Аз съм виждал след почти всички, защото е нормално всички да пропускат...само от ръчния анализ трудно бягат.

Hitman Pro и EmsisoftEmergencyKit при засечен работещ вирус изискват рестарт и още преди да зареди Windows-a ги чистят което е доста по ефективно от колкото под работещ заразен windows.Доста вируси ако усетят заплаха си правят клонинги в различни папки.

А лично мен много ме съмнява да поправиш ръчно разбутани регистри които са настройки по сигурността на ОС,но щом казваш,че всички пропускат само ти НЕ тогава съм загубил спора още преди да е започнал

Момент, момент....къде съм казал думата АЗ? Много мразя да ми набутват думи в устата, които не съм изрекъл. Продукти като Kaspersky, Norton и останалите антивирусни освен с дефиниции работят и с други технологии за предотвратяване на zero-day заплахи - application control, hips, behavior blocker, cloud, heuristics, reputation analysis, file insight, sonar и прочие, но най-вече имат защита в реално време и това компенсира дефинициите (стига да се използват правилно, защото съм виждал заразени системи и с CIS, което е нормално ако се отговаря само с YES на диалоговите прозорци), докато скенерите за които ти приказваш нямат защита в реално време и работят изцяло с дефиниции, евристики, репутация и облак и е напълно нормално да пропуснат по нещо и съм го виждал стотици пъти. Защо мислиш в подраздела ги караме да сканират с повече от два инструмента и то след РЪЧНОТО почистване? Винаги заплахите са една крачка пред дефинициите. Те няма как да засекат нещо, което не познават и го няма в базата данни. Да не говорим, че самите дефиниции пак се пишат ръчно. Автоматиката в повечето процеси е интегрирана за да помага на хората, а не за да замести ръчната намеса.

Разбира се, че и НИЕ (не само HJT TEAM), а хората, които се занимават с разчитане на логове, malware analysis, reverse engineering и т.н. можем да сгрешим, защото е човешко да се греши - т.е. при нас грешката е от човешкия фактор, не от технологията. Но като цяло имаме шанс да хванем вируси, които не се засичат от антивирусните програми (и сме го правили много пъти) на базата на анализа на входно-изходящите точки на една система, както и на анализа на MALWARE LOADING точките. Сиреч - къде, какво стартира заедно с Windows, от коя папка стартира, с какво име, дали има цифров подпис, какви са атрибутите на файла (дали е скрит например), размер, какво се опитва да прави (поведените му - например дали се е опитал да се свърже с интернет) и т.н. и т.н. и след това можем да го неутрализираме с точността на хирургически скалпел. Отделно инструментите за ръчен анализ и премахване  (като FRST, Combofix, OTL и т.н.). също изпълняват процедурите по премахването на гадинките по време на рестарт преди да е заредила Операционната Система. Колкото до това дали успяваме да поправим всички щети нанесени от вируса - отговора е НЕ - чистим това, което видим в логовете, НО и антивирусните НЕ могат да поправят всички неща. Основното, което те правят е да изтрият зловредния файл и да премахнат асоциацията на същия в регистрите (разбира се ако не става дума за полиморфен вирус като Sality, където се налага дезинфекция на всеки един exe или scr файл във системата). Много рядко антивирусните поправят поражения по Windows (за последно някои вкараха рутина за поправянето на изтритите услуги от ZeroAccess например), но дори тогава пак не поправяха някои неща оставени от рууткита (като TCP/IP stack-a или ключа на Action Center-a). Така че ние пак имаме възможността да открием повече поражения от почистващите скенери. За да се открият всички промени трябва да се използват инструменти като Sandboxie или BSA за да се види, както променя даден dropper.

Аз разбира се, че уважавам и двата скенера и те помагат там, където ние вече не можем да помогнем - все пак не сме ходеща енциклопедия с дефиниции - те ни помагат за познатите зарази основно, които може да сме пропуснали. (Не всички зарази оставят следи по логовете). Но и те си имат недостатъци. Наскоро докладвах, че EEK не засече един MBR рууткит, защото самия рууткит променяше VBR, а не самия MBR запис. След доклад, това вече беше оправено. HitmanPro пък има друго ограничение - платен е. И след като активираш 30-дневния период за да го използваш при почистването, след изтичането на този период, ако човек иска да го пусне за да провери системата си няма да може без да си го закупи. Аз затова като сканирам с HitmanPro ги карам например само да ми пращат лог файла и почиствам намерените неща ръчно, когато това е възможно, за да им спестя активирането на програмата и после да продължат да имат възможността да я използват като второ решение. Отделно така си спестявам и главоболията за евентуалните фалшиви тревоги, които специално при Hitmanpro не са били никак малко....доста небуутващи системи е имало след него особено при поправянето на MBR след TDL4 например. Друг пример, който мога да дам е доста пресен - преди месец колеги от чужбина с помощта на FRST откриха адуер, който пачва DNSApi.dll. На инструменти като adwcleaner му трябваха няколко седмици за да добави автоматична проверка и поправка на това...за човек, който не е знаел от кога датира проблема ще си каже ми супер...не ми трябват сложни методи за поправка, но дали винаги е било така? А замислял ли си се колко такива дейности са добавени във всеки нов билд на HitmanPro? Безспорно улесняват задачките по премахването на гадините, но зад автоматичните решения стоят часове на ръчен анализ.

Така че, спора наистина си го загубил преди да е започнал. Това, че работиш в сервиз не означава, че непременно трябва да имаш по-добра техническа подготовка от тези, които не работим там. Като цяло това изобщо не го бях написал с такава насоченост, каквато ти си го разбрал, но явно нещо си се засегнал. В момента в нета има всичко - стига да имаш време и желание просто започни един онлайн курс на обучение и така хем ще разшириш своите познания и за Операционните Системи като цяло, хем после ще имаш уменията и самочувствието да се справяш с по-упоритите гадинки. Но "благодаря", че ми спомена, че има гадинки, които се клонират. Не го знаех...

MRG Effitas Online Banking / Browser SecurityCertification Project–Q3 2015

https://www.mrg-effitas.com/mrg-effitas-online-banking-certification-q3-2015/

https://www.mrg-effitas.com/wp-content/uploads/2015/10/MRG-Effitas-Online-Banking-Certification-Q3-2015.pdf

 

Редактирано 12 октомври 201510 г. от NIKISHARK (преглед на промените)

Hitman Pro и EmsisoftEmergencyKit при засечен работещ вирус изискват рестарт и още преди да зареди Windows-a ги чистят което е доста по ефективно от колкото под работещ заразен windows.Доста вируси ако усетят заплаха си правят клонинги в различни папки.

Явно знаеш,но все пак:

Зависи какви права се придобили заплахите ПРЕДИ тяхното локализиране! Всяка една читава програма в защита ще поиска този рестарт! Може и да не се наложи (но това не означава в никакъв случай че не е по ефективно),пак казвам зависи какви права под Windows са придобили въпросните заплахи,за да бъдат отнети, се налага рестарт!

Просто исках да кажа,че това не е критерии за кое е ефективно и кое не!

Някои даже и поправят и регистри ,променени или добавени нови с цел злонамереност,естествено! Kaspersky,например!

P.s. Забравих да добавя за въпросното клониране,първото нещо при засичане на заплаха е да се отнеме правото на запис в папките ,което в случая не изисква рестарт! Така че,няма как при засичане да се клонират!Пък и какво значи това "усетят"?

Например на МБАМ сканиращия му енджин се маскира,ползват много и различни техники,за да не бъде "разкрит"

Редактирано 12 октомври 201510 г. от lost in (преглед на промените)

Пък и какво значи това "усетят"?

 

Мои тест от преди 6 години.

Намирам вирус в C:\Users\Username\AppData\Local\Temp\asdfsdfdgf.exe  които се появява там след стартиране на някакъв Multicrack (в един сайт пишеше,че регистрира всички програми и игри ) сканиращият антивирус товага беше НОД32 които не се обади грам докато стартирах ехе-то  но в последствие,се усети че системата е видимо заразена след сканиране НОД-а го засече и "неутрализира" файлът се появи в карантината,но след рестарт машината пак бавече ( процесора беше натоварен на 100%)

Alt+Ctrl+Del показа,че същият вирус с променена само последна буква вече е в C:\Windows\System32 последва рестарт без промяна на местоположението на вируса.

Последва ново сканиране и вируса беше поставен пак под карантина и се стартира от C:\Users\Acer\AppData\Roaming

Всяко сканираше отнемаше 1 час затова не си играх повече просто разбрах,че ако не го закачаш си стои на едно място,но "УСЕТИ" ли,че ще го триеш веднага си прави клонинг в друга папка.

 

Инче МБАМ съм впечатлен от голямата база данни с които разполага.Доста труд и време се изисква да се добавят в дефинициите и PUP и Adware освен другите бубулечки,не знам само ,защо все още не им дават лиценз за самостоятелна пълноценна антивирусна ( пък може и те самите да не са поисквали).

Не се клонира ами при стартиране пише в регистрите и при рестарт стартира под друго име.

Пък и какво значи това "усетят"?

Мои тест от преди 6 години.

Последва ново сканиране и вируса беше поставен пак под карантина и се стартира от C:\Users\Acer\AppData\Roaming

Ясно,но аз в такива случаи спирам System Restore и изтривам всички точки на възстановяване и чак тогава сканирам,  под Safe Mode

 

P.s. А, NOD32  беше ли легална тогава?    Понеже този номер,няма как да мине сега

Редактирано 12 октомври 201510 г. от lost in (преглед на промените)

Специално за Nod-а,ако по някаква случайност е пропуснато "подробно сканиране"(в смисъл-избран е Smart режим),като избран профил,при сканиране с която и да е програма(избрана за допълнителен скенер)ако има неактивна програма,която да представлява потенциална опасност -Nod-а реагира моментално,дори самия скенер да не я засича..

Няма да споменавам предимствата на многопластовата защита-HIPS,пясъчник,правила срещу криптиращи вируси...

Редактирано 12 октомври 201510 г. от NIKISHARK (преглед на промените)

Да не говорим за вградения SysInspector в NOD-a.

Пък и какво значи това "усетят"?

 

Мои тест от преди 6 години.

Ключов момент - доста променен е нодът в наше време.

Отдавна не съм теглил вируси за тестове да ги следя какво правят,но за версията на NOD32 говоря от времето когато беше такава

Относно легалността кварталният ни доставчик ни даваше един reg файл който променяше пътя за ъпдейтване на програмата от техен си ftp сървър.

Тогава Касперския като засечеше вирус квичеше като прасе което го колят.Авирата при засичане на вирус изпиукваше 3 пъти и не знаеше какво да предприеме.

Тогава наизлязоха и вирусмейкърите

И страшничкото Format All Drives с иконката на Word документ

 

Според мен говориш за период, дори преди повече от 6 години....NOD32 в първите си версии беше просто отчайващо зле. А през 2009-та (т.е. преди 6 години) вече се появи и първия от най-модерните рууткити за всички времена - TDSS. Макар че по това време имаше и BlackEnergy и разбира се Rustock.B и Max++. Та тези binder-и се появиха преди повече от 6 години мисля. Иначе Panda имаха доста добро клипче относно техните възможности:

 

 

Отдавна не съм теглил вируси за тестове да ги следя какво правят,но за версията на NOD32 говоря от времето когато беше такава

 

 

Изглежда ми модел  2006-та година ,тогава и Kaspersky  беше хитовата версия 6.0 ако не се лъжа ...хах 2007-ма как блокира explorer.exe с грешна дефиниция

Т.е. Минали са се 9 години ,оле боже ,,,

Тогава,пропуските на trojan от страна на Nod-а,го караха да изглежда като издънена кофа...Сега нещата са много по-различни....

Годишен отчет от Dennis Technology Labs ,определящ най-добрата програма за защита

 

Колебанията в ефективността през годината

Влияние върху системата

http://dennistechnologylabs.com/reports/s/a-m/2015/DTL_2015_AR.pdf

Още подробности:http://www.comss.ru/page.php?id=2673

 

Отдавна не съм теглил вируси за тестове да ги следя какво правят,но за версията на NOD32 говоря от времето когато беше такава

Относно легалността кварталният ни доставчик ни даваше един reg файл който променяше пътя за ъпдейтване на програмата от техен си ftp сървър.

Тогава Касперския като засечеше вирус квичеше като прасе което го колят.Авирата при засичане на вирус изпиукваше 3 пъти и не знаеше какво да предприеме.

Тогава наизлязоха и вирусмейкърите

 

 

 

Помня го тоя нод. Изкарваше едно червено око, което блещукаше и изпитвах някаква фобия от него. Странното беше, че бутона Delete не беше активен, а имаше само възможност за карантина. А и с тия скапани съкращения на модулите... За Аваста нема да споменавам какъв боклук беше(той и сега е такъв де). Сканираше ми под буут режим. Намираше некви троянци, уж ги махаше и след рестарт пак влизаше в тоя режим и мрънкаше нещо от типа" Cauton! A virus has been detected", и така до без край. Минах на Авира и това беше друга бира. Обаче тя  пък триеше крачетата и компания без да пита. Пандата беше слаба в тестовете, докато един ден не сложих Касперски(6-цата). Освен, че не ми даваше фалшиви тревоги, беше адски мощен(той и сега е такъв). Още тогава ми направи впечатление, че има огромна база от сигнатури. И това го пишеше при ъпдейт. Прасето ми изкарваше акъла почти всеки път, особено когато бях вързал машината с усилвателя и руските колони. Ех, какви времена бяха.... От тогава станах фен на Касперски.

ПП: Пробвал съм и Нортъна, но  беше адски тежък тогава. С версия 2009, обаче стана много по-добър.

Редактирано 14 октомври 201510 г. от Евгени Симеонов (преглед на промените)

Касперски, НОД32 Авира, са хубави програми. Но задължително легални. Ясно е защо. От безплатните, Комодо. В този сегмент безплатния, няма друга.

Нов тест на АV-Comparatives

File Detection Test September 2015

http://www.av-comparatives.org/file-detection-test-september-2015/

Тест на самозащитата на антивирусните от AV TEST :

https://www.av-test.org/en/news/news-single-view/check-2015-self-protection-of-antivirus-software/

 

Съмнява ме лошата самозащита на Comodo, при най-добрия HIPS..., странна работа...

И не само това...те нали там имаха някакви разногласия и Comodo не участваше в тестовете за доста дълъг период от време. Самозащита си има...лесно се килва процеса на GUI-то на Comodo, но не и на самата програма. И според KillSwitch и Processhacker процесите му си имат и ASLR и DEP уж. И за капак дават, че всичко файлове му са с цифров подпис...Аз се сещам за поне 1, който не е...поне това ме известява Event Viewer-a => в секцията Security => guard64.dll (всъщност той си има цифров подпис, но явно, защото се захваща за всяко приложение и затова го показва), но така или иначе съм успял в регистрите да го whitelist-на да не се появява повече.

Аз това не мога разбера. Комодо, стартира виртуално или блокира, всеки неразпознат файл. Айде да оставим HIPS-а настрана. Зависи как е настроен пясъчника. И каква е конфигурацията. Как аджеба, тая програма дето 'убива' процесите на Комодо, въобще започва работа? Значи самите преограми, са вкарани като безопасни в Комодо, преди теста. Не мисля, че някаква неизвестна програма, би успяла да 'убие' Комодо.

сигурно не са им издържали нервите и са изключели сандъка още преди да почне теста

сигурно не са им издържали нервите и са изключели сандъка още преди да почне теста

В кръга на шегата,освен че са го изключили(пясъчника), са включили HIPS-а и някой е "оплел конците"...по време на теста...

Тест на ESET NOD32 Smart Security 9

Теста е на Windows 10

Цитат:

 "Выявленные проблемы в ESET NOD32 Smart Security 9.0.318.20

• После проведения тестовых мероприятий в продукте отключилась защита HIPS и требовался рестарт для включения компонента, о чем продукт предупредил своевременно.
• На выставленных максимальных настройках наблюдается притормаживание запуска ряда исполняемых приложений и открытия интернет-ресурсов.
• Периодически наблюдается сброс рабочего стола и его последующие восстановление.
• Все перечисленные проблемы могли быть устранены в версии ESET NOD32 Smart Security 9.0.318.24, которая вышла буквально сразу после окончания тестовых мероприятий."

 

Тестирование комплексного антивируса ESET NOD32 Smart Security 9. Проверка уровня обнаружения и оценка производительности, тестирование проактивной защиты при запуске неизвестных угроз

ESET NOD32 Smart Security - комплексный антивирус NOD32 с облачными технологиями и многоуровневой защитой. Включает в себя проактивную систему HIPS, фаервол, защиту интернет-банкинга, защиту от фишинга и уязвимостей, антиспам и родительский контроль.

В тестировании принимала участие версия ESET NOD32 Smart Security 9.0.318.20.

Используемые образцы для тестирования

Для проверки уровня защиты ESET NOD32 Smart Security 9 были использованы:

• 1065 вредоносных образца, собранных в Интернете в период с 27.09.2015 по 01.10.2015 и отобранных по несколько представителей каждого вида.
• 1288 вредоносных образца, собранных в Интернете в период с 02.10.2015 по 07.10.2015 без отбора.
• 2378 вредоносных образца, собранных в Интернете в период сентября 2015 года (отбор за месяц).
• 1418 вредоносных образца, собранных в Интернете в период сентября 2012 года (дополнительный).
• 36 bat-скриптов, как вредоносные, так и содержащие команды управления параметрами ОС Windows, которые могут привести к непредсказуемым последствия.
• 32 безопасных образцов для проверки ложных срабатываний.
• 438 зловредных программ-шифраторов.

Краткие итоги тестирования

Уровень обнаружения

Уровень обнаружения ESET NOD32 Smart Security 9 с настройками по умолчанию:

• Оставшиеся файлы после всех проверок: 182
• Вылечено: 32
• Зараженные файлы: 135 (12,68%), на максимальных настройках - 118
• Файлы, вредоносность которых подтверждена на VirusTotal более 10 движками: 53 (4,98%)
• Из 36 bat-скриптов в состав которых входят, как целенаправленно написанные вирусы, так и команды ОС, после распаковки и сканирования в папке осталось 18 объектов.
• Ложные срабатывания: 2/32, на на максимальных настройках - 3/32.
• Из 438 шифраторов в папке осталось 2 объекта, на максимальных настройках - 2.
• Остаток после обработки архива №2 (1288) - 204 файла, подтверждено Zemana - 37, на максимальных настройках - 199.
• Остаток после обработки архива №3 (2378) - 693 файла, подтверждено Zemana - 434, на максимальных настройках - 670.
• Остаток после обработки архива №4 (1418) - 43 файла, подтверждено Zemana - 34, на максимальных настройках - 42.

Производительность и быстродействие

• Общее время сканирования: 0:07:51
• Максимальное значение потребления памяти основным работающим процессом антивируса: виртуальная память: 569,69 MB; физическая память: 335,54 MB

Запуск оставшихся файлов

Итоги запуска:

• При запуске зловредных файлов, оставшихся после распаковки архивов, некоторые их них стартовали и работали в системе в режиме реального времени, по истечению некоторого времени выгружались.
• Часть файлов при распаковке и инсталяции были определены, как зловредные и блокировались антивирусом. Поступали запросы на принятие решения по доступу приложений в сеть (особенности настройки). Блокировались зловредные интернет-ресурсы и опасное поведение.
• Опасные bat-скрипты были ликвидированы полностью. Скрипты, которые не распознаются как зловредные, выполняют запрограммированные в них действия.
• После выполнения очистки (антивирус обнаружил и ликвидировал 107 угроз) и рестарта в системе были обнаружены изменения в браузере IE, потенциально нежелательные и рекламные элементы, угонщики, даунлоадеры, неактивные шифраторы. Один объект (зловредный) работал в режиме реального времени. После первого рестарта в памяти присутствовал еще один объект, который не запускался во время тестового старта. Объект был ликвидирован и повторно не загружался.
• Фактически, заражение компьютера состоялось, хоть и не носит критический характер. Для нормальной работы операционной системы требуется очистка от работающих зловредных объектов, установленных потенциально нежелательных, рекламных объектов, угонщиков и т.д.

Выявленные проблемы в ESET NOD32 Smart Security 9.0.318.20

• После проведения тестовых мероприятий в продукте отключилась защита HIPS и требовался рестарт для включения компонента, о чем продукт предупредил своевременно.
• На выставленных максимальных настройках наблюдается притормаживание запуска ряда исполняемых приложений и открытия интернет-ресурсов.
• Периодически наблюдается сброс рабочего стола и его последующие восстановление.
• Все перечисленные проблемы могли быть устранены в версии ESET NOD32 Smart Security 9.0.318.24, которая вышла буквально сразу после окончания тестовых мероприятий.

Запись тестирования производилась 19 октября 2015 года.

 

Подробности:http://www.comss.ru/page.php?id=2700

Редактирано 27 октомври 201510 г. от NIKISHARK (преглед на промените)