Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Обзор и тестирование антивирусов под Windows (часть 15)

Модерирует : gyra, Maz

gyra (18-07-2019 21:38): Обзор и тестирование антивирусов под Windows (часть 16)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206

   

gyra

Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


Обзор и тестирование антивирусов

и других средств безопасности на их основе
под Windоws 98/XP/Vista/7/8/8.1/10


Закрываемся от вируса-шифровальщика WannaCry
Карта распространения WannaCry в реальном времени | Ещё карта
Правила публикации ссылок на образцы | Правила проведения и оформления тестов...
Хостинги для скриншотов | Online-сервисы для комплексного анализа подозрительных файлов
Основные вендоры антивирусной индустрии... | Таблица
Отправка подозрительных файлов одновременно всем вендорам...
Более или менее независимые тестовые лаборатории антивирусных решений
Набор поведенческих онлайн анализаторов
AVZ | AdwCleaner — дополнение к стационарным антивирусам
Антивирусы не требующие инсталяции | Смежные темы на Ru-Board

Всего записей: 7291 | Зарегистр. 18-02-2006 | Отправлено: 10:51 04-12-2018 | Исправлено: gyra, 09:55 05-12-2018
Zbarsk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AVGast
 
странно, и базы не последние, 18825, после них ещё 18826 и 18827 от 5-го февраля были, сейчас уже от 6-го версия 18828. В базах этот "pony" появился около 5-ти вечера +- один час  

Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 09:03 06-02-2019 | Исправлено: Zbarsk, 09:06 06-02-2019
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
первый скрин, где вылезло окно с ошибкой, не открывается, хотел посмотреть, ссылка на просмотр возвращает на пустую страницу.

 
Zbarsk
Это происки jpegshare, ничего не могу сделать, такое бывает. Раньше пробовал перезаливать картинку никогда не помогало, всё равно открывалась пустая страница.

Всего записей: 1791 | Зарегистр. 26-04-2017 | Отправлено: 09:04 06-02-2019
Zbarsk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Собственно, немного из сегодняшнего утреннего творчества )))
 

 
Щас попробую без правил HIPS-а батник и командную строку с powershell.exe

Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 09:08 06-02-2019 | Исправлено: Zbarsk, 09:10 06-02-2019
AVGast

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
странно, и базы не последние, 18825, после них ещё 18826 и 18827 от 5-го февраля были, сейчас уже от 6-го версия 18828. В базах этот "pony" появился около 5-ти вечера +- один час

Ничего странного тут нет. Я им этот файл отправлял около 17:00 по Москве. А база появилась в 17:00 + 2 часа для Москвы.

Всего записей: 1332 | Зарегистр. 19-10-2017 | Отправлено: 09:16 06-02-2019
Zbarsk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AVGast
 
А до этого он пропускал? Или какие-либо алерты были? По идее должно быть всё пошифровано, если пропустил, ну или если не прописаны правила в HIPS и брандмауэре на выход в сеть. Такие файлы ESET обычно сразу же добавляет в базы. Сам Win32/Filecoder у них давно с разными вариациями https://www.virusradar.com/en/Win32_Filecoder/detail, а именно этот во вчерашних базах https://www.virusradar.com/en/Win32_Filecoder.NUO/description, по идее, не должен был пропускать, вот это почему-то странно.  

Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 09:21 06-02-2019 | Исправлено: Zbarsk, 09:29 06-02-2019
AVGast

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А до этого он пропускал? Или какие-либо алерты были? По идее должно быть всё пошифровано, если пропустил, ну или если не прописаны правила в HIPS и брандмауэре на выход в сеть. Такие файлы ESET обычно сразу же добавляет в базы.  

Я же написал, что пропустил, файлы зашифрованы. С данным образцом HIPS не поможет и в сеть он не лезет. Так же на запуск не отреагировали OSArmor, Zemana Antilogger. А вот HitmanPro.Alert (HitmanPro 3.8.0 build 295 не детектил) отреагировал, но кое что успело по шифроваться, в основном ярлыки.
https://app.any.run/tasks/4297783a-bd99-466d-aeca-99287adad128

Всего записей: 1332 | Зарегистр. 19-10-2017 | Отправлено: 09:33 06-02-2019 | Исправлено: AVGast, 09:37 06-02-2019
haze89

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Раньше пробовал перезаливать картинку никогда не помогало, всё равно открывалась пустая страница.

Емнип, мне помогало, открыть в редакторе и пересохранить.

Всего записей: 1517 | Зарегистр. 21-11-2017 | Отправлено: 09:34 06-02-2019
Nevi Dimka

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Раньше пробовал перезаливать картинку никогда не помогало, всё равно открывалась пустая страница.
 
Емнип, мне помогало, открыть в редакторе и пересохранить.
 

Легче на другой хостинг залить)

Всего записей: 2600 | Зарегистр. 10-12-2015 | Отправлено: 09:39 06-02-2019
haze89

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Легче на другой хостинг залить)

тоже вариант  

Всего записей: 1517 | Зарегистр. 21-11-2017 | Отправлено: 09:44 06-02-2019
Zbarsk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AVGast
 
Именно правила HIPS (созданные самим ESET) против шифровальщиков как раз помогают - у меня после прописывания этих правил ничего не пролезло. На автомате или в интерактивном режиме могут быть варианты. Ну и конечно, на тот момент я в списке по детекту с вирустотал не вижу BitDefender, Нортона, Авиру, McAfee, и многих "передовиков антивирусного производства", искал, кто его ещё тестил здесь - не нашёл (на момент скрина) и выложенного здесь файла. Только Каспер. И больше никого. Все пропускают - ESET на моей машине ничего не пропустил уже с полгода после прописывания правил. Да и то, я же здесь всё подряд без разбора тестирую и выкладываю скрины. А если просто для домашнего использования - дефолтных настроек хватит (опять-же, кто куда заходит и на каких сайтах бывает). За других не говорю. Но нужны правила, об этом сами эсэтовцы на форуме писали очень давно.  

Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 09:57 06-02-2019 | Исправлено: Zbarsk, 10:03 06-02-2019
AVGast

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Именно правила HIPS (созданные самим ESET) против шифровальщиков как раз помогают - у меня после прописывания этих правил ничего не пролезло. На автомате или в интерактивном режиме могут быть варианты. Ну и конечно, на тот момент я в списке по детекту с вирустотал не вижу BitDefender, Нортона, Авиру, McAfee, и многих "передовиков антивирусного производства", искал, кто его ещё тестил - не нашёл (на момент скрина) и выложенного здесь файла. Только Каспер.

Если вы про эти правила (они у меня были) https://support.eset.com/kb6119/ то они не помогут. Этот pony не запускает никаких дополнительных процессов которые прописаны в правилах, можете сами убедится https://app.any.run/tasks/4297783a-bd99-466d-aeca-99287adad128

Всего записей: 1332 | Зарегистр. 19-10-2017 | Отправлено: 10:05 06-02-2019
Zbarsk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AVGast
 
В правилах достаточно прописать блок любому файлу,  извне пришедшему (например, дочерние от упаковщиков) и обращающемуся к любому скрипту, powrshell.exe и т д; из Temp-а у меня ничего не запускается, в Roaming запрет на создание новых файлов и приложений (с исключениями, конечно). Кодировщик пришёл с определённого IP или веб-адреса, или же с другой заражённой машины, если на машине доступ к скриптам и консоли "гуляй-не хочу", то АВ (ЛЮБОЙ) может пропустить вирус запросто. Я говорю за себя и много раз говорил - есть Каспер и ESET. Ну и немножко BitDefender. Для меня лично остальных нет. При грамотной настройке бизнес-версий (у меня как раз бизнес-версия) такая ерунда как Filecoder, не должна проходить в принципе. Ну и конечно нужно ограничить запуск .js, .cmd, .bat, .vba, .ps1 и прописать пакетные правила. К тому же, я не знаю, какие правила кто прописывает - у меня всегда "параноидальные" с максимумом паранойи )))))

Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 10:24 06-02-2019 | Исправлено: Zbarsk, 10:42 06-02-2019
haze89

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
#crab
 

Всего записей: 1517 | Зарегистр. 21-11-2017 | Отправлено: 10:42 06-02-2019
Zbarsk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#crab  

 
ESET Endpoint Security 7.0  
 
Согласно правилам HIPS, распакованному файлу dssf.js запрещён доступ к explorer.exe для создания файлов, ключей реестра и приложений, используя wscript.exe. Доступ запрещён, файл удалён.  
 

 
Снова скачал и убрал всё на дефолт
 
Файл хочет создать в папке Temp вот это (скрин) и, вероятно, запустить его. EES не даёт по умолчанию.  
 

 
Судя по ходу сканирования, Dr.Web тоже не подозревает ничего.  
 
 

Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 11:06 06-02-2019 | Исправлено: Zbarsk, 12:27 06-02-2019
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#crab

 
WD
запуск


АЗ, ПЗ ничего лишнего.

Всего записей: 1791 | Зарегистр. 26-04-2017 | Отправлено: 11:59 06-02-2019
alexgrits

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#crab  



 
Добавлено:

Цитата:
Цитата:
#Denarius.exe

Детект при запуске  после распаковки во временную папку

 затем и проактивка забрала сам исходный файл

Всего записей: 6831 | Зарегистр. 23-11-2011 | Отправлено: 12:42 06-02-2019 | Исправлено: alexgrits, 12:47 06-02-2019
Gall

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#crab

Аваст фри,запуск
стартует wscript на пару секунд и выгружается.на этом всё.реакции от АВ нет.в системе ничего лишнего.
 
Добавлено:
#2

Всего записей: 2096 | Зарегистр. 23-01-2017 | Отправлено: 13:50 06-02-2019
Zbarsk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dr.Web никакой реакции
 
Kaspersky (решил попробовать "на зуб" - вдруг фэйк или детект изменился) сразу же удаляет в карантин
 
Странно, что остальные молчат - всего 5 АВ классифицируют файл как вирус на скрине. По эту же минуту то же самое. Может оно и не оно? Но Каспер уверен.  
 

 

Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 14:13 06-02-2019
Gall

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#2

Аваст фри,запуски

АЗ,ПЗ-ничего лишнего,сканеры-чисто
https://jpegshare.net/25/ef/25ef437857f3470f5e05aa4ce88c2783.png.html
https://jpegshare.net/76/4a/764ab39bfc338a9fd185056f48a17c4c.png.html

Всего записей: 2096 | Зарегистр. 23-01-2017 | Отправлено: 14:20 06-02-2019
haze89

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#2

KES11
Сканирование по требованию 1/2:

Запуск (остаток - fghfgbjk.vbs):

 
Добавлено:

Цитата:
Может оно и не оно? Но Каспер уверен

Конечно Касперыч уверен  
https://app.any.run/tasks/a42d8edb-0541-4e0a-8619-933de3b1c646

Всего записей: 1517 | Зарегистр. 21-11-2017 | Отправлено: 14:24 06-02-2019
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206

Компьютерный форум Ru.Board » Компьютеры » Программы » Обзор и тестирование антивирусов под Windows (часть 15)
gyra (18-07-2019 21:38): Обзор и тестирование антивирусов под Windows (часть 16)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru