» Обзор антивирусов под Windows

gjf

Цитата:

А что, мониторы других антивирусов не делают того же?

Как считаешь, почему Avira считается мною надежным антивирем? Ответ прост. Не только за супер эвристику, не только за большие базы вирусов, троянов, шпионов... хотя это тоже большой плюс. Именно за сверх надежный монитор, которым возможно не может похвастаться ни один аналогичный продукт.

Viktor_Kisel
А я не спорю, просто удивительно, неужели настолько трудно это организовать программно? Хотя я и не специалист, конечно...

Приплыл отчёт по тем файлам, что Авира вчера не обнаруживала. Быстро отвечают - суток не прошло! [more]
Filename Result
ad-award.exe MALWARE
The file 'ad-award.exe' has been determined to be 'MALWARE'.Our analysts named the threat DR/Small.AT.The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection is added to our virus definition file (VDF) starting with version 7.00.05.135.


Filename Result
Dr.WEB.exe MALWARE
The file 'Dr.WEB.exe' has been determined to be 'MALWARE'.Our analysts discovered that the file is a Trojan. In general this kind of programs contains harmful functionality called payload.Detection will be added to our virus definition file (VDF) with one of the next updates.


Filename Result
ESS-NOD32 Fix 204....5.exe MALWARE
The file 'ESS-NOD32 Fix 2047 Lite 1.5.exe' has been determined to be 'MALWARE'.Our analysts discovered that the file is a Trojan. In general this kind of programs contains harmful functionality called payload.Detection will be added to our virus definition file (VDF) with one of the next updates.


Filename Result
Firefox.exe MALWARE
The file 'Firefox.exe' has been determined to be 'MALWARE'.Our analysts named the threat DR/Small.AS.1.The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection is added to our virus definition file (VDF) starting with version 7.00.05.135.


Filename Result
ICQ_patch.exe MALWARE
The file 'ICQ_patch.exe' has been determined to be 'MALWARE'.Our analysts named the threat TR/PCK.Klone.AV.57.The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 7.00.05.135.Please note that Avira's proactive heuristic detection module AHeAD detected this threat up front without the latest VDF update as: HEUR/Malware.


Filename Result
Patch fo Kaspersky 7.exe MALWARE
The file 'Patch fo Kaspersky 7.exe' has been determined to be 'MALWARE'.Our analysts discovered that the file is a Trojan. In general this kind of programs contains harmful functionality called payload.Detection will be added to our virus definition file (VDF) with one of the next updates.


Filename Result
winamp 6 beta .exe MALWARE
The file 'winamp 6 beta .exe' has been determined to be 'MALWARE'.Our analysts discovered that the file is a Trojan. In general this kind of programs contains harmful functionality called payload.Detection will be added to our virus definition file (VDF) with one of the next updates.


Filename Result
####### #########...##.exe MALWARE
The file '####### ######### ########## ##.exe' has been determined to be 'MALWARE'.Our analysts named the threat DR/Copybat.E.The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection is added to our virus definition file (VDF) starting with version 7.00.05.135.


Filename Result
##### WinRAR.exe MALWARE
The file '##### WinRAR.exe' has been determined to be 'MALWARE'.Virus name is DROPPER (en)Detection will be added to our virus definition file (VDF) with one of the next updates.


Filename Result
########## ## #######.exe MALWARE
The file '########## ## #######.exe' has been determined to be 'MALWARE'.Our analysts named the threat DR/Erase2002.A.The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection is added to our virus definition file (VDF) starting with version 7.00.05.135.


Filename Result
######### #### (#).exe MALWARE
The file '######### #### (#).exe' has been determined to be 'MALWARE'.Our analysts discovered that the file is a Trojan. In general this kind of programs contains harmful functionality called payload.Detection will be added to our virus definition file (VDF) with one of the next updates.


Filename Result
###### ## #####.exe MALWARE
The file '###### ## #####.exe' has been determined to be 'MALWARE'.Our analysts discovered that the file is a Trojan. In general this kind of programs contains harmful functionality called payload.Detection will be added to our virus definition file (VDF) with one of the next updates.


Filename Result
##### ######.exe MALWARE
The file '##### ######.exe' has been determined to be 'MALWARE'.Our analysts named the threat DR/Disabler.G.The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection is added to our virus definition file (VDF) starting with version 7.00.05.135. [/more]

gjf

Цитата:

А что, мониторы других антивирусов не делают того же? Я действительно не знаю - это вопрос.

Должны делать.

Цитата:

неужели настолько трудно это организовать программно

Да, как оказалось. Проще дерьмом всяким типа HIPS или проактивками разными напичкать свои продукты.

aleksdem2
Я в шоке C каких пор хипсы стали основой безопасности? Отродясь они всегда были вспомогательными, а не основными. Мда...

Цитата:

Я в шоке C каких пор хипсы стали основой безопасности? Отродясь они всегда были вспомогательными, а не основными. Мда...

В реализации КИС/КАВ 2009 HIPS основная защита, ведь хоть в базе примерно 1миллиона сигнатур всёже за всеми вирусами не успеть. Ребята и так в две смены работают, чтоб добавлять в базу новые вирусы.

sereja8
Да бред это полный! Если антивирусная лаборатория с двухсменными специалистами не может определиться, что есть вирус, а что - нет, то обычный пользователь подавно! В хипсе всегда стоит дилемма "разрешать - не разрешать". Откуда заведомо знаешь, что выбрать? А один неудачный выбор - хуки на функции подменяются и весь хипс/файервол/антивирус/Бог-знает-ещё-какое-барахло становятся абсолютно бесполезными.

Цитата:

Да бред это полный! Если антивирусная лаборатория с двухсменными специалистами не может определиться, что есть вирус, а что - нет, то обычный пользователь подавно! В хипсе всегда стоит дилемма "разрешать - не разрешать". Откуда заведомо знаешь, что выбрать? А один неудачный выбор - хуки на функции подменяются и весь хипс/файервол/антивирус/Бог-знает-ещё-какое-барахло становятся абсолютно бесполезными.

Подожди не горячись, сейчас всё абсудим, если на что-то не смогу ответить тебе, то спрошу у разработчика HIPS. И так жду твои вопросы, что именно тебе не понятно? Что по твоему ещё не реализовано в HIPS ? Какой режим ты использовал?

sereja8
Да я не горячусь. Я вообще про концепцию хипса. Ведь изобрёл её не Касперский со товарищи. Она есть и в отдельных решениях (тот же Safe'n'Sec), и в составе файерволов (например, Comodo). Хипс здорово укрепляет систему, но не может являться основой защиты, потому что опирается на человеческий фактор.

Опишу ситуацию: тебе приходит некоторый патч для программы. Ты его запускаешь, он хочет добраться напрямую до экрана, внести замену в реестр и написать что-то на диск. Разрешить или нет? Запретишь - патч не сработает! Разрешишь - ОК, всё работает. Одновременно, работает Агент.HU, активно качая из интернета компоненты бот.нета. И хипс больше не кричит, потому как другие стоят драйвера, и не видит он больше, что на самом деле лезет в защищённые ветки реестра и что пишется или исполняется на диске.
Что с точки зрения пользователя хипса сделано неправильно? Да всё верно, просто должен стоять монитор хорошего антивируса, который в "патче" бы сразу определил трояна-руткита. Пользователю-то откуда знать, какой компонент "патча" патчит программу, а какой - травит систему.

Если знаете английский, могу прислать хорошую статью по этой теме.

Цитата:

Если знаете английский, могу прислать хорошую статью по этой теме.

Цитата:

Если знаете английский, могу прислать хорошую статью по этой теме.

Былобы отлично!. Если можно пришлите пожалуйста!

sereja8
gjf
Горячись не горячись - тут gjf прав на 1000% И ничего тебе нового sereja8 в ЛК не скажут. Я давно с ними со всеми переругался, а на очень известном ресурсе пообещал просто не трогать их KIS, иначе давно забанили бы. Пока у них в продукте вредничала только проактивка, он еще был способен на что-то. (До 325 седьмой версии). В 2009 - тых они вообще все возложили на HIPS. Гораздо проще контролировать процессы, да еще и спрашивать пользователя разрешить- не разрешить, чем мониторить любыми способами зловреды. Нет, это не революционный прорыв, как они говорят, а дорога не в ту степь. Потому такая масса людей и находит Avira последнее время. Все это ИМХО, конечно.

the dark project
Держи: http://ifolder.ru/7387766 Тема статьи несколько другая, но эти вопросы рассматриваются и вообще будет интересно. Да и автор из России

Заранее извиняюсь за ЯПапку, знаю все её глюки, но на работе выход на неё - самый стабильный.

итак проверка установленными антивирями показала(тех 20 файлов):
NOD - 19 файлов типа не вирусы - отправил им на проверку
КасперСОС - типа 7 файлов не вирусы

George_S
Извини, а ты не обратил внимание, какие именно файлы Каспер назвал не вирусами? Те же, что у нас Авира не признала?

DrWeb со всеми обновлениями на 18 июля 2008 г. 16:09:19 по 20 файлам в архиве:
Спайдер:

18-07-2008 18:04:07 [CL] D:\1\Virus\winamp 6 beta .exe - инфицирован Trojan.MulDrop.origin
18-07-2008 18:04:13 [CL] D:\1\Virus\winamp 6 beta .exe - удален
18-07-2008 18:04:13 [CL] D:\1\Virus\Марта.scr - инфицирован Trojan.PWS.LDPinch.1941
18-07-2008 18:04:16 [CL] D:\1\Virus\Марта.scr - удален

Затем из оставшегося сканер нашел:

Объектов проверено: 21
Инфицированных: 0
Подозрительных: 3

[Проверяемый путь] D:\1\Virus
>D:\1\Virus\ad-award.exe\ad-award.vbs - Ok
D:\1\Virus\ad-award.exe - Ok
D:\1\Virus\cloc.exe - Ok
D:\1\Virus\cs.exe - Ok
>>D:\1\Virus\Dr.WEB.exe\project.exe , возможно, инфицирован MULDROP.Trojan
D:\1\Virus\Dr.WEB.exe - архив содержит инфицированные объекты
>D:\1\Virus\ESS-NOD32 Fix 2047 Lite 1.5.exe\nod32.lic - Ok
>D:\1\Virus\ESS-NOD32 Fix 2047 Lite 1.5.exe\Patch Nod 32.bat - Ok
D:\1\Virus\ESS-NOD32 Fix 2047 Lite 1.5.exe - Ok
D:\1\Virus\euro.exe - Ok
>D:\1\Virus\Firefox.exe\Firefox.vbs - Ok
D:\1\Virus\Firefox.exe - Ok
D:\1\Virus\ICQ_patch.exe - Ok
D:\1\Virus\kuku.exe - Ok
D:\1\Virus\Lol.exe - Ok
>D:\1\Virus\Patch fo Kaspersky 7.exe\8 day.exe , возможно, инфицирован SCRIPT.Virus
D:\1\Virus\Patch fo Kaspersky 7.exe - архив содержит инфицированные объекты
D:\1\Virus\pinguin.exe - Ok
>D:\1\Virus\Адресса абонентов Кабельного ТВ.exe\lol.bat - Ok
D:\1\Virus\Адресса абонентов Кабельного ТВ.exe - Ok
>>D:\1\Virus\Архив WinRAR.exe\project.exe , возможно, инфицирован MULDROP.Trojan
D:\1\Virus\Архив WinRAR.exe - архив содержит инфицированные объекты
>D:\1\Virus\Декларации по продаже.exe - Ok
>D:\1\Virus\Локальный диск (С).exe\win.bat - Ok
D:\1\Virus\Локальный диск (С).exe - Ok
>D:\1\Virus\Пароли от аськи.exe\win.bat - Ok
D:\1\Virus\Пароли от аськи.exe - Ok
>D:\1\Virus\Счета оплаты.exe\яд.vbs - Ok
D:\1\Virus\Счета оплаты.exe - Ok

German AW

Прикольно файлов 20, а drweb говорит:
Объектов проверено: 21

Добавлено:
gjf
Нет к сожалению не обратил...

Добавлено:
а заразу сразу удаляю... если очень надо, то опять качну

George_S
German AW
Меня больше всего интересовали winamp 6 beta .exe и ICQ_patch.exe. Все остальные - просто дропперы со скриптами, такие накодить может практически любой программер, а вот эти два - похоже новенькие зверьки, один из них уже назвали TR/PCK.Klone.AV.57...

Добавлено:
George_S
Проблема в том, что линки с заразой довольно часто банят. Зависит от количества скачек и политики файлообменника.

George_S

Цитата:

Прикольно файлов 20, а drweb говорит:
Объектов проверено: 21

Всё просто: всего 20 файлов, после проверги спайдером 2 удалены. Осталось 18. Из них в 3-ех подозрение на вирус, и дрвэб счиает кажды за 2 объекта - архив и содержимое. Получается 18+3=21

Цитата:

Разрешить или нет? Запретишь - патч не сработает!

Нет вы путаете это с мониторингом реестра, который был в 7-ке, сейчас же хипс проверяет если у вашего патча цифровая подпись, если этот патч в доверенных и только затем эвристика в Хипсе запуститт его и проверит чтобы этот патч совершил и только тогда присвоет его либо в слабые органичения, доверенные, сильные, или не доверенные. У вас установлен КИС 2009? Если нет советую установить в режиме продвинутого пользователя и вы поймёте что ни один пичн не сможет отправить в сеть пароли, если он это сделает то лишь по вашей вине. Сразу предупреждаю что для доверенных доступ в сеть требуеться установить запросить действие. А так я только за КИС так как кроме него некто не способен справиться с вирусами, которых нет в базе.
P.S. Сам не использую антивирусы с 16 июля. Так так не нуждаюсь в них!!! Вставляю флэшки на которых авторановские вирусы и ни один ещё не смог активироваться. НЕТУ антивируса, который способен защитить пользователя даже на 10%

Добавлено:

Цитата:

Я давно с ними со всеми переругался

Я тоже переругался, но понял что я не прав и ты тоже не прав! Обойти HIPS Нереально, есть лишь один способ, но в сети его вы не найдёте. Если есть какие-то проблемы с HIPS пишите я проверю у себя на компе!

Добавлено:
При запуске нового процесса по нему проганяется эмулятор с какими-то дикими параметрами
в результате чего они либо детектися эвристически либо сигнатурно и поэтому помещается в недовереные
+ подсчитывается "рейтинг опасности"
и на основе этого рейтинга прикладуха помещается в разные группы
Теперь поняли?

sereja8

Цитата:

Обойти HIPS Нереально,

Не знаю. И знать не хочу. Он мешает мне нормально работать. И просто HIPS, и конкретно KIS. Вчера вот обновилась Avira. Версия новая, а модули почему-то старее, чем были в прошлой версии. Ресурсов жрет больше, чем вся XP. За пол-дня - один бсод и три зависона. Снес нафиг. Мне (ИМХО) такие помощники не нужны. Запустил пока отключенный Eset. А там посмотрим...

sereja8
Какой способ?

Цитата:

Какой способ?

Этот способ я заберу с собой в могилу, так что не стоит справшивать даже

sereja8
способов на самом деле много, а не один... но это уже другая тема....

sereja8

Цитата:

если он это сделает то лишь по вашей вине

Вот это и есть ключевая уязвимость хипса. Сваливание вины на пользователя - неплохой маркетинговый ход!
Всё же рекомендую вам прочесть статью, которую я выложил выше.
aleksdem2
У меня с Авирой всё ок, но у нас разные версии. Печально за вас
2all
Странная штука творится! Мне один приятель пишет сообщения на сайте - ко всем в начале добавляется "http://casinopills.com/ukrainskomu_narodu/ tolko posmotrite, vot idioti!!!! " Я сдуру кликнул на ссылке, открылся гугль. Теперь терзают смутные сомнения... Ничего не нашёл, но не нравится мне этот casinopills.com... У кого какие мнения на этот счёт?

Ещё проверка для любителей экстрима. Нормальный веб-монитор должен заорать.

gjf
Dr.WEB.exe
ESS-NOD32 Fix 2047 Lite 1.5.exe
euro.exe
winamp 6 beta .exe
Архив WinRAR.exe
Локальный диск (С).exe
Пароли от аськи.exe

Вот эти файлы каспер не считает вирусами

sereja8
И ещё. КИС 2009 славится тем, что никогда не позволит иметь ещё один антивирус, антиспам или файервол на компьютере. Вряд ли это обрадует любителей двойного антивирусного решения. И я с трудом поверю, что даже самый навороченный хипс в комплексе с не самым лучшим антивирусом (уж не знаю, остался таковой в КИС 2009 или нет - не пользовал) позволит предотвратить любые атаки.

Опять же - я не настолько специалист, чтобы предлагать вам способы взлома хипса, при том, что один вы уже знаете. А где один - там и второй. Я просто исхожу из логики вещей и тех доводов, что представлены в сети. Если же вы уверены в своих словах на 100% - напишите очерк в rootkit.com. Я вам даже перевести её на английский могу помочь, если нужно. Сами увидите, что там вам напишут в ответ те, кто реально в этом разбирается.

Добавлено:
George_S
Понятно. Спасибо!

Цитата:

те, кто реально в этом разбирается.

с радостью им докажу на практике вместе с Крисом Касперски что они не правы ИМХО

Цитата:

И ещё. КИС 2009 славится тем, что никогда не позволит иметь ещё один антивирус, антиспам или файервол на компьютере.

печальная база

Цитата:

Обойти HIPS Нереально

ага а еще Kasper or Nod or Avira or DrWeb or etc. рулят
человеческий фактор есть всегда и все не застрахованы на 100% от ошибок....

sereja8
Ну тогда жду с нетерпением вас и господина Касперского на руткит.ком! Простите меня, я ничего не имею против вас лично, но всё, что наблюдается в сети - это откровенный пиар антивирусных брендов и псевдообъективные исследования коммерческих сайтов. Почему нет никаких отзывов на rootkit.com, astalavista.box.sk? Там только саркастически смеются с Касперского. Если защита действительно высококлассная, то за её тестирование не нужно платить денег, о ней и так будут писать на всех заборах.

Немножко из другой степи, но тоже пример. Возьмём файервол Comodo. Он - бесплатный. Нет денег, чтобы оплачивать его раскрутку, да и не нужно этого. Зато - очень хороший форум суппорта на оффсайте, зато - прохождение большинства тестов на ура. Есть баги, есть проблемы - но со временем их решают.

КИС стоит недёшево, но почему-то нигде я не слышал, чтобы его хвалили так же. Ни за хипсы, ни за антивирус, ни за сетевой экран. Если я не прав - ткните носом, заберу свои слова обратно и публично извинюсь. Только не нужно тыкать носом в форум на оффсайте касперского и на платные интернет-журналы. Интернет-ресурсов, посвящённых безопасности, много, я никогда не поверю, что они не проявляли интерес к КИС 2009.

redwhiterus
+1

pav
Сейчас распаковал архивчик.Такая же ситуация как у вас при ЕСС 3.0.667.Базы сегодняшние и ключик на три месяца,который давали в ходе их акции.Так вот --среди оставшихся 19 есть интересный архивчик. Если его проверить, то ЕСС молчит.А далее очень интересно -- пытаемся его распаковать.На эране монитора появляется черное окошечко в котором весело бегут беленькие буковки и при этом Спайваре Доктор стоящий в режиме постоянной защиты весело рапортует о блокировании опаснейшей угрозы и после чего беленькие буковки останавливаются и черное окошечко закрывается. Далее чувствуя что комп подхватил уже бяку,то есть нехорошо предчувствуя это запускаем сканирование Доктором системного диска и он находит пять тварей со средней степенью опасности и одну гадину с максимальной степенью опасности. Кстати окошечко нода в трее как и раньше голубое ,но вот почемуто уже не открывается. Смотрим на дату в трее чтобы узнать текущее время дабы не пропустить любимый сериал и с удивлением видим что сериал начнется не через пять минут ,а примерно через десять лет.Перезагружаем машину и в биосе ставим првильную дату.Продолжаем загрузку и видим как после загрузки рабочий стол весело заполняется различными окнами и мышь при этом не активна.Далее видим продолжающуюся активность жесткого диска и спешно выключаем компьтер из сети самым примитивным способом и при чем чем раньше тем лучше.Далее берем наш любимый аварийный диск от Акроса -ДА БЛАГОСЛАВИТ ГОСПОДЬ ЕГО СОЗДАТЕЛЕЙ - и загружамся с него.В открывшемся меню жмем восстановление сис диска и ищем его образ на еще сохранвшемся диске E/ Кстати видим в системе Hol C и Lol D вместо привычных локальных C и D. Хорошо что быстро выключили комп. Находим нужный образ на нетронутом еще Локальном диске D. и восстанавливаем систему.Далее поправляем название диска Д и удаляем с него всякие файлики типа WindovsFuck и прочего неизвестного мусора. Затем для успокоения запускаем полную проверку AVPTools и CureIT/ Видим что более ничего в компе лишнего нет -отправляемся досматривать дюбимый сериал и попутно отправляя НОД в помойное ведро. Ничего лишнего и усе так и было час назад.

Добавлено:
Кстати что за Гадость там была и видать бяка отменная.

gjf

Цитата:

"http://casinopills.com/ukrainskomu_narodu/ tolko posmotrite, vot idioti!!!! " Я сдуру кликнул на ссылке, открылся гугль. Теперь терзают смутные сомнения... Ничего не нашёл, но не нравится мне этот casinopills.com... У кого какие мнения на этот счёт?

Цитата:

Ещё проверка для любителей экстрима. Нормальный веб-монитор должен заорать.

А разве там что-то есть?





И "нормальный веб-монитор" это чей?Не Avira случайно?