Перейти к содержанию

KIS 2013 или ESET SS 6


Svetlana82

Рекомендуемые сообщения

EVIK

Это вы кого пытаетесь уговорить что Нод лучше нас или себя? :happybirth:

Если нас, то у вас слишком жидкие доказательства, если себя то продолжайте в том же духе, мы не будем мешать молиться вам вашему идолу :)

Изменено пользователем sergey888
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 624
  • Created
  • Последний ответ

Top Posters In This Topic

  • CatalystX

    137

  • EVIK

    125

  • Maratka

    47

  • Kapral

    44

Top Posters In This Topic

Popular Posts

Бред полный. Вы хоть сами поняли, что написали? Кто тормозит, КИС? Я пользуюсь КИСом, начиная с 8й версии, на среднем железе - никогда тормозов не наблюдал. Нормально работает как с Windows XP так и

мне по барабану что ты пользователь НОД. я не расист, но говорить что один продукт релиз кандидат, а другой бета, это тоже самое что сказать на "одну палочку печенья шоколод льется вертикально, а на д

Поздравляю! И у нас скоро будет новая версия антивируса, ну и что с того? К чему этот спор? Зачем кому-то еще писать о том, что и так всем очевидно?

Posted Images

Только не на виртуал боксе, ладушки?

Да нормально он там работает, на реальной машине было бы то-же самое. Как разработчики сделали лечение TDL3.273, так он и там на виртуальной машине стал лечить. Только через 3-6 месяцев.

:rolleyes:

 

EVIK

Это вы кого пытаетесь уговорить что Нод лучше нас или себя? :happybirth:

Если нас, то у вас слишком жидкие доказательства, если себя то продолжайте в том же духе, мы не будем мешать молиться вам вашему идолу :)

Нет, просто они говорят что Касперский всё лечит, а лечит он не всё и не сразу, новые руткиты даже не видит, на всякий новый руткит разработчикам Касперского нужно делать лечение, и обноружение/детектирование.

-_-

 

http://www.eset.com/download/utilities/

http://kb.eset.com/esetkb/index?page=content&id=SOLN2372

+ ESET SysRescue, да и потом SysInspectot будит всё лечить, и что они потом будут говорить, это модуль антивируса. :)

Изменено пользователем EVIK
Ссылка на сообщение
Поделиться на другие сайты
Нет, просто они говорят что Касперский всё лечит, а лечит он не всё и не сразу, новые руткиты даже не видит, на всякий новый руткит разработчикам Касперского нужно делать лечение, и обноружение/детектирование.

:rolleyes:

 

Понятно что касперский не все лечит и вполне может что-то не увидеть, тут даже спору нет. И все же между каспер и нод я выбираю первый :)

И кстати я еще не видел форумов антивирусов где бы были одни положительные отзывы и все же анализируя отзывы, тесты и вообще общую информацию я выбрал именно касперский :happybirth:

Ссылка на сообщение
Поделиться на другие сайты

А я после Касперского выбрал именно NOD32, покупаю с версии 2.7. Так как он лучше, и причин чтобы выбирать/юзать Касперского нет.

:happybirth:

Изменено пользователем EVIK
Ссылка на сообщение
Поделиться на другие сайты
А я после Касперского выбрал именно NOD32, покупаю с версии 2.7. Так как он лучше, и причин чтобы выбирать/юзать Касперского у меня нет.

 

Лучше уж тогда совсем не ставь антивирь

Или ставь MSE - он хоть бесплатный в отличие от NOD32 - и походу даже лучше чем NOD

Ссылка на сообщение
Поделиться на другие сайты

Похоже, начался банальный холивар. Топикстартер еще две страницы назад перестал появляться

в теме, а споры до сих пор не утихают. Не пора-ли закрыть эту, изначально холиварную тему? ;(

Ссылка на сообщение
Поделиться на другие сайты

Виталик, не понимаю что ты хочешь доказать? То что нод умеет лечить Stoned Bootkit? Так Стонед был показан в 2005 году, в рамках исследовательского проекта eEye который был призван показать возможность заражения MBR и в среде Windows. Стонед в системе ничего не делает, его детектировать это тоже самое что сейчас детекить MS-DOS'овские вирусы.

Olmarik.TL(это не TDL2 или 3)

А кто тогда? TDL1? Называй нормальное имя руткита, а не дебильный детект ESET.

Хотя же ясно видно что это TDL2, неужели ESET SS 6 научился лечить руткит четырехлетней давности? Вау, такими темпами к 2016 году ESET сможет лечить TDL4, а к 2020 году SST.B.

Будут новые руткиты, KIS 2013 проверю.

Следует читать так: руткиты уже есть, но ЕСЕТ их даже не видит, а КИС даже лечит.

Виталь, проведи-ка тест на х64. Я даже сэмпл дам, называется SST.B.

Изменено пользователем CatalystX
Ссылка на сообщение
Поделиться на другие сайты

Там на скриншоте видно, что лечит SysRescue. Второе, ЛК на создателя Stoned Bootkit подала в суд, нечего не знаю, но KIS не видела драйверов, MBR, и вообще нечего, а судя по ВТ, всё это было давно в базах.

:happybirth:

Давай уже семпл, посмотрю. :)

Изменено пользователем EVIK
Ссылка на сообщение
Поделиться на другие сайты
KIS не видела драйверов, MBR, и вообще нечего, а судя по ВТ, всё это было давно в базах.

Не путай детект дроппера с детектом загрузчика и драйвера. :happybirth:

Stoned не детектится даже антируткитами, так как ничего аномального в его поведении в системе нет. Но видимо ЕСЕТу очень хочется показать что хоть какой-то буткит они лечат.

Ссылка на сообщение
Поделиться на другие сайты

Вот даже детектирует и лечит одна и таже улита. OlmarikTDL4 / Olmasco Cleaner

http://www.eset.com/download/utilities/

Даже названия похожие. :happybirth:

Почитай блог:

http://amatrosov.blogspot.ru/

Вот чего интересно было-бы позапускать, сразу после того как он появился:

http://blog.eset.com/2012/12/27/win32gapz-steps-of-evolution

http://blog.eset.com/2012/12/27/win32gapz-...otkit-technique

Так как этот руткит давно есть в сети, а ЛК нужно время(много), чтобы сделать детектирование, лечение. :)

 

Теперь про твой семпл:

А у меня получилось запустить под виртуальной машиной, хотя он там не хотел работать. Сейчас и на реальной Windows 7 x64 всё проверю. Мне нужно время, чтобы посмотреть всё на виртуальной машине, а потом и на реальной.

:rolleyes:

 

Как бы первые результаты, но не всё:

 

C:\Documents and Settings\XPMUser\Local Settings\Temp\audiosrv.exe - Win32/Olmasco.W trojan - cleaned by deleting - quarantined [1]

C:\Documents and Settings\XPMUser\Local Settings\Temp\F5.tmp - Win32/Olmasco.W trojan - cleaned by deleting (after the next restart) - quarantined [1,2]

C:\RECYCLER\S-1-5-21-3933808753-4193843292-1711198871-1003\Dc1.exe - Win32/Olmasco.W trojan - cleaned by deleting - quarantined [1]

Scan terminated by user.

 

На один файл F5.tmp два вердикта:

1. C:\Documents and Settings\XPMUser\Local Settings\Temp\F5.tmp - Win32/Olmasco.W

2. Operating memory » C:\DOCUME~1\XPMUser\LOCALS~1\Temp\F5.tmp - a variant of Win32/Olmasco.W trojan - cleaned by deleting (after the next restart) - quarantined [1,2]

То есть, он ловится Zero day. -_- Если даже файла не будет в базах, остановлю процесс с помощью HIPS или UAC, на реальной машине, NOD32 поймает с точным вердиктом и удалит.

:)

post-27165-1357145220_thumb.png

Изменено пользователем EVIK
Ссылка на сообщение
Поделиться на другие сайты

EVIK, насмешил.

Сэмпл не работает под виртуалками. Дроппер распаковывает tmp файл в temp папку и на этом все заканчивается. Все что ты показал это банальный детект и удаление дроппера, а не руткита.

ЛК нужно время(много), чтобы сделать детектирование, лечение

Не так уж и много. Всего требуется разобрать драйвер руткита, что бы обновить qscan и чуть дольше времени что бы написать дженерик детект перехватов для MARK. На все про все часов 12 уйдет.

Изменено пользователем CatalystX
Ссылка на сообщение
Поделиться на другие сайты

Это как-бы пока ещё не всё! :happybirth:

Я говорю, что на реальной машине, я остановлю процесс/дроппер/Olmasco с помощью HIPS или UAC, и антивирус поймает его с точным вердиктом в оперативной памяти, машина останется чистой. Чего лечить/детектировать?

 

Некаким протектором, защитой файла, антивирус не обойти. :)

 

Вот реальная машина Windows 7 Ultimate 64 бит:

 

Тоже самое будет с Win32/Olmasco

:rolleyes:

Изменено пользователем EVIK
Ссылка на сообщение
Поделиться на другие сайты
Это как-бы пока ещё не всё! :happybirth:

Я говорю, что на реальной машине, я остановлю процесс/дроппер/Olmasco с помощью HIPS или UAC, и антивирус поймает его с точным вердиктом в оперативной памяти, машина останется чистой. Чего лечить/детектировать?

Не остановишь. SST устанавливается так же как и TDL4, через службу печати, а значит ему плевать на UAC и на дырявый ХИПС нода. Tmp файл в установке не участвует, он просто проверяет окружение.

Ссылка на сообщение
Поделиться на другие сайты

Нет, у меня будет куча алертов HIPS, в том числе и на всe службы, и на то что эти службы делают(устанавливают ключи реестра, драйверы, получают доступ к диску или выполняют другие операции). Я даже HIPS спалю/заблокирую любой инжект в процессы, службы.

TDL4 HIPS везде ловит - у меня на реальной машине Windows 7 64 bit, и Win32/Olmasco точно поймает. :nea:

 

 

Это у Касперского контроль программ дырявый. Он даже в моих роликах не видил установку TDL3, рейтинг опасности ноль для самого файла, а на доверенные приложения ему вообще до лампочки. А вот у Касперского все службы это доверенные приложения, KSN и все такое. :)

 

Контроль программ даже сами вредоносные службы разрешит установить, которых у него нет в доверенных. Вот смотри видео ролик:

http://tempfile.ru/file/2627848

:)

 

А это установка TDL3, смотрим работу контроля программ:

Алерт был на Dr.Web, бага, скорей всего исправили.

:)

Изменено пользователем EVIK
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

×
×
  • Создать...