» Обзор антивирусов под Windows

Цитата:

Верно. А как понять, что доверенное, а что - нет?

DW почти все считает недоверенным, пользователь получает очень мало алертов.
Недоверенные приложения запускаются в песочнице, как-будто они находятся под ограниченным юзером.

Engaged Clown
Да, но если я действительно хочу обновить флешплеер или установить новые драйвера или набор кодеков?

Цитата:

рэндомный драйвер

Спасибо.

Цитата:

А как с ней быть?

Ну так её же не касается.

Цитата:

А как понять, что доверенное, а что - нет?

Верно. И ещё есть ньюансы.

Erekle

Цитата:

Ну так её же не касается.

Да вы что! И каким образом вы определяете, когда причина - файловый вирус, а когда - нет?

Тоже верно. Если не проверить сигнатурами, все потуги над реестром останутся впустую.
Проверять нужно конечно до загрузки. Engaged Clown и вы правы. Просто за последний год на несколько десятков случаев в итоге (офис, знакомые...) впридачу были только один салити и один - вирут (точнее - тысячи и тысячи ). В обеих случаях сканировал "до".

Erekle
Везёт. Скоро (возможно) познакомитесь и с Trojan.Win32.Cosmu.jwn.

Ну CureIT его нормально лечит, раз Командор загрузил систему...

gjf

Цитата:

Да, но если я действительно хочу обновить флешплеер или установить новые драйвера или набор кодеков?

Тут все просто, всё качается с оффсайтов и запускается как доверенное.
Хочу спросить насчет файловых вирусов, ибо давно не встречал - они все заражают explorer.exe сейчас ?

Engaged Clown

Цитата:

Тут все просто, всё качается с оффсайтов и запускается как доверенное.

Ну и тут вопрос, что есть оффсайт. Большинство AdWare качается с оффсайта - и толку?
Кроме того, KLite Code Pack (весьма удобный и всем рекомендую) как таковой не имеет ссылки с оффсайта.
Добавим к этому ещё и кряки/патчи, у которых оффсайта нет в принципе
Так что задача не из лёгких. Песочница? Может быть, но тогда это уже уровень продвинутых пользователь. А как же домохозяйки и обычные люди?

Цитата:

Хочу спросить насчет файловых вирусов, ибо давно не встречал - они все заражают explorer.exe сейчас ?

Нет, как когда. Sality не трогает, у него есть свой блэклист. Вирут - всех подряд. "Новенький", о котором я говорил (Trojan.Win32.Cosmu.jwn) больше любит библиотеки, ещё не разбирался - может он так внедряется в рабочие процессы? Хотя не побрезговал заразить даже AVZ
У всех своя специфика, заложенная автором.

gjf

Цитата:

Кроме того, KLite Code Pack (весьма удобный и всем рекомендую) как таковой не имеет ссылки с оффсайта.

Уважамс! Для загаживания системы самое оно

Цитата:

Добавим к этому ещё и кряки/патчи, у которых оффсайта нет в принципе

Не совсем верное утверждение - вернее совсем не верное (ошибочное, надуманное, ложное?)! Взять, вот, хоть для примера паблик сайт F.O.S.I.

WildGoblin

Цитата:

Для загаживания системы самое оно

А вообще - то же касается любого кодек-пака (кроме официальных, платных и т.д.)

Цитата:

Не совсем верное утверждение - вернее совсем не верное (ошибочное, надуманное, ложное?)!

Ну да, ещё есть cracks.am /crack.ms и иже с ними Вы их тоже оффсайтом считаете?

gjf

Цитата:

Большинство AdWare качается с оффсайта - и толку?

Тут уже вопрос доверия к софту, фотошоп например тоже ставит какие-то mdnsresponser и ещё какие-то ненужные компоненты в автозагрузку.

Цитата:

Кроме того, KLite Code Pack (весьма удобный и всем рекомендую) как таковой не имеет ссылки с оффсайта.

Там было однажды адварь, так потом нехилый скандал был и убрали.
На оффсайте codecguide есть контрольные суммы мд5, поэтому всё в руках скачивающего.

Цитата:

Нет, как когда. Sality не трогает, у него есть свой блэклист. Вирут - всех подряд. "Новенький", о котором я говорил (Trojan.Win32.Cosmu.jwn) больше любит библиотеки, ещё не разбирался - может он так внедряется в рабочие процессы? Хотя не побрезговал заразить даже AVZ

Тобишь в любом случае тот или иной инфицированный файл появится в автозагрузке, а там его и тем же OSAM'ом можно проверить будет.
Тем более, что Рабинович пишет, что DW нужно ставить на заведомо чистую систему.

Цитата:

Тобишь в любом случае тот или иной инфицированный файл появится в автозагрузке, а там его и тем же OSAM'ом можно проверить будет.

Для файловых это некритично. Заразит и так, если файл сам запустишь


Цитата:

Тем более, что Рабинович пишет, что DW нужно ставить на заведомо чистую систему.

А это я вообще люблю - то бишь сразу после установки при отключенном Интернет ставить хипс Звучит правильно и красиво. Дык кто ж так делает-то в реальном мире?

Я сделал - полтора года назад, когда приступал к созданию "золотой системы", которую архивирую регулярно. Хотел, по термину Рабиновича, классический ХИПС, чтобы самому видеть, что и как, в том числе и к патчам и кейгенам применительно. Поставил RealTime Defender, которого обучил обращению с несколькими сотнями софта. Но ХИПС, как видно из комментария к IsoBuster, тоже не панацея. В таком случае необходимым оказывается не второй (антивирус), а третий эшелон - стенка (в смысле, не вирус ( /неизвестный вирус), но нежелательные действия).
К тому же и этот ХИПС тоже надо здорово конфигурировать, настройки по умолчанию очень скудны. Если антивир только то и видит, что неизвестный пакер, а запускать очень хочется, ХИПС должен быть во всеоружии. Хотя и тут достаточно угроз.

gjf

Цитата:

А вообще - то же касается любого кодек-пака (кроме официальных, платных и т.д.)

IMHO кодек-паки это зло (как и любые другие "мега-паки"), зачем ими пользуются когда есть отличная альтернатива - ffdshow?!

Цитата:

Ну да, ещё есть cracks.am /crack.ms и иже с ними Вы их тоже оффсайтом считаете?

Нет, их я оффсайтами не назову, я назову оффсайтами сайты веб комманд.

Erekle

Цитата:

Если антивир только то и видит, что неизвестный пакер, а запускать очень хочется

... тогда не хипс, а песочница

Цитата:

я назову оффсайтами сайты веб комманд.

Ну согласитесь, что таких немного Да и если они стоят редиректом, то устроить небольшой фишинг - пара пустяков...

Недавно что-то подумалось-доиграются разрабы с эвристикой-начнёт антивирус своей жизнью жить и адаптироваться как крысы...
Цель будет достигнута-искусственный интеллект в действии.
Вот только какие последствия будут..

Всегда был сторонником простых и понятных решений. (Это я про себя). Обычно пользуюсть Avira, Outpost Free, на некоторых компах (что помощнее) - KIS или ESS... Последнее время начал замечать на домашнем компе мгновенные притормаживания курсора. Ясно, что чо-то подгружает процессор на несколько секунд... Вот, думаю, и испытаем современные средства борьбы со зловредами.. И так, установленная Avira - молчок. ESS и KIS - тоже все устраивает. Вебовский CureIt!, AVZ - ничего не видят! Так, думаю,- искать вручную или попробовать экзотику какую-нибудь? Установил ради спортивного интереса Trend Micro Internet Security 2010.. Три чистокровных троянских программы в system32, в том числе и новогодний блокиратор- видно дочка в каких-то "однокласниках" подцепила. Отключеный планировщик задач и хипс не дали сработать заразе полностью, но попытки навредить не оставляет поганец.. Ну да сейчас о другом.. Почему этот американо-японский антивирус может то, что не под силу привычным для нас программам защиты? Находил он все сигнатурно, по-простому. Никаких упаковщиков- все лежало в "открытом" виде. Я всегда ориентировался на исследование антивирусов в соответствующей теме virusinfo.info http://virusinfo.info/showthread.php?p=570388#post570388
Trend Micro там, практически, всегда "пасет задних". И тут такая новость. Может, конечно, и случайность, а может, и нет.

aleksdem2

Цитата:

Находил он все сигнатурно, по-простому. Никаких упаковщиков- все лежало в "открытом" виде.

Как антивирус назвал троянцев? Гляньте по записям в журнале.

gjf

Цитата:

Как антивирус назвал троянцев? Гляньте по записям в журнале.

TROJ_Generic ADV, TROJ_Generic (просто) и TROJ_FAKEAV.MCS

Признаться честно, я не понимаю, из чего вы сделали вывод, что детект - сигнатурный "по-простому". Названия подобного рода могут быть как от эвристика, так и от пакера. И от обычного - тоже. Нет конкретного указания вируса.

Добавлено:
А что VirusTotal говорит? Вы карантин не отправляли?

надоел Kaspersky с постоянными поисками ключей ... что можете посоветовать на идентичную замену (Norton не предлагать)

gjf
Нет, может, конечно, и эвристик... Честно говоря, я вообще пока не понял, как работает этот Trend Micro. При быстром сканировании (сразу после запуска программы) первый троян определил файловый монитор почему-то, а остальные - уже при полном сканировании - сканер... Вывод делал по тому, что файлы лежали в system32 (то есть уже после запуска чего-то).
На VirusTotal пока не отправлял.. Сейчас займусь этим.

aleksdem2

Цитата:

TROJ_Generic ADV, TROJ_Generic (просто) и TROJ_FAKEAV.MCS

Заинтриговали и заинтересовали.
Простой поиск говорит, что TrendLabs Twitter детектил TROJ_Generic ADV в Mar. 4, 2007 9:17:06 PM
а TROJ_FAKEAV.MCS в Dec. 4, 2008 12:49:31 AM

Каккие будут дополнительные размышления.

aleksdem2

Цитата:

На VirusTotal пока не отправлял.. Сейчас займусь этим.

Сделайте милость

dgsjsj

Цитата:

Простой поиск говорит

Дело в том, что это общие названия, то есть классификация. А какой там зловред конкретно - ? Модификаций может быть сколько угодно.
К стати, файлы из карантина на VirusTotal всеми определяются чистыми (что и не удивительно, так ках антивирус, похоже, хранит их в безопасной форме). Восстановление тоже пока не получается - говорит, что вылечил..

aleksdem2

Цитата:

так ках антивирус, похоже, хранит их в безопасной форме

Не понял - это как? Архивы с неизвестным паролем? А ну-ка сбросьте мне в личку это хозяйство.

gjf

Цитата:

А ну-ка сбросьте мне в личку это хозяйство.

Мы ж не на Virusinfo
Ссылка в ПМ.

aleksdem2
Поглядел. Мусор там какой-то. Абсолютно неинформативный