KIS 2013 или ESET SS 6

[sergey888]

EVIK

Это вы кого пытаетесь уговорить что Нод лучше нас или себя?

Если нас, то у вас слишком жидкие доказательства, если себя то продолжайте в том же духе, мы не будем мешать молиться вам вашему идолу

Изменено 1 января, 2013 пользователем sergey888

[EVIK]

Только не на виртуал боксе, ладушки?

Да нормально он там работает, на реальной машине было бы то-же самое. Как разработчики сделали лечение TDL3.273, так он и там на виртуальной машине стал лечить. Только через 3-6 месяцев.

 

EVIK

Это вы кого пытаетесь уговорить что Нод лучше нас или себя?

Если нас, то у вас слишком жидкие доказательства, если себя то продолжайте в том же духе, мы не будем мешать молиться вам вашему идолу

Нет, просто они говорят что Касперский всё лечит, а лечит он не всё и не сразу, новые руткиты даже не видит, на всякий новый руткит разработчикам Касперского нужно делать лечение, и обноружение/детектирование.

 

http://www.eset.com/download/utilities/

http://kb.eset.com/esetkb/index?page=content&id=SOLN2372

+ ESET SysRescue, да и потом SysInspectot будит всё лечить, и что они потом будут говорить, это модуль антивируса.

Изменено 1 января, 2013 пользователем EVIK

[sergey888]

Нет, просто они говорят что Касперский всё лечит, а лечит он не всё и не сразу, новые руткиты даже не видит, на всякий новый руткит разработчикам Касперского нужно делать лечение, и обноружение/детектирование.

 

Понятно что касперский не все лечит и вполне может что-то не увидеть, тут даже спору нет. И все же между каспер и нод я выбираю первый

И кстати я еще не видел форумов антивирусов где бы были одни положительные отзывы и все же анализируя отзывы, тесты и вообще общую информацию я выбрал именно касперский

[EVIK]

А я после Касперского выбрал именно NOD32, покупаю с версии 2.7. Так как он лучше, и причин чтобы выбирать/юзать Касперского нет.

Изменено 1 января, 2013 пользователем EVIK

[Caxap]

А я после Касперского выбрал именно NOD32, покупаю с версии 2.7. Так как он лучше, и причин чтобы выбирать/юзать Касперского у меня нет.

 

Лучше уж тогда совсем не ставь антивирь

Или ставь MSE - он хоть бесплатный в отличие от NOD32 - и походу даже лучше чем NOD

[Yustas]

Похоже, начался банальный холивар. Топикстартер еще две страницы назад перестал появляться

в теме, а споры до сих пор не утихают. Не пора-ли закрыть эту, изначально холиварную тему? ;(

[CatalystX]

Виталик, не понимаю что ты хочешь доказать? То что нод умеет лечить Stoned Bootkit? Так Стонед был показан в 2005 году, в рамках исследовательского проекта eEye который был призван показать возможность заражения MBR и в среде Windows. Стонед в системе ничего не делает, его детектировать это тоже самое что сейчас детекить MS-DOS'овские вирусы.

Olmarik.TL(это не TDL2 или 3)

А кто тогда? TDL1? Называй нормальное имя руткита, а не дебильный детект ESET.

Хотя же ясно видно что это TDL2, неужели ESET SS 6 научился лечить руткит четырехлетней давности? Вау, такими темпами к 2016 году ESET сможет лечить TDL4, а к 2020 году SST.B.

Будут новые руткиты, KIS 2013 проверю.

Следует читать так: руткиты уже есть, но ЕСЕТ их даже не видит, а КИС даже лечит.

Виталь, проведи-ка тест на х64. Я даже сэмпл дам, называется SST.B.

Изменено 1 января, 2013 пользователем CatalystX

[CatalystX]

Куда-то Виталик пропал. Неужели правду в моем посте прочитал?

[EVIK]

Там на скриншоте видно, что лечит SysRescue. Второе, ЛК на создателя Stoned Bootkit подала в суд, нечего не знаю, но KIS не видела драйверов, MBR, и вообще нечего, а судя по ВТ, всё это было давно в базах.

Давай уже семпл, посмотрю.

Изменено 2 января, 2013 пользователем EVIK

[CatalystX]

KIS не видела драйверов, MBR, и вообще нечего, а судя по ВТ, всё это было давно в базах.

Не путай детект дроппера с детектом загрузчика и драйвера.

Stoned не детектится даже антируткитами, так как ничего аномального в его поведении в системе нет. Но видимо ЕСЕТу очень хочется показать что хоть какой-то буткит они лечат.

[EVIK]

Вот даже детектирует и лечит одна и таже улита. OlmarikTDL4 / Olmasco Cleaner

http://www.eset.com/download/utilities/

Даже названия похожие.

Почитай блог:

http://amatrosov.blogspot.ru/

Вот чего интересно было-бы позапускать, сразу после того как он появился:

http://blog.eset.com/2012/12/27/win32gapz-steps-of-evolution

http://blog.eset.com/2012/12/27/win32gapz-...otkit-technique

Так как этот руткит давно есть в сети, а ЛК нужно время(много), чтобы сделать детектирование, лечение.

 

Теперь про твой семпл:

А у меня получилось запустить под виртуальной машиной, хотя он там не хотел работать. Сейчас и на реальной Windows 7 x64 всё проверю. Мне нужно время, чтобы посмотреть всё на виртуальной машине, а потом и на реальной.

 

Как бы первые результаты, но не всё:

 

C:\Documents and Settings\XPMUser\Local Settings\Temp\audiosrv.exe - Win32/Olmasco.W trojan - cleaned by deleting - quarantined [1]

C:\Documents and Settings\XPMUser\Local Settings\Temp\F5.tmp - Win32/Olmasco.W trojan - cleaned by deleting (after the next restart) - quarantined [1,2]

C:\RECYCLER\S-1-5-21-3933808753-4193843292-1711198871-1003\Dc1.exe - Win32/Olmasco.W trojan - cleaned by deleting - quarantined [1]

Scan terminated by user.

 

На один файл F5.tmp два вердикта:

1. C:\Documents and Settings\XPMUser\Local Settings\Temp\F5.tmp - Win32/Olmasco.W

2. Operating memory » C:\DOCUME~1\XPMUser\LOCALS~1\Temp\F5.tmp - a variant of Win32/Olmasco.W trojan - cleaned by deleting (after the next restart) - quarantined [1,2]

То есть, он ловится Zero day. Если даже файла не будет в базах, остановлю процесс с помощью HIPS или UAC, на реальной машине, NOD32 поймает с точным вердиктом и удалит.

Изменено 2 января, 2013 пользователем EVIK

[CatalystX]

EVIK, насмешил.

Сэмпл не работает под виртуалками. Дроппер распаковывает tmp файл в temp папку и на этом все заканчивается. Все что ты показал это банальный детект и удаление дроппера, а не руткита.

ЛК нужно время(много), чтобы сделать детектирование, лечение

Не так уж и много. Всего требуется разобрать драйвер руткита, что бы обновить qscan и чуть дольше времени что бы написать дженерик детект перехватов для MARK. На все про все часов 12 уйдет.

Изменено 2 января, 2013 пользователем CatalystX

[EVIK]

Это как-бы пока ещё не всё!

Я говорю, что на реальной машине, я остановлю процесс/дроппер/Olmasco с помощью HIPS или UAC, и антивирус поймает его с точным вердиктом в оперативной памяти, машина останется чистой. Чего лечить/детектировать?

 

Некаким протектором, защитой файла, антивирус не обойти.

 

Вот реальная машина Windows 7 Ultimate 64 бит:

 

Тоже самое будет с Win32/Olmasco

Изменено 2 января, 2013 пользователем EVIK

[CatalystX]

Это как-бы пока ещё не всё!

Я говорю, что на реальной машине, я остановлю процесс/дроппер/Olmasco с помощью HIPS или UAC, и антивирус поймает его с точным вердиктом в оперативной памяти, машина останется чистой. Чего лечить/детектировать?

Не остановишь. SST устанавливается так же как и TDL4, через службу печати, а значит ему плевать на UAC и на дырявый ХИПС нода. Tmp файл в установке не участвует, он просто проверяет окружение.

[EVIK]

Нет, у меня будет куча алертов HIPS, в том числе и на всe службы, и на то что эти службы делают(устанавливают ключи реестра, драйверы, получают доступ к диску или выполняют другие операции). Я даже HIPS спалю/заблокирую любой инжект в процессы, службы.

TDL4 HIPS везде ловит - у меня на реальной машине Windows 7 64 bit, и Win32/Olmasco точно поймает.

 

 

Это у Касперского контроль программ дырявый. Он даже в моих роликах не видил установку TDL3, рейтинг опасности ноль для самого файла, а на доверенные приложения ему вообще до лампочки. А вот у Касперского все службы это доверенные приложения, KSN и все такое.

 

Контроль программ даже сами вредоносные службы разрешит установить, которых у него нет в доверенных. Вот смотри видео ролик:

http://tempfile.ru/file/2627848

 

А это установка TDL3, смотрим работу контроля программ:

Алерт был на Dr.Web, бага, скорей всего исправили.

Изменено 2 января, 2013 пользователем EVIK