» Корпоративные продукты McAfee / Networks Associates (NAI)

[b]alx19[b]
Scan inside archives (e.g. .ZIP)
Decode MIME encoded files
напр. ой как влияет
Мне кажется, что и дефолтные настройки вполне пойдут.

alx19

Цитата:

во сколько каждый день скачивать базы и по каким дням проводить скан по всей системы

это зависит от того как те удобно. я, например, скачиваю база по ночам, когда канал наименее загружен. сканирование по запросу практически не использую, т.к. постоянно вкл. On-Access Scanner

Цитата:

хватит ли этого для полноценной защиты от вирусов, или нужно еще сделать какие-нибудь настройки дополнительные?

ни каких дополнительных "секретных" настроек у vse8 нет, все настраивается через интерфейс. если что непонятно то читаем хелп/мануал


Цитата:

Просто я решил что Real-Time VSE8 тормозит меньше при дефолтных настройках, чем Real-Time SAV 10.1.4.4010. В то же время получил мнение от одного человека, что это зависит от настроек, кто из них больше тормозит в Real-Time. Неужели есть какие-то дополнительные настройки у McAfee (не относящиеся к банальному выставлению уровня эвристики в максимум) при которых он начнет тормозить существенно больше?

так спроси у этого чела что эт за настройки

Добавлено:

Цитата:

Scan inside archives (e.g. .ZIP)
Decode MIME encoded files

угу, я бы тоже вкл. не стал бы

alx19
Ну собственно тебе уже отвеил Hazard
При этом МНЕ кажется, что сильно грузит систему включение режима разделения на безопастные и опастные процессы. Также на слабых системах влияет заметно отсутсвие/присутвие antispyware-модуля.

SergeyCVS
Подскажи, плиз: поставил еРО 3.6, добавил машины в Directory(рабочую группу, у меня нет Домена), на тестовую машину поставил агента(в ручную, не через Send), службы агента выполняются, значка в панели нет.

Трабле: на Wakeup нет никакой рекции.

EpoApSvr.log:

Process agent wake up thread created successful.
POJNI    Begin agent wake up processing thread
POJNI    Getting configure info from C:\Program Files\McAfee\ePO\3.6.0\Db\Server.ini
EPOJNI    Initialize work queue with 5 threads
EPOJNI    Ping agent IP Addr 192.168.100.115...
EPOJNI    Deleting console request file C:/Program Files/McAfee/ePO/3.6.0/DB/Request/1B5391B-10DCA28DB53--7F28/cnslagpg.dat


FrmInst_User.log:

START [4712 4608 /LOGDIR="C:\DOCUME~1\User\LOCALS~1\Temp\NAILogs"
"C:\WINDOWS\TEMP\unz8.tmp" "C:\DOCUME~1\User\LOCALS~1\Temp\unz7.tmp" ]
#5164    Common    Cle    WaitForSingleObject (MCAFEE_FRAMEWORK_CLEANUP_INSTANCE, -1)
#5164    Common    Cle    OpenEvent (MCAFEE_FRAMEWORK_CLEANUP_MUTEX_CREATED)
#4724    Thread    Ins    Exit program
#4724    Setup    Ins    END 0
#5164    Common    Cle    WaitForSingleObject (calling FrmInst.exe, -1)
#5164    Main    Cle    Didn't open service-creating FrmInst.exe code 87
#5164    Main    Cle    END 0


ЗЫ: птичкой машина помечена, порт 8081 открыт, фаервола нет.

densyak

Цитата:

Трабле: на Wakeup нет никакой рекции.

а какую реакцию ты ожидаеш? что в логе агента на клиенте? (на клиенте _http://localhost:8081/)

Вопросы по McAfee VSE8 + patch 13 + AntiSpyware Module:

1. В настройках в разделе Scan All Fixed Disks -> Advanced -> шкала System Utilization
Если выставлять например только 10% чтобы полный тест на вирусы не мешал работать -ухудшит ли это качество сканирования?

2. В соотвествии со статьей
http://www.anti-malware.ru/index.phtml?part=tests
- очень малая часть антивирусов имеет достаточно неплохую поддержку упаковщиков самораскрывающися exe файлов. В смысле что VSE8 этот тест скорее провалил бы.
То есть если придет хорошо упакованный зараженный самораскрывающийся exe файл, который пользователь пошлет на выполнение - велика вероятность заражения. Так работают например Трояны Downloaders просто при запуске открывающие в системе BackDoor через которые закачивают самые свежие вирусы которые антивирус еще не знает.
Говорит ли это о том что при использовании VSE8 надо обязательно использовать хороший фаервол приложений? Чтобы защититься от пропущенных троянов...

3. VSE8 позволяет через свои настройки блокировать запись в папку Windows и т.д.
Если использовать такие настройки, будет ли падать производительность системы и будет ли это мешать работе нужных программ которым надо писать что-нибудь в папку Windows ?

4. Является ли движок 5100 который уже можно скачать с сайта mcafee.com рекомендуемым для использования (а то говорят про то что в официальный выход только в октябре 2006...)?

5. AntiSpyware Module использует собственный движок ловли spyware или движок самого VSE8 ?

Спасибо.

alx19
1. Нет, только скорость
2. VSE сам по себе фаервол в принципе. Так что нам н-р его хватает.
3. У нас всё включено, всё работает нормально
4. да, 5100 это так сказать stable relaese. В октябре выходит новая версия самого VSE - 8.5
5. ну, тут сложно сказать. Смотря что понимать под "движком". Скорее это всё же движок VSE с включенным плагином.

в варезнике выложил новый билд Desktop Firewall 8.5.0.591, это типа "patch 5"

readme

1. Под VSE8 на сколько часто правильнее будет по расписанию проводить полную проверку на вирусы (1 раз в неделю или можно реже) ?

2. У McAfee есть продукт AntiSpyware 8.5 Enterprise StandAlone.
Так ли это что он может работать сам по себе и использует собственный движок для ловли spyware и соответственно ловит их хуже чем MASE 8.0, который использует движок самого VSE8 ?

3. В каком случае защита от вирусов при использовании у пользователя клиента VSE8 будет выше
а) если у пользователя будут админские права, но средствами VSE8 будет запрещена запись в папку Windows и папку /Windows/System32
б) если у пользователя будут права Пользователя, а клиент VSE8 будет иметь настройки по умолчанию ?

Руководство McAfee уходит в отставку со скандалом
http://www.cnews.ru/news/line/index.shtml?2006/10/12/213588

alx19

Цитата:

1. У McAfee есть продукт AntiSpyware 8.5 Enterprise StandAlone.   Так ли это что он может работать сам по себе и использует собственный движок для ловли spyware и соответственно ловит их хуже чем MASE 8.0, который использует движок самого VSE8 ?

нет. что AntiSpyware 8.5 Enterprise StandAlone, что MASE 8.0 работают одинаково. используются одни и те же алгоритмы.


Цитата:

2. В каком случае защита от вирусов при использовании у пользователя клиента VSE8 будет выше
а) если у пользователя будут админские права, но средствами VSE8 будет запрещена запись в папку Windows и папку /Windows/System32
б) если у пользователя будут права Пользователя, а клиент VSE8 будет иметь настройки по умолчанию ?

имхо б). ограничение прав в этом случае касаются не только записи в system32, но и модификации реестра и т.п. вещей.
да и вообще, давать права юзеру нужно минимально необходимые ему для выполнения своей работы. и эт не зависит от того какой антивирь стоит.

SergeyCVS

1.

Цитата:

нет. что AntiSpyware 8.5 Enterprise StandAlone, что MASE 8.0 работают одинаково. используются одни и те же алгоритмы.

Следует ли из твоего ответа, что MASE 8 для VSE8 использует собcтвенный движок для ловли spyware, а не тот который использует VSE8 для ловли вирусов?

Просто размер MASE - <1 мб.
размер AntiSpyware 8.5 Enterprise StandAlone - около 10 мег. в архиве.

Отсюда напрашивается вывод о том что движок MASE - тот что в VSE8, а сам модуль MASE лишь активирует какие-то способности по ловле вирусов в VSE8. А StandAlone работает сам по себе со своим движком.

Из нижеследущих статей тогда следует, что эффективность StandAlone должна быть существенно ниже чем Module варианта.

В статье
http://www.compress.ru/Archive/CP/2005/10/43/
показано что когда используется для ловли шпионов отдельный движок антишпионской программы - эффективность его работы ниже антивируса у которого движок заточен окромя ловли вирусов еще и для ловли шпионов.

В проведенном тестировании на сайте
http://malware-test.com/antispyware.html
получено что McAfee AntiSpyware Enterprise StandAlone ловит например 62,16% spyware из контрольной группы.

Аргументируется, что для того чтобы ловить шпионов максимально эффективно, нужно чтобы антишпионская программа находилась между ядром ОС и приложениями. Но это место занято антивирусом (а Windows не позволяет технически сделать так чтобы 2 Real-Time антивируса работали одновременно на одной машине). По этой причине антишпиоские программы неэффективны и лучше использовать антивирус с антишпионскими свойствами.

Или надо считать, что результаты всех подобных статей слишком противоречивы, чтобы делать подобные выводы?

2.
Под VSE8 на сколько часто правильнее будет по расписанию проводить полную проверку на вирусы (1 раз в неделю или можно реже) ?

alx19
1)" В проведенном тестировании на сайте
http://malware-test.com/antispyware.html
получено что McAfee AntiSpyware Enterprise StandAlone ловит например 62,16% spyware из контрольной группы"
А где там написано что это AntiSpyware 8.5 Enterprise StandAlone? У McAfee есть ещё продукт AntiSpyware. И ему уже много лет.
2) Уже писали неск. постами выше - при включённом постоянно Реал-тайме в принципе вообще невижу необходимости. Ну, если неймётся, раз в месяц заглаза.

Потестил только что вышедший
McAfee VSE 8.5 beta IV + AntiSpyware Module 8.5 Beta IV
(а релиз McAfee VSE 8.5 ожидается в ноябре 2006) - тормоза больше чем у SAV 10.1 - любого релиза.
Так что вполне возможно что McAfee VSE 8.5 первых релизов будет также как первые релизы SAV 10.1 очень сильно тормозить - а со временем и McAfee и Symantec выпустят VSE 8.5 и SAV 10.1 релизы, которые будут приемлемо тормозить и работать достаточно безпроблемно.

Тестил на компьютере
Cel 1,7; 1024 Ram; i845GE; Seagate 7200.9 80G;..., XP SP2 Pro...

Зато под VSE8P13 + MASE + Engine 5100 - работа комфортная.

Несколько дней назад мне тут дали одну ссылку: http://slil.ru/23254889/796095224/imtale_4.1.2.rar

McAfee ничего не нашел, но все-таки ради любопытства я решил проверить этот файл онлайн-сканерами Касперского и Диалог-Науки. В результате был найден троян: "Trojan PWS LDPinch". В базе McAfee такой троян присутствует и датируется аж лохматым 2003 годом. Не понимаю почему он его не находит Может быть файл упакован каким-то неизвестным упаковщиком?

Версия: VirusScan Enterprise + Anti-Spyware Module 8.0.0 + Scan Engine 5100 + Patch 14.

mifril
этот тип вирусов например обсуждают здесь:

http://www.anti-malware.ru/phpbb/viewtopic.php?t=1287

McAfee определяет вирусы и создает сигнатуры по классам, стремясь делать максимальную корреляцию внутри вида (поэтому и обновления столь малы и не так часты); возможно что у McAfee сигнатура этого класса вируса еще не достаточно доработана (или уже устарела)

Короче это просто новый штам вируса и эвристики не хватает чтобы его видеть даже с учетом того что сигнатура аналога уже есть в базе.

А вот например:
Так вот в одной из тем по ним прозвучала мысль, что совсем легко найти криптор, который, например, закриптует любой троян и этот троян потом не увидит практически НИ ОДИН известный антивирус. Я не поверил. Так вот, как оказалось достаточно всего часик-другой пошуршать по инету, чтобы перепробовав десяток-другой крипторов найти один из таких крипторов, который действительно делает подобное.
Для примера (исключительно для примера, не повторять, это не руководству к действию!!!) я взял дубово-легендарный троекомпилер (даже называть его не буду), сбацал тестовый троян.
Прошёлся по нему Доктором Вебом, Макафи и Каспером (база сегодняшняя, версии последние) - мгновенная сработка! Отлично.
Закриптовал тот же троян найденным криптором. Прошёлся антвирями - Not Found !!! Запуск троя - троян сработал. Мониторы антивирей даже не пикнули! Копирование готового троя - не пикают!
Для чего я это пишу?
Граждане, я вовсе не открыл Америку, но у меня волосы встали дыбом.
Неужели так идиотски просто обойти практически любую антивирусную защиту? Все годы я воспринимал как стопроцентную истину мысль о том, что если пользоваться проверенными и с заслуженной репутацией антивирусными продуктами с ежечасно обновляемыми базами (работающими в жёстком мониторном режиме), то вероятность отлова вируса близится к нулю при прочих равных условиях. А на деле, выходит, что вся рекламная шумиха с наградами очердного супер-пупер антивируса - это не более чем рекламная шумиха!
Так что, граждане, когда кто-либо в очередной раз будет тут рассуждать о выборе фаерволла, антивируса, об обнаруженных уязвимостях, о собственной компетентности в вопросах защиты и безопасности Сетей, то стоит подумать, что всё относительно.
Печально как-то от подобных мыслей.

AlexRNeos
почитай пожалуйста об этом здесь
http://www.anti-malware.ru/phpbb/viewtopic.php?t=956&start=90
7 страниц
А еще лучше задайте свой вопрос там...

интересно, что они на это скажут

этот "например" неплохо бы сопроводить ссылкой на источник.

http://www.kuban.ru/forum_new/forum10/files/34080.html

По делу: там далее по ветке этого RA подопустили, и правильно имхо. Одно дело - троян не обнаружившийся в закриптованном виде: криптовщик неизвестен антивирусу, раскриптовать не получается, сигнатура файла не совпадает с базой, делаем вывод - безобидный файл. И совсем другое дело - не опознать известный по базе троян в момент его запуска, т.е. при распаковке и помещении в оперативную память. Если первое - вполне возможно, то второе - навряд ли. Остается только проверять самому. Но автор в любой момент может улизнуть, поскольку не желает раскрывать каким же именно криптовщиком он при своем тесте пользовался.

А по каким портам идет конект MyAVERT Security Threats?? чтоб на фаере прописать... а то у меня не конектится... что то не могу найти где ети порты указаны....

TitanMK

Цитата:

А по каким портам идет конект MyAVERT Security Threats?

8801
полный линк выглядит так
_http://myavert.avertlabs.com:8801/reportservice.asmx?wsdl

На XP SP2 Pro
установлен
McAfee VirusScan 8i Enterprise + patch 14 + AntiSpyware + Engine 5.1.0.0 + 17.10.06 базы.

Глюк в том что в
VirusScan Console когда нажимаю на Autoupdate 2-е нажатие левой кнопкой мыши
либо по правлй кнопке - > Properties
вход в настройки автообновления не происходит.


Попытка запустить Update Now - ни к чему не приводит.

В журнале событий ОС имеется

Тип события:    Ошибка
Источник события:    Alert Manager Event Interface
Категория события:    Отсутствует
Код события:    257
Дата:        19.10.2006
Время:        21:00:36
Пользователь:        Н/Д
Компьютер:    
Описание:
VirusScan Enterprise: The file D:\WINDOWS\msupdate.exe is infected with the New Malware.j Trojan. No cleaner available, quarantined successfully . Detected using Scan engine version 5100 DAT version 4875.(from VISTA IP user VISTA\LongHorn running VirusScan Enter 8.0 OAS)

Тип события:    Ошибка
Источник события:    Alert Manager Event Interface
Категория события:    Отсутствует
Код события:    257
Дата:        19.10.2006
Время:        20:00:17
Пользователь:        Н/Д
Компьютер:    
Описание:
VirusScan Enterprise: The file D:\WINDOWS\msupdate.exe is infected with the New Malware.j Trojan. No cleaner available, quarantined successfully . Detected using Scan engine version 5100 DAT version 4875.(from VISTA IP user VISTA\LongHorn running VirusScan Enter 8.0 OAS)

Тип события:    Ошибка
Источник события:    Alert Manager Event Interface
Категория события:    Отсутствует
Код события:    257
Дата:        18.10.2006
Время:        18:21:09
Пользователь:        Н/Д
Компьютер:    
Описание:
VirusScan Enterprise: The file D:\WINDOWS\system32\scsm.exe is infected with W32/Stration@MM Virus. The file was successfully deleted.(from VISTA IP user VISTA\LongHorn running VirusScan Enter 8.0 OAS)

Тип события:    Предупреждение
Источник события:    Alert Manager Event Interface
Категория события:    Отсутствует
Код события:    257
Дата:        18.10.2006
Время:        17:30:47
Пользователь:        Н/Д
Компьютер:    
Описание:
VirusScan Enterprise: Would be blocked by behaviour blocking rule (rule is currently in warn mode) (warn only mode!).(from VISTA IP user SYSTEM running VirusScan Enter 8.0 OAS)

Тип события:    Ошибка
Источник события:    Alert Manager Event Interface
Категория события:    Отсутствует
Код события:    257
Дата:        18.10.2006
Время:        17:20:57
Пользователь:        Н/Д
Компьютер:    
Описание:
VirusScan Enterprise: The file D:\WINDOWS\system32\scsm.exe is infected with W32/Stration@MM Virus. The file was successfully deleted.(from VISTA IP user VISTA\LongHorn running VirusScan Enter 8.0 OAS)

VSE8 попеременно сообщает о заражении msupdate и о том что он его удалил...

Правильно ли я понимаю, что отсюда следует что McAfee пропустил вирус, что повлекло к тому что его автообновление отключилось и он не в состоянии пока удалить этот вирус из системы?

Последнее обновление баз - 17.10.06

Может ли помочь - проверка системы на вирусы в режиме защиты от сбоев
и вообще не понятно как такое могло произойти.

Обновление запрашивается напрямую с сервера McAfee (то есть режим Unmanaged).


http://vil.nai.com/vil/content/v_134073.htm

СЛЕДУЕТ ЛИ ИЗ ЭТОГО ЧТО ПРИ ИСПОЛЬЗОВАНИИ VSE8 НАДО ОБЯЗАТЕЛЬНО БЛОКИРОВАТЬ ВОЗМОЖНОСТЬ ЗАПИСИ ФАЙЛОВ В КОРЕНЬ ПАПОК WINDOWS И SYSTEM32 ???

Антиспам для Exchange:
GroupShield 6.0.2

Есть
1. "ASA.EXE which is a licensing application which converts an evaluation SpamKiller add-on to GroupShield 6.0.2 for Exchange to a fully Licensed SpamKiller add-on for GroupShield Exchang"

А есть
2. SpamKiller Full 2.1.2 install package

Собственно вопрос: чем отличается 1 от 2го, и если стоит 1е, то стоит ли ставить второе?

FreemanRU

1-е активатор аддона SpamKiller'а в GroupShield'е

2-е отдельный продукт по отлову только спама.

если стоит 1-е, т.е. GroupShield + активированный аддон SpamKiller'а, то ставить 2-е не нужно

Хм, как-то не очень меня впечатлил аддон. НЕ умеет заголовки править, вообще ниче не умеет, кроме как отсылать почту в Junk-mailbox

Если стоит
McAfee VSE8 + patch 13 + AntiSpyware,
можно ли ставить patch 14 - не деисталируя сначала AntiSpyware Module?

Ответ об пропущенном вирусе получил здесь:

McAfee VSE8 P14 AntiSpy-e Engine5100 пропустил вирус Выводы?
http://www.anti-malware.ru/phpbb/viewtopic.php?t=1305

Warezov.dc эпидения как во времена Bagle
http://www.anti-malware.ru/phpbb/viewtopic.php?t=1295

alx19

Цитата:

можно ли ставить patch 14

Нужно

FreemanRU

Цитата:

НЕ умеет заголовки править

А у меня добавляет это:
X-NAI-Spam-Flag: YES
X-NAI-Spam-Level: +++++++++
X-NAI-Spam-Score: 9.6
X-NAI-Spam-Threshold: 5
X-NAI-Spam-Checker-Version: NAI SpamAssassin 1.2 (2.70 20060530 2513)
X-NAI-Spam-Route: User-Junk-Folder


Цитата:

ниче не умеет, кроме как отсылать почту в Junk-mailbox

Может также реджектить, слать в карантин.

Serra
Ага, разобрался...

Нарисовалась интересная проблема
Имеем SpamKiller (или адд-он, не принципиально). Включаем Enable routing to the user junk folders on this server. На русском офисе вместо того, чтобы падать в "Нежелательную почту", создается папка "Junk E-mail", и спам сыпется туда. Вот такие вот дела.