Перейти к содержанию
  • записей
    7
  • комментариев
    25
  • просмотров
    47 889

NOD32 первым защитил от Win32/Stration/E-mail.Worm


IStogov

3 775 просмотров

Просто не могу молчать ребята, эти гаврики опубликовали пресуху http://www.pressroom.ru/?ID=458614&PRID=47340

 

Мда, врать и выдумывать в Еset горазды. А тут еще находятся умники, которые это вранье

поддерживают. Разберем по пунктам. Я предлагаю обсуждение этого прекрасного пресрелиза в отдельную тему вынести

 

Цитата:

Москва, 26 октября 2006 г. Сегодня компания Eset – международный разработчик антивирусного ПО и решений в области компьютерной безопасности, объявляет о том, что антивирус Eset NOD32 стал первым антивирусным продуктом, обеспечивающим защиту от почтового червя Stration, распространение которого в Интернет приняло характер эпидемии. Таким образом, технология проактивной защиты ThreatSense™, встроенная во все версии антивирусного ПО Eset NOD32, вновь доказала свою исключительную эффективность в противодействии вирусам и вредоносному ПО. Первые сообщения о распространении нового сетевого червя Win32/Stration появились 19 сентября 2006 г.

 

Вранье, не брал их эвристик ничего в начале эпидемии

Вот результаты скана на jotti на 7.30 утра 19го сентября (вирустотал был недоступен):

File: Update-KB6828-x86.exe

Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5 7f405f8d83ee8555f44a9dc757f84bd4

Packers detected: PE_PATCH.UPX, UPX

Scanner results

AntiVir Found Worm/Marmota.B

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found Trojan.Downloader.AOW

ClamAV Found Trojan.Small-377

Dr.Web Found Win32.HLLM.Limar

F-Prot Antivirus Found W32/Downloader.AHQM

Fortinet Found nothing

Kaspersky Anti-Virus Found Email-Worm.Win32.Warezov.dc

NOD32 Found nothing

Norman Virus Control Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

 

Цитата:

Червь Win32/Stration тщательно маскирует свое присутствие в системе. В этом вирусе содержится сложный полиморфный код, позволяющий «на лету» создавать новые модификации червя. Так, в пик эпидемии ежедневно фиксировалось более 60 новых модификаций червя. Именно из-за высокой частоты появления новых форм, по существу, оказались неэффективными реактивные методы защиты. Выпускаемые антивирусными компаниями сигнатурные обновления зачастую детектировали лишь отдельные модификации червя, но против новых его вариантов были бессильны. Компания Eset первой среди производителей антивирусного ПО обнаружила момент распространения червя и выпустила необходимое обновление NOD32, позволяющее противодействовать уже известным формам червя и его и всем его возможным модификациям.

 

Опять вранье, не про червя конечно, а про Есет

Да они выпустили обновление с докруткой к своему эвристику, это правда. Кстати эта прада подтверждает мысль о том, что эвристки постепенно будут скатываться к сигнатурному методу, т.к. вирусописатели будут их обходить, а значит появится необходимость в обновлениях. Вот наглядный пример: только после специального обновления нод32 стал брать НЕКОТОРЫЕ ВЕРСИИ ЧЕРВЯ. Зачем они отпиарили собственную неудачу - невозможность взять зловред эвристиком без всякого обновления - непонятно.

Так вот неправда еще и в том, что не берут они все версии, как утверждают

система VirusTotal, например, по модификации червя Email-Worm.Win32.Warezov.do

"Complete scanning result of "decconf.exe", received in VirusTotal at 10.25.2006, 11:05:39 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.32 10.25.2006 Worm/Warezov.DO.1

Authentium 4.93.8 10.25.2006 no virus found

Avast 4.7.892.0 10.24.2006 no virus found

AVG 386 10.25.2006 I-Worm/Stration.WQ

BitDefender 7.2 10.25.2006 Win32.Worm.Stration.AQ

CAT-QuickHeal 8.00 10.23.2006 no virus found

ClamAV devel-20060426 10.25.2006 no virus found

DrWeb 4.33 10.25.2006 Win32.HLLM.Limar

eTrust-InoculateIT 23.73.36 10.25.2006 no virus found

eTrust-Vet 30.3.3156 10.25.2006 no virus found

Ewido 4.0 10.24.2006 no virus found

Fortinet 2.82.0.0 10.25.2006 W32/Stration.DO@mm

F-Prot 3.16f 10.25.2006 no virus found

F-Prot4 4.2.1.29 10.25.2006 no virus found

Ikarus 0.2.65.0 10.24.2006 no virus found

Kaspersky 4.0.2.24 10.25.2006 Email-Worm.Win32.Warezov.do

McAfee 4880 10.24.2006 no virus found

Microsoft 1.1609 10.25.2006 no virus found

NOD32v2 1.1832 10.25.2006 no virus found

Norman 5.80.02 10.24.2006 no virus found

Panda 9.0.0.4 10.24.2006 Suspicious file

Sophos 4.10.0 10.24.2006 no virus found

TheHacker 6.0.1.105 10.25.2006 no virus found

UNA 1.83 10.25.2006 no virus found

VBA32 3.11.1 10.24.2006 suspected of Worm.Warezov.1 (paranoid heuristics)

VirusBuster 4.3.7:9 10.24.2006 no virus found"

Эвристик как и сигнатуру легко обойти, вот в чем загвоздка господа и дамы. И чем больше есет будет кричать о том, что они все берут, тем больше появится модификаций, которые они не берут. Так было с пинчем, так будет и сейчас

 

Теперь дальше

Цитата:

Эпидемия червя Win32/Stration отлично иллюстрирует невозможность противостоять новым угрозам, опираясь лишь на методы и концепции, которые хорошо зарекомендовали себя когда-то в прошлом, - говорит Дмитрий Попович, глава представительства Eset в России. - Более того, далеко не все пользователи осознают опасность, потому что привыкли доверять своим поставщикам систем защиты. На российском рынке вообще сложилась уникальная ситуация - пока антивирусные компании пугают рынок вирусами для смартфонов, их пользователи в форумах ищут способы защититься от наиболее актуальных угроз. И использование современного антивируса, сочетающего в себе сигнатурные и проактивные методы обнаружения, представляется сегодня наиболее эффективным инструментом противодействия».

 

Я не знаю чего там ищут пользователи продуктов ЛК, но подозреваю, что Диму Поповича с Аней Григорьевой, чтобы посмотреть в их честные глаза. Прстить их можно только в том случае, если они просто не понимали о чем пишут.

Наченм кратко со смартфонов. Тут даже комментировать неохота. Отсутсвие у Поповича смартфона, а у Eset продуктов для смартфона вовсе не означает отсутсвия вирья для этих устройств.

А по поводу злобных высказываний EYE я вообще молчу, если он сейчас не верит в угрозу эпидемий для мобильных устройств, то наверное он раньше не верил в возможность существования компьютерных червей и полиморфов (как неверили некогда многие пока не залетели на эпидемиях).

 

Ну да бог с ними, теперь к главному. Лаборатория не только клепает (как некоторые выражаются) сигнатуры, а как мы видим ЛК реагирует сигнатурами на этого зловреда весьма неплохо.

ЛК также разработала вполне действенные проактивные методы.

Вот, например, Антивирус Касперского и Kaspersky Internet Security версии 6.0 с включенной проактивной защитой (при настройках по умолчанию) обнаруживала 19го числа и обнаруживает и теперь все модификации червя Email-Worm.Win32.Warezov (Win32/Stration по классификации Eset) без обновления антивирусных баз (напомню, что есету требовалось обновление эвристика).

 

вот реакция проактивки на одну из модификаций, рассылаемых по ICQ

во-первых, при запуске пользователем полученного по ICQ файла появится алерт максимального уровня опасности об обнаружении вредоносной программы класса Trojan При нажатии на кнопку "Terminate" процесс будет завершен и заражения не произойдёт. Если же пользователь сомневается, то он может поместить данное приложение в карантин и отправить его в ЛК для исследования.

blog-13-1162113484_thumb.jpg

 

 

Если, всё же, пользователь решил продолжить исполнение программы, то практически сразу же появится предупреждении (среднего уровня опасности) о том, что запущенный процесс пытается внедрить свой код в другие процессы, что характерно для ряда вредоносных программ. Появление двух подряд преупреждений проактивной защиты должно вызвать значительное подозрение у пользователя и если, уже в данный момент он решит прекратить исполнение программы, то модуль проактивной защиты позволит ему откатить все изменений, сделанные вредоносной программой, в системном реестре и файловой системе компьютера.

blog-13-1162113499_thumb.jpg

 

И это все только с настройками по умолчанию, а если у опытных ребят включены еще и дополнительные компоненты проактивки - тут уж и контроль реестра сработает и контроль целостности приложений

 

 

Так что привет Есету как западному, так и российскому.

Первым за вранье и за то, что рассказали всему миру, что их эвристик требует обновлений, чтобы брать новых зловредов.

А вторым за то, что строят всю свою работу на антикасперовском посыле. "Уставшие от Касперского пользователи ищут в форумах Дмитрия Поповича. Гы гы гы"

14 Комментариев


Рекомендуемые комментарии

Мде.... подло продвигать свой продукт путём вранья, и недобросовестных мер конкуренции :) но зато думаю каспер может похвасататься тем что не хвастается и не врёт :)

Ссылка на комментарий

извините, но мне известны случаи, когда точно так же и шестой каспер не распознавал некоторые модификации, а нод32 или дрвеб находили.

а ещё стоит вспомнить насколько каспер тормозит систему, в отличие от нода. если уж мне понадобится следить за изменением кода екзешников, то я лучше поставлю агнитум фаервол, а с нодом он не конфликтует

Ссылка на комментарий

извините, но мне известны случаи, когда точно так же и шестой каспер не распознавал некоторые модификации, а нод32 или дрвеб находили.

 

Так никто же не спорит! Ясен пень, что проактивка Касперского не панацея, и что её тоже можно обойти, как любую защиту. Но, пардон, я что-то не замечал пресс-релизов ЛК, где путём откровенного вранья выпячивались те или иные технологии, и самое главное, "опускались" конкуренты. Были неосторожные реплики в прессе, да. Но такого пиара\вранья не было на моей памяти. И уж совсем грустно, когда конкуренты "опускаются" на примерах, в которых они показали себя явно лучше, чем "опускающие"... Причём очень жаль, что именно Eset так пиарится. Продукт-то у них далеко не отстойный, есть чем гордиться в общем-то... Так зачем врать так нагло?

Ссылка на комментарий

Как язык может повернуться сказать, что НОД32 уступает хоть в чём то прочим антивирусным системам? :)

Не могу сказать ничего хорошего ничего про Каспера или иные распространённые антивирусы, так как они пропустили Червя о котором идёт речь - специально тестили. Особенно разочаровался в Касперском - так грузить систему, и так облажаться :) А вот верный НОД32 как всегда на высоте.

Ещё хочу сказать, что большая часть людей, понимающих хоть немного в принципах работы антивирусных систем, и не имеющая предвзятого мнения, предпочитает именно НОД, и неспроста. У касперского симпатичный дизайн, а вот способности его заурядны. По остальные системы - молчу, так как они или добились ещё меньшего чем каспер, или вообще не способны обеспечить защиту системе. А верный НОД никогда не подводил ещё. Быть может в своём релизе НОДовцы черезчур себя расхвалили, но они хоть заслужили это право, в отличии от остальных кампаний. Остальные молчат, потому как сказать им вовсе нечего, и результаты их куда более плачевны. В данном на этом форуме примере рассматривалась ещё не мутировавшая версия червя. В дальнейшем он начал меняться, и НОДовцы умело среагировали, отследив эту способность вируса, а Каспер до сих пор не справился с данной задачей.

Не судите строго, просто с этого момента я больше никогда не поставлю касперского на свою машину, хотя бы потому, что название похоже на еврейскую фамилию :) И когда начнётся компьютерный апокалипсис, мой комп сгорит последним :D

Ссылка на комментарий

я считаю нод32 очень хорошим продуктом, моё возмущение касалось пресрелиза, а не продукта

далее скажу вам, что вы невнимеательно читали мой пост в блоге

если вы обратите внимание на мой второй пример, то увидите что мутировашую версию червя через месяц после начала эпидемии НОД32 также не брал эвристиком

Ссылка на комментарий

IStogov

 

Это обычный маркетинг. Подобные приёмы применяются во всех отраслях. Говорят: "Мы первые!", "Мы лучшие!". Кто не согласен, пусть докажет. ))

 

Или: "Порошок "Умбриэль" отстирывает даже старые пятна".

 

А на самом деле, он не все свежие способен отстирать. Но покупать будут его, потому что его название у всех на устах. ))

Ссылка на комментарий

IStogov

 

Это обычный маркетинг. Подобные приёмы применяются во всех отраслях. Говорят: "Мы первые!", "Мы лучшие!". Кто не согласен, пусть докажет. ))

 

Или: "Порошок "Умбриэль" отстирывает даже старые пятна".

 

А на самом деле, он не все свежие способен отстирать. Но покупать будут его, потому что его название у всех на устах. ))

 

ДА у NOD32 такой эвристик што каспер отдыхает и никогда небудет такого (уровень у разраб. другой)

 

а это все твои домыслы и не более ни 1 факта! И каспер и даже НОД пропускают но нод это другой уровень! больше зашиты и плюсов для пользователя !другой подход !другие технологии каторые постоянно развиваются шас!

Даже если врут то не как ты описал так в наглую небудит врать никто потомушто это не реклама

а анти реклама(говорят на весь мир а не усебя на кухне!)ВОТ!

Ссылка на комментарий

Касперский и эвристика - две вещи несовместные...У NOD32 и Dr.Web она есть...

Ссылка на комментарий

Нифига, скоро у КИСы будет эвристик...

Когда интересно он выйдет подскажите ! И хотелось штоб он не уступал не вчем конкурентам!А у нас первый блин комом 100% Второй так себе и мы уже поседели пока дождались!А конкуренты ушли вперет!

Ссылка на комментарий

Da vsem izvestno chto NOD32 eto luchshiy antivirus a kasperskiy eto sam virus ... posle instalyacie comp voobshe nepashet ... a pro avast, avg voobshe nichego govorit nebudu , ya tak i nepoyanl dlya chego oni sozdani ..:whistle:)

Ссылка на комментарий

Про каспера говорить не буду...

Скажу просто не прёт.

А вот не давно посавил Нортон 2007, в итоге он мне большинство екзешников просто стёр. Нашёл типа чё то в них.

Ну это ладно. А перед тем как открыть это письмо с вирусом, проверил его нортоном повторюсь 2007!

0 реакции! Говорит этот файл чист, ну его с дуру и запусил. В общем окончательно меня нортон довёл тем что там у него один процесс какойто отедал 100% ресурсов процесора. Удалил нортон, установил нод. Нашёл кучу вирусов включая /Stration.ZT worm и успешно его удалил.

Так что.....я бы на нод бочку не катил.

Ссылка на комментарий

Примерно полгода назад я на все машины в своей корпоративной сети поставил НОД, но на одну машину пролетел вирус Win32/Stration, так НОД его каждый день типа убивает, а вирус снова появляется потом. Задолбал уже НОД, эффективность работы очент низкая по сравнению с KIS 7.0. Сечас на свою машину поставил Каспера седьмого - все работает отлично, тормозов нет, отличный продукт. После НОД отловил Каспером еще 4 вируса на моей собственной машине.

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...