PDA

Просмотр полной версии : SpySubtract от Trend Micro



Geser
19.05.2005, 10:07
Результаты тестов (технические):
1. Тест на чистой системе OnLine сканера. Ложных срабатываний не замечено, сканирование прошло подозрительно быстро
2. Установка программы - объем 2 Мб, инсталлятор. После запуска скрытно лезет на http://update.spysubtract.com/sppush.php?220=61614062622E636F6D&431=&120=3.0&125=30029&160=1230436&170
=Unknown&210=Other&310=1005&150=30&155=30&130=t&225=n&
215=&430=382c18ee&195=2.71&171=&172=&500=2&501=0
Скорее всего это проверка обновления базы, но параметров как-то многовато
3. Сканирование системы - идет весьма долго, на эталонной чистой системе ничего не находит;
4. Я изучил базы (они чем-то сжаты и зашифрованы) - там имена файлов и ключей в реестре :) Правда, для файлов в базе описаны размеры и MD5 суммы, это уже что-то ...;
5. Компьютер был заражен тем, что вирусологи обзывают ITW (грубо говоря это "звери", встречающиеся в реальном мире, а не изысканные в коллекциях). Для реализации этого у меня есть свои методы, основанные на обходе вредоносных сайтов ... в результате ПК был поражен примерно 30-ю разновидностями типовых зверей (IstBar, 180 Solutions, Dyfuka, PowerScan ...). Из 15-ти вредоносных процессов в памяти был обнаружен только один ... зато найдено дикое "вредоносных" количество ключей реестра, созданных этими зверями. После полного сканирования я прописал полное лечение, после него была запрошена перезагрузка, после нее - куча зверей :( После лечения я нашел 35 "зверей" - Spy.180Solutions, Trojan-Downloader.Win32.TSUpdate.j, AdvWare.PowerScan.d, Trojan-Downloader.Win32.IstBar.gi, Trojan-Downloader.Win32.IstBar.is, Trojan-Downloader.Win32.Agent.nr, Trojan-Downloader.Win32.Agent.ns, Trojan-Downloader.Win32.Dyfuca.dx, AdvWare.ToolBar.SideFind .... Для контроля я пробовал ловить этих зверей AVZ - он поймал 29 штук, еще три обругал эвристиком - это показатель того, что исследовалась распространенная зараза... AVP с поимал всех
6. В ходе тестов монитора он реагировал на подмену стартовой страницы и появление известных вредоносных процессов в памяти (это легко было проверить - я нашел по MD5 и имени из моей коллекции).
Общий вердикт - имхо за 30$ в год можно купить полноценный антивирь с поддержкой удаления SpyWare, для простого искателя ключей в реестре по базе данных 30$ - это непомерно дорого ....
(c) Зайцев Олег

Geser
19.05.2005, 10:14
Делаем вывод. Очередная попытка деланья денег из ничего.

Зайцев Олег
19.05.2005, 11:05
Делаем вывод. Очередная попытка деланья денег из ничего.
Плюс очередное подтверждение современных тенденций поиска SpyWare - очень большое внимание удаляется "вредоносным" ключам, ссылками и т.п., а куда меньшее - "зверям", которые эти ключи создают ...

popovich
19.05.2005, 18:44
Просто для информации.
Пользуюсь этой программой около полугода. Попробуйте и убедитесь, что это следующий (значительный) шаг после Ad-Aware и Spybot - Search & Destroy.

Geser
19.05.2005, 18:59
Просто для информации.
Пользуюсь этой программой около полугода. Попробуйте и убедитесь, что это следующий (значительный) шаг после Ad-Aware и Spybot - Search & Destroy.
Лично мне шагать некуда. У меня никаких зверей на компе не было отродясь, кроме тех которых в коллекцию присылают :)
А остальные решают сами. Наше дело дать информацию и совет. А антивирус от Trend Micro стоит у меня на работе. Гадость полнейшая. За последние 3 дня 2 раза ДрВеб скачивал что бы почистить компы от зверья которое он не видел. Не говоря про адварь, который админы каждый день ручками выковыривают с компов работников.
Но это моё личное мнение, и никто не обязан его слушать :)

RiC
19.05.2005, 22:00
... А антивирус от Trend Micro стоит у меня на работе. Гадость полнейшая. За последние 3 дня 2 раза ДрВеб скачивал что бы почистить компы от зверья которое он не видел. Не говоря про адварь, который админы каждый день ручками выковыривают с компов работников.
Присоединяюсь, у меня тоже "дарёный" Trend на работе, поэтому если при загрузке компа логин скрипт обнаружил тренд, то Web в фоновом режиме исполняет танец под названием "quiсkcheck", попутно собирая то, что за прошедший день "прощёлкал" Trend.
Самый большой прикол в том, что за достаточно продолжительное время я нашёл только 1-го зверя которого не знал Web, но знал Тренд, и тот из разряда "коллекционых", и больше сотни которых знал Веб и в светлых кросовках видел Тренд.
Кстати буквально на прошлой неделе у Тренда нащёл глюк - архивы rar с максимальной компрессией (версии 3.xx) тренд просто игнорирует при проверке :( а архивы с русскими именами Тренд может проверить, а может и не проверить, причём закономерности такий "избирательности" я так и не нашёл :D