KIS 2013 или ESET SS 6

[CatalystX]

EVIK, не вижу скинов гмера и тдсскиллера. Где они?

То что ты показал не подходит, опять попытка выдать удаление дропера за лечение активного руткита.

Изменено 8 марта, 2013 пользователем CatalystX

[EVIK]

Я же написал, что выпустят новый модуль: Anti-Stealth support module - для активного. Там разработчики видят сколько у них инфицированных пользователей Gaps, их нету. Это не олимпийские игры. Делать нужно дольше, но лучше.

Изменено 8 марта, 2013 пользователем EVIK

[Maratka]

Я же написал, что выпустят новый модуль: Anti-Stealth support module - для активного. Там разработчики видят сколько у них инфицированных пользователей Gaps, их нету. Это не олимпийские игры. Делать нужно дольше, но лучше.

Виталик, не может быть "нету".

Хотя бы из-за перехода пользователей с одного антивируса на другой, при условии, что первый не детектит установку (что не редкость), а второй - Есет.

 

И я не вижу смысле выпускать "новый модуль". Скажем ЛК в честь этой мелочи новый модуль не выпускала.

ЛК в плановом порядке выпускает новые модули, но работают они на опережение, для исправления лечения/детекта, не работающего по внутренним тестам, а не для публичной малвары.

 

p.s.

CatalystX, перешлите мне плиз дроппера...

 

Крайне желательно на оффоруме.

[CatalystX]

Я же написал, что выпустят новый модуль: Anti-Stealth support module - для активного.

Руткит появился в ноябре, что мешает ESET'у за три месяца сделать детект на активный руткит? Почему доктор с каспером лечение сделали сразу с детектом активного руткита, а есет не может сделать даже детект?

Там разработчики видят сколько у них инфицированных пользователей Gaps, их нету.

Не говори о других, судя только по себе. Если ты не заразился, то это не значит что не заражены все.

У меня сейчас в системе находится активный Pihar.b, но я не говорю что им заражены все пользователи касперского.

[Maratka]

Руткит появился в ноябре, что мешает ESET'у за три месяца сделать детект на активный руткит? Почему доктор с каспером лечение сделали сразу с детектом активного руткита, а есет не может сделать даже детект?

Фокус в том, что касперские скорее всего не делали лечения.

В ЛК есть нормальный полноценный антируткит, потому "лечение" состояло в выпуске обычной сигнатуры на зараженный сектор, после чего малвара стала детектироватся, и выноситься.

 

На скрине TDSSKiller за 2011 год.

 

Все, чего ему не хватает для выноса малвары - сигнатуры.

[CatalystX]

Все, чего ему не хватает для выноса малвары - сигнатуры.

Или переключения в выборе на "Восстановить"

[Maratka]

Ну.... "Восстановить" как мне кажется не всегда обязана сработать...

В особенности если загрузчики нестандартные.

 

Я бы назвал "восстановление" последней надеждой.

В реальных условиях, когда малвара детектируется на вторые сутки максимум - от "восстановить" мало реальной пользы.

 

Напомню, что штатный антируткит в антивирусах ЛК запускается как раз ежесуточно по встроенному планировщику.

 

Потому, в реальных условиях он продетектит малвару на следующий день, в крайнем случае - через день после заражения, конечно же при наличии Интернета.

Правда, только в рамках KAV 2013.

Для 2012 - сканер придется запускать ручками.

[CatalystX]

Для 2012 - сканер придется запускать ручками.

В 2012 антируткит не сканирует только бут-сектора. А при обнаружении руткита в памяти(Пихара возьмем) "MEM:Rootkit.Win64.TDL4.ac и MEM:Rootkit.Win64.TDSS.fa" каспер(если включен AD) рекомендует запустить AD, а сканер AD сканирует бут-сектора.

[Maratka]

В 2012 антируткит не сканирует только бут-сектора. А при обнаружении руткита в памяти(Пихара возьмем) "MEM:Rootkit.Win64.TDL4.ac и MEM:Rootkit.Win64.TDSS.fa" каспер(если включен AD) рекомендует запустить AD, а сканер AD сканирует бут-сектора.

Я в курсе

Но под антируткитом я подразумеваю в первую очередь Qscan.

[CatalystX]

Виталик, прокоментируй

[Maratka]

Виталик, прокоментируй

А там что-то новое написано, что его комментировать нужно?

Тот же базар, что и год, и три, даже четыре назад, и у Есета, и у Нортора, и у Авиры, и у Комода и у... у..... у...:

 

"У нас такой-разъэтакий (название компонента, детектирующего самого ли дроппера, либо его установку), что заражения нет и быть не может, ибо мы работаем на предотвращение заражения (читай - не умеем писать лечение, ибо перехучить создание файлов в каталогах/ключей в реестре всяко проще), и потому наши, и только наши клиенты заведомо защищены от этой малвары (и другой, и третьей, и двести тысяч восьмой) еще за неделю (месяц, квартал, полтора года) до ее появления".

 

А ответы на вопросы "почему каждый год появляются новые тулзы у того же Матушика, которые пробивают старые продкты с их "защитой от заражения" можно просто кинуть в куда-нить там, и написать "а хто есть такой энтот Матушик", что на него ориентироваться надо?

 

В результате на вопрос "почему антвиирус прокускает заражение" просто не дается ответа, а на вопрос "почему не лечит" - ответ дается вида "оно не надо, ибо лечить нечего, мы не даем заразиться".

Тупизм на уровне младшего школьного возраста, но пипл хавает.... В конце концов- реклама двигатель торговли, а тот факт, что от нашего замечательного стирального порошака рубашка расползется по швам через 12 стирок афиширвоать необязательно...

Изменено 9 марта, 2013 пользователем Maratka

[CatalystX]

На скрине TDSSKiller за 2011 год.

Все, чего ему не хватает для выноса малвары - сигнатуры.

Если версия ниже 2.8.6, то на х64 сигнатура не поможет.

В 2.8.6 был добавлен обход сплайсинговых перехватов в порт-драйверах на х64 системах (необходимо для детекта и лечения руткита CPD).

[EVIK]

А про лечение, Касперского, zero-day rootkit, SysRescue я уже писал в начале этой темы. Не лечит Касперский новые руткиты, Zero-day то есть стразу, и не будет лечить. А если их станет много, разных, постоянно будут выходить новые, ЛК будет делать лечение по 2 года. Потом она не может лечить качественно и надежно, без рисков. ЛК нужно по пол года делать лечение и детектирование, и этому Gapsу больше пол года.

 

Сейчас куча улит, бесплатных программ, как для продвинутых пользователей так и для домохозяек. Программ очень много, и все они лечат, потому-что это ОЧЕНЬ просто.

 

В качественный продукт, хорошие технари такие липовые разработки не хотят добавлять. Вот и всё, но это не значит что они не разработают что-то более надежное и качественное.

 

Короче, в начале этой темы, я про это писал, читайте. ЛК -> лечение = бесплатный\черный пиар!

Изменено 10 марта, 2013 пользователем EVIK

[CatalystX]

ЛК нужно по пол года делать лечение и детектирование, и этому Gapsу больше пол года.

Был бы ты умным мальчиком, то посмотрел бы, что CPD который я дал тебе и Марату называется - Rootkit.boot.CPD.B, который появился в двадцатых числах декабря 2012 года. А первая версия(CPD.A) появилась в начале ноября 2012 года.

Каспер детектит и лечит обе версии(A и В), так где твои "ЛК делает полгода лечение и детект"?

Да и с другой стороны: ESET до сих пор даже не видит активный CPD.B на х64, так есету надо не полгода, а два или три года только для детекта? Боже, какой ужас. Как можно пользоваться такими слоупками? Видать есетом пользуются люди которые знают толк в извращениях.

Изменено 10 марта, 2013 пользователем CatalystX

[Maratka]

Сейчас куча улит, бесплатных программ, как для продвинутых пользователей так и для домохозяек. Программ очень много, и все они лечат, потому-что это ОЧЕНЬ просто.

Короче говоря: NOD32 не нужен.

Ни прдвинутым, ни домохозяйкам. Они без NOD32 обходятся ОЧЕНЬ просто.