Антивирусните програми - дискусии, мнения и съвети

[IvanD]

Комодо не е достигнал връхната си точка но като за безплатна защита се стараят много и непрекъснато я развиват.А на Касперски колко време им трябваше за да ги догонят ? Там за където са тръгнали от Касперски Комодо вече се връщат,и вероятно разработват нови по-добри начини за справяне със заплахите в интернет.

 

Тanganika, такъв ни е манталитетът просто - ние българите все се имаме за по-гявол от дявола!

Типично в характерът ни е да осмиваме и да се подиграваме на труда, на хората които творят!

Някой ще ми каже ли откога съществува "Лаборатория Касперски", и откога "Комодо"?

Колко опит и рутина имат едните и другите? Вместо да окуражаваме такива хора, които дето се вика отвчера са на попрището и са постигнали толкова много, ние за да не накарним себелюбието си започваме да търсим кусури и се впускаме в критики, тъй като това е по-лесно отколкото да седнеш на "Д"-то и да сътвориш нещо! Липсва ни етикеция, култура и възпитание...всъщност, като се замисля за промяня, май цялата ценностна система ни е са смяна!

[Гост tnn]

Тези toolbar-чета с Comodo IS Free не трябва да се инсталират - препоръчват го във всички сериозни сродни форуми. Дори на параноични настройки този безплатен пакет не е непреодолим. Tanganika, не съм сбъркал нещо аз - просто тогава не съм бил пред този компютър. Жалко -щях да науча все нещичко тогава. Сега се чудя как и с какво да го почиствам и дали има смисъл да губя време за подобни мероприятия. Компютърът издава странни тититкания и нищо не мога да пиша- ако примерно напиша t се получава ttttttttttttttttttttttttttt Като при повредена клавиатура - някакъв гост все пак е проникнал - налице са и поразии с очевадни симптоми за инфектиране. Поздрави

[Night_Raven]

Ето лек анализ:

Даденият файл е компресиран с UPX. След стартирането си се разопакова, както всеки един компресиран с UPX изпълним файл, и стартира основния изпълним файл, който е програмка на Delphi. Тя създава във временната папка на системата .bat файл с име btXXXX.bat, където XXXX са произволни цифри и всеки път са различни. Чрез този .bat файл се задават команди на стандартни в Windows инструменти и...:

- се създава нов администраторски акаунт на име "red" и с парола "sezam", койото се добавя към специалните акаунти на системата.

- ползва се Windows Management Instrumentation Command-line, за да се промени режима на стартиране на услугите Telnet и Remote Desktop Help Session Manager на ръчен "Manual" и да се стартират на момента.

- започва отваряне на портове в системата по TCP и UDP протоколи, за да се позволи трафик по NetBIOS

- за финал се добавя ред за автоматично стартиране на Тelnet при всяко пускане на компютъра.

 

Накратко: това е домашно направен троянец, който отваря задна вратичка на създателя си, за да може той да влезе в системата.

Допускам обаче, че това е правено по-скоро за LAN мрежа.

 

Каченият файл в по-горния коментар беше вече анализиран във VirusTotal: линк (който и tanganika вече даде).

Същинският файл обаче, който се намира вътре в пакетирания първоначален, не беше анализиран досега и бях първият, който го е качил: линк.

 

Не би било лоша идея да се изпрати на лаборатории за анализ и добавяне към различни защитни продукти.

[IvanD]

Тези toolbar-чета с Comodo IS Free не трябва да се инсталират - препоръчват го във всички сериозни сродни форуми. Дори на параноични настройки този безплатен пакет не е непреодолим. Tanganika, не съм сбъркал нещо аз - просто тогава не съм бил пред този компютър. Жалко -щях да науча все нещичко тогава. Сега се чудя как и с какво да го почиствам и дали има смисъл да губя време за подобни мероприятия. Компютърът издава странни тититкания и нищо не мога да пиша- ако примерно напиша t се получава ttttttttttttttttttttttttttt Като при повредена клавиатура - някакъв гост все пак е проникнал - налице са и поразии с очевадни симптоми за инфектиране. Поздрави

 

TNN, няма непреодолима защита! Няма нищо перфектно създадено от човека!

Тази машина с какво я защитаваш, и сканира ли с други анти-вирусни алтернативи?!

Примерно с някой Rescue Disk на Kaspersky, Avira, Bit Defendr и т.н.?

[Night_Raven]

Венци, какво те притесняват туулчетата?!

При Комодо хората са си поставили опция да ги откажеш, като не искаш да ги инсталираш!

"Притесняват" не е толкова точна дума. По-скоро ме дразнят. Това прави продукта не действително безплатен, а (почти) adware. Не че е фатално това, защото доста програми съдържат toolbar-чета, но за продукт, който е сред водещите защитни продукти, борци със зловредния код, това поведение е леко неетично и може би дори противоречащо.

Просто не мога да уважавам много автори на софтуер, които правят такива неща.

[IvanD]

Юзърите, които се защитават с Авира + Комодо и ги дразни досадният прозорец на Авира, който изскача след ъпдейт, но не не знаят как да го блокнат, ако искат да помагам? Само да се уточни, къде да постна шотовете!

[avalon72]

Ето резултат от ново сканиране на това файлче Doni i Neti xxx.exe линк. Явно параноичните австрийски програми (a-Squared Anti-Malware, Ikarus, G-Data) - както и някои други, се справят отлично. Безплатната a-Squared Free обаче не го хваща.

[nikikom]

Night_Raven можеше поне името и паролата да не споделяш

[Night_Raven]

Night_Raven можеше поне името и паролата да не споделяш

Писачите на зловреден код не проявяват милост. Следователно не заслужават такава.

 

Ето резултат от ново сканиране на това файлче Doni i Neti xxx.exe линк. Явно параноичните австрийски програми (a-Squared Anti-Malware, Ikarus, G-Data) - както и някои други, се справят отлично.

Е, че как няма да се справят? Когато подозираш 99% от файловете по принцип, почти няма как да пропуснеш и някоя заплаха. Това не доказва много.

Ако хвърляш зар и на всяко хвърляне ми даваш право на по 5 предположения коя страна ще се падне, дали няма да познавам често?

[avalon72]

Не е чак толкова параноична A-Squared Anti-Malware (даже ми се струва нормална), но има и такъв режим на работа при желание от потребителя - пробвах я и ми хареса, всички боклуци из интернета изпоблокира. Разполагаше с 3 млн. дефиниции в момента. Като нищо бих дал 30лв. да си я купя за една година, но ме притеснява начина на плащане - никога не съм плащал по интернет.

[Night_Raven]

За шоуто реших да инсталирам програмата и да видя какво ще открие. Да видя да не би случайно да им е дошъл акъл в главата на австрийците в последно време. Уви, не им е.

Програмата продължава да подозира какви ли не файлове за какви ли не заплахи, да се хваща за абсолютни дреболии, които посмъртно не могат да навредят по абсолютно никакъв начин и да маркира всеки видян KeyGen като някаква заплаха.

Програмата се усъмни в един от процесите на текущата ми HIPS програма, маркира два файла на Garena (програма за мултиплеър на различни игри онлайн) като троянци, маркира един музикален файл в tracker формат (в случая .xm) като заплаха, маркира ми текстов файл като потенциално опасен (явно защото в него има пейстнато описание как да се изтрият следи на браузъри и други), маркира една програма за пренстройване на клавиши (Wc3Assistant) като backdoor и дори счете редактора на карти за StarCraft за Virut.

Хвана се за наличието на ключ .vnc в HKLM\Classes като следи от зловреден код и дори си позволи да нарече този безобиден ключ "Medium Risk". По дяволите, този ключ в регистратурата е също толкова опасен, колкото би бил един създаден от потребител текстов документ на име vnc, със съдържание "vnc" и намиращ се в C:\.

И т.н. и т.н.

 

Отрочето на австрийците има за основна задача май да създава паника и усещане за несигурност, отколкото реално да пази и да определя кое е вредно и кое не. Аз ако я слушам тая програма да си прекъсна интернет достъпа и да не инсталирам никакви програми и особено игри, а да си карам само с един Windows и драйверите.

Имам чувството, че ако компютърът ми е град, в който се крият престъпници/терористи, a-squared Anti-Malware е като луд президент/генерал, който бомбардира целия град и го срива почти със земята, а после се хвали, че ликвидирал престъпниците.

 

Не, благодаря. Не ме гони параноята, че един текстов файл ще ми съсипе цялата система.

[Гост tnn]

При мен клавиатурата си се оказа за смяна. Странно ми изглежда как е възможно две седмици a-Squared Free нищо да не открива след Comodo IS Free с параноични настройки на проактивната защита. Не трябваше ли поне някоя фалшива тревога да има? Двете програми се изявяват като коректни съотборници. Сега след KIS 2010 ми е интересно дали пак нищо няма да намира. След предни версии на руската програма обикновено си намираше по нещо. Най-доволен съм когато нищо не намира австрийската програма. A-Squared Anti-Malware преди блокираше доста бисквитки - понякога неоснователно. Сега имате ли такива констатации?

[Night_Raven]

Ако имаш предвид следящите бисквитки, те са безобидни на практика. Далеч по-важно е всичко останало.

Не знам при теб как е, но ти казах при мен как е. Програмата пищи за много неща, 99% от които са или фалшиви тревоги или реално безобидни. И това е без евристиката на програмата. Направо не смея да си представя какво ще стане, ако я включа.

[tanganika]

Започват да се случват интересни процеси при стартиране на уиндоус след стартирането на тези два файла.

 

http://hosting11.imagecross.com/image-hosting-04/9882Screenshot-14.jpgImage Hosting

 

http://hosting11.imagecross.com/image-hosting-04/2941Screenshot-12.jpgImage Hosting

 

http://hosting11.imagecross.com/image-hosting-04/6571Screenshot-23.jpgImage Hosting

 

Ето и тест със Virut който представлява сериозна заплаха.

 

http://hosting11.imagecross.com/image-hosting-04/96Screenshot-15.jpgImage Hosting

 

Веднага след стартирането на Virut

 

http://hosting11.imagecross.com/image-hosting-04/3095Screenshot-18.jpgImage Hosting

 

Малко по-късно пак реакция от ESS

 

http://hosting11.imagecross.com/image-hosting-04/962Screenshot-20.jpgImage Hosting

 

Въпреки че не се справя на 100 % има реакции и се справя по-добре от най-ловящата Авира,на която проактивната защита не съм я виждал в действие.Тези награди които печели ESS едва ли са случайни.

[Гост tnn]

http://www.virusbtn.com/conference/vb2008/index