Домашний антивирус не защищает до загрузки интерфейса

[Umnik]

Как думаешь, спасла бы меня ранняя загрузка в такой ситуации?

Как только служба подтянет базы, так сразу файловый АВ и HIPS прибъют заразу. HIPS в 2012 научился управлять процессами, когда они запущены раньше него, а файловый АВ всегда это умел.

Однако же в данном случае, если твой Хром будет обновлен (а его сложнее НЕ обновить), то как зараза проскочет? Он же загружает все в своих песочницах.

И чисто из любопытства - у тебя Хром в автозапуске?

[Urotsuki]

И чисто из любопытства - у тебя Хром в автозапуске?

Из переписки в ЛС:

Он не в автозагрузке, я его вручную включаю. Просто запустил и полез по сайтам. А теперь приходится дожидаться включения защиты. Разочаровали разработчики КИСа.

А как насчет этого варианта?

Раскрывающийся текст:

Друзья, а чего вы все упёрлись в эту автозагрузку? Есть гораздо более серьёзная проблема, о которой тут никто и не упомянул. До загрузки системной службы Касперского не работает сетевой экран, да. Но ведь сетевой экран блокирует не только исходящий трафик, но и входящий. То есть, если ваш комп подключён к локальной сети (без роутеров и т.п.), то до загрузки службы Касперского ваш комп полностью беззащитен перед атаками из сети. Вот это реально опасно. И не нужно никаких программ в автозагрузке, всё через сеть придёт.

Так что отключение сетевухи (или выдёргивание шнура) - отнюдь не паранойя. Своими глазами видел заражение Кидо именно таким путём.

P.S. А ведь КИС 7 версии реально мог блокировать сетевой трафик до загрузки ГУИ. Нафига ж испортили этот функционал в следующих версиях?

 

UPD Вопрос снят (получены разъяснения в ЛС).

Изменено 23 сентября, 2011 пользователем Urotsuki

[Nikolay Lazarenko]

Напрашивается вопрос:что будут делать разработчики(ну или те кто отвечает за это)?

[Mrak]

UPD Вопрос снят (получены разъяснения в ЛС).

И что же были за разъяснения? Что-то обнадёживающее?

[ЗЛОЙДЕД]

Так же имеется вероятность заражения с флешки.

[Urotsuki]

Mrak,

Он так высосан из пальца, то мне даже неохота отвечать. Поясняю:

1. Патч против кидо появился за 2 месяца до появления самого кидо. Если человек 2 месяца не ставит критичные обновления системы (а для ХР был статус Критично, для Висты и выше просто Важный)

2. Чтобы воспользоваться этими секундами-долями секунд человеку, нужно ждать загрузку системы и начинать атаку. При этом даже если атака была бы успешной, нужно еще время на передачу и выполнения кода. Это должно занять несколько минут в общей сложности, за это время IDS давно стартует

3. Чтобы п.2 вообще выполнялся, нужно, чтобы атакуемый представлял интерес в конкретной стопке зеленых бумаг. А когда речь идет о таких вещах (целенаправленная атака - это дорого), то там и защита на ином уровне.

4. Практически не существует провайдеров, которые по умолчанию не прятали бы пользователя за свой нат.

 

Короче, придумать можно что угодно. Однако в реальности об этом говорить не приходится.

 

graygam, Не имеется, если устанавливать обновления для операционной системы - http://www.securitylab.ru/news/404755.php

[Mrak]

Urotsuki,спасибо за ответ. Значит можно нагло лезть в интернет не дожидаясь загрузки интерфейса.

[ЗЛОЙДЕД]

graygam, Не имеется, если устанавливать обновления для операционной системы - http://www.securitylab.ru/news/404755.php

А если не устанавливать (что и происходит в подавляющем большинстве случаев) то имеется. Пользователь который знает о принципах распространения вирусов и о том что лучше отключить автозапуск с USB накопителей, думаю не станет подключать непроверенное устройство прежде чем включит компьютер и система с антивирусом заработают. Я за то чтобы антивирус включался в работу раньше вируса.

[Umnik]

А если не устанавливать (что и происходит в подавляющем большинстве случаев)

Ошибка. Чтобы не устанавливать, нужно специально отключить WinUpd.

[ЗЛОЙДЕД]

Ошибка. Чтобы не устанавливать, нужно специально отключить WinUpd.

Достаточно наличие отсутствия интернет подключения. К тому же в некоторых сборках систем обновление уже отключено.

[Drru]

Пользователь который знает о принципах распространения вирусов и о том что лучше отключить автозапуск с USB накопителей, думаю не станет подключать непроверенное устройство прежде чем включит компьютер и система с антивирусом заработают. Я за то чтобы антивирус включался в работу раньше вируса.

Что значит стартовать раньше вируса? Полностью блокировать запуск всех приложений до загрузки KIS? Вы представляете какие будут тормоза?

Ну а пользователям, которые не соблюдают элементарные правила "гигиены" (а нельзя надеяться только на антивирус), им ничего не поможет, всё равно заразятся.

[Umnik]

Достаточно наличие отсутствия интернет подключения.

Что уже подразумевает, что новейшая зараза дойдет до компа как минимум через неделю, а то и не дойдет вовсе.

К тому же в некоторых сборках систем обновление уже отключено.

Проблемы негров шерифа не волнуют.

[ЗЛОЙДЕД]

Что уже подразумевает, что новейшая зараза дойдет до компа как минимум через неделю, а то и не дойдет вовсе.

 

Проблемы негров шерифа не волнуют.

Вирус пятилетней давности вполне себе спокойно заразит систему с флешки в такой ситуации.

 

Эти негры покупают антивирус, защиту шерифа.

[Umnik]

Вирус пятилетней давности вполне себе спокойно заразит систему с флешки в такой ситуации.

Который будет пойман вообще всеми поделками с VT базами 4-х летней давности, да.

Эти негры покупают антивирус, защиту шерифа

Пользователи Зверя покупают? Спасибо, посмеялся.

[ЗЛОЙДЕД]

Который будет пойман вообще всеми поделками с VT базами 4-х летней давности, да.

 

Пользователи Зверя покупают? Спасибо, посмеялся.

Сам факт заражения на лицо. Любой вирус будет в конце концов пойман.

 

Представьте себе покупают! Я свидетель (случай не единичный).