносный код не обнаружен. Бывают такие чудеса.
|
|
|
15:12 17 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
|
| |
Brain
писал:
Поделитесь пожалуйста, что нужно "настраивать" в каспере, что-бы в его базах появилась сигнатура данного вируса?
|
|
Так товарищ
Felis
же не назвал хотя бы как имя и расширение обнаруженной бациллы. И если какие-то там 50% антивирусов что-то определили, то они же как классифицировали угрозу? Как тут вам ответить про настройки Каспера?
|
|
|
15:19 17 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
А причем здесь имя и расширение? Как эта информация поможет попаданию сигнатуры вируса в базы каспера?
|
|
|
22:15 18 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
|
| |
Felis
писал:
Вот так. Половина антивирусов матерятся, что там "бэкдор", а у этих двух - вредоносный код не обнаружен. Бывают такие чудеса.
|
|
Меня так один антивирус из малоизвестных freeware с неделю дурачил - файлы cookie выдавал за обнаруженные и обезвреженные трояны. Больше ничего не находил.
|
|
|
22:23 18 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
|
| |
Brain
писал:
А причем здесь имя и расширение?
|
|
Ну как же!? У каспера есть такая настройка как "проверять файлы по расширению". В справке можно посмотреть список расширений по которым он проверяет файлы.
|
|
|
22:27 18 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
| |
АРЕФ
писал:
Ну как же!? У каспера есть такая настройка как "проверять файлы по расширению". В справке можно посмотреть список расширений по которым он проверяет файлы.
|
|
По умолчанию стоит настройка - проверять по реальному типу файлов. То есть детектирование вне зависимости от расширения.
Файл кстати был с расширением exe.
Нод32 прислал свое сообщение через 11 часов, они тоже не нашли в файле ничего плохого. Загадка.
|
|
|
23:25 18 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
| |
Felis
писал:
Нод32 прислал свое сообщение через 11 часов, они тоже не нашли в файле ничего плохого. Загадка.
|
|
ну а может там и правда нет ничего?
у тех антивирусов которые чтото обнаружили. есть же базы с описанием? что делает этот вирус?
кстати на практике не проверил?))
|
|
|
23:26 18 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
|
| |
Felis
писал:
Файл кстати был с расширением exe.
Нод32 прислал свое сообщение через 11 часов, они тоже не нашли в файле ничего плохого. Загадка.
|
|
Чтобы разгадать сию загадку надо просто запустить сей файл и посмотреть что будет и как будет реагировать антивирус. У каспера надо чтобы была включена функция мониторинга реестра или в самой системе включить аудит, в том числе и реестра.
А если пишите что семантик отреагировал, то на их сайте должно быть описание сей угрозы. Они там, имхо, своеобразно мыслят про вирусы. По крайней мере у них больше сообщений о новых вирусах( у меня такое впечатление сложилось).
|
|
|
09:54 19 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
| |
АРЕФ
писал:
Ну как же!? У каспера есть такая настройка как "проверять файлы по расширению". В справке можно посмотреть список расширений по которым он проверяет файлы.
|
|
Еще раз спрашиваю причем тут расширение? В выше описанном случае было "принудительная" проверка файла. Каспер в таком случае проверит любой блоб.
|
|
|
10:00 19 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
| |
АРЕФ
писал:
У каспера надо чтобы была включена функция мониторинга реестра или в самой системе включить аудит, в том числе и реестра.
|
|
Рестр, рестр, рестр. Запустить и посмотреть, ага. А если зараза просто снесет все файлы до которых сможет дотянутся?
|
|
|
10:24 19 января 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
| |
АРЕФ
писал:
Чтобы разгадать сию загадку надо просто запустить сей файл и посмотреть что будет и как будет реагировать антивирус.
|
|
Я мог бы так сделать и даже в виртуальной машине, что бы не экспериментировать на живой машине.
Только мне лень. Раз три вирусные лаборатории после исследования файла сказали, что он чистый, значит чистый.
| |
АРЕФ
писал:
А если пишите что семантик отреагировал, то на их сайте должно быть описание сей угрозы.
|
|
Вполне возможно, что этот вирус состоит из нескольких файлов. Собственно вредоносная программа и какой-нибудь вспомогательный файл-спутник, который сам по себе не несет угрозы. Вполне возможно, Симантек и многие другие лаборатории добавляют в сигнатуры как сам вирус, так и все его компоненты, что бы вычищать после него все без остатка. А Каспер, в частности, чистит только самого вредоноса, оставляя после него мусор в виде нерабочих Autorun.inf или вот таких файлов-спутников
| |
Brain
писал:
А если зараза просто снесет все файлы до которых сможет дотянутся?
|
|
А еще можно так:
1. читаем реестр (это ведь не возбраняется никак и даже программы мониторинга на чтение реестра не реагируют) - ищем в реестре программы, которые уже есть в ключах RUN
2. находим программу в автозагрузке (пусть это какой-нибудь неинтересный сервис под названием hplaserjet.exe, примочка к принтеру HP) и переименовываем оригинальный файл в hplaserjеt.exe, заменив в названии английскую букву e на русскую. Или например просто в hplaserjet1.exe.
3. Себя троян переименовывает в hplaserjet.exe и кладет вместо оригинального. Так троян попадает в автозагрузку. После того, как автозагрузка запустит трояна, он уже сам запускает оригинальный сервис
Таким макаром, троянчег может затесаться в систему, не тронув реестр.
Конечно, можно запустить трояна в виртуальной машине и не беспокоиться за последствия. Посмотреть. Может чего увидишь.
|
|
|
00:31 19 апреля 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
как вам каспер кристалл?мне кажется в плане защиты-хорош.но вот интерфейс-неудобное.вопрос такой-в меню сверху отображаются компы в сети-что это за компы?
|
|
|
00:43 28 апреля 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
попробовал kis 2012 понравился трёхмерный интерфейс, единственное ключи идут только бета но зато пробная версия на 90 дней
|
|
|
01:20 28 апреля 2011
|
|
тема
Антивирусные программы
|
|
|
|
|
|
|
на сайте каспера нет такого,только 2011.сам пока сижу на кристале,в принципе устраивает-только базы большие.
|
|
| |
|
|
|
создать новую тему
•
написать сообщение
|
|
|
|
|
|
|
|
|
