NOD 32 - еще в игре?

[QUOTE=AlphaM100;338783]смотрел конечно,
но предпочел,
что бы такие файлы так же удалялись,

в любом случае - это не полезная, необходимая для работы
программа ( скрипт)[/QUOTE]

Похожий autorun.inf присутствует на машинах НР/Компак для автоматизации восст. системы. Его что тоже удалять?

нет, его там (НР/Компак) не удалять,
а в моем случае - лучше что бы удалялась.

Вопрос был просто в другом: надо проанализировать содержимое inf и дать вердикт за каким файлом охотиться. Это делает не а/вирус, а AVZ.
а/вирус вряд ли когда это сможет делать, его задача анализ конкр. файла, а не его связей.

Не знаю, насколько Нод актуален для тех, кто регулярно (или даже изредка) заходит на порносайты... Но для очень редких пользователей (которые на такие сайты ни разу не заходили) - Нод очень даже подходит.

Лично мне странно читать о нём плохие вещи: за три года систему пришлось переустанавливать два раза - один раз схватил что-то из локальной сетки (похоже, какого-то червя, ибо он сам зашёл). Так как я тогда вообще не знал, как удалять зловредов вручную, то переустановка была единственным доступным решением (её осуществлял мой знакомый, так как я даже этого не умел).

А второй раз я подхватил загрузчик троянов на просторах liveinternet, когда искал музыку. Этого загрузчика Нод знал, но полностью вычистить его из системы не мог: когда я подключался к инету, Нод каждый раз отлавливал двух троянов и одного червя, но другие (которые загрузчик загрузил ещё), Ноду были незнакомы. Я тогда видел файлы зловреда в системных папках, но на этом мои познания заканчивались (о реестре и автозагрузке я тогда понятия не имел!..).

Сейчас с файерволом Ноду ловить нечего, и он иногда от злости помещает в карантин трейнеры :-) Отчасти потому, что я уже задолбал вендоров (ведь так они называются?..), методично отсылая им на анализ одни и те же файлы.

п.с.
я люблю гулять по инету (не по всяким социальным сетям вроде Одноклассников и Вконтакте), поэтому всё же не считаю, что Нод у меня выкладывается не полностью. Значит, из игры он не вышел :-)

[QUOTE=JackD;368143]Не знаю, насколько Нод актуален для тех, кто регулярно (или даже изредка) заходит на порносайты... Но для очень редких пользователей (которые на такие сайты ни разу не заходили) - Нод очень даже подходит.

Лично мне странно читать о нём плохие вещи: за три года систему пришлось переустанавливать два раза - один раз схватил что-то из локальной сетки (похоже, какого-то червя, ибо он сам зашёл). Так как я тогда вообще не знал, как удалять зловредов вручную, то переустановка была единственным доступным решением (её осуществлял мой знакомый, так как я даже этого не умел).[/QUOTE]
Золотые слова Юрий Бенедиктович. Золотой ты человек. :friends:

[QUOTE=JackD;368143]А второй раз я подхватил загрузчик троянов на просторах liveinternet, когда искал музыку. Этого загрузчика Нод знал, но полностью вычистить его из системы не мог: ..[/QUOTE]
Не знал Нод этого загрузчика, т.к. допустил заражение. Сорри, но с логикой у Вас неадекват.

1. НОД вообще неплох, но есть у него большой недостаток, который я пронаблюдал недавно во время эпидемии Kido в одной сетке.
Писал обмен сниффером на атакуемом компьютере. По анализу лога зафиксировал такой факт - от вливания файла по протоколу SMB (445 порт) на компьютер с работающим НОД 2.7 (точнее, от момента отключения атакующего) до обнаружения и удаления файла файловым монитором AMON прошло более 30 минут. До этого я не мог понять, каким образом Kido всё-таки умудряется заразить компьютер с НОД-ом. Когда увидел это в логе - наконец понял.
Справедливости ради - в подавляющем большинстве атак НОД таки успевал удалить залитый файл. Но два раза мне приходилось убивать работающий rundll32.exe, запустивший троянскую dll в количестве 4х - 5ти экземляров.
2. При установке на компьютер с работающим Kido НОД не видел его. Приходилось убивать троян Kidokiller-ом или CureIt, в процессе убиения НОД ловил временный файл unupx.tmp от Kidokiller-а и дальше уже оборону держал, с вышеописанными малочисленными пропусками.

Ну, НОД 2.7, мягко говоря, староват :)

[QUOTE=Alexey P.;368486]...До этого я не мог понять, каким образом Kido всё-таки умудряется заразить компьютер с НОД-ом. Когда увидел это в логе - наконец понял.
[/QUOTE]
Интересно. А что именно происходило по логам?

2.7 вообще плохо ловит в режиме реального времени. Точней, он их пропускал. Не помню уже как это было у меня, давно было. Помню, часто во временных папках при сканировании находил. И в архивах он влохо види вирусы. Вообщем - старье все таки

Узнаю стиль общения. Это не у Вас был ник "VPN"?

[QUOTE=Vektra;368620]Насколько много дураков на Руси[/QUOTE]
Мы на каждом километре (c)

На 2003 сервер с Citrix Metaframe XP ставил на всякий случай нод, плюс там был 1с 7.7 на 500 юзеров, Jabber сервер, WSUS, всё работало 4 года не выключаясь, потом после меня туда пришли какие то нубы администраторы, хамили мне там и всё поломали.

Уважаю его эвристик.
Видел в. 2.7 с базами полуторагодовой давности. После того, как включил показ скрытых файлов и курсор был поднесён к скрытому/открытому файлу, лежавшему на раб. столе с наглым названием "Пинч", НОД сразу заявил, что "это, возможно, модификация Пинча". :)
Но появилась досада, что он, следовательно, не видел скрытые/скрытые файлы. :)

[QUOTE=santy;368536]Интересно. А что именно происходило по логам?[/QUOTE]
Логи приложить не смогу, там приватная инфа, да и большие они.
Суть я уже описал - файл заливается по протоколу SMB через 445 порт в \system32\plnao.dll (расширение может меняться, имя файла для одной машины уникально, но всегда одинаково) и так же точно через \atsvc в \Tasks ложится задание для планировщика atl0.job, активирующее эту dll раз в час (этих заданий может быть много, при большом их числе сервак будет падать от большого количества работающих копий червя). Дальше виндовый планировщик успевает запустить этот файл, потом НОД файл убивает, но червяк уже прекрасно работает в памяти.
При беглом осмотре всё хорошо, НОД червя ловит, вот только и rundll32.exe в процессах надо обязательно смотреть :)

ЗЫ: Главная причина успеха Kido - разгильдяйство админов. Простые пароли у системных админов в первую очередь, в частности, тех, что уже ушли, а их эккаунты не были удалены, и т.п. Вот ими зверюга и пользуется - подбирает пароль и потом ходит с ними по домену как с отмычкой, даже при наличии патчей.

А мене стал нравится эвристик в НОДе 4. Чувствуется, его заметно подтянули.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Не надо рассказывать, что у файлового монитора НОД 2.7 была надежность 100%. Лично видал обратное. У меня он часто пропускал во временные папки вирусы. Настройки всегда были на максимуме
[B]Vektra[/B] - а [B]Erekle[/B] не говорил, что отключал монитор, или я не так понял

[COLOR="Gray"]Не отключал и не включал.
Сам НОД проработал нормально минимум и потом базы не обновлялись.
Неудивительно, что в его присутствии вовсю орудовали всякие разные. Технологий, используемых некоторыми из них, полтора года назад вообще не было.
Кстати, попросили посмотреть из-за надоедливой аналогичной картины, описанной [url=http://209.85.129.132/search?q=cache:rXs8NR_x2UoJ:forum.ixbt.com/topic.cgi%3Fid%3D22:73793+RunPlugin:+about+to+call+shellcode+(dump+is+done)&hl=ru&ct=clnk&cd=1]здесь[/url]. Но так и не смог выяснить, что творило такое, надо было уложиться в 20-30 минут. Что-то снёс, что-то перехватил [I]проснувшийся[/I] НОД, консолы исчезли, интернет появился, а большего хозяйн и не хотел. Потом они самы переустановили систему.[/COLOR]

К сожалению, ув. Vektra нас покинул (забанен).
Это т.н. Виталег, его на этом форуме не будет.

[QUOTE]А мене стал нравится эвристик в НОДе 4. Чувствуется, его заметно подтянули.
[/QUOTE]
Расскажите, пожалуйста, поподробнее...

Сравнивать с Kido и другими ситуациями не совсем честно .
Здесь еще зависит от того , как отработала компания . И от самой программы тоже .
У большинства нелегальных пользователей продуктов ESET , например , навсегда отключена передача статистической информации .

Сейчас уже есть официальный технический форум в России .
Может ситуация пойдет в лучшую сторону . Должна пойти .


[quote=ALEX(XX);368495]Ну, НОД 2.7, мягко говоря, староват :)[/quote]

NOD 2.7 . Сканирование - чисто .
Запускаю CureIt - rootkit /keylogger .
NOD теперь тоже увидел ) . " Семен Семеныч " .

Похоже пора переходить .

Kido этому уже три месяца, детектят его все, так что тут всё честно.

Вроде как появилась модификация, и статистики по ней пока нет.

Почему же нет, есть. Вот:
[CODE]
File flic received on 03.14.2009 21:02:11 (CET)
Current status: finished

Result: 35/37 (94.59%)

Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.03.14 Net-Worm.Win32.Kido!IK
AhnLab-V3 5.0.0.2 2009.03.13 Win32/Conficker.worm.88576
AntiVir 7.9.0.114 2009.03.13 Worm/Conficker.D.1
Authentium 5.1.0.4 2009.03.14 W32/Conficker.B
Avast 4.8.1335.0 2009.03.13 Win32:Trojan-gen {Other}
AVG 8.0.0.237 2009.03.14 Worm/Generic.WLO
BitDefender 7.2 2009.03.14 Win32.Worm.Downadup.Gen
CAT-QuickHeal 10.00 2009.03.14 I-Worm.Kido.ip
Comodo 1056 2009.03.14 Worm.Win32.Exploit.Conficker.c.~
DrWeb 4.44.0.09170 2009.03.14 Win32.HLLW.Shadow.based
eSafe 7.0.17.0 2009.03.12 Win32.Conficker.X
eTrust-Vet 31.6.6388 2009.03.09 Win32/Conficker.C
F-Prot 4.4.4.56 2009.03.14 W32/Conficker.B
F-Secure 8.0.14470.0 2009.03.14 Worm:W32/Downadup.DY
Fortinet 3.117.0.0 2009.03.14 W32/Kido.IP!worm.im
GData 19 2009.03.14 Win32.Worm.Downadup.Gen
Ikarus T3.1.1.45.0 2009.03.14 Net-Worm.Win32.Kido
K7AntiVirus 7.10.671 2009.03.14 Net-Worm.Win32.Downadup.iw
Kaspersky 7.0.0.125 2009.03.14 Net-Worm.Win32.Kido.iw
McAfee 5553 2009.03.14 W32/Conficker.worm.gen.c
McAfee+Artemis 5553 2009.03.14 W32/Conficker.worm.gen.c
McAfee-GW-Edition 6.7.6 2009.03.13 Worm.Conficker.D.1
Microsoft 1.4405 2009.03.14 Worm:Win32/Conficker.D
NOD32 3935 2009.03.13 a variant of Win32/Conficker.X
Norman 6.00.06 2009.03.13 W32/Conficker.KL
nProtect 2009.1.8.0 2009.03.14 Worm/W32.Kido.88576
Panda 10.0.0.10 2009.03.14 W32/Conficker.B.worm
Prevx1 V2 2009.03.14 Medium Risk Malware
Rising 21.20.52.00 2009.03.14 Worm.Win32.MS08-067.c
Sophos 4.39.0 2009.03.14 W32/Confick-G
Sunbelt 3.2.1858.2 2009.03.13 Worm.Win32.Downadup.Gen
Symantec 1.4.4.12 2009.03.14 W32.Downadup.C
TheHacker 6.3.3.0.281 2009.03.13 -
TrendMicro 8.700.0.1004 2009.03.13 WORM_DOWNAD.AD
VBA32 3.12.10.1 2009.03.14 Net-Worm.Win32.Kido.iw
ViRobot 2009.3.13.1648 2009.03.13 -
VirusBuster 4.6.5.0 2009.03.14 Worm.Kido.Z
Additional information
File size: 88576 bytes
MD5...: 5e279ef7fcb58f841199e0ff55cdea8b
SHA1..: 97256a110c2d1910278f057034b5716448dc04e8
SHA256: 99ec85d7edd42bb77a3975865d43002ed3db280958f70d4979d2c46ced49e22d
SHA512: 97b4db923fe26c1ae2f9e0896d55878078d6067348edcf488dd0a2a1143b99f1
46501824807f29c9260a1d6f31d75244cb6bed478b35446cb691c6b8d72b034c
ssdeep: 1536:rJN0t50iI+H+OWJmQhOs9NSeL+HcNQuFktdHXXGNUweCnqdUjjECQE76:T0
tXeZJNUsTSeL+8NQuFmHmkCxjcp
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1336f
timedatestamp.....: 0x335c1ed7 (Tue Apr 22 02:13:43 1997)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x12c1c 0x12e00 7.90 de0b84a1754768605d7aa3060fa1eb7e
.data 0x14000 0x290c 0x1e00 4.73 fac71472195d11acd014af00bc8eb393
.reloc 0x17000 0x92e 0xa00 5.90 ee809ac1bbb655074a9aaa6999de7c9e

( 7 imports )
> KERNEL32.dll: VirtualAlloc, VirtualFree, InterlockedIncrement,
GetUserDefaultLCID, GetLocalTime, GetVersion, SleepEx, LoadLibraryA,
InterlockedExchange, GetProcAddress, IsBadWritePtr, GetVersionExA, lstrcpyW,
IsDBCSLeadByte, GetACP, GetTickCount, SetLastError, VirtualProtect
> USER32.dll: GetClientRect, IsCharUpperA, GetIconInfo, GetWindow, IsChild,
GetTopWindow, GetWindowContextHelpId, WindowFromDC, IsCharAlphaA,
GetWindowPlacement, CopyIcon, IsIconic, GetGUIThreadInfo, GetDC, GetTitleBarInfo,
IsWindowUnicode, IsMenu, GetWindowRect, IsWindowVisible, GetForegroundWindow,
InSendMessage, GetWindowTextA
> ADVAPI32.dll: RevertToSelf, AreAnyAccessesGranted
> GDI32.dll: GetBkMode, GdiFlush, GetROP2, GetBkColor, GdiGetBatchLimit
> SHELL32.dll: -
> SHLWAPI.dll: StrCmpW, StrSpnA, StrCmpIW, StrCpyW, StrChrIA, StrCSpnIA,
StrChrIW, StrCmpNW, StrCmpNIW, StrCSpnIW
> MSVCRT.dll: difftime, _CIfmod, _getdrive, _strdate, _mbsncpy, _stricoll,
malloc, free, _itoa, time, wcsxfrm, wcspbrk, _mbstrlen, _mbctokata, _mbclen, _wcsset,
_errno, wctomb, _initterm, _adjust_fdiv, _getdrives, _mbsnicoll, _copysign, _wstrtime,
strstr, mbstowcs, _wstrdate, wcstombs, modf, _mbctombb, clock, _mbsninc,
strerror, getenv, strxfrm, _getmbcp, wcscoll, _hypot, _mbsncmp, _mbsrchr,
strcoll, _strlwr, _pctype, _isctype, __mb_cur_max

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C4DFC887006B54245A1B013D5B62D000D499B3A9
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5e279ef7fcb58f841199e0ff55cdea8b
[/CODE]

[B]NOD32 3935 2009.03.13 a variant of Win32/Conficker.X[/B] - мда. У них просто ужасная вирусная лаборатория

Мне там что-то Аваст не полюбился :\

похоже на эвристический детект...

Это Вы про НОДа?
Я им неделю назад отсылал файлы, на которые он ругается - базы обновляю 2-3 раза в день и он до сих пор ругается на них.

2 Alexey P., очень приятно глазу) такой детект, когда мы увидим такие резалты, на каждый зловред.

[quote=Rampant;372977]2 Alexey P., очень приятно глазу) такой детект, когда мы увидим такие резалты, на каждый зловред.[/quote]
как бы этого не хотелось, но думаю никогда

Nod32 практически никогда не использовал, но вот однажды, в ноябре прошлого года был случай. Жутко пиратский DVD из серии "золотой софт..." явно содержал малварь: после того, как этот диск побывает в руках у шибко грамотного юзера, подменивается стартовая страница IE. Итак этот диск по очереди оказался у трех юзеров. У первого стояла триальная версия NOD32 от Дом.ру, регулярно обновляемая - срок триала еще не закончился, у второго AVG, поставленная мной лично, у третьего drWeb AV-Desk от того же Дом.ру с проплаченной подпиской. Итак:
[LIST][*]У первого юзера NOD32 даже не пискнул, стартовая страница браузера была замещена, последующее сканирование харддиска NOD32 ничего не обнаружило, только CureIT обнаружило и удалило зловреда.[*]У второго и третьего зловред был обнаружен при запуске диска, стартовая страница не была подменена, сканирование жесткого диска ничего не обнаружило.[/LIST]DVD был очень древний, т.е. этому малваре было по крайней мере года два. Да и такое действо, как подмена стартовой, по крайне мере должно вызвать подозрение.

Как-то принесли ноутбук, заражённый вируснёй. Винду переставили, владельцу про антивирус намекнули, был купилен третий нод. Не шибко много времени прошло, привёз ноутбук снова. Реестр, диспетчер задач не открываются, ещё куча всего залочено. Нод считал, что всё чисто. В итоге безопасный режим + CureIT.
Третий нод ловит конечно слабенько, причём в основном на подлёте. Если вирус внутри, то тут он уже абсолютно бесполезен. У знакомого на работе целый зоопарк. 2.7 не видит ничего, 3-ий видит больше, но пропускает неприлично много. Недавно начал четвёртый ставить. Но по первым впечатлениям не сильно отличается от 3-ки.
Но нод хотя бы лучше Симантека. :)

Попробовал добавить нод в свою линейку разбора сэмплов. В день там порядка сотни троянов, самых разных.
И честно - просто офигел от результата. КАК ЖЕ МАЛО ОНИ ЛОВЯТ !!!
Это жуть, как можно так плохо работать.

[QUOTE]Это жуть, как можно так плохо работать.[/QUOTE]
В отличие от куреита и каспера в сканере нода просто ужасные настройки по умолчанию. Если поставить параноидальные, то результаты лучше где-то в 1.3 раза, чем до настройки.
Потому предлагаю следующее:
скачайте отдельный On-Demand Scanner:
[CODE]dows.se/download/free-antivirus/nod32_20090326.exe
зеркало:
codecpack.nl/nod32_20090326.exe[/CODE]

И прогоните его по своему набору сэмплов. Потом скажите как результаты:)
(но все равно, как показывает практика, результаты ниже того же куреита)

юзерам то от этого не легче, они стандартом пользуются.

[QUOTE]юзерам то от этого не легче, они стандартом пользуются.[/QUOTE]
я это прекрасно понимаю. свой пост я адресовал не юзерам, а конкретно к Alexey P. в виду того, что он
[QUOTE]Попробовал добавить нод в свою линейку разбора сэмплов.[/QUOTE]
поэтому я сказал, что не стоит так уж сразу выкидывать нодовский сканер по требованию с флешки - может быть он и понадобиться - на он-деманд версии хорошие настройки. сканит быстро и можно самому выбирать что сканить, настройки также самому можно править.

а юзеры пока остаются с носом:)

[QUOTE=priv8v;378493]
Потому предлагаю следующее:
скачайте отдельный On-Demand Scanner:
[/QUOTE]
Кстати, это неофициальная сборка Noda. Насколько я знаю, модераторы сайта запрещают постить подобные ссылки.

[QUOTE]Кстати, это неофициальная сборка Noda. Насколько я знаю, модераторы сайта запрещают постить подобные ссылки.[/QUOTE]
Сделал на всякий случай ссылки неактивными

Теперь и santy надо ссылки сделать неактивными.

вот, кстати, скрин настроек по умолчанию в этом сканере:
[IMG]http://s56.radikal.ru/i154/0903/90/255feb2322bb.png[/IMG]

[QUOTE=priv8v;378493]В отличие от куреита и каспера в сканере нода просто ужасные настройки по умолчанию. Если поставить параноидальные, то результаты лучше где-то в 1.3 раза, чем до настройки.
[/QUOTE]
нет, я сканер запускаю из комстроки со всеми включенными опциями (кроме памяти).
nod32.exe /selfcheck- /quit+ /sound- /subdir+ /pattern+ /heur+ /scanfile+ /scanboot- /scanmbr- /scanmem- /arch+ /sfx+ /pack+ /adware /unsafe /log+ /wrap- /logrewrite
Результаты, повторюсь, грустные. По сравнению с доктором или касперским детектятся вообще слезы, максимум 10-12 на сотню, а то и меньше.