«Доктор Веб» выпускает бета-версию Dr.Web CureNet!

[QUOTE=SergM;446582]Без знания пары логин\пароль на удалённой машине он не подключится и сканировать не будет.[/QUOTE]
если админ запускает с правильными правами то и пароли не нужны. по умолчанию пробуется установка на удаленную машину с текущими правами от которого запущенна утилита. в домене это типичный случай, работать будет по одному клику фактически.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=antanta;446598]Реклама чему?.. Не хотелось бы холиваров, хотелось бы "много российских антивирусов", и вообще того, что руками сделано (то есть, не дети и нефть), за что буржуи готовы платить. Но! Если не совсем получается конкурировать в какой-то области, то и нужно заняться чем-то типа "мы пойдем своим путем".
Если кто-то знает snort, на его основе делается не только IDS, но и "наоборот", можно детектить троянскую активность. Добавьте сюда сканер портов, сравнивающий открытые порты с теми, что вам "позволили" увидеть - получим еще инфу для анализа. Используя это все можно сделать свой, в чем-то уникальный продукт.
Добавьте анализ системы при старте из "супервизора", виртуалки типа VMware(чьи продукты частично перетекают в бесплатный сегмент). Да с отправкой сведений на локальный сервер безопасности, да потом, с согласия Одмина, на "глобальный" (тому же "кибердемону" или его аналогу).
Уважаемыей Dear.Web! Не нужно догонять, нужно итти своим путем.
Возможно, сей крик души вызван непониманием чьих-то путей развития. В этом случае, не судите строго.[/QUOTE]
а теперь можно в кратце и по русски все тоже самое изложить. пока я вижу набор разрозненных мыслей и реализацию идеи через кучу каких то костылей. и потом это еще как то продать нужно будет. я Вас слушаю внимательно.

Попробую. Все ИМХО.
Что имеет др.Веб:
1) Неплохие (насколько могу судить) решения для корпоративного пользователя.
2) Известную утилиту для проверки на заразу, а также LiveCD
3) Вполне рядовое решение для десктопов.
Последнее обстоятельство, к сожалению, никак не способствует популярности профессиональных решений. Боюсь, даже наоборот.
Как вариант, разарботчики могли бы сконцентрироваться корпоративном сегменте, а в маркетинговых целях развивать "бесплатное" направление. То есть, это продавать не нужно, да и не получится.
Теперь - к технической стороне. На самом деле, разрозненные мысли, многие из которых возникли очень давно, когда я не знал слов "облачные вычисления" etc.
Может быть, это баян, но это мой личный баян.
Так вот, чего я не видел ни у кого (может, плохо смотрел):
1) Использования виртуальной машины для контроля подопечной ОС на рабочей станции. Причем, с использованием серверов безопасности двух уровней. Первый - локальный, корпоративный. Возможности обмена информацией с глобальным сервером контролируется либо политиками, либо вручную.
2) В том же AVZ реализована мощная автоматизация (скрипты), помогающая администратору в его работе. С учетом того, что изначально утилита создавалась для других целей, система, построенная на базе AVZ в какой-то степени уязвима. Например, как я уже сообщал, когда AVZ отправляет на почту файл SAM из "точки восстановления", KIS 2010 в "режиме домохозяйки" никак на это не реагирует. Вероятно, найдутся и другие способы злонамеренного использования AVZ.
Почему бы не вынести в отдельное приложение то, что предназначено для автоматизации? Клиент (у админа) +сервер (на подопечных машинах). При должной защите канала должно раработать надежнее.
Пусть пример с почтой и неудачный. В любом случае, возможности скриптового управления во многом ограничены (ИМХО) как раз из соображений безопасности.
Почему бы не сделать?
3) Нигде не видел комплексной системы для диагностики машины "извне".
3.1 Сканирование портов с исследуемой машины + то же, но по сети, с последующим сравнением результатов.
3.2 Анализ исходящего трафика. Причем, анализатор установлен в DMZ, а не на исследуемой машине. Я упомянул snort по той причине, что это почти готовое решение. В бесплатном комплексе его можно применять свободно, написав свои rulez. Впрочем, никто не мешает написать свою реализацию.
Здесь можно добавить различные провоцирующие механизмы, которые побуждали бы злодея проявить сетевую активность.
Пункт 3 у меня самого в планах. Беда в том, что "позновато я взялся науку двигать", все равно у меня не выйдет так, как у специалистов. Но, это лучше, чем ничего.

Полная конфиденциальность

[QUOTE]Полная конфиденциальность

В процессе проверки никакого обмена данными между Dr.Web CureNet! и сервером «Доктор Веб» не производится, статистические данные о проверке корпоративной сети не передаются на сайт разработчика антивируса – формирование отчета производится внутри локальной сети на ПК администратора. Это обеспечивает полную конфиденциальность итогов проверки вирусного состояния сети.[/QUOTE]
Все верно, потому я и говорил тут про двухступенчатую систему.
С меня тоже брали расписки о неразглашении перечня установленного софта. Двухступенчатая система снимает противоречия между конфиденциальностью и актуальностью.

[size="1"][color="#666686"][B][I]Добавлено через 8 часов 58 минут[/I][/B][/color][/size]

Теперь непосредственно по теме...
Аларма! Мой компутер совсем инфицирован. Господа, не подскажите ли, как пройти в раздел "помогите"?
[QUOTE]
C:\SFU\proga\common\nfsstat.exe BackDoor.Tdss.origin Перемещён
C:\SFU\BaseUtils\common\sdiff.exe Trojan.PWS.uClub.origin Перемещён
C:\SFU\nfs\nfsstat.exe BackDoor.Tdss.origin Перемещён
QUOTE]
Проверку я прекратил волевым решением, да поздновато. По окончании возник виновз-инсталлер, предложив восстановить похереный ни за ... что SFU.
После окончания проверки мой винт хрустит уже минут пять. Клавиатурный ввод тормозит, в диспетчере задач виден какой-то xZmalNmF6XVIO... Это надолго?
Тут Остапа понесло... Мое возникновение в теме о drWeb было обусловлено прочтением материала, изложенного по этой ссылке: [url]http://vms.drweb.com/myths/[/url]

Мало того, что среди моих знакомых "компьютерщиков" изучаемый продукт не вызывает восторга, так еще некоторые маркетингово-технические заблуждения возводятся в принцип. Прежде всего это:
1) Незачем интегрировать в продукт сетевой экран.
Отвечу сразу. Если вменяемого юзера попросят выбрать из вариантов
а) Антиврь и файер разных производителей
б) одного производителя
ц) интегрированное решение,
угадайте, что он выберет?
2) Последний .... все еще хрустит винт, пытаюсь запустить AVZ, ибо достало... Вышибло KIS

[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]

Комбайнеры казахтанщтны накосили.... Тьфву!

Пришлось нажать ресет. После рестарта винда снова запустили инсталлер, предложив восстановить безвинно пострадавший SFU... И за что его аверы так не любят?
Так вот, по указанной выше ссылке заявлено (последний на момент написания пункт) , что dr.Web - это чиста антивирус, а заниматься восстановлением системы - не царское дело. Что ж, хозяин - барин...
Правда, я все же позволю высказать свое мнение на этот счет. Для начала - свежий пример из практики.
Барышня приносит нетбук с установленнвм антивирем зарубежного производства. Со слов клиента: "Антивирус что-то нашел и удалил. Теперь ничего не работает". Что именно "не работает" предлагаю домыслить самостоятельно, с учетом того, что в system32 напрочь отсутствовал файл svchost.exe.
Даже если допустить, что юзер согласилась удалить зараженный системный файл, неужели было трудно глянуть в dllcach? Я, например, обнаружил там вполне кошерный svchost, водрузил его на место, и все заработало. Для этого надо быть семи пядей во лбу? Или религия не позволяет произвести эту операцию в автоматическом режиме?!
Скажу больше, я неоднократно сталкивался с ситуацией, когда в системе активен фейковый драйвер (или библиотека), а в том же dllcach лежит оригинальный файл. Даже в дистрибутив лезть не нужно, чтобы восстановить систему.
Во-превых - это дао для силент-восстановления, во-вторых - еще одна сигнатура для эвристика. Пояснять нужно?
ЗЫ: Если вспомнить о локальном сервере безопасности, то на нем можно хранить копии системных файлов, не нарушая лицензий. Еще один плюс для двухступенчатой схемы.

"ПионЭры, идите в ..." (с) Фаина Раневская

Установил, дважды провел сканирование удаленных машин.... пока неудачно. Мысли простые. Чтобы использовать данный инструмент, необходимо 100%уверенность в том, что он выполнит заявленные задачи лечения не навредив, системе, не подвесив ее... с тем чтобы админу не пришлось выполнить трижды и более одну и ту же задачу... а в условиях массового заражения сети, эта уверенность должна быть и на все 200. Вопрос, можно ли заставить "джина" вернуться обратно "в бутылку", после того как он вышел вполне успешно на удаленный компьютер? (производительность системы основательно упала при скане, в диспетчере виден процесс на удаленной машине, но не виден результат сканирования на админской машине...) хорошо бы сканер периодически отсылал на админскую машину сколько он просканировал файлов... скажем с определенным шагом: 50, 100,.... Процесс снять не получилось, пришлось освободить систему для работы только перезагрузкой. Пожелание - сделать сетевое окружение более информативным, как минимум: имя машины, айпи в сети. т.е. непривычно работать с таким сетевым окржением после программ Ideal Administrator или Dameware Utilities.

[QUOTE=santy;447291]Установил, дважды провел сканирование удаленных машин.... пока неудачно. Мысли простые. Чтобы использовать данный инструмент, необходимо 100%уверенность в том, что он выполнит заявленные задачи лечения не навредив, системе, не подвесив ее... с тем чтобы админу не пришлось выполнить трижды и более одну и ту же задачу... а в условиях массового заражения сети, эта уверенность должна быть и на все 200.
[/QUOTE]
таких гарантий не даст ни один вендор да и вообще производитель ПО. тут много специфично для сети, железа, конкретной машины и стороннего софта.

[QUOTE]Вопрос, можно ли заставить "джина" вернуться обратно "в бутылку", после того как он вышел вполне успешно на удаленный компьютер?
[/QUOTE]
всмысле прервать с консоли сканирование? да такая фича будет.

[QUOTE]
(производительность системы основательно упала при скане, в
[/QUOTE]
будет возможность задавать приоритет. настоящий :)

[QUOTE]диспетчере виден процесс на удаленной машине, но не виден результат сканирования на админской машине...) хорошо бы сканер периодически отсылал на админскую машину сколько он просканировал файлов... скажем с определенным шагом: 50, 100,....
[/QUOTE]
статистика постоянно отсылается, кол-во просканированных, текуйщий процент, инфекции, действия над ними, скоро появится показ текущего сканируемого каталога. куда уж больше? осталось показывать только текущий сканируемый файл, но это уже избыточность. все это можно наблюдать в деталях станций и цифры в главном окне статистики. скорее всего что то не так работает, например файервол блочит посылку статистики и в консоль ничего не приходит.

[QUOTE]Процесс снять не получилось, пришлось освободить систему для работы только перезагрузкой.
[/QUOTE]
самозащита работает :)

[QUOTE]Пожелание - сделать сетевое окружение более информативным, как минимум: имя машины, айпи в сети. т.е. непривычно работать с таким сетевым окржением после программ Ideal Administrator или Dameware Utilities.[/QUOTE]
я как раз собираю пожелания к браузеру сети, спасибо мы рассмотрим эти варианты.

[QUOTE=devon;446645]если админ запускает с правильными правами то и пароли не нужны. по умолчанию пробуется установка на удаленную машину с текущими правами от которого запущенна утилита. в домене это типичный случай, работать будет по одному клику фактически.
[/QUOTE]
А можно эти моменты уточнить? Как\с какими правами надо запустить CureNet!, чтобы подключиться без пароля к удаленному компу?
Если вход в учетку запаролен, то это нерельно. IMHO. Админские шары?

[QUOTE=SergM;447682]А можно эти моменты уточнить? Как\с какими правами надо запустить CureNet!, чтобы подключиться без пароля к удаленному компу?
Если вход в учетку запаролен, то это нерельно. IMHO. Админские шары?[/QUOTE]
если у пользователя от которого запускается куринет есть возможность писать в админскую шару на удаленной машине то и сканер установится. с пустым паролем от другого юзера тоже можно поставится на удаленную машину, тут все зависит от политик на удаленной машине, по умолчанию в современных системах это запрещено. то что куринет в окне ввода пароля не дает вбивать логин без пароля, это будет убрано в след. публичном билде на днях.

[QUOTE=devon;447697]если у пользователя от которого запускается куринет есть возможность писать в админскую шару на удаленной машине то и сканер установится.[/QUOTE]
Самое интересное покрыто мраком. Как эту возможность возможно получить?

[QUOTE=SergM;447703]Самое интересное покрыто мраком. Как эту возможность возможно получить?[/QUOTE]
ну это уже администрировани в чистом виде. если сеть не в домене то на удаленной машине должен быть такой же юзер с таким же паролем как и на машине с куринетом, если в домене то и так все понятно должно быть. как там появится юзер это уже не к программе, больше возможностей ос не прыгнешь.

[QUOTE=devon;447697]если у пользователя от которого запускается куринет есть возможность писать в админскую шару на удаленной машине то и сканер установится.... [/QUOTE]

включите, пожалуйста, возможность контроля установки на удаленный хост, как это сделано в корпоративных продуктах... например у Eset.
[quote]Computer: 111
Domain: 222
Get Info Diagnostics, server: 333, user: 444
Setting IPC$ Connection Result Code: 0 (Операция успешно завершена.)
Remote Registry Connecting (OS Info) Result Code: 0 (Операция успешно завершена.)
Remote Registry Opening (OS Info) Result Code: 0 (Операция успешно завершена.)
Remote Registry Reading (OS Info) Result Code: 0 (Операция успешно завершена.)
Remote Registry Connecting (ESET Security Product Info) Result Code: 0 (Операция успешно завершена.)
Remote Registry Opening (ESET Security Product Info) Result Code: 0 (Операция успешно завершена.)
Remote Registry Reading (ESET Security Product Info) Result Code: 0 (Операция успешно завершена.)
Remote Install Diagnostics, server: 333, user: 444
Setting ADMIN$ Connection Result Code: 0 (Операция успешно завершена.)
Copying ESET Installer Result Code: 0 (Операция успешно завершена.)
Setting IPC$ Connection Result Code: 0 (Операция успешно завершена.)
Registering ESET Installer as a Service Result Code: 0 (Операция успешно завершена.)
[/quote]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=devon;447679]
я как раз собираю пожелания к браузеру сети, спасибо мы рассмотрим эти варианты.[/QUOTE]
Почему нельзя использовать в качестве управляющей оболочки наработанный интерфейс от DrWeb Enterprise Edition с контролем установки, получением логов сканирования? Только ставить сетевой сканер вместо полноценного антивирусного продукта.

[QUOTE=santy;447924]включите, пожалуйста, возможность контроля установки на удаленный хост, как это сделано в корпоративных продуктах... например у Eset.
[/QUOTE]
что то в этом роде запланировано, для проверки успешности.

[QUOTE]Почему нельзя использовать в качестве управляющей оболочки наработанный интерфейс от DrWeb Enterprise Edition с контролем установки, получением логов сканирования? Только ставить сетевой сканер вместо полноценного антивирусного продукта.[/QUOTE]
потому что это не ES и ни какого отношения к нему не имеет, это самостоятельный продукт. ES это огромный корпоративный продукт и весь этот функционал написан на Java и веб, в итоге пришлось бы заниматься не малым копипастом с портированием. CureNet! позиционируется как утилита и не предназначен для повседневного использования, легкость компактность и мобильность его плюсы. пришел админ на фирму, воткнул флешку пролечил и ушел.

по новой сборке от 21.08.2009.
проблемы те же... удаленная установка успешная, но обратная связь центра управления и удаленного клиента неустойчива, теряется управление. Предусмотрите возможность обратного шага к списку клиентов - добавить нового клиента для сканирования, т.е. после запуска проверки списка выделенных машин, вернуться на этот шаг уже невозможно, активна только кнопка - завершить. Что еще царапнуло. Словацкому Eset-у простительно локализовать русскую версию с ошибками, в продуктах российских компаний синтактические ошибки вызывают удивление. (см. список ключевых фраз - детали при формировании отчета о работе.)

[QUOTE=santy;460765]Предусмотрите возможность обратного шага к списку клиентов - добавить нового клиента для сканирования, т.е. после запуска проверки списка выделенных машин, вернуться на этот шаг уже невозможно, активна только кнопка - завершить. [/QUOTE]
Угу, есть такое. :( Попросил сразу по выходе первой беты, обещали подумать.

[QUOTE=santy;460765]Что еще царапнуло. Словацкому Eset-у простительно локализовать русскую версию с ошибками, в продуктах российских компаний синтактические ошибки вызывают удивление. (см. список ключевых фраз - детали при формировании отчета о работе.)[/QUOTE]
А можно список ошибок или скриншот?

Сегодня-завтра обещали третью бету выложить.

[QUOTE=borka;461354]
А можно список ошибок или скриншот?[/QUOTE]

+ выводить отчет о работе браузером по умолчанию.

[QUOTE=santy;461384]+ выводить отчет о работе браузером по умолчанию.[/QUOTE]
Спасибо за скрин, передам по назначению. :) А насчет отчета - что-то было здесь:
[url]http://forum.drweb.com/index.php?showtopic=282409[/url]
[url]http://forum.drweb.com/index.php?showtopic=282711[/url]

[CENTER][B]Компания «Доктор Веб» сообщает о выпуске обновленной бета-версии сетевой лечащей утилиты Dr.Web CureNet! [/B][/CENTER]

Продолжается публичное тестирование Dr.Web CureNet! – утилиты, предназначенной для централизованного лечения локальных сетей, в том числе, с установленным антивирусом другого производителя. Среди преимуществ нового продукта – возможность лечения без установки сканеров на компьютеры сети, возможность запуска Мастера Dr.Web CureNet! на любом ПК под управлением Windows 2000/XP/ 2003/2008/Vista/Windows 7 и с любого внешнего носителя, минимальная нагрузка на сеть, возможность быстрого обновления, полная конфиденциальность итогов проверки сети.

С 10 августа, когда был дан старт бета-тестированию, интерес потенциальных пользователей к новому продукту продолжает неуклонно возрастать. Системные администраторы активно испытывают Dr.Web CureNet! «в боевых условиях» и поддерживают непрерывную связь с разработчиками нового продукта с целью улучшения его функциональности и исправления найденных ошибок. Опробованный в локальных сетях и улучшенный в соответствии с замечаниями и пожеланиями тестеров, Dr.Web CureNet! должен стать не только надежным средством «второй линии» антивирусной защиты локальных сетей, но и эффективным лекарством для уже зараженных компьютеров и серверов.

По результатам тестирования на сегодняшний день выпущено обновление. В нем исправлен ряд ошибок, выявленных в процессе подготовки продукта к официальному релизу, а также сделано несколько улучшений:
[LIST][*]реализована работа с профилями – теперь есть возможность сохранять настройки сканирования, списки заданных на проверку компьютеров, логины и пароли доступа к удаленным ПК ([URL="http://www.drweb.com/static/new-www/curenet-profiles.png"]скриншот[/URL]); [*]произведены изменения в работе сетевой части утилиты - в частности, Dr.Web CureNet! теперь корректно работает в ОС Windows 7; [*]добавлен вызов справки «кликом» по соответствующей иконке интерфейса и нажатием «горячей» клавиши F1; [*]повышена стабильность работы администраторской консоли; [*]на удаленной машине подо всеми ОС Windows выводится нотификатор (иконка со всплывающей подсказкой) в системном трее. [/LIST]
Обновленный дистрибутив бета-версии Dr.Web CureNet! можно скачать [URL="http://beta.drweb.com/"]здесь[/URL].

[URL="http://news.drweb.com/show/?i=444&c=5"]news.drweb.com[/URL]

По сборке от 07_09_2009:
Установка и сканирование прошло успешно. Идея_реализация с сохранением профиля понравилась. Иконка в трее удаленной машины - тоже хорошо. Всплывающую подсказку не получилось увидеть, возможно потому что смотрел через радмин. После завершения сканирования иконка исчезла. Может, еще и службу автоматически остановить? Или она важна для завершения работы сканирования? Будет возможность - проверю на зараженной машине в сети. :).

возможно, еще один недочет: несоответствие между цифрами в столбце "излечено".

На некоторых компах выпал синий экран "memory_corruption".
Вот малые дампы с 2 компов.