» Обзор антивирусов под Windows

George_S

Цитата:

все антивири имеют почти одинаковую базу(они обмениваются между собой)

Я чуть со стула с утра не упал от смеха. Это очень... оригинальная точка зрения. Настолько оригинальная, что обсуждать её будет сложно.

Цитата:

антивири имеют почти одинаковую базу(они обмениваются между собой)

не обмениваются а тырят друг у друга лучшее

Цитата:

тут главная сила - маркетинг

я бы сказал правильный менеджмент, а какой идиот конкурентам помогать будет?

Цитата:

а на нас юзверей пофигу, вот и получается, что 100% защиты никогда не будет

причина не в этом, просто вирус нужно найти и иследовать чтобы в сигнатуры добавить
ато параноидальная эвристика закосячить может или юзер с проактивкой напутает!

HDD Падайте, падайте! А вот об этой организации что-нибудь слышали?: www.wildlist.org - вы думаете ее основное предназначение тесты?
И напоследок: http://www.agnitum.ru/news/securityinsight/issues/september2007
Это открытая статья, а есть еще и другие данные переданные на словах от других организаций...
Цитата: "Первым шагом мы собираем образцы «вредоносин» («сэмплы») и файлы, содержащие подозрительные вредоносные коды, чтобы проанализировать их и, возможно, включить в нашу базу сигнатур. Сэмплы мы получаем из разных ресурсов: через наш сайт, от партнеров, в том числе и других производителей anti-malware ПО– если где-то происходит «вспышка инфекции», то работаем все вместе, чтобы пользователи могли получить защиту по возможности скорее"

Добавлено:
Да, чем-то редким может и не обмениваются (сами наверное их придумывают). Но в основном все где-то рядом...

Цитата:

Это очень... оригинальная точка зрения. Настолько оригинальная, что обсуждать её будет сложно.

Цитата:

не обмениваются а тырят друг у друга лучшее

))
то, что юзвери сами посылают тем или иным на проверку вирей - ничего не значит? Или сотрудники работают на конкурентов, делясь инфой? )
И движки тож одинаково работают, только почему-то у одних в 4 метра умещаются, а у других - в 400, (остальные 396, вероятно, порнокартинки, только найти их надо, да?
Оригиналы блин ))

George_S

Цитата:

все антивири имеют почти одинаковую базу(они обмениваются между собой)

Формально ты прав. На 85-90% базы одинаковы. Проблема в реакции на новые вирусы и модификации существующих (скорость добавления, знание пакеров/крипторов, ловить эвристикой, по поведению, ...).

Цитата:

вероятно, порнокартинки

Никто не подскажет где порнофилм у нортона в меню че-то не найду а посмотреть охота!;))

Цитата:

сами наверное их придумывают

у ДрВеба такое на сайте в разделе мифоф!

Цитата:

И напоследок: http://www.agnitum.ru/news/securityinsight/issues/september2007
Это открытая статья, а есть еще и другие данные переданные на словах от других организаций...

На словах все тоже против америки глобализации мелкософта в конце-концов а в реалии

Цитата:

Падайте, падайте!

но обмен в основном на словах и чисто в рамках приличия мол других тоже уважаем

???

.... а в реалии спасти может только голова и руки!
вот результаты проверки отловленого руками зверя :
http://www.virustotal.com/ru/resultado.html?88df81ccd0f25e7dd2cb0ffd31d57b3d от 05.12.07
и ранее тот же результат (от 08.11.07).
Хотя McAfee VSE 8.5i не позволила заразить тестовый компьютер этим вирусом (спасли настройки "Защита доступа").
Тех поддержки и Касперского и McAfee молчат уже месяц ...

Проявление вируса заключалось в возрастании исходящего трафика (в пределах 190-200 Мб/сут.) , после удаления вируса это прошло.

Цитата:

Проявление вируса заключалось в возрастании исходящего трафика (в пределах 190-200 Мб/сут.) , после удаления вируса это прошло.

А куда траф? Или стены не было, чтоб поглядеть, знакомые ль ИПы скачут в логе

http://www.virustotal.com/ru/resultado.html?ef020e3082a225a826122e0cc01e8435
http://www.virustotal.com/ru/resultado.html?19aa2cd56abf98dd93f9ca30fcb65ede
Во втором, мне кажется, видно у кого одинаковые базы вирусов.

ZWERTRAX
Известно, что в F-Secure входит ядро Каспера. И вот видим, что у Каспера есть детект
not-a-virus:AdWare.Win32.Agent.at
а у F-Secure нет. Кто поможет объяснить:
1. В F-Secure не входят расшир. базы Каспера?
2. Базы от Каспера для F-Secure реже обновляются ?
3. На virustotal.com у F-Secure неправильные настройки? (имхо именно так)

Цитата:

1. В F-Secure не входят расшир. базы Каспера?

Не входят.

Цитата:

2. Базы от Каспера для F-Secure реже обновляются ?

Хз.

Цитата:

3. На virustotal.com у F-Secure неправильные настройки? (имхо именно так)

Имхо да)))))

Там вроде ядро старое.

HDD

Цитата:

Цитата:

Цитата: 1. В F-Secure не входят расшир. базы Каспера?

Не входят.

Господа Знатоки,
а что ПРАКТИЧЕСКИ делать в такой ситуации?:
скачивал лекарство, мой Аваст тормознул закачку из-за трояна (Win32:Small-DJC).
На http://www.virustotal.com/ru/resultado.html?b9c5b280e2babd4acfb9026b35e60f55 результат был 11/32 (34.38%).
Как убедиться, что это лекарство, а не яд?
Может сейчас антивири автоматом заносят файл в зловреды, если в названии есть "кейген"?

Sssvan
Sophos,Panda,ClamAV и Avast ниче на мой взгляд но и они ОЧЕНь часто глючат
можешь в суппорт касперу и вебу отправить они там все изучат и ответят!

Добавлено:
newvirus@kaspersky.com
vms@drweb.com пасс на архив virus
Вообще похоже на глюк...

Вы читали
Проведенное в текущем месяце независимое тестирование авторитетного журнала Virus Bulletin привело к неожиданному провалу целого ряда известных антивирусных решений. Начнем со счастливых обладателей заветного логотипа VB100, означающего обнаружение всего комплекта компьютерных угроз, составленного из самых актуальных вредоносных модулей. Итак, из наиболее знакомых читателям антивирусных решений обладателями VB100 стали:

* Agnitum Outpost
* BitDefender AntiVirus
* ESET NOD32
* F-Secure Anti-Virus 2008
* McAfee VirusScan
* Microsoft Forefront
* Symantec Endpoint Protection.

Среди не принявших участия в тестировании антивирусов отметился только Microsoft OneCare. Зато попадание в список проваливших стопроцентное обнаружение угроз явно стало сюрпризом для многих крупных компаний. Настоящий провал продемонстрировал Dr. Web. Казалось бы надежное средство защиты пропустило 22 угрозы и осуществило 4 ложных срабатывания. Немногим лучше обстоят дела у Sophos Anti-Virus – 8 пропущенных угроз. Вдвое меньше вредоносных кодов не смог обнаружить Trend Micro OfficeScan. Почти минимального числа обезвреженных угроз не хватило Spyware Doctor – всего 2 модуля остановили программу на пути к VB100. И уж совсем обидное поражение понес Kaspersky Anti-Virus. Одна единственная пропущенная угроза стала непреодолимым препятствием для разработки Лаборатории Касперского. Надеемся, упустившие награду VB100 компании сделают выводы из декабрьского тестирования и в следующем месяце обязательно порадуют своих пользователей куда как более убедительными результатами.
Ссылка http://techlabs.by/news/software/21030.html
Я не могу до сих пор придти в себя читая эти тесты,провал самого Каспера!И самое интересное нигде эту новость не обсуждают,даже тут,на почитаемом мной форуме.Выскажитесь ,что вы думаете по этому поводу.

Ещё как обсуждают и приходят к выводу о некомпетентности данного тестирования.

Опоздал с постом пока формулировал фразы но согласен с

Цитата:

приходят к выводу о некомпетентности данного тестирования

alexstan
Голова и руки лучше не бывает,
Ежемесячные и убедительные победы на

Цитата:

VB100

Их коллекция кажется мне странной, и тесты это одно а когда пора действовать против новой угрозы то лучше двоечников от ВБ100 не найти, проверено и не раз...

Цитата:

Я не могу до сих пор придти в себя читая эти тесты,провал самого Каспера!И самое интересное нигде эту новость не обсуждают,даже тут,на почитаемом мной форуме.Выскажитесь ,что вы думаете по этому поводу.

Читал несколько дней назад из какой-то газетенки, лень было постить, а смысл? шока не было не обратил особого внимания посмотрел и забыл
мне тесты особо не интересны, так общие обзоры..., редко кто теперь бизнесом не занимается да и тест может быть разным ведь они же не все вири тестят, есть еще и редкие не всеми сигнатурно берутся

Цитата:

провал самого Каспера

Во первых
Цитата:

Ещё как обсуждают и приходят к выводу о некомпетентности данного тестирования.

Во вторых, провал провалу рознь. Провала я не увидел. Да и посмотрев на их топ, становится страшно.

Самый лучший антивирус - тот, что у человека в голове - параноя.
Не раз спасал...
Тем не менее - можно найти только активные вирусы (трояны/руткиты и т.д.). А вот те, что разбросаны - гы-гы, пробовали ли пересмотреть "ручками" тысяч 50 файлов?

Ранее использовал связку в сети:
- сервера: DrWebServer+Outpost (только вот админу приходится руками все время реагировать на Аутпост, хотя он и нормально трояны детектит)
- юзеры: DrWeb, или NOD (на "дохлых" компах) + настроенные политики + снесенный (совсем... ну... вернее заблоченный IE) + груповые политики

Сейчас система такова:
- сервера: Kerio+KAV+Simantec+ежедневный бэкап (2 раза в сутки). От KAV планирую вообще отказаться
- юзеры: Симантек + ОнлайнАрмор(фри который) (немного геморойно настроить, чтобы не конфликтовал с кучей ПО, но можно, хотя и защита падает) + снесенный (совсем... ну... вернее заблоченный IE) + груповые политики + DrWeb на случай обнаружения заражения (для лечения)

Выводы:
- Если требуется обеспечить непрерывную работу и минимальное время простоя - KAV в газенваген. Параноидально настроеный KAV - гемор еще тот (гы-гы, KAV за 4 месяца сервера валил 8(!!!)раз). А не параноидально - дыра еще похлеще мелкомягкого "антивиря".
- Лучше всего лечит (именно лечит зараженные файлы) - DrWeb (хотя степень защиты у их Спайдера сильно упала, и от Спайдера пришлось отказаться...)
- Ну и глазки и ручки сисадмина - главное
- Постоянно нужно иметь 3-5 антивирей + 1-2 антируткита +1-2 антитрояна с последними базами для проверки "неблагополучных" систем.

Это опыт, горький опыт 7 лет администрирования...

подскажите чем лечить backdoor.trojan
создает какой-то файл cao[1].exe в C:\Documents and Settings\{current user}\Local Settings\Temporary Internet Files\
symantec 10 не лечит (ставил винт для проверки на другую систему)

LudovikBY
Попробуй AVZ
Cureit от DrWeb
AVPtool посмотри в соответствующем топики линк не помню
Если можно файл в студию или сам залей на virustotal.com

LudovikBY
Ну и KAV попробуй)

вот что пишет на virustotal.com http://www.virustotal.com/ru/resultado.html?92b0bbec025dd62308cec8a84b08b6b9
данный файл при постоянном пользованием в нете вылетает с периодичностью полчаса в окне symanteca, который вроде как его вылечил.

LudovikBY
Какой браузер у тебя? Что за файл cao[1].exe? (его описание, кем он себя отрекомендовывает). cao.exe - что-то очень знакомое.

LudovikBY
Попробуй DrWeb-ом пройтись по всем дискам.

Кроме того - неплохая база троянов в Outpost (ключик можно найти в варезнике)

пользуюсь оперой
пишет \Local Settings\Temporary Internet Files\Content.IE5\
в том то и дело сто cao.exe не пойму вообще откуда берется
avz пишет
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [AA37816D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [AA377FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Анализ для процессора 2
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [AA37816D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [AA377FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
7. Эвристичеcкая проверка системы
>>> C:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> D:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> E:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Проверка завершена
** на каждом диске создаются autorun.inf и auto.exe. при их удалении появляются заново
** до етого писал про spoolsv процесс. обращение в порт 1111 trojan

LudovikBY
Это простенький (скорее всего) вирус с флэшки.
1) Посмотри HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (Здесь должена быть прописана автозагрузка вируса). Удали соответствующую запись. + Можешь попытаться убить процесс вируса в Диспетчере задач.
2) Перезагрузись и удали autorun.inf и auto.exe на каждом диске (лучше TotalCommander или Far), удали из System(System32) тот экземпляр, что запускался в CurrentVersion\Run
3) Почисти реестр (могут быть записи оставленные вирусом; поиск - имя экземпляра из автозагрузки)
4) через gpedit.msc отключи автозапуск съёмных носителей (на будущее)
5) убей вирус на флэшках
6) копию вируса заархивируй с паролем, залей, а ссылку сбрось мне в личку (8-))

после долгих перебираний антивирусов cureit dr.web 4.44.2 помог по быстрому, что приятно удивило. я так понял отчеты он не сохраняет по умолчанию и карантина нету в нем...

LudovikBY

Цитата:

после долгих перебираний антивирусов cureit dr.web 4.44.2 помог по быстрому, что приятно удивило. я так понял отчеты он не сохраняет по умолчанию и карантина нету в нем...

Ищи файл "c:\Documents and Settings\<name>\DoctorWeb\CureIt.log" Насчёт карантина не помню, но imho если выставить Инфиц. Перемещать, то будет карантин.