» Обзор антивирусов под Windows

Этому уже года три, тогда про авиру не особо знали в рф.

gjf
Я это года эдак 2 назад видел на нонэйме

gjf
данное творение я читал года эдак 2 назад... если не больше... оно уже бородой зарости успело...

Попался на чужом компе уже второй раз вирус выбрасывающий почти на весь экран окно с предложением отправить SMS. Я по диспетчеру задач нашел подозрительный процесс и файл по пути Documents and Settings\Admin\Local Settings\Temp\. Авира его не видит (отправил сегодня им на проверку). Можете скачать потестить если есть желание своими антивирусами: http://www.sendspace.com/file/apd2hm (пароль: virus).

Viktor_Kisel
А что есть с расширением cbt?

Цитата:

А что есть с расширением cbt?

Если бы я знал? Так на всякий случай вкинул, имена просто похожие я и добавил.

Viktor_Kisel
Печальная ситуация по файлу. Опять перепаковали какую-то дрянь, в итоге надо ждать нового детекта.

gjf

Цитата:

Печальная ситуация по файлу.

про эту шпионскую утилиту писали в газете "Metro", странно, что ее видят избранные...
Dr.Web и ЛК писали лечение на своих сайтах/форумах, я правда не искал/не смотрел.

кстати ни укого не завалялся свежий наборчик из последних вирусов?
а то я все проверяю на наборчике многолетней давности

AAD
Viktor_Kisel

Цитата:

asd3.tmp - Trojan-Ransom.Win32.PogBlock.uz

gjf

Цитата:

Печальная ситуация по файлу. Опять перепаковали какую-то дрянь, в итоге надо ждать нового детекта.

А что говорят в ЛК по этому поводу в принципе? Почему эвристика вообще оказывается бессильной?

aleksdem2
Всё просто: файлы тщательно пакуются малварными пакерами. Сейчас Касперский - лидер по количеству анпакеров, но в отделе пакеров завал с легитимными вещами, не то, что с малварными и ломанными типа Themida. Поэтому детект добавляется по пакеру, а перепаковать - это пара пустяков.

В итоге имеем: вирмейкер пишет вирус, потом откидывается на спинку стула и ждёт детект. Как появляется - не меняя кода просто перепаковывает. Труда мало - а детекта уже нет!

Реально в сутки происходит от двух до пяти перепаковок одного и того же зловреда. А сам зловред меняется в среднем раз в месяц.

Впрочем, у других антивирусов ситуация не лучше: точно так же детектят

gjf
#

Авира прислала ответ: "The file 'asd3.tmp' has been determined to be 'MALWARE'. Our analysts named the threat TR/Agent.294400. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates."
То есть в базы еще не добавляют, в будущем добавят, надеюсь скоро.

DrWeb открыл страницу по разблокировке
http://www.drweb.com/unlocker/index/

а смысл? все равно чистить систему нужно
а от кода бывали случаи сто вирь еще и систему грохал

ildarU
http://virusinfo.info/showthread.php?t=68235
Ну и остальным может полезно будет
Хотя это ни коим образом к антивирусам не относится

Получается все антивирусы это обно название. раз не могут сразу поймать ekav и подобные смс сервисы. на форумах просто переполох по лечению этой заразы. зачем тогда отдавать деньги раз антивирус сразу не может среагировать на этот вирус?

BlackFox

Цитата:

Получается все антивирусы это обно название. раз не могут сразу поймать ekav и подобные смс сервисы. на форумах просто переполох по лечению этой заразы.

Вот когда будут антивири вживлять в башку тогда может и появится платная защита от соц.инженерии, а пока только своим умом

Цитата:

зачем тогда отдавать деньги раз антивирус сразу не может среагировать на этот вирус?

Деньги вы отдаёте по своему личному желанию и за них вам ничего не обещают и не гарантируют о чём честно и говорится в лиц. соглашении (покрайней мере у касперчига).

У кого из вендоров, кроме Avira, Kaspersky и DrWeb(о них знаю), есть LiveCD от разработчиков? Может закинем в шапку?

redwhiterus
http://comss.ru/list.php?c=bootcd

Engaged Clown
Благодарю, увидел еще интересные решения, дополнения все равно принимаются

Добавлено:
Еще нашел от себя
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
http://www.raymond.cc/blog/archives/2008/12/11/13-antivirus-rescue-cds-software-compared-in-search-for-the-best-rescue-disk/

, или почти флуд вслух, но раз разговор пошел о дисках...
Никакие это НЕ "спасательные диски" в полном понимании слова.

Как-то на ВирусИнфо была речь об этом же. Я посетовал на то, что часто недостаточно удаления самой заразы. Иногда надо исправлять в реестре, иногда надо вставлять чистые системные файлы взамен зараженных. Интереса не вызвало: тогда можно было как-то задействовать Регэдит, запускать AVZ и на крайный - спокойно загружаться в безопасный режим.

Лайв СД нам в руки, как сказано по последней ссылке gjf. Однако - "спасательные" дополнительного инструментария, за редким исключением, не имеют, и то - надо лазить "вручную" по веткам да листьям. Да и каков смысл в "фирменном" диске, когда антивирусы, увы, новую/измененную заразу НЕ видят, и когда они и так имеются в любой сборке, и не в одиночестве, и наряду со многим полезным софтом и традиционным RunScaner-ом. Но этих сборок много, большинство - большого размера, т.е. человеку, его не имеющемуся, нелегко его скачать (и разобраться сначала во сборках, потом в его работе), есть разные подходы работы с реестром установленной ОС, и в программах анализа наряду с данными из него выводится и часть параметров реестра самого Лайв СД, многие параметры, как то проводника и др., - только из него.

Если ковыряться с загрузкой кустов (и по веткам и листьям), конечно всё можно, но часто и на это нет времени, и предпочтительнее запускать разные программы с удаленным реестром. Не очень опытному пользователю и так трудно разобраться. Поэтому, как мечтается, надо бы изготовить микросборку (есть же готовые, размером ~30 мб и с минимумом программ, типа альтернатив проводника), гарантированно загружающуюся на каждом компьютере, и чтобы она включала только: усовершенствованный RunScaner, плюс прспособленные к последнему AVZ, и, скажем, менеджер автозагрузки (например OSAM, не секрет же, что он видит больше и лучше, чем AVZ; или же Autoruns; или тот же HijackThis, но его отсутствие не критично), и что обычно советуют для логов, и что-нибудь из софта, получше разбираюшееся в хитростях маскировки на диске, если таковое последует, - чтобы в случаях невозможности работы с активной системой проводить - даже - лечение с этой сборки. Не указывать на ту или иную сборку, а на одну и специализированную конкретно. CureIT и AVP - скачивать отдельно. Пришел человек, скачал эту сборку и далее как обычно в "Помогите".
Почти забыл, что не на ВИ в данный момент.
________________________________


Цитата:

Какой детект на уровне HIPS вы хотите увидеть? Пропись в автозапуск и папку system32? Так и обычный плеер это делает

Да, именно надо увидеть, уже! Пропись в автозапуск не такое уж частое явление, чтобы не озабочивать пользователя вопросом об этом. Внедряться в какой-нибудь Winlogon или Svchost или заменять их - тоже из этого ряда. Надо спрашивать, и спрашивать с устрашаюшим описанием последствий. Насчет второго вообще не надо спрашивать, как мне кажется. Но до того надо такое действие засекать.

Erekle
Реально трудно понять, что включать в такой CD. Ну понятно, что BartPE. Ну понятно, что пару-тройку антивирусов. Плюс сетевые дрова, чтобы базы качать. Плюс проги для работы с реестром, автозапуском, AVZ. Плюс пару-тройку шестнадцатеричных редакторов, дизассемблер - для неизвестны файловых вирусов. Отладчики. Декомпиляторы. Что ещё?

У меня есть флешка-мухобойка для заражённых систем. К сожалению, всего 256 Мб. На ней есть переключатель режимов полного доступа и только чтения - сейчас таких, к сожалению, не выпускают Потому на ней минимум - и самое необходимое. Плюс к ней дополнительная флешка - уже на 1 Гб, тоже под завязку. Плюс портативный HDD на 160 Гб

О чём речь? Невозможно учесть все случаи заражения. А если таскать ещё системный файлы на замену поражённым - вы представляете, сколько весят дистрибы всех систем Windows, что сейчас используются?

Антивирусные компании дают свои продукты в оболочке, а если надо что-то ещё - его всегда можно запустить с другого носителя. Имхо логично и правильно.

HEX, дизассемблер... не нужны для такой микросборки, где задача - только разобрать/сделать логи конкретными программами и внести нужные изменения в реестр. Системные файлы я таскаю только самые "популярные" (только сегодня добавил в комплект atapi), в сборке некритичны. Сеть тоже не нужна - раз человек скачал лайвСД, сможет получить из того же источника и свежую версию AVP и CureIT. Антивирусы вообще излишны ( ) - не совсем, конечно, а в таком случае, когда надо только пресекать запуск зловреда с системой и ликвидировать возможные или существующие проблемы в реестре, препятствующие этому. Антивирусы пусть разбираются после загрузки системы, с мирно спящей заразой... пожалуй, это не касается файловой. К тому же какой-нибудь комп почти всегда рядом, а ВирусТотал - в нём. Одним словом - голая минимальная система с драйверами под диски, нацеливание на реестр и два-три-четыре пере-приспособленных для этого софта.

Лечение с активной системы, разумеется, незаменима, но участились же (мягко говоря)случаи, когда это просто невозможно, и вы лучше и ближе об этом знаете. Я только об этом. Но одна программа не работает в одной сборке, в другой вывалывает инфу с лайвСД, какая-то сборка удовлетворяет для какой-то программы, но не запускается на машине с памятью 192 или даже 128 (заиметь бы этот портативный HDD, но разве USB_HDD загружается на каждом компьютере, например, десятилетней давности? А на каждом есть СД-привод? ). Я, в общем, как-то обхожусь, но речь не обо мне, а о взывающих пострадавших, которых антивирусы постеснялись спросить о действии. "Флэш-плейер" же спросил?

Основная цель этих LiveCD - пролечить от мешающих зловредов типа винлока, файловых вирусов, вирусов мешающих запуску антивирусов.
Если от них избавиться, то уже можно будет загружаться в саму систему, чтобы запустить из нее тотже cureit, а дальше он пролечит, потом посмотреть автозагрузку и ручками добить оставшиеся малвары.

Erekle

Цитата:

Да, именно надо увидеть, уже! Пропись в автозапуск не такое уж частое явление, чтобы не озабочивать пользователя вопросом об этом. Внедряться в какой-нибудь Winlogon или Svchost или заменять их - тоже из этого ряда. Надо спрашивать, и спрашивать с устрашаюшим описанием последствий. Насчет второго вообще не надо спрашивать, как мне кажется. Но до того надо такое действие засекать.

Нормальный хипс просто не даст заразиться. Например DefenseWall молча заблокирует недоверенное, либо спросит, если в автозагрузку пишется доверенное.

Цитата:

Если от них избавиться, то уже можно будет загружаться в саму систему

Про Userinit = kjaowdogf8y76.exe забуду. Но если хоть сегодняшний выпуск CureIT не будет знать про перепакованный даже вчера вирус?

Erekle
Ну я же написал

Цитата:

посмотреть автозагрузку и ручками добить оставшиеся малвары.

А, извиняюсь.

Erekle

Цитата:

только сегодня добавил в комплект atapi

Последние версии TDL3 цепляются не на атапи, а на рэндомный драйвер. Впрочем, как и Get Acelerator

Цитата:

пожалуй, это не касается файловой

А как с ней быть? Sality ещё очень распространён

Цитата:

но разве USB_HDD загружается на каждом компьютере, например, десятилетней давности?

Нет, но потому он у меня и на подхвате на третьем месте
Engaged Clown

Цитата:

Нормальный хипс просто не даст заразиться. Например DefenseWall молча заблокирует недоверенное, либо спросит, если в автозагрузку пишется доверенное.

Верно. А как понять, что доверенное, а что - нет?