» Обзор антивирусов под Windows

MrThief
Старфорс - это аппаратная защита дисков от нелицензионного копирования. Никакого отношения к исполняемым файлам она не имеет. Если не знаете - хотя бы не пишите.

Цитата:

Для меня главное что они это делают, а другие - нет.

Это делает не антивирус, а хипс! KAV это не делает, KIS это делает, но KIS - комплексное решение, а не антивирус! А теперь почитайте название ветки.

gjf
Лично два раза был в гостях у Старфорса/Сейфнсофта(2005, 2008) - они давно не только железно диски привязывают, но и программно активируют и т.д. и т.п. Все что сделал человек - можно взломать - не надо так критично - может человек имел в виду программную защиту. Кстати Старфорс в последнее время не пишет на многих продуктах, что это они его защитили.

Добавлено:
gjf
Антивирус - это давно не антивирус - это еще может быть И/ИЛИ антишпион, антитроян, антиспам, фаервол(?!), антифишинг, блокиратор скриптов, HIPS, блокиратор рекламы и т.д. Да пусть меня извинят - подправил название шапки.
Ибо Xerox - это не только название фирмы, но и общее название всех копировальных аппаратов

gjf

Цитата:

Старфорс - это аппаратная защита дисков от нелицензионного копирования. Никакого отношения к исполняемым файлам она не имеет.

http://www.star-force.ru/solutions/products/sf_crypto/

и т.п.


Цитата:

Если не знаете - хотя бы не пишите.

Это в данном случае к вам относится.


Цитата:

Это делает не антивирус, а хипс!

Знаете, вы что-то сегодня жгете как-то необычно сильно. Есть исполняемый файл, накрыт, чтобы вы не кричали "лол", фемидой, внутри - троян. Запускаю сканирование - КАВ находит (а не говорит что подозрительная активность) там вполне конкретного трояна, все довольны. Аналогично - веб (там уже есть хипс?). Авира - молчит.
Проверялось очень просто - взял десятка два файлов с 2-3 модификациями одного и того же трояна, и кормил их вышеперечисленным антивирусам. Каспер с вебом четко называли где кто (и их результаты совпадали в том смысле, что модификации вирусов они группировали по одним и тем же файлам), авира молчала.
Короче - я уважаю ваши познания в других вещах, но здесь не в теме вы, а не я.


Цитата:

может человек имел в виду программную защиту

Именно ее и имел ввиду. Но, чтобы окончательно конкретизировать вопрос - общая система защиты там одна примерно, насколько я понимаю, только привязка к разным вещам идет в зависимости от задачи - к диску, к ключу и т.п.

George S

Цитата:

Да пусть меня извинят - подправил название шапки.

Тогда может в будущем имеет смысл и внести в шапку основные HIPS?
Темы здесь по основным, наиболее употребляемым - есть.
Только не понятно - как быть с фаерволами с HIPS - ведь это тоже
Цитата:

и др. средства безопасности

, но на деле - это все-таки фаервол.

KUSA
Обратите внимание как написал, главное слово: "на основе них". То есть если чисто хипс или фаер или антишпион(и такие еще есть) - то не ПРЁТ.

George S

Цитата:

"на основе них"

Я конечно извиняюсь, но давайте хоть в «шапке» грамотно писать.

Цитата:

и др. средства безопасности на основе них

должно быть так: «и др. средства безопасности на их основе»

http://forum.ru-board.com/topic.cgi?forum=5&topic=28861&start=940#18
Что я наблюдаю? Известный вор детектов Ikarus обновил свой движок!
Мало того, что уменьшил количество параноиков, с которых можно воровать, но и начал слегка изменять названия зловредов.

Посоветуйте.
Пользую KIS 2009 пробник уже 14 дней.
[more=устал...]За это время инет стал храмым: залогинеться на почту не выходит, флешь не показывает, странички грузяться кое как. Настроить фаер класическим образо невозможно. Ну и вечьные его окна. Понимаю, что большая часть проблем это, я, но для меня его настройки тёмный лес...[/more] Позарился на его комбайность, на изначальную дружбу компонентов. Какой сейчас Антивирус После KIS и нода лучший с неприменными: эвристикой, HIPS, самыми свежими базами, онлайн монитором ([more=...]веть нужно некое онлайн средство для выявления этого (03.07.2009 21:37:28    Обнаружено    вирус HEUR:Trojan.Script.Iframer    Веб-страница    http://www.allel.spb.ru/v-nashem-dome-neposeda/arkhiv-neposedy/mamina-shkola/    pervaja-strizhka.html)[/more])

---

Если надёжный анти- -вирь, -троян, -шпион, -фишинг, может быть фри софтом поделитесь инфой.

sanni00015
А что HIPS должен обязательно входить в состав антивируса-комбайна?
Зачастую такие комбайны только портят доброе имя HIPS. Лучше поставить отдельный.
Нормальный вариант: отдельный антивирус, который ловит вирусы (трои) и шпионы, отдельный HIPS и если надо отдельный фаер.
P.S. Я противник комбайнов, удобство - враг хорошего!

PrintScreen
Для тех у кого рация на бронепоезде или пуля в голове - только деббил(или нагулявшийся по прокасперным форумам - валите оттуда) может говорить о воровстве, о котором Вы говорите. Зайдите в ветку Икаруса и внимательно почитайте - там написано про одинаковые названия и т.д. и т.п.

Добавлено:
Zeesh
+1. еще "средства" надо на "средств" - сейчас подправлю. Просто задело и про русский язык забыл.

Viktor_Kisel, как же ты тогда прокомментируешь широко распостранённое на ру-борде противоположное мнение, что именно комбайн позволяет согласовать между собой действия всех трёх составляющий: антивиря, хипса и файера? И без этой согласованности никакая продуктивная работа этих составляющих вообще невозможна.

Viktor_Kisel
Спасибо.

Цитата:

Нормальный вариант: отдельный антивирус, который ловит вирусы (трои) и шпионы, отдельный HIPS и если надо отдельный фаер.

А как вы решаете вопрос совместимости ПО?

Есть мнение, что антивирусный сетевой монитор враг фаервола(позволяет обходить фаер), мнение огульное, но хотелосьбы услышать соображения на эту тему?

israel_rider

Цитата:

именно комбайн позволяет согласовать между собой действия всех трёх составляющий: антивиря, хипса и файера?

Во первых - это редко бывает такая согласованность чаще наоборот. Не пойму на чем основано такое мнение.
Во вторых - если и получается такая согласованность, то только за счет ущербности или антивируса или хипса или файера, а точнее обычно всех трех сразу, что показывает низкую эффективность использования комбайнов в ловле зловредов.
Единственно эффективным видом эдакого мини-комбайна может быть антивирус, который ловит и вирусы и трои и шпионы и руткиты, а остальные виды комбайнов (антивирус+фаер и возможно +хипс) - это обычно уже идут бесполезные пустышки.

Добавлено:
sanni00015

Цитата:

Есть мнение, что антивирусный сетевой монитор враг фаервола(позволяет обходить фаер), мнение огульное, но хотелосьбы услышать соображения на эту тему?

На примере WebGuad-а (проверяет входящий http-трафик) антивируса AntiVir Premium я действительно проверял и подтверждаю, что Internet Explorer выхдит спокойно через 80 порт (и другие программы тоже не помню какие - по идее все) несмотря на то, что он закрыт фаером. НО! стоит выключить WebGuad сразу фаер спрашивает выпустить ли прогу на желаемый порт или нет?

"...Раньше антивирусы эмулировали веб-мониторинг на уровне сокетов, сейчас практически все (может я и ошибаюсь - поправьте) работают по принципу локальной прокси. Итог - неплохая защита от вирусов и здоровая дыра в фаерволе. Приходится делать общий бан, а точнее ставить конкретные баны на модуль прокси антивируса, а так как всё лезет через модуль - то бан выходит общим. Впечатление такое, что вендоры просто пытаются вытолкать продвинутого пользователя к своим решениям типа Security Suite, поскольку внешний фаервол получается ограниченным."


Цитата:

А как вы решаете вопрос совместимости ПО?

На этот вопрос есть ответ у Astra55
Я могу сказать только что вопроса совместимости для меня не существует!!!, так как отдельный антивирус и отдельный фаер и отдельный хипс легко уживаются друг с другом. Наверняка это бывает не всегда, но обычно так.
У меня WinXP SP3. За другие виндовсы не скажу.

Viktor_Kisel

Цитата:

На этот вопрос есть ответ у Astra55

Такого вопроса нет, у меня прекрасно уживаются ЗонАларм, Риалтайм Дефендер и Авира. ДрВеб только сканер на всякий случай, пользуюсь крайне редко.

Viktor_Kisel

Цитата:

Во первых - это редко бывает такая согласованность чаще наоборот. Не пойму на чем основано такое мнение.

И такое бывает! Но тогда есть суппорт. А когда пользуешь три разных продукта - три разных суппорта будет хаять друг друга

Цитата:

остальные виды комбайнов (антивирус+фаер и возможно +хипс) - это обычно уже идут бесполезные пустышки.

Ну здрасьте! Вы верите в мгновенно распространяемый детект и cloud-технологии?

Цитата:

Впечатление такое, что вендоры просто пытаются вытолкать продвинутого пользователя к своим решениям типа Security Suite, поскольку внешний фаервол получается ограниченным."

Нет, просто вирусописатели через SPI/LSP научились сокеты обходить

gjf

Цитата:

Вы верите в мгновенно распространяемый детект и cloud-технологии?

Просто я хотел сказать что связка антивирь+файер хуже чем отдельный антивирь и файер.
Причина проста - в комбайны часто суют слабенькие файеры, бывает наоборот файер нормальный но антивирь слабый.
Также использование отдельного антивируса и файера одного производителя не есть хорошо.

Viktor_Kisel

Цитата:

Также использование отдельного антивируса и файера одного производителя не есть хорошо.

Это я вообще не понял. Это как?

Ну понравился нам фаер макафи значит антивирь лучше поставить не макафи а другой.
Почему так я сам точно не знаю. Есть такой совет.
По моему смысл в том чтобы у файера и антивируса были разные движки.

"Защита всегда должна строиться многоступенчато (отдельные модули от разных производителей)"

Добавлено:
gjf
Здесь есть очень интересные статьи можно почитать на досуге, я сам там далеко не все понял, но много интересного узнал: http://www.sendspace.com/file/crbkkj

Viktor_Kisel

Цитата:

Защита всегда должна строиться многоступенчато (отдельные модули от разных производителей)

Ну да, идея классная, да только утопичная. Коммунизьму не будет....


Цитата:

Здесь есть очень интересные статьи можно почитать на досуге, я сам там далеко не все понял, но много интересного узнал

Статьи познавательные, в которых ребята пытаются придумать идеально защищённую систему. То, что рекомендует некто fog очень напоминает систему созданную ради безопасности себя самой: куча компонентов один на другом, в итоге каждый привносит свою долю нестабильности, дыр и т.д., в итоге - некий монстр по типу "чем больше шкаф, тем громче падает". Хотя стоит отдать должное: товарищ в инете много лазил, много красивых названий программ понабирал.

"Недостатки и достоинства стенок" очень напоминают нашу ветку: товарищи ставят файеры, не настраивают их, не разбираются - но сразу бегут тестировать уязвимости. Что доставляет.

Остальную инфу даже не читал: про порты на Ру-Боарде есть очень хорошая ветка, а рассказывать мне азы - спасибо, поздно

Вчера шеф приволок на флэшке очередной авторан... Судя по статистике на вирустотале, этот файлик "засветился" еще 02.07.2009.
Результаты проверки на сегодня...
(по DrWeb'у информация странная, т.к. CureIt этот файл видел еще вчера...)

---

Собственно, сам файлик (для желающих, и кто успеет):
http://rapidshare.com/files/256733789/Autorun.rar.html
MD5: 21953E5538931B46ED76C72A7F9C102F
pass: infected

XenoZ

Цитата:

Собственно, сам файлик (для желающих, и кто успеет):
http://rapidshare.com/files/256733789/Autorun.rar.html

А файлик то где??? (В архиве только никому не нужный текстовый файл Autorun.inf)

Viktor_Kisel
Ну, что там у него внутри - не смотрел, - не экстремал... На что ESS тявкнул, то и выложил. А почему антивири срабатывают на текстовый файл - вопрос не ко мне.

XenoZ
Внутри вируса нет однозначно, на текстовый файл антивирус не может ругаться, если вирус конечно удален. Если в компе есть тот вирус то тогда антивирус ругается на текстовый файл, поскольку он пытается запустить вирус.

Viktor_Kisel
Антивирус ругается именно на этот файл. Дал же ссылку на вирустотал, проверь по контрольной сумме. Система чистая.
(ни на чем не настаиваю, никого не напрягаю... просто выложил факт срабатывания... возможно - false positive... а может и нет...)

Если это:

Код:
[autorun]
UsEaUtOpLaY=1
SHeLl\opEN=Open
OPen=storage\sys.exe
SHElL\opeN\coMmand=storage\sys.exe

Цитата:

Если это <...> вирус, то я - Евгений Касперский.

Здравствуйте, Евгений Валентинович!

Повторюсь:
Цитата:

почему антивири срабатывают на текстовый файл - вопрос не ко мне.

XenoZ
Каспер не срабатывает. Как другие - не знаю. Но уровень параноидальности сработавших ошеломляет: они, видимо, на самозапускаемые диски тоже так орут.

gjf

Цитата:

они, видимо, на самозапускаемые диски тоже так орут.

По этому поводу уже давно дали рекомендации и нормальные пользователи отключили все автозапуски.
Отключение функций автозапуска в Windows
Подробнее http://support.microsoft.com/kb/967715/
На сайте IKARUS в апреле публиковался доклад лаборатории разработчика о препарировании Conficker, в докладе был раздел и об этом
Что касается последнего Ikarus    T3.1.1.64.0    2009.07.17    Trojan.Autorun
То он лексиконом продукта определён под порядковым номером 1299.    Trojan.Autorun
http://www.ikarus.at/index.pl?content=http://lexikon.ikarus.at/cgi-bin/lexikon.pl?search_sigid=462103
Если есть желание можете отправить этот образец самостоятельно
Sample@ikarus.at
Sample в ZIP архиве с паролем : virus!

XenoZ
Надо было сразу открыть autorun.inf с помощью блокнота и потом проверить, есть ли на флешке файл, который через него запускается, т.е. sys.exe. Скорее всего, его там нет, иначе антивирусник нашел бы его при сканировании флешки. А реакция на autorun.inf — это нормальная реакция-предупреждение в связи с большим распространением вирусов autorun. Просто считается, что на флешке в принципе не должно быть таких файлов, хотя это не всегда верно. А то, что показал вирустотал — тоже нормальная реакция антивирусников на текстовый файл.

Zeesh

Цитата:

Просто считается, что на флешке в принципе не должно быть таких файлов, хотя это не всегда верно.

Ну я сомневаюсь, что антивирус отличит флешку от CD-ROM. А на CD-ROM такие файлы очень популярны - добро пожаловать в светлый мир фалсов!

Реально, если в autorun.inf закатан вредоносный скрипт - тогда я понимаю, а так файл абсолютно безвреден - чего пугать домохозяек?