sergey888 55 Опубликовано 1 января, 2013 Share Опубликовано 1 января, 2013 (изменено) EVIK Это вы кого пытаетесь уговорить что Нод лучше нас или себя? Если нас, то у вас слишком жидкие доказательства, если себя то продолжайте в том же духе, мы не будем мешать молиться вам вашему идолу Изменено 1 января, 2013 пользователем sergey888 Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 1 января, 2013 Share Опубликовано 1 января, 2013 (изменено) Только не на виртуал боксе, ладушки? Да нормально он там работает, на реальной машине было бы то-же самое. Как разработчики сделали лечение TDL3.273, так он и там на виртуальной машине стал лечить. Только через 3-6 месяцев. EVIKЭто вы кого пытаетесь уговорить что Нод лучше нас или себя? Если нас, то у вас слишком жидкие доказательства, если себя то продолжайте в том же духе, мы не будем мешать молиться вам вашему идолу Нет, просто они говорят что Касперский всё лечит, а лечит он не всё и не сразу, новые руткиты даже не видит, на всякий новый руткит разработчикам Касперского нужно делать лечение, и обноружение/детектирование. http://www.eset.com/download/utilities/ http://kb.eset.com/esetkb/index?page=content&id=SOLN2372 + ESET SysRescue, да и потом SysInspectot будит всё лечить, и что они потом будут говорить, это модуль антивируса. Изменено 1 января, 2013 пользователем EVIK Ссылка на сообщение Поделиться на другие сайты
sergey888 55 Опубликовано 1 января, 2013 Share Опубликовано 1 января, 2013 Нет, просто они говорят что Касперский всё лечит, а лечит он не всё и не сразу, новые руткиты даже не видит, на всякий новый руткит разработчикам Касперского нужно делать лечение, и обноружение/детектирование. Понятно что касперский не все лечит и вполне может что-то не увидеть, тут даже спору нет. И все же между каспер и нод я выбираю первый И кстати я еще не видел форумов антивирусов где бы были одни положительные отзывы и все же анализируя отзывы, тесты и вообще общую информацию я выбрал именно касперский Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 1 января, 2013 Share Опубликовано 1 января, 2013 (изменено) А я после Касперского выбрал именно NOD32, покупаю с версии 2.7. Так как он лучше, и причин чтобы выбирать/юзать Касперского нет. Изменено 1 января, 2013 пользователем EVIK Ссылка на сообщение Поделиться на другие сайты
Caxap 165 Опубликовано 1 января, 2013 Share Опубликовано 1 января, 2013 А я после Касперского выбрал именно NOD32, покупаю с версии 2.7. Так как он лучше, и причин чтобы выбирать/юзать Касперского у меня нет. Лучше уж тогда совсем не ставь антивирь Или ставь MSE - он хоть бесплатный в отличие от NOD32 - и походу даже лучше чем NOD Ссылка на сообщение Поделиться на другие сайты
Yustas 789 Опубликовано 1 января, 2013 Share Опубликовано 1 января, 2013 Похоже, начался банальный холивар. Топикстартер еще две страницы назад перестал появляться в теме, а споры до сих пор не утихают. Не пора-ли закрыть эту, изначально холиварную тему? ;( Ссылка на сообщение Поделиться на другие сайты
CatalystX 22 Опубликовано 1 января, 2013 Share Опубликовано 1 января, 2013 (изменено) Виталик, не понимаю что ты хочешь доказать? То что нод умеет лечить Stoned Bootkit? Так Стонед был показан в 2005 году, в рамках исследовательского проекта eEye который был призван показать возможность заражения MBR и в среде Windows. Стонед в системе ничего не делает, его детектировать это тоже самое что сейчас детекить MS-DOS'овские вирусы. Olmarik.TL(это не TDL2 или 3) А кто тогда? TDL1? Называй нормальное имя руткита, а не дебильный детект ESET. Хотя же ясно видно что это TDL2, неужели ESET SS 6 научился лечить руткит четырехлетней давности? Вау, такими темпами к 2016 году ESET сможет лечить TDL4, а к 2020 году SST.B. Будут новые руткиты, KIS 2013 проверю. Следует читать так: руткиты уже есть, но ЕСЕТ их даже не видит, а КИС даже лечит. Виталь, проведи-ка тест на х64. Я даже сэмпл дам, называется SST.B. Изменено 1 января, 2013 пользователем CatalystX Ссылка на сообщение Поделиться на другие сайты
CatalystX 22 Опубликовано 2 января, 2013 Share Опубликовано 2 января, 2013 Куда-то Виталик пропал. Неужели правду в моем посте прочитал? Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 2 января, 2013 Share Опубликовано 2 января, 2013 (изменено) Там на скриншоте видно, что лечит SysRescue. Второе, ЛК на создателя Stoned Bootkit подала в суд, нечего не знаю, но KIS не видела драйверов, MBR, и вообще нечего, а судя по ВТ, всё это было давно в базах. Давай уже семпл, посмотрю. Изменено 2 января, 2013 пользователем EVIK Ссылка на сообщение Поделиться на другие сайты
CatalystX 22 Опубликовано 2 января, 2013 Share Опубликовано 2 января, 2013 KIS не видела драйверов, MBR, и вообще нечего, а судя по ВТ, всё это было давно в базах. Не путай детект дроппера с детектом загрузчика и драйвера. Stoned не детектится даже антируткитами, так как ничего аномального в его поведении в системе нет. Но видимо ЕСЕТу очень хочется показать что хоть какой-то буткит они лечат. Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 2 января, 2013 Share Опубликовано 2 января, 2013 (изменено) Вот даже детектирует и лечит одна и таже улита. OlmarikTDL4 / Olmasco Cleaner http://www.eset.com/download/utilities/ Даже названия похожие. Почитай блог: http://amatrosov.blogspot.ru/ Вот чего интересно было-бы позапускать, сразу после того как он появился: http://blog.eset.com/2012/12/27/win32gapz-steps-of-evolution http://blog.eset.com/2012/12/27/win32gapz-...otkit-technique Так как этот руткит давно есть в сети, а ЛК нужно время(много), чтобы сделать детектирование, лечение. Теперь про твой семпл: А у меня получилось запустить под виртуальной машиной, хотя он там не хотел работать. Сейчас и на реальной Windows 7 x64 всё проверю. Мне нужно время, чтобы посмотреть всё на виртуальной машине, а потом и на реальной. Как бы первые результаты, но не всё: C:\Documents and Settings\XPMUser\Local Settings\Temp\audiosrv.exe - Win32/Olmasco.W trojan - cleaned by deleting - quarantined [1] C:\Documents and Settings\XPMUser\Local Settings\Temp\F5.tmp - Win32/Olmasco.W trojan - cleaned by deleting (after the next restart) - quarantined [1,2] C:\RECYCLER\S-1-5-21-3933808753-4193843292-1711198871-1003\Dc1.exe - Win32/Olmasco.W trojan - cleaned by deleting - quarantined [1] Scan terminated by user. На один файл F5.tmp два вердикта: 1. C:\Documents and Settings\XPMUser\Local Settings\Temp\F5.tmp - Win32/Olmasco.W 2. Operating memory » C:\DOCUME~1\XPMUser\LOCALS~1\Temp\F5.tmp - a variant of Win32/Olmasco.W trojan - cleaned by deleting (after the next restart) - quarantined [1,2] То есть, он ловится Zero day. Если даже файла не будет в базах, остановлю процесс с помощью HIPS или UAC, на реальной машине, NOD32 поймает с точным вердиктом и удалит. Изменено 2 января, 2013 пользователем EVIK Ссылка на сообщение Поделиться на другие сайты
CatalystX 22 Опубликовано 2 января, 2013 Share Опубликовано 2 января, 2013 (изменено) EVIK, насмешил. Сэмпл не работает под виртуалками. Дроппер распаковывает tmp файл в temp папку и на этом все заканчивается. Все что ты показал это банальный детект и удаление дроппера, а не руткита. ЛК нужно время(много), чтобы сделать детектирование, лечение Не так уж и много. Всего требуется разобрать драйвер руткита, что бы обновить qscan и чуть дольше времени что бы написать дженерик детект перехватов для MARK. На все про все часов 12 уйдет. Изменено 2 января, 2013 пользователем CatalystX Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 2 января, 2013 Share Опубликовано 2 января, 2013 (изменено) Это как-бы пока ещё не всё! Я говорю, что на реальной машине, я остановлю процесс/дроппер/Olmasco с помощью HIPS или UAC, и антивирус поймает его с точным вердиктом в оперативной памяти, машина останется чистой. Чего лечить/детектировать? Некаким протектором, защитой файла, антивирус не обойти. Вот реальная машина Windows 7 Ultimate 64 бит: Тоже самое будет с Win32/Olmasco Изменено 2 января, 2013 пользователем EVIK Ссылка на сообщение Поделиться на другие сайты
CatalystX 22 Опубликовано 2 января, 2013 Share Опубликовано 2 января, 2013 Это как-бы пока ещё не всё! Я говорю, что на реальной машине, я остановлю процесс/дроппер/Olmasco с помощью HIPS или UAC, и антивирус поймает его с точным вердиктом в оперативной памяти, машина останется чистой. Чего лечить/детектировать? Не остановишь. SST устанавливается так же как и TDL4, через службу печати, а значит ему плевать на UAC и на дырявый ХИПС нода. Tmp файл в установке не участвует, он просто проверяет окружение. Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 2 января, 2013 Share Опубликовано 2 января, 2013 (изменено) Нет, у меня будет куча алертов HIPS, в том числе и на всe службы, и на то что эти службы делают(устанавливают ключи реестра, драйверы, получают доступ к диску или выполняют другие операции). Я даже HIPS спалю/заблокирую любой инжект в процессы, службы. TDL4 HIPS везде ловит - у меня на реальной машине Windows 7 64 bit, и Win32/Olmasco точно поймает. Это у Касперского контроль программ дырявый. Он даже в моих роликах не видил установку TDL3, рейтинг опасности ноль для самого файла, а на доверенные приложения ему вообще до лампочки. А вот у Касперского все службы это доверенные приложения, KSN и все такое. Контроль программ даже сами вредоносные службы разрешит установить, которых у него нет в доверенных. Вот смотри видео ролик: http://tempfile.ru/file/2627848 А это установка TDL3, смотрим работу контроля программ: Алерт был на Dr.Web, бага, скорей всего исправили. Изменено 2 января, 2013 пользователем EVIK Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти