Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Обзор и тестирование антивирусов под Windows (часть 14)

Модерирует : gyra, Maz

gyra (04-12-2018 10:53): Обзор и тестирование антивирусов под Windows (часть 15)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202

   

Maz



Дед Мазай
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Обзор и тестирование антивирусов

и других средств безопасности на их основе
под Windоws 98/XP/Vista/7/8/8.1/10


Закрываемся от вируса-шифровальщика WannaCry
Карта распространения WannaCry в реальном времени | Ещё карта
Правила публикации ссылок на образцы | Правила проведения и оформления тестов...
Хостинги для скриншотов | Online-сервисы для комплексного анализа подозрительных файлов
Основные вендоры антивирусной индустрии... | Таблица
Отправка подозрительных файлов одновременно всем вендорам...
Более или менее независимые тестовые лаборатории антивирусных решений
Набор поведенческих онлайн анализаторов
AVZ | AdwCleaner — дополнение к стационарным антивирусам
Антивирусы не требующие инсталяции | Смежные темы на Ru-Board

Всего записей: 38754 | Зарегистр. 26-02-2002 | Отправлено: 21:09 07-07-2018
OldSirius

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Защитник 1809 определяет как ПНП

alexgrits
adwind пнп?!))) ну ну) там такой бэкдорище - троянище!)

Всего записей: 1827 | Зарегистр. 14-01-2011 | Отправлено: 16:17 09-11-2018 | Исправлено: OldSirius, 16:18 09-11-2018
Maks_I



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Защитник 1809 определяет как ПНП  

вот они прикалываются. алерт критический.потом ниже - нежелательная, тут же ниже пишут потенциально опасная. интеллектуальный уровень алерта ниже плинтуса

Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 17:00 09-11-2018
OldSirius

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Maks_I
adwind многоуровневый вредонос, как и большинство современных эксплойтов, но вирлаб майков, что то в последние годы сдаёт позиции, я как то на комсе, отзывался высоко о их лаборатории, сейчас даже и не знаю что сказать)

Всего записей: 1827 | Зарегистр. 14-01-2011 | Отправлено: 18:03 09-11-2018 | Исправлено: OldSirius, 18:04 09-11-2018
alexgrits

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
вот они прикалываются. алерт критический.потом ниже - нежелательная, тут же ниже пишут потенциально опасная. интеллектуальный уровень алерта ниже плинтуса

Какая разница ,под каким детектом исходный файл будет удален, или помещен на карантин, точная сигнатура имеет большое значение когда зловред уже в системе и его нужно оттуда удалить.

Всего записей: 7307 | Зарегистр. 23-11-2011 | Отправлено: 18:39 09-11-2018
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Какая разница ,под каким детектом исходный файл будет удален, или помещен на карантин, точная сигнатура имеет большое значение когда зловред уже в системе и его нужно оттуда удалить.

Не обращаем внимание, пусть резвятся. И какая разница, что 99,99% пользователей-крестьян вообще не интересует, что написано в алерте... ну кроме 0,01% пользователей-тестёров, которые любят под микроскопом рассматривать что в нём пишут

Всего записей: 1828 | Зарегистр. 26-04-2017 | Отправлено: 19:00 09-11-2018
OldSirius

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
точная сигнатура имеет большое значение когда зловред уже в системе и его нужно оттуда удалить.

точная сигнатура нужна, что бы в систему не допустить)
 
Добавлено:

Цитата:
Не обращаем внимание, пусть резвятся.

Fayer
прям "адвокат дьявола"))) приоритет у сигнатур, может быть очень разный, и иные пнп, могут быть пропущены, тогда развлекаться будите вы)))

Всего записей: 1827 | Зарегистр. 14-01-2011 | Отправлено: 19:01 09-11-2018
Maks_I



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Какая разница ,под каким детектом исходный файл будет удален, или помещен на карантин, точная сигнатура имеет большое значение когда зловред уже в системе и его нужно оттуда удалить

точные сигнатуры на малвари сейчас встречаются редко. преимущественно работают групповые движки, движки на машинном обучении, эвристические локальные и облачные движки. очень много неточных детектов и даже встречаются такие от самих вирлабов. я говорил даже не про детект, если вы заметили, а именно про логику составления самого алерта.
 
Добавлено:
OldSirius
это да, ещё буквально год назад они мне нравились больше, когда упор делался на сигнатурный детект и активную работу вирлаба. сейчас видно никак не могут нормально настроить своих облачных роботов

Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 19:09 09-11-2018
haze89

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
например Нортон палил основной,а модифицированный нет.

Нортон палил основной, т.к. я его запускал, сработал Sonar и вся инфа с образцами и статистикой улетела автоматом в Norton Community Watch. Потом появился детект, тут скорее всего примерно как у Бита, когда срабатывает проактивка, через какое-то время появляется сигнатура Trojan.GenericKD, также и у Symantec - Trojan.Gen.2, но на 100% я не уверен

Цитата:
Нортон - своими параноидальными репутациями и Power Eraser.  

Параноидальные или нет, главное что работает
По поводу NPE - было пару запросов безопасности про подозрительно большой исходящий трафик, где предлагалось запустить NPE, но он ничего не нашел по тестируемым зловредам и не удалил. Так что не понятно причем здесь NPE
 
Добавлено:
NS 22.16

Цитата:
#1  

Запуск - в памяти висит .exe файл, и похоже дергает iexplore.exe... В АЗ, ПЗ - ничего лишнего.

VT: https://www.virustotal.com/#/file/ae6f9271326e659b954955f217d48a7de8e01bcb63163e75e1577d685729c35e/detection

Цитата:
#PAYMENT CONFIRMATION SLIP COPY.exe

Распаковка:

Проверка HitmanPro:

Всего записей: 1624 | Зарегистр. 21-11-2017 | Отправлено: 19:20 09-11-2018
Maks_I



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Нортон палил основной, т.к. я его запускал, сработал Sonar и вся инфа с образцами и статистикой улетела автоматом в Norton Community Watch. Потом появился детект, тут скорее всего примерно как у Бита, когда срабатывает проактивка, через какое-то время появляется сигнатура Trojan.GenericKD, также и у Symantec - Trojan.Gen.2, но на 100% я не уверен

да впрочем вообще трудно понять, как отлавливаются малвари вендорами. вот например проактивка Каспера (локальный блокиратор) так и не сработала ни разу на тот шифратор. однако каждая новая модификация получала в скором времени детект UDS. что это значит? засвет файла на ВирусТотал? или файл просто обнаруживался антивирусным монитором в загрузках и как неопознанный отправлялся на анализ роботу UDS без всякого спросу? или отправлялся после запуска? одни вопросы без ответов
PS вот Панда пошла дальше всех они заявляют, что устанавливают клиенты-ловушки в наиболее активных узлах интернет-сети

Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 19:36 09-11-2018 | Исправлено: Maks_I, 19:42 09-11-2018
alexgrits

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
PAYMENT CONFIRMATION SLIP COPY.exe
KIS19 опять рулит

Avira  тоже как-бы не отстает

Всего записей: 7307 | Зарегистр. 23-11-2011 | Отправлено: 19:47 09-11-2018
AVGast



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Avira  тоже как-бы не отстает

Она то как раз и не отстает, ловит. А у меня с KIS19 никакой реакции.

Всего записей: 1602 | Зарегистр. 19-10-2017 | Отправлено: 19:53 09-11-2018 | Исправлено: AVGast, 19:54 09-11-2018
haze89

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Maks_I, да, вопросов много)

Цитата:
устанавливают клиенты-ловушки в наиболее активных узлах интернет-сети

Чет в голос

Всего записей: 1624 | Зарегистр. 21-11-2017 | Отправлено: 19:54 09-11-2018
Maks_I



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Avira  тоже как-бы не отстает

Алекс, здесь имелось ввиду, что проактивка KIS 19 не реагирует на эту малварь. блокиратор KIS 18 реагирует нормально. девятнадцатый KIS сырой и нуждается в пропатчивании

Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 20:01 09-11-2018
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Алекс, здесь имелось ввиду, что проактивка KIS 19 не реагирует на эту малварь. блокиратор KIS 18 реагирует нормально. девятнадцатый KIS сырой и нуждается в пропатчивании

 
Два часа назад проверял KSCF реагировал с откатом действий.

Всего записей: 1828 | Зарегистр. 26-04-2017 | Отправлено: 20:08 09-11-2018
Maks_I



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Два часа назад проверял KSCF реагировал с откатом действий

значит собрали нормально этот сабж. это как и на фабрике, всё зависит от того, какая смена собирает

Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 20:12 09-11-2018
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
значит собрали нормально этот сабж. это как и на фабрике, всё зависит от того, какая смена собирает

Не могу знать как и что там собирают, но скрины делал. Раньше проверить не мог поскольку только в 18:05 пришёл домой с работы. Где-то в 18:13 уже скачал, на то время:

 
запустил, появился процесс в памяти и где-то минут через пять/шесть появились первые алерты, потом минуты ещё через три/четыре алерты о отмене действий.

время теста на скриншотах видно.
АЗ, ПЗ, сканеры чисто.
 

Всего записей: 1828 | Зарегистр. 26-04-2017 | Отправлено: 20:25 09-11-2018
Maks_I



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
запустил, появился процесс в памяти и где-то минут через пять/шесть появились первые алерты, потом минуты ещё через три/четыре алерты о отмене действий

не похоже на срабатывание PDM. там не бывает алертов о подозрительном поведении. это какой-то другой модуль срабатывает. возможно эмулятор. похоже эвристику подкрутили в KSC в более агрессивную сторону. или возможно здесь в PDM подключили экспериментальные шаблоны BSS. тоже вариант

Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 20:34 09-11-2018 | Исправлено: Maks_I, 20:36 09-11-2018
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
не похоже на срабатывание PDM. там не бывает алертов о подозрительном поведении. это какой-то другой модуль срабатывает. возможно эмулятор. похоже эвристику подкрутили в KSC в более агрессивную сторону

Но это уже не ко мне, я в этом не очень, от слова абсолютно

Всего записей: 1828 | Зарегистр. 26-04-2017 | Отправлено: 20:37 09-11-2018
Gall



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Цитата:
#1  
 
Запуск - в памяти висит .exe файл, и похоже дергает iexplore.exe... В АЗ, ПЗ - ничего лишнего.

Ну,хоть ты Иван увидел и проверил скрипт,а то другие походу в упор не видели или выборочно запускают

Всего записей: 2358 | Зарегистр. 23-01-2017 | Отправлено: 21:39 09-11-2018
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ну,хоть ты Иван увидел и проверил скрипт,а то другие походу в упор не видели или выборочно запускают

KSCF проверять на запуск не стал потому как в 18:15 было так


Всего записей: 1828 | Зарегистр. 26-04-2017 | Отправлено: 21:50 09-11-2018
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202

Компьютерный форум Ru.Board » Компьютеры » Программы » Обзор и тестирование антивирусов под Windows (часть 14)
gyra (04-12-2018 10:53): Обзор и тестирование антивирусов под Windows (часть 15)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru