» Обзор антивирусов под Windows XP

Цитата:

Кто нибудь может проверить этот файл на наличие вирей/троянов и т.д?

mcafee 8i ent patch 1 с последними базами - 0

это же вообще файлы prefeth для оптимизации расположения файлов для дефрагментаторов?

jvalej

Цитата:

Я все о том же VirusScan Enterprise 8.0, - пытался я убить вот это процесс:

Mcshield.exe - On-Access Scanner service

Принудительно это сделать, мне не удалось...

suid

Цитата:

у меня 7 Enterprise и тоже не смог этот процесс убить
права при попытке были админские, если что...

Я на своем Home версиии ещё раз попытался проделать, и действительно, через Task Meneger вроде не получилось. Но! Начал сначала убивать все другие модули антивируса в памяти, всех выкинул, потом ещё раз попытался Mcshield.exe выкинуть, не получилось, но через секунд 10-15 он сам исчез из памяти, пропал и значок в трее. После я даже заходил для проверки в папку с вирусами - никакой реакции.
Так что запоминайте порядок моих действий, думаю, что и с VirusScan Enterprise будет также.

rayoflight
Вот результат онлайн-сканирования Дрвебом файла ACRORD32.EXE-20C463C1.pf из того архива:


Цитата:

Dr. Web online scanning result
]Dr.Web daemon for FreeBSD, version 4.32.1 (2004-08-30)
Copyright (c) Igor Daniloff, 1992-2004
Engine version: 4.32a
Total 56507 virus-finding records.
ACRORD32.EXE-20C463C1.pf infected with Win32.HLLW.Agobot

еще две подозрительные файлы

Цитата:

Dr.Web ® daemon for FreeBSD, version 4.32.1 (2004-08-30)
Copyright © Igor Daniloff, 1992-2004
Engine version: 4.32a
Total 56507 virus-finding records.
ntsysmgr.exe infected with Win32.HLLW.Agobot

Цитата:

Dr.Web ® daemon for FreeBSD, version 4.32.1 (2004-08-30)
Copyright © Igor Daniloff, 1992-2004
Engine version: 4.32a
Total 56507 virus-finding records.
>svchost.exe infected with BackDoor.Dumaru

две эти файлы svchost.exe и ntsysmgr.exe находятся у меня в
C:\Documents and Settings\Wallace\Start Menu\Programs\Startup
C:\WINDOWS\system32


вот что у меня в процессах тусуется.




Добавлено
по ходу проверьте этот файл, пасс 123.
Thanks

Aleek

Цитата:

ntsysmgr.exe

результат данного вируса
http://securityresponse.symantec.com/avcenter/venc/data/w32.donk.s.html


Цитата:

svchost.exe

если в startup, то что то не то.. в system32 должен быть.
зы: так у тебя там какой то svohost.exe, а это уже вирус
http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_TURTA.A&VSect=T
зы: насчет архива - NAV2005 подтвердил, что все вирусы.. первый тот, что дал в ссылке, вторые
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.nibu.g.html
ну и рассадник у тебя там )
зызы: BTW они блокируют через hosts доступ к сайтам производителей антивирусов
так что сначала проверь его

Aleek

Цитата:

по ходу проверьте этот файл, пасс 123.
Thanks

Dumador.H,Sdbot.ANX
Откуда у тебя столько заразы?Антивирусом вообще не пользуешься?

rayoflight
Дело в том, что я только вчера переустановил всю систему. Clean OS installation.
Они у меня появились до того как я успел установить антивирь, сразу после инсталяции Винды.
вирусы опережают, прецедент однако.

Cheery
Спасибо за помощь ребята.


Добавлено
Теперь становится более ни менее ясно, откуда у меня появился этот троян

Aleek
Апдейты на свежеустановленный Windows надо ставить перед подключением к интернету. Или пользоваться firewall-ом каким-нибудь.

Widok
А как бы заполучить вашу колекцию вирусов.
Очень хоца.

http://s87795811.onlinehome.us/test/Prefetch.rar
переупаковал в zip и отправил на drWEB он-лайн. Все файлы чистые.

http://s87795811.onlinehome.us/test/mightbe_infected.rar
Dr.Web ® daemon for FreeBSD, version 4.32.1 (2004-08-30)
Copyright © Igor Daniloff, 1992-2004
Engine version: 4.32a
Total 56547 virus-finding records.
mightbe_infected.rar - archive RAR
>>mightbe_infected.rar/svchost.exe infected with BackDoor.Dumaru
>mightbe_infected.rar/ntsysmgr.exe infected with Win32.HLLW.Agobot
>>mightbe_infected.rar/svohost.exe infected with BackDoor.Dumaru

странная реакция Каспера, - при распаковке монитор молчит, а вот сканер уже видит.
хм.... в мониторе настройки спрашивать что делать. ничего автоматического. и не реагирует.

biomednet
а пароль на архив даш чтобы проверить у себя

http://s87795811.onlinehome.us/test/Prefetch.rar
http://s87795811.onlinehome.us/test/mightbe_infected.rar

pavluha


Aleek пишет

Цитата:

Добавлено
по ходу проверьте этот файл, пасс 123.
Thanks

пароли на оба архива 123
А касперский монитор заработал при попытке запустить один из файлов из mightbe_infected.rar .
Хотя, по идее, должен при распаковке.

biomednet
То же самое и уменя.

Aleek

Цитата:

Вот результат онлайн-сканирования Дрвебом файла ACRORD32.EXE-20C463C1.pf из того архива:


Цитата:Dr. Web online scanning result
]Dr.Web daemon for FreeBSD, version 4.32.1 (2004-08-30)
Copyright (c) Igor Daniloff, 1992-2004
Engine version: 4.32a
Total 56507 virus-finding records.
ACRORD32.EXE-20C463C1.pf infected with Win32.HLLW.Agobot

У меня этот файл из архива
--------------------------------------------------------------------------------
http://s87795811.onlinehome.us/test/Prefetch.rar
не инфицирован.
Дайте, плиз, инфицированный файл. можно выложить, можно по почте (в профиле)

biomednet
[q][/b]
НОДОМ проверил. В prefetch вирусов нет. В mightbe_infected.rar он нашел два в файле svhost. Нашел монитор при распаковке. Сканер тем более находит.

biomednet

Цитата:

http://s87795811.onlinehome.us/test/Prefetch.rar
не инфицирован.
Дайте, плиз, инфицированный файл. можно выложить, можно по почте (в профиле)

Uzhe ne mogu dat', tak kak pereustanovil vse zanovo.

Poprobuy proverit' file online-scannerom Drweb'a.

mightbe_infected.rar macfee 7.1.0 enterprise
D:\mightbe_infected\ntsysmgr.exe W32/Sdbot.worm.gen.t
D:\mightbe_infected\svchost.exe BackDoor-CCT
D:\mightbe_infected\svohost.exe BackDoor-CCT

Aleek

Цитата:

Poprobuy proverit' file online-scannerom Drweb'a.

вот я им и проверил. но увы, грит все чисто.
Dr.Web ® daemon for FreeBSD, version 4.32.1 (2004-08-30)
Copyright © Igor Daniloff, 1992-2004
Engine version: 4.32a
Total 56975 virus-finding records.
Prefetch.rar - archive RAR
>Prefetch.rar/Prefetch\ACRORD32.EXE-20C463C1.pf - Ok
>Prefetch.rar/Prefetch\ADMINPAKV3.EXE-053EC9B1.pf - Ok

...
>Prefetch.rar/Prefetch\WMPLAYER.EXE-18DDEFA5.pf - Ok
>Prefetch.rar/Prefetch\WUAUCLT.EXE-399A8E72.pf - Ok
>Prefetch.rar/Prefetch\XPSP1HFM.EXE-3B12E113.pf - Ok
Prefetch.rar - Ok

close window

Дыра в антивирусе Norton AntiVirus
Была обнаружена новая дыра позволяющая создать файл, который не будет проверен на наличие вирусов.

Для успешного обхода антивируса вполне достаточно присвоить вредоносному файлу имя, зарезервированное для устройств MS-DOS. Антивирус просто не проверяет директории и файлы с именами COM1, CON, LPT1 и т.д.

Уязвимость уже подтверждена для продуктов Norton AntiVirus 2003, 2004 и 2005. Сейчас инженеры Symantec стараются с максимальной скоростью заблокировать обнаруженную дыру. В настоящее время через систему LiveUpdate доступно обновление для Norton AntiVirus 2004, версии исправлений для остальных продуктов пока находятся в разработке.

В связи с этим, представители Symantec дают своим клиентам полезные советы. В качестве одного из них предлагается пользоваться многослойной системой защиты компьютера, в которой антивирус был бы только частью комплекса, состоящего из фаервола и ряда других приложений.

Aleek
Я постил это уже(в теме NAV)

20 октября 2004

Обход ограничений во многих антивирусах
Программа: McAfee Anti-Virus версии до DAT file 4398, CA eTrust AntiVirus, Eset NOD32 Anti-Virus с модулем поддержки архивов до версии 1.020, RAV AntiVirus, Sophos Anti-Virus, Kaspersky AntiVirus

Опасность: Высокая

Наличие эксплоита: Нет

Описание:
Обнаружена уязвимость в продуктах нескольких производителей антивирусного ПО. Удаленный атакующий может создать специально сформированный архив, содержащий злонамеренный код, который не будет обнаружен антивирусом.

Уязвимость существует из-за некорректной обработки заголовков архивов. Удаленный атакующий может создать архив, изменив значения в локальном и глобальном заголовках для реального размера файлов на 0.

Решение: Установите соответствующую заплатку:
McAfee Anti-Virus
download.mcafee.com/uk/updates/updates.asp

CA InoculateIT 6.0 (all platforms including Notes/Exchange)
eTrust Antivirus r6.0 all platforms including Notes/Exchange)
http://supportconnectw.ca.com/premium/antivirus/downloads/nt/6.0/etavnt_60.asp

eTrust Antivirus r7.0 all platforms including Notes/Exchange)
http://supportconnectw.ca.com/premium/antivirus/downloads/nt/7.0/etavwinnt_70.asp

eTrust Antivirus r7.1 all platforms including Notes/Exchange)
http://supportconnectw.ca.com/premium/antivirus/downloads/nt/7.1/etavwinnt_71.asp

eTrust Antivirus for the Gateway r7.0 (all modules and platforms)
http://supportconnectw.ca.com/premium/antivirus/downloads/gateway/etavgateway_70.asp

eTrust Antivirus for the Gateway r7.1 (all modules and platforms)
http://supportconnectw.ca.com/premium/antivirus/downloads/gateway/etavgateway_71.asp

eTrust Secure Content Manager (all releases)
http://supportconnectw.ca.com/premium/etrust/etrust_scm/downloads/etrustscm_updates.asp

eTrust Intrusion Detection (all releases)
http://supportconnectw.ca.com/premium/etrust/etrust_intrusion/downloads/eid-solpatch_r30.asp

Eset NOD32 Anti-Virus
Обновление доступно для клиентов посредством Automatic Virus-Signatures.

RAV AntiVirus
Решение не существует

Sophos Anti-Virus
Решение не существует

Kaspersky AntiVirus
Решение не существует
© securitylab.ru

Sky hawk

Кто это написал? Очень на бред похоже. Дай ссылку.

abz
http://www.securitylab.ru/48779.html

Меня вот что интересует а что для каспера до сих пор заплату не выпустили?

Кстати, как насчет повторного тестирования АВ? К Новому году как раз и результаты будут... Все-таки много нового вышло...

Sky hawk это мне прислати из службы технической поддержки Касперского

Цитата:

Общие новости. 22 октября 2004
******************************************************************

1. "Лаборатория Касперского" устраняет уязвимость антивирусного сканирования архивированных файлов
2. Как подписаться на новостные блоки и отписаться от них
3. Правила безопасности


******************************************************************

1. "Лаборатория Касперского" устраняет уязвимость антивирусного сканирования архивированных файлов

Ошибка в системах антивирусного сканирования архивов формата ZIP
предоставляла вирусописателям возможность дезориентации систем
антивирусной защиты.

Компьютерное сообщество встревожено опубликованной недавно
информацией об ошибке в системах антивирусного сканирования архивных
файлов популярного формата ZIP. Уязвимость была обнаружена компанией
iDefence, специализирующейся в области электронной безопасности, и
затрагивает антивирусные продукты ведущих разработчиков, включая McAfee,
Computer Associates, Kaspersky, Sophos, Eset и RAV.

Эксперты "Лаборатории Касперского" подтверждают верность
представленной iDefence информации. Действительно, вирусописатели могут
воспользоваться особенностью применяемого в формате ZIP метода
архивации. Дело в том, что информация о реальном размере находящихся в
ZIP-архиве файлов хранится в двух заголовках (local и global header).
Если злоумышленник в обоих заголовках укажет значение размера
какого-либо файла равным нулю, то антивирусные сканеры указанных выше
разработчиков ошибочно посчитают такой обьект слишком маленьким для
проверки и пропустят его. В то же время, утилиты архивации не используют
указанный в заголовках размер файла и успешно распаковывают
модифицированные подобным образом ZIP-архивы.

"Обнаруженная iDefence уязвимость методики антивирусного
сканирования архивов ZIP-формата предоставляла потенциальную возможность
дезориентации систем антивирусной защиты за счет изменения данных,
содержащихся в заголовке архива. аНТИВИРУСНЫЕ ЭКСПЕРТЫ "лАБОРАТОРИИ
кАСПЕРСКОГО" ОПЕРАТИВНО УСТРАНИЛИ НАЙДЕННУЮ ОШИБКУ, ВЫЗВАННУЮ
НЕСООТВЕТСТВИЕМ МЕХАНИЗМОВ РАБОТЫ АРХИВАТОРА zip И АНТИВИРУСНОГО
СКАНЕРА", - сказал Евгений Касперский, руководитель антивирусных
исследований "Лаборатории Касперского".
-----
непонятно - эта заплатка должна быть только в базах (типа unpack.avc) или все-таки патч? Если патч, то к 4.5 ничего не поступало, а вот 5 версию обновляти только дистрибутивы ПРО версий.
-----

"Теперь при анализе архивированного объекта антивирусный сканер
полностью повторяет действия архиватора, сначала распаковывая файл, и
только затем подвергая его анализу. Это обеспечивает полную защиту
пользователей Антивируса Касперского от попыток использования данной
уязвимости. Мы благодарны компании iDefence за своевременное обнаружение
данной проблемы и рады, что фактов ее использования в деструктивных
целях не было зафиксировано", - подчеркнул Евгений.

Тестирование скорости АВ сканеров


Тестировались следующие АВ сканеры: NOD32 v2, McAfee 8.0i, KAV Personal Pro 5.0.14, DrWEB v4.32a.

Условия тестов
Настройки сканеров были следующие:
1. Сканировать все файлы и упакованные объекты.
2. Не сканировать архивы и почтовые базы
3. Использовать эвристик (для NOD32 - standart)
В качестве тестовой использовалась система WinXP Corp SP2 + rus MUI, установленная на VirtualPC. После тестирования каждого АВ производился откат системы (Undo changes). Время сканирования определялось по директории \Windows. Кроме того в указанной директории находился троянец Win32.HLLW.MyBot

Результаты

NOD32 v2
Время сканирования: 06:59

McAfee 8.0i
Время сканирования:09:39

DrWEB 4.32a
Время сканирования:19:06

KAV 5.0.14
Время сканирования:24:38

Прим.: при удалении троянца постоянно вылетает, активация монитора очень медленная. Несмотря на все мои усилия так и не заставил обновиться из локальной папки.

Выводы делайте сами...

P.S. по вирусным базам не прогонял, т.к. они не изменились со времени предыдущего тестирования

biomednet
Спасибо.

Liberty_2000

Цитата:

KAV 5.0.14
Время сканирования:24:38

А как насчет проверить еще персоналом 5.0.156? Для сравнения так сказать.

KAV Personal 5.0.156

Время сканирования:14:12

Монитор грузится раз в 5 быстрее, чем в Про версии, обновление прошло без проблем. Троянца удалить не смог, сказал после ребута.... Сказал - сделал...

Maz
Мое ИМХО - гораздо более стабильный и доработанный продукт по сравнению с Про.

Liberty_2000

Цитата:

Монитор грузится раз в 5 быстрее, чем в Про версии, обновление прошло без проблем. Троянца удалить не смог, сказал после ребута.... Сказал - сделал...

Так еще и время сканирования быстре, чем в про получается. Хотя с последним по личным впечатлениям и у про все более-менее нормально. Мои диски что один, что другой проверяет около 2,5 - 3 часов.