» Обзор антивирусов под Windows XP

Цитата:

во время установки retail-версий программ таких как Everest, Total Commander 6.53 PowerPack

пиратка у вас СЭР! Не реально это! Дистрибутивы с офф сайта чистые, не верю...... А коли пираткой пользуешься иди в другой топик!

Добавлено:
SIMSR

Цитата:

поставь например AVP5 и забери расширенные базы

это "гондурас"!

wood

Цитата:

это "гондурас"!

ААААА при чем здесь Южный Китай?
Я думаю, что Total Commander 6.53 PowerPack кроме как с офсайта скачать нельзя, максимум с других сайтов. Обычно собирает SAMLAB очень хорошо. Максимум что можно, переложить на другой варезный сайт. Сомневаюсь,что-бы кто-то стал уродовать сборку от SAMLAB с целью засунуть туда вируса. Скорее всего вирусняк у Viktor_Kisel сидит где-нибудь в темпах и просто не находится. Хотя все возможно.Вдруг это в BIOS и когда Everest пытается прочитать оттуда инфу заражает комп?

Добавлено.

ALL

Продолжение темы про упаковщики, начатой abz.

Цитата:

_http://rapidshare.de/files/5502293/trojan_to_test_nod32service.rar

- от AITL
McAfee VirusScan Enterprise пока ничего не нашел. Так что тестируемся, кому интересно.
Нашел F-Secure, но только после обновления баз. Добрый файлик.

Цитата:

ALL

Продолжение темы про упаковщики, начатой abz.

Цитата: _http://rapidshare.de/files/5502293/trojan_to_test_nod32service.rar
- от AITL
McAfee VirusScan Enterprise пока ничего не нашел. Так что тестируемся, кому интересно.
Нашел F-Secure, но только после обновления баз. Добрый файлик.

service.exe - модифицированный Win32/TrojanDropper.ErPack троян
Это определил Нод32 база 1.1236

Цитата:

Тема очень актуальна для данного топика

Цитата:

А так сджойненые файлы, насколько мне известно, попали только на стол сотрудников Касперского... пока что

18:09 23-10-2004
- И за год не могли дойти до остальных?
SIMSR

Цитата:

это ты серьезно, что EXE просто взял и проверил, и все, он чист?

- Если в первом приближении - как опасность от того, что он попал ко мне и лежит на диске - то этого достаточно. Если же это пакет инсталлера асп/упх/проч, то при запуске файла, всё, что из него выпаковывается, всё равно ведь проверяется тем же монитором. Ибо он включен всё время, а не только при скачке. То есть, не получается такой стадии, когда до "подарка" еще 2 ступени распаковки, а проверки уже нету.

Цитата:

Одним из дефектов данного продукта от доктора веба являлась упомянутая тобой эвристика, а именно режим динамического кода/метода. Как известно, он требователен к ресурсам, а этого добрые дяди из Веба перенести не могли, иначе его монитор не будет и таким легким, и радовать глаз обычного юзвера.

- То есть, хочешь сказать, что монитор данного продукта не включает эвристику, и потоум хуже остальных? Потому как остальные включают? Или потоум как ничем не выделяется?

Цитата:

Не помню в каком году, но только что вышедший DrWeb, совершенно неправильно обрабатывал упаковщик

- Все "только что вышедшие" проги страдают багами. иногда больше иногда меньше. И если за 2 года полностью рейтинг антивирей устарел, бо все продукты обновились, то смысл заявлять о баге **летней давности?

Цитата:

Ну ладно, вот тебе случай из практики.

И про старуху есть порнуха )) Поучительно. С другой стороны, у каспера контролцентр выгружался вирем, а это давало облом всему, что под ним запущено было даже несмотря на защиту компонентов, работающих изолированно. Об этом баге писалось много и хорошо.

Цитата:

Так что далеко не факт, что DrWEB и есть панацея!

- Заметь, я это не утверждал. Я опровергал заявление, что "каспер есть панацея, потому как грузит комп по самые помидоры" ) Доктор приводил в пример потому, как сам его пользую и чууууть лучше знаю его преимущества, по сравнению, скажем, с нортоновскими или нодовскими.

Цитата:

Также очень хорошие результаты дает McAfee Enterprise v8.0i with Patch 10

Ента.. а патч11 таки хуже? (я пока не юзал, просто интересно, это случайная оговорка, или что-то такое знаете, чего не знаю я? )

Цитата:

во время установки retail-версий программ таких как Everest, Total Commander 6.53 PowerPack

Вероятно, тотал стоит брать на оффсайте, а не где попало. С эверестом также. И не возникнет проблем с подарками.

Цитата:

Сомневаюсь,что-бы кто-то стал уродовать сборку от SAMLAB с целью засунуть туда вируса.

гЫ! Как-то не дошло сразу!!

SIMSR

Цитата:

Обычно собирает SAMLAB очень хорошо

...... и обычно делает "трояноподобные" действия в инсталлере! Разговор об этом был, по-моему, в теме Winamp'a
Посему, есть офф сайт - бери с него!

ребят ... ну блин достал маккофе... сколнялся к нему все более и более но достала такая ситуевина http://forum.ru-board.com/topic.cgi?forum=5&topic=7964&start=318&limit=1#1
почему каспер находит вирье посте маккофе встроенного в почтовик...

Hrist
У меня в KWF встроенный макофе тож пару раз пропускал вири в архивах. Поэтому там теперь плагин NOD стоит... А в KMS помоему можно одновременно 2 антивирусных модуля для проверки почты использовать? Дык и подключи еще че-нить...

И кстати я думаю, что эвристика в этих модулях не используется, видимо для экономии ресурсов. Потому что иногда бывает что модуль на фаере пропускает письмо с вложением и не вякает, а потом на клиенте антивирь какой-нить модифицированный троян в нем находит. И это при том, что антивирусы и базы используются одинаковые.

Я все это к тому, что по плагину нельзя судить о самом отдельном антивирусном продукте.

Цитата:

Продолжение темы про упаковщики, начатой abz.

Цитата:
_http://rapidshare.de/files/5502293/trojan_to_test_nod32service.rar
- от AITL
McAfee VirusScan Enterprise пока ничего не нашел.

касперский 5.0.18 с


Цитата:

Антивирусные базы в актуальном состоянии.
Дата антивирусных баз: 23.09.2005 23:42:49 (прошло дней: 5).

C:\...\service.exe является троянской программой удаленного управления Backdoor.Win32.Rbot.rq. Рекомендуется его удалить.


Цитата:

и обычно делает "трояноподобные" действия в инсталлере! Разговор об этом был, по-моему, в теме Winamp'a

Цитата:

Вероятно, тотал стоит брать на оффсайте, а не где попало. С эверестом также.

я несколько раз качал с сайта samlaba' a кое что например того же тотала, но ничего подозрительного у меня не было, правда его сборкой не пользуюсь по той причине что она мне не понравилась. Так что бери где нравится только как говорится доверяй но проверяй.

Цитата:

Если же считать слабостью, якобы невозможность проникнуть сквозь упаковку, то где инфа, что другие это делают?

вот свежо предание про упаковку - лидером месяца неожиданно стал вирус Email-Worm.Win32.Zafi.d
http://www.kaspersky.ru/news?id=171005378
а почему? не потому ли что - Червь упакован при помощи FSG
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=67825

Hrist

Цитата:

вот свежо предание про упаковку - лидером месяца неожиданно стал вирус Email-Worm.Win32.Zafi.d

тут вот почитай: http://vil.nai.com/vil/content/v_130371.htm , интерестное "лидерство", тебе пришел "случано" zip, который антивирусам знаком уж как год , ты его зачем-то открыл..... и....... Не пример!

Добавлено:
Top Corporate User Threats Tracked by AVERT Listed Alphabetically
Category: Corporate UserHome User

Name Risk Assessment
W32/Netsky.p@MM Medium
W32/Netsky.q@MM Medium
W32/Zafi.d@MM Medium

скжи еще , что Netsky "случайно" вылез. IMHO это все от того, что мониторы антивирусные отключают, ибо тяжелы некоторые движки антивирусные для обычных компов, и вложения чуждые открывают!
(писал об этом уже три страницы назад!)

Добавлено:
Про упаковку..... Файл для запуска должен быть распакован? Или он упакованный запуститься? Отсюда и пошли все ответы/вопросы!
Читаем тут: http://www.kaspersky.ru/faq?chapter=167980493&qid=163086370

Цитата:

Почему в версии 5.0 монитор (постоянная защита файлов) не проверяет архивы?
В версиях 4.ххх Антивируса Касперского существовала возможность проверки монитором архивных файлов. Эта опция по умолчанию была выключена, но пользователь при желании мог ее включить. При этом он получал предупреждение, что это приведет к резкому замедлению работы компьютера. Как показала практика, пользователи в основном игнорировали данное предупреждение, забывали про включенную проверку архивов и после этого начинали жаловаться на "тормоза" при работе с включенным антивирусом. Основываясь на этом, а так же на том, что проверка архивов монитором практически не имеет смысла, было решено в версиях 5.х убрать в мониторе (постоянной защите файлов) возможность проверки архивов. Даже если в архиве есть вирус, он все равно будет проверен монитором при распаковке из архива.

А теперь запускаем пробный файлик (в котором определяеться вирус - см выше (без расширенных баз - это я для пользователей МакАфии) ) и смотрим, что получилось?!

wood

Ты так и не понял про что идёт речь! Мы об сжатии exe, ты про архивы. Ну как так можно вести диалог?! Я уже и ссылку приводил - всё бесполезно...

_http://www.f-secure.com/products/anti-virus/

не могли бы объяснить, что отсюда нада качать? мне нужен обыкновенный антивирь как и KAV и доктор ВЕБ под Windows, желательно со встроенным фаером!

Да ёшкин-меть! Читать то будем или только кричать?
ссылка была дана не мною выше: http://zeus.sai.msu.ru:7000/book/cook/exepack.shtml


Цитата:

Упаковка исполняемых файлов в среде Windows как она есть

Когда же эти махинации всем окончательно надоели, программисты (вспомнив, что компьютер призван служить человеку, а не наоборот), додумались до автоматической распаковки исполняемых файлов "на лету". Идея заключается в дописывании к сжатому файлу крохотного распаковщика, которому передается управление при запуске файла, и который распаковывает исполняемый код не на диск, а непосредственно в оперативную память. Конечно, время загрузки ощутимо увеличивалось (особенно на машинах с медленными процессорами), но это с лихвой окупалось простотой запуска и экономией дискового пространства.

Распаковывает! какая принципиальная разница между упаковкой или архивированием? Черт-возьми, ну не могут столько специалистов по антивирусной безопасности ошибаться рекомендуя использовать антивирусные мониторы и прочее. Монитор должен проверить не только чтение, но и запись файла в оперативку или на жесткий диск. Тут вот и начинаются сложности. Об этом можно говорить и спорить, а то что предлагает кричащая общественность , просто не умно.

abspark

Цитата:

не могли бы объяснить, что отсюда нада качать? мне нужен обыкновенный антивирь как и KAV и доктор ВЕБ под Windows, желательно со встроенным фаером!

1.Ты для себя реши, что тебе нужно-антивирь или фаер. Все в одном-к добру не приведет.
Есть сабж Zone Alarm, там фаер не плох, но антивирь оставляет желать лучшего.
2.Оттуда качать не надо, обычно заходят в варезник и там подбирают. Но только учти, что сабж от f-secure очень требователен к процу (по срвнению с ним касп 5 - девочка ),
так что подумай.

Подумал....спасибо!
KAV 6 и Zone alarlm

Добавлено:
А в Zone Alarm вроде хороший фаер, а как насчет антивиря?!

abspark

Цитата:

А в Zone Alarm вроде хороший фаер, а как насчет антивиря?!

Ну только если в режиме мониторинга, а потом проверять все-таки все AVP.

wood

Цитата:

http://zeus.sai.msu.ru:7000/book/cook/exepack.shtml

Цитата:

Распаковывает! какая принципиальная разница между упаковкой или архивированием?

Пинимать надо...

распаковка - в память... это дело не проверяется антивирусами
разархивирование на диск - перехватывается и проверяется

Прогнал комп еще McAfee VirusScan Enterprise 8.0i with Patch 10 и очень много нашел шпионов и троянов в основном в креках, а в установленной проге StarStrider v2.7 показал вирус, это файл Verify DX9.exe. Я его удалил и инсталятор тоже, а установленную прогу запаковал в архив.

Продолжение темы про упаковщики, кому интересно, большя статья про AVP и CAB.

Цитата:

Действительно, компания подтверждает существование уязвимости в одном из модулей Антивируса Касперского, обеспечивающем обработку архивированных файлов типа CAB. Использование данной уязвимости приводит к сбою в работе антивирусной программы. Этот эффект проявляется исключительно при работе в среде Windows, и не затрагивает другие ОС.

Источник securitylab.ru
Для специалистов думаю интересео будет прочитать 2 часть комментариев.
Здесь неплохая база вирусов для тестирования. Но некоторые - староваты.
Десятка вирусов и мистификаций за сентябрь по данным Sophos.

wood

Цитата:

тут вот почитай: http://vil.nai.com/vil/content/v_130371.htm , интерестное "лидерство", тебе пришел "случано" zip, который антивирусам знаком уж как год , ты его зачем-то открыл..... и....... Не пример!

гы... мне он не приходил... и я его не открывал... это его открывают пользователи у которых непонять что стоит....

и я не про зип говорил а про паковку исполняемых файлов - "Червь упакован при помощи FSG"

ВНИМАНИЕ ВСЕМ ПОЛЬЗОВАТЕЛЯМ КАV

Обнаружена дыра в антивирусе Касперского Раздел: WWW

"Критическая" ошибка в антивирусном ПО «Лаборатории Касперского» позволяет злоумышленнику завладеть системами, в которых оно используется.

Как пишет в предупреждении секьюрити-исследователь Алекс Уэллер, проблема кроется в антивирусной библиотеке ЛК. Вероятно, что она влияет на многие продукты ЛК на разных платформах, так как библиотека используется в разных потребительских и корпоративных программных продуктах компании. Более того, могут пострадать и продукты других поставщиков, которые используют технологию антивируса Касперского, утверждает Уэллер.

В рекомендации French Security Incident Response Team (FrSirt) говорится, что злоумышленник может использовать ошибку переполнения динамически распределяемой области памяти (heap overflow) дистанционно, направив в уязвимую систему специально сформированный компрессированный файл CAB. Это можно сделать, например, по e-mail, и как только сканер антивируса Касперского обработает этот файл, злонамеренный код окажется в системе. Никаких действий со стороны пользователя при этом не требуется. FrSirt расценивает проблему как «критическую», что соответствует наивысшей степени опасности по ее рейтингу.

Представитель ЛК в Москве не смог немедленно прокомментировать проблему и пообещал, что российская компания изучит ее.

В недавнем отчете аналитической фирмы Yankee Group говорится, что для хакеров антивирусное ПО представляет собой низко висящий плод. По мере того, как запас легко используемых секьюрити-багов в Microsoft Windows иссякает, злоумышленники, чтобы проникать в системы, ищут слабые звенья в защите секьюрити-ПО. Этим летом на конференции по безопасности Black Hat Briefings исследователи Internet Security Systems обратили внимание на уязвимости в антивирусных продуктах. В частности, ISS обнаружила баги в продуктах таких производителей антивирусного ПО, как Symantec, McAfee, Trend Micro и F-Secure.

*Источник: Flaw found in Kaspersky antivirus
**Перепечатка с www.zdnet.ru


А мы, пользователи McAfee, довольно смотрим со стороны (без злорадства естественно)

EddyEd
Вчера же вышел патч и сам AV обновился. А вот McAfee также быстро реагирует на нашедшиеся уязвимости?

korn32
последняя оффициальная уязвимость была обнародована(найдена) уже полсле выпущенной заплатки к ней (речь шла об авнтивирусном движке). Лидерствао Касперского в проверке InstallShildow, уже тоже пофиксено в антивирусном движке Макафи версии 5,0 (пока правда только он существует в виде бета версии). Лично меня подкупает в продукте NAI легкость работы монитора и , в общем-то, стабильные результаты в антивирусных тестах.
В этом отношении интерестно почитать англоязычные форумы, группы новостей. Как я понял российские антивирусы котируются совсем не так , как об этом говорят в России.
В лидерах ходят: e-Trast, Symantec, NOD32, f-prot, NAI. О Касперском говорят - тяжел очень и тех поддержка очень слабая, о ДрВеб - много ложных срабатываний

wood

Цитата:

последняя оффициальная уязвимость была обнародована(найдена) уже полсле выпущенной заплатки к ней (речь шла об авнтивирусном движке).

Эт каторая?

Добавлено:
wood
Кста ты пробовал песледнюю бету КАВ (КИС) 2006? 207...?!

Пс надеюсь легкость мкафе не только при работе в режиме аля дрвеб - скан только при сознании новых файлов?

Добавлено:
wood

Цитата:

о ДрВеб - много ложных срабатываний

хуже - читай их форум - совсем испортились.. БСОДИТ

korn32
SXP

Последняя и предпоследняя и ранние уязвимости NAI не относились к категории КРИТИЧЕСКИХ и были пофиксены до их обнародования.

Цитата:

Лидерствао Касперского в проверке InstallShildow, уже тоже пофиксено в антивирусном движке Макафи версии 5,0

Ура.... по 1 пункту прогресс... через месяца 4-5 выйдет КАВ 2006 и Макафя будет ервно курить в сторонке

Цитата:

KAV исправят завтра
dl // 04.10.05 16:02
Лаборатория Касперского сообщает, что обновления, исправляющие CAB-уязвимость, будут выпущены во второй половине 5.10.05. Также отмечается, что аж с 29 сентября антивирусные базы включают сигнатуры возможных атак, способных использовать данную уязвимость, так что пользователи вроде как могут спать спокойно. Приятно наблюдать, как апокалиптический тон быстро сменяется на спокойную уверенность, как только речь заходит о своих продуктах
Источник: Лаборатория Касперского

SXP

Цитата:

Кста ты пробовал песледнюю бету КАВ (КИС) 2006? 207...?!

не люблю я "швейцарские ножи" - типа всё в одном! А общение с КАВ 5,0 отбило охоту вообще смотреть их продукты.

Добавлено:
вот еще , что красиво-то:

Цитата:

На данный момент эксперты "Лаборатории Касперского" осуществляют разработку экстренного обновления антивирусных продуктов компании, содержащих подверженный уязвимости CAB-модуль. Уточненный список этих продуктов включает следующие: Антивирус Касперского Personal 5.0, Антивирус Касперского Personal Pro 5.0, Антивирус Касперского 5.0 для Windows Workstations, Антивирус Касперского 5.0 для Windows File Servers, Kaspersky Personal Security Suite 1.1. При этом антивирусные продукты версии 4.5 не подвержены воздействию уязвимости. Обновления для всех указанных программ, устраняющих CAB-уязвимость, будут выпущены во второй половине 5 октября 2005 года, и станут доступными для установки с помощью стандартных процедур загрузки обновлений.

SXP

Цитата:

через месяца 4-5 выйдет КАВ 2006 и Макафя будет ервно курить в сторонке

раздумывая над тем, как можно было родить такое "чудо"

Добавлено:
Вот обещанное SXP:

Highly critical McAfee flaws patched

By Shawna McAlearney, News Editor
18 Mar 2005 | SearchSecurity.com


http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1069087,00.html

wood
Нож - КИС
а КАВ - только антиврус

Добавлено:

Цитата:

раздумывая над тем, как можно было родить такое "чудо"

Угу... и как бы такое у себя создать

SXP

Цитата:

Угу... и как бы такое у себя создать

давно создан аналогичный продукт, называется McAfee InternetSecurity

bredonosec

Цитата:

То есть, хочешь сказать, что монитор данного продукта не включает эвристику, и потоум хуже остальных? Потому как остальные включают? Или потоум как ничем не выделяется?

Эвристический анализ состоит из статической и динамической проверки. Доктор веб
использует в основном статический метод проверки, практически не используя динамический.
Зря ты опять все яблоки в одну кучу сгреб.

Цитата:

Доктор приводил в пример потому, как сам его пользую и чууууть лучше знаю его преимущества, по сравнению, скажем, с нортоновскими или нодовскими.

После того случая, на докторе был поставлен большой и жирный крест. Тем, кто очень жадный ставился NAV, тем у кого было желание хоть изредка заплатить за софт, ставился AVP. Все вопросы по нему я сразу отвергал и отправлял людей в официальный саппорт, в том числе и тех, кто плакал под Автокадом, фотошопом и прочими тяжелыми приложениями из-за резко ухудшайся быстродействии системы.
Кстати, за все время, часть людей, кто пользовался нелиц. NAV со временем все-таки переборола свою жабу и решилась на покупку. Теперь это официальные пользователи NAV. Кстати, никто из них не поддался на пиар каспа, а зачем брать другой, у нас с NAV несколько лет нет проблем. Полностью согласен.

SXP

Цитата:

распаковка - в память... это дело не проверяется антивирусами
разархивирование на диск - перехватывается и проверяется

А если я просто открою в архиваторе, то што не перехватится?
Кстати, если-бы память не проверялась монторингом, (имеется в виду определенные диапазоны памяти – адреса), то зачем тогда вообще антивирь нужен?

Цитата:

Пинимать надо...

Я,я, фолксваген.



Цитата:

Кста ты пробовал песледнюю бету КАВ (КИС) 2006? 207...?!

Ты про ту версию, песледнюю , в которой они уже у F-Secure идеи мягко говоря позаимствовали (а по нашему – у…ли). Ну так ума много не надо, скачал, поставил, понравилось, Ctrl+C, Ctrl+V + свой интерфейсик и .опа-фокусы, новый год, а с ним и новая версия антивируса.


Цитата:

Пс надеюсь легкость мкафе не только при работе в режиме аля дрвеб - скан только при сознании новых файлов?

Почитай пожалуйста сообщения от wood, при записи и чтении.


Цитата:

Ура.... по 1 пункту прогресс... через месяца 4-5 выйдет КАВ 2006 и Макафя будет ервно курить в сторонке

Занервничаешь тут, когда все ключи к брату каспу забанены, а вместо обновления баз получаешь ежедневно по 5 мегабайт одного только блеклиста. Тут уже не обновлений баз.


Цитата:

Нож - КИС
а КАВ - только антиврус

Ты прав, это уже не нож, а кухонный комбайн каспа.
[img=http://img200.imageshack.us/img200/4614/avp121pu.th.jpg]


Цитата:

Угу... и как бы такое у себя создать

Такое создавать не надо. Оно не имеет права назаваться крутым антивирем.
Вот что бывает с каспом, после посещения некоторых варезных сайтов, его просто выгружают, а потом заражают комп.
[img=http://img149.imageshack.us/img149/2023/avp137wz.th.jpg]