» Обзор антивирусов под Windows

Я чёто не понял... Вредонос с в "Голосах" просто перепаковывается и всё?
Если, да... То "поддержка пакеров" всеми ведущими вендорами АВ это просто, извините, "развод лохов"?! Эвристика и блокировка сайтов - это конечно хорошо, но в данном случае она не должна быть задействована вообще...

cdrom2

Цитата:

Вредонос с в "Голосах" просто перепаковывается и всё?

А кто сказал, что только перепаковывается?

Postscriptum
Антивирусы реагируют на файл 1350golosa.exe, а вот свежего golosa_vkontakte.exe который они не видят, его вы через браузер не скачаете..., его пока не распространяют.

amcenter

Цитата:

Антивирусы реагируют на файл 1350golosa.exe, а вот свежего golosa_vkontakte.exe который они не видят, его вы через браузер не скачаете..., его пока не распространяют.

А есть он сам свежий у кого-нибудь? Хочу проверить антивирусы.

[q]karnics, ссылка часто в этой ветке мелькала.# - это свежий голос или нет

Postscriptum, данного нет в наличие.

Вот для проверки
xxx://efbsplus.com/videotutorial/system.exe
По вирус тоталу только два определяют.
http://www.virustotal.com/file-scan/report.html?id=7843b56666d385a27073c5d786b809d8ee6ab8eb438687ea1e187a3d0589856f-1295619820
Но комодо сообщил о трояне в облаке при запуске, а при сканировании все в порядке...

sergogo
свежий

Цитата:

sergogo
свежий

- на него кис реагирует , а вот на файлик от amcenter нет

amcenter

Цитата:

Вот для проверки
xxx://efbsplus.com/videotutorial/system.exe

Странный какой-то файл. Запустил на системе с eScan. Никакой реакции, новых процессов не появилось, файл сам удалился. Никаких следов заражения я не обнаружил. На BitDefender аналогично. Только G Data вывалила предупреждение, что файл похож на вредонос и предложила его заблокировать, что я и сделал.

Добавлено:
P.S. KIS вообще никак на запуск не отреагировал и файл не удалился

Попробовал с PCTools фаервол, данный файл пытается внедриться в процесс explorer.exe и если ему это удается (разрешить) он удаляется. Если ему запрещать он не удаляется...

aleksdem2
Цитата:

А кто сказал, что только перепаковывается?

Понял. Не перепаковывается, а модифицируется.

Походу вопрос. Если в исходный код вредоноса просто вносятся ремарки, то доверять сигнатурным базам АВ уже нельзя???

Цитата:

Если в исходный код вредоноса просто вносятся ремарки, то доверять сигнатурным базам АВ уже нельзя???

Можно. Так как ещё есть эвристика. Другой вопрос, что она не всегда срабатывает, тот же кидо/конфикер тому пример...

Цитата:

Вот для проверки
xxx://efbsplus.com/videotutorial/system.exe

Чистая малварь. Написан на Visual Basic.
После запуска создаёт файл на диске С с именем типа ed14c178be.exe. Файл пишет в память процесса explorer.exe вредоносный код, после чего удаляется.
Кроме того создаёт файл     C:\​DOCUME~1\​ADMINI~1\​LOCALS~1\​Temp\​D8NVH8NV.exe и прописывает его в реестре на автозапуск, а также в Active Setup (что похоже на поведение Palevo). Меняет настройки безопасности IE. Лезет зачем-то на countercounter.servegame.com:80. Прописывается в реестре на службах:
machine\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5
machine\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

Короче - шлите подарки вендорам

gjf, спасибо за информацию.

amcenter

Цитата:

Но комодо сообщил о трояне в облаке при запуске, а при сканировании все в порядке...

Зашёл сейчас в Папку - БАЦ!, удаление этого Зверя уже по Сигнатуре -


Сам я раньше Антивирусом от Comodo не пользовался, хотя и устанавливал другим - а сейчас, в процессе временной(?) эксплуатации всё больше начинаю уважать.

dt100, подрос антивирус от Комодо, серьезно подрос.

Правда думаю со временем с ростом "антивирусного коллективного разума", вирусописатели найдут способ обходить облако, например, каждому пользователю при скачке будет загружаться уникальный вредоносный файл...

dt100
простите у вас на скрине было написано время проверки в 21.53 это как это понимать ?

Удивительная тема обсуждения у нас и последние несколько страниц тем более, смотрю и фигею-нет нормального продукта, то мелкософт детектят, остальные потом, сейчас этот ваш system.exe у меня не видится ничем, даже хваленый многими КИС2011 молчит, я и запускал в безопасной среде и сканировал...а какой-то там Комодо сразу определяет... и это результат КИСа, который посерьезней Комодо в разы, с кучей экранов и прочей ерунды.... я фигею, сейчас отправил на вирустотал и вижу что уже 8 видят это зловредом http://www.virustotal.com/file-scan/report.html?id=7843b56666d385a27073c5d786b809d8ee6ab8eb438687ea1e187a3d0589856f-1295629335 , даже НОД который я не уважаю определяет,а КИС2011 нет.....

shura1973

Цитата:

простите у вас на скрине было написано время проверки в 21.53 это как это понимать ?

Системные часы выставлены +2 к Московскому, смотрите на время Сообщения по Форуму.

dt100
понял ! вы в другом часовом поясе.....сорри

Цитата:

а КИС2011 нет.....

там не кис, там по ходу воркспейсовский продукт стоит...

gjf, system.exe у меня чуть по-другому себя повёл [more]Запускал на семёрке с KIS201, который не определял вирус. При запуске выскочило окно

Разрешил. Действительно в процессах и сервисах ничего не появилось, даже в замешательство пришёл. Нашёл то место, где он прописал себя в автозагрузку

Зашёл в TEMP папку, а IXIZaXIZ.exe это оказывается файл system.exe, только переименованный и скрытый. Я удалять его Unlocker-ом, а он ни в какую.

Мучал его Unlocker (как-никак на проводник зараза ссылается), но в конце концов удалил. Можно конечно и с LiveCD было удалить. Осталось только подчистить ключ Run, что на втором скрине. Вот и очищай папку Temp, он бы всё-равно там жил.
При запуске в XP всё то же самое, только имя заразы в папке Temp другое.[/more]

Подтверждаю system.exe спокойно запустился при KIS 2011, который сказал что поведение похоже на trojan generic, но вполне дал ему запустится.
Дайте ссылку на последнюю не детектируемую базами версию голосов, хочу проверить на KIS 2011.

Free13man

Цитата:

и это результат КИСа, который посерьезней Комодо в разы, с кучей экранов и прочей ерунды.... я фигею, сейчас отправил на вирустотал и вижу что уже 8 видят это зловредом

Да ничем он не серьёзней кроме авторитета среди русскоязычной (впрочем как выясняется не только русскоязычной) публики. На мой взгляд команда разрабов у комодо посерьёзнее будет. То что рюшки не вешают, так это вроде не в их стиле.


Цитата:

даже НОД который я не уважаю определяет,а КИС2011 нет.....

А КИС уважаешь? Так и скажи что и тот и другой любимая цель для плевка.
Насчёт определения регулярно перепаковываемых "подарков" (результаты авторы естественно проверяют на тех самых распространённых антивирях) - это может либо параноидальный продукт сделать, либо тот у коего скорость обновления сигнатур реактивная (при надлежащем качестве, а не как у дохтура). Я пользуюсь комодовским файером, но использовать его антивирусную истеричку пока не решаюсь, впрочем после знакомства с MES использование каких либо иных антивирей (в плане резидентного сканера) лично для меня потеряло всякий смыл.

Икарус кто-нибудь тестировал на этой заразе? У него детект вроде максимальный из возможных в большинстве случаев.

2Free13man

Цитата:

даже НОД который я не уважаю определяет,а КИС2011 нет.....

Не расстраивайтесь, Во-первых, Касперыч - это ОБЫЧНЫЙ, вполне себе РЯДОВОЙ AV-продукт, пусть даже и из группы "хорошистов" - и все попытки представлять его неким эталонным Супер-AV просто смешны.
Во-вторых, на текущий момент чисто антивирусные технологии ВСЕХ продуктов пасуют перед свежими Вредоносами, надежда только на стойкий Проактив + Разум Пользователя.

Беспомощность антивирусного Детекта ВСЕХ AV-Программ можно наблюдать ежедневно на kadets.info. И явных Лидеров по Детекту там нет, все без исключения - барахло!

dt100

Цитата:

РЯДОВОЙ AV-продукт, пусть даже и из группы "хорошистов"

А кто тогда в группе не рядовых-AV отличников?

Цитата:

хочу проверить на KIS 2011

ну вот я проверил, молчит как партизан.
Samars
ну не правы вы!

Цитата:

Так и скажи что и тот и другой любимая цель для плевка.

уважаю все что работает достойно и сделано с умом и для удобства. Я чего в замешательстве - есть лицензия на КИС2011 и на НОД (как на EAV так и на ЕSS), я уж про Авиру молчу (до мая точно лицензия есть) и про беслатные продукты, а что поставить чтоб голова не болела и был доволен работой-не знаю, каждый день тут читаю обсуждения и вот стал Комодо выделяться, но фаер мне не нравится (читай ниже чего) и нет веб экрана.

Цитата:

после знакомства с MES

Может MSE ?
Мне не нравится в Комодо фаер, он меня от моей сети блокирует когда оттуда идет атака, а должен ведь атакующего блокировать, как любой другой фаер. Например в Аутпосте такого нет.

Добавлено:
dt100
да я понимаю что панацея-лишь своя голова, так и использую, просто у меня может и ерунда стоять из разряда троешников)) и все будет путем, а вот когда обращаются друзья мол посоветуй или уже конкретно установи, то просто не знаю что и ставить...

Цитата:

Мне не нравится в Комодо фаер, он меня от моей сети блокирует когда оттуда идет атака, а должен ведь атакующего блокировать, как любой другой фаер. Например в Аутпосте такого нет.

А драйвера hand.sys установлены?

Samars

Цитата:

А кто тогда в группе не рядовых-AV отличников?

Так нет таких (Отличников) среди AV-Программ! Вот среди Вредоносов есть и Отличники, и Красно-дипломники, ну и прочие Лауреаты !

Цитата:

Икарус кто-нибудь тестировал на этой заразе?

Сканировал EmsisoftEmergencyKit - нулевая реакция. HitmanPro сработал только по движку "А" -

dt100

Цитата:

Так нет таких (Отличников) среди AV-Программ!  Вот среди Вредоносов есть и Отличники, и Красно-дипломники, ну и прочие Лауреаты !

В целом конечно это так. Тем не менее есть откровенно слабые продукты (дело не только в детекте, но в и ресурсоёмкости, интерфейсе и.т.д.).

Добавлено:
Free13man

Цитата:

ну не правы вы!

В смысле? Нод и касперыч первые цели для плевков. При этом крайне популярны (несмотря на платность, варез и.т.д.) среди пользователей.


Цитата:

уважаю все что работает достойно и сделано с умом и для удобства.

На мой взгляд (и не только мой) нод и касперыч полностью отвечают этим требованиям.


Цитата:

каждый день тут читаю обсуждения и вот стал Комодо выделяться, но фаер мне не нравится (читай ниже чего) и нет веб экрана.

Ну так ребята и зверята, что перепаковывают тоже читают эту тему (и не только эту) уж поверь мне их куда больше интересует реакция нода и каспера (аваста того же) на их "подарки" чем истерички комодо или вот скажем битдефендера. Объяснять надо почему?


Цитата:

Может MSE ?

Тьфу опять. Постоянно пишу как MES. Ну я думаю ты понял о чём речь.


Цитата:

Мне не нравится в Комодо фаер, он меня от моей сети блокирует когда оттуда идет атака, а должен ведь атакующего блокировать, как любой другой фаер. Например в Аутпосте такого нет.

Странно вот как раз-таки файер комодо чудовищному количеству людей нравится и есть за что.