-
Сообщение от
Maxim
Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.
Безопасные с точки зрения юзера файлы можно не прятать в логе, а просто омечать цветом или отметкой "файл безопасен по мнению пользователя"
--------
Пришел ответ от саппорта AVG:
The file that you sent us is a false detection. This detection willl be removed in the next AVG update. Please keep your AVG updated to be safe against the newest threats.
Thank you for your cooperation. It is highly appreciated.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А какой тогда смысл? Файлы юзера всё равно будут в логе.
-
-
Сообщение от
Maxim
Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.
Ну с хелпером всё просто - он должен получать в отчёте список файлов, присутствующих на машине и отмеченных юзером как доверенных.
Насчёт добавления всего подряд - вряд ли... Что сейчас происходит? Юзер шлют мне лог AVZ. После этого я спрашиваю про каждый файл, а что это за чудо. Юзер мне отвечает, что это мол похоже драйвер от Алкоголь 120%, а вот это вот файлрвол, а вот это неизвестно что... То есть та же самая база передаётся, просто не файликом, а описанием (через агент или телефон).
Понимаешь, ну не надо рассчитывать на сильно дурных юзеров.... Сильно дурные могут и AVZшную базу чистых расковырять и подправить. И сильно дурные вирусы тоже могут в неё залезть. А обычные юзеры - не лезут.
Мне собственно что нужно... Нужно, чтобы я мог сказать юзеру, что если мол есть красная строчка - не трогай комп и срочно вызывай меня, у тебя там вирус. А сечас что? Сейчас я говорю, что мол сравни список красных строчек с ЛИСТОЧКОМ, и если что-то новенькое - тогда зови. То есть явно менее надёжная процедура.
Кстати, насчёт расковырять формат базы чистых AVZ - это мысль. Надо будет попробовать. По крайней мере свою локальную проблему я этим решу. Просто это не красиво по отношению к Автору. Да и показ жёлтым (найдено в локальной базе) лучше, чем показ зелёным (найдено в хакнутой базе чистых AVZ).
Я понимаю, что AVZ - бесплатная утилита. Поэтому наладить БЫСТРОЕ добавление в базу чистых и не прошу. Тем более, что у меня версии FireWall скоро раз в неделю начнут меняться...
Гм... Ещё одна идея - платное оперативное добавление в базу чистых. С платой через WebMoney. Тоже устраивает.
Ещё идея в жанре полного бреда - добавление в базу чистых с контролем через VirusTotal.....
И ещё. Вот есть такой зверь - PopCarLoader. Ну играют мои дети в игрушки от рамблеровской аськи. И вреда от этого зверя я не вижу. Но AVZ его детектит. Просить, чтобы не детектил - глупо. А вот в локальную базу запихать - вполне...
-
Junior Member
- Вес репутации
- 65
Да, подтверждаю - есть такое дело в новой версии 4.27; Win2000, SP4
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=080820)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (24
Функция NtBuildNumber (8046CCDC) - модификация машинного кода. Метод не определен., внедрение с байта 4
Проверено функций: 248, перехвачено: 0, восстановлено: 0
-
вопросик, а возможно сделать так что бы подчищались ссылки из "установка и удаление программ" тех программ которые удалялись, типа mywebsearch и т.д.
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сорри за оффтоп, но ситуация с нодом повторяется из раза в раз, пока ситуация не приобретёт массовый характер(как в этом случае) они и пальцем не пошевелят.
Делаем выводы.
-
-
Сообщение от
AStr
Да, подтверждаю - есть такое дело в новой версии 4.27; Win2000, SP4
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=080820)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (24
Функция NtBuildNumber (8046CCDC) - модификация машинного кода. Метод не определен., внедрение с байта 4
Проверено функций: 248, перехвачено: 0, восстановлено: 0
Я пофиксил баг... после обновления баз он пропадет.
-
-
Junior Member
- Вес репутации
- 64
Сообщение от
Jef239
платное оперативное добавление в базу чистых
А трояны будут добавлять по каким расценкам?
-
Сообщение от
Jef239
Ну с хелпером всё просто - он должен получать в отчёте список файлов, присутствующих на машине и отмеченных юзером как доверенных.
Чем отчет для хелпера должен отличаться от остальных? Ну будут Ваши файлики другого цвета, но они все равно будут!
Сообщение от
Jef239
После этого я спрашиваю про каждый файл, а что это за чудо. Юзер мне отвечает, что это мол похоже драйвер от Алкоголь 120%, а вот это вот файлрвол, а вот это неизвестно что...
Я бы не стал настолько доверять юзерам, во всяком случае те с которыми сталкивался я, начинали паниковать что у них руткит, при виде перехватчиков Касперского.
Сообщение от
Jef239
Понимаешь, ну не надо рассчитывать на сильно дурных юзеров.... Сильно дурные могут и AVZшную базу чистых расковырять и подправить.
Очень сомневаюсь...
Сообщение от
Jef239
Мне собственно что нужно... Нужно, чтобы я мог сказать юзеру, что если мол есть красная строчка - не трогай комп и срочно вызывай меня, у тебя там вирус.
То что нужно Вам, не слишком безопасно для остальных.
Сообщение от
Jef239
И ещё. Вот есть такой зверь - PopCarLoader. Ну играют мои дети в игрушки от рамблеровской аськи. И вреда от этого зверя я не вижу. Но AVZ его детектит.
Ну и что, что он его детектит? Если Вам этот "зверь" не мешает своим присутствием в системе, то как Вам может помешать строчка в логе?
-
-
Сообщение от
Ego1st
вопросик, а возможно сделать так что бы подчищались ссылки из "установка и удаление программ" тех программ которые удалялись, типа mywebsearch и т.д.
В теории - можно. Но только по команде скрипта ... я думал сделать автоматическую зачистку (по принципу - ссылка битая, значит удалить. Но оказывается масса ссылок на CD, отключенный в текущий момент диск и т.п.), но пока воздержался от этого. В слудующей версии думаю добавить ее
-
-
А я вот тоже не получил ответа от нод .Странная политика компании. Авг прислала ответ, что исправят
Код:
Dear Sir/Madam,
Thank you for your email.
Please let us inform you, that this false positive will be fixed in the upcoming virus update.
We are sorry for the inconvenience.
Best regards,
Daniel Urminsky
AVG Technical Support
website: http://www.grisoft.com
mailto: [email protected]
-
-
Offtopic
Сообщение от
drongo
А я вот тоже не получил ответа от нод
А чем ты лучше остальных ? SCNR
-
-
Попросите Синауридзе Александра, ему отвечают.
-
-
Сообщение от
Maxim
Чем отчет для хелпера должен отличаться от остальных? Ну будут Ваши файлики другого цвета, но они все равно будут!
Отчёт для хелпера - это "исследование системы". В нём много дополнительной информации. В том числе, можно туда добавить и список чистых файлов. Он отличается от обычного протокола.
Я бы не стал настолько доверять юзерам, во всяком случае те с которыми сталкивался я, начинали паниковать что у них руткит, при виде перехватчиков Касперского.
И причина этого в том, что Олегу ВСЕ варианты драйверов Касперского в базу чистых не включить. Я бы тоже прелдпочёл чтобы мои юзеры понаковали при виде руткита, а не лезли бы смотреть по бумашке, какой "рутки" безопасен, а какой - нет.
То что нужно Вам, не слишком безопасно для остальных.
Ну самое БЕЗОПАСНОЕ поведение сейчас демонстрирует NOD32. Оно настолько БЕЗОПАСНОЕ, что даже не даёт закачать AVZ на комп. Ты представляешь, какая анархия бы получилась, если бы NOD32 имел эту самую локальную базу?! Это же каждый юзер мог себе поставить тот антивирус, какой хочется ему, а не авторам NOD32. И даже страшно сказать - могу бы сменить FireWall. Представляешь, как это было бы ужасно? А сейчас всё ПРАВИЛЬНО и БЕЗОПАСНО, что авторы NOD32 не разрешают, то юзеры и не ставят. И чего это вы письма-то им пишете?
Ну и что, что он его детектит? Если Вам этот "зверь" не мешает своим присутствием в системе, то как Вам может помешать строчка в логе?
У меню детёнышей за компом полно бывает. И я могу объяснить ребёнку (даже шестилетнему) "ткни сюда, если будет красное - ничего не трогай и зови меня". А вот проверять по списку... Это даже взрослых сложно обучить...
На самом деле есть компромис под названием "фиксация чистого состояния". Выдаётся команда "фиксировать чистое состояние". Все драйвера, "руткиты" (то есть антивирус и FireWall), автозапуск, внедрённые dll, расширения IE и так далее, работающие в этот момент считаются чистыми. В логах они отмечаются жёлтым цветом и только при максимальном уровне анализа. Дополнительно в логе пишется дата фиксации чистого состояния.
Для невозможности распространения с машины на машину, в слепке чистого состояния фиксируются особенности системы. Например - номер винчестера.
Ещё один момент. В слепке чистого состояния (или в локальном списке чистых, если он будет), хорошо бы фиксировать не только MD5, но и полный путь. То есть я доверяю не любому файлу с этим MD5, а только лежащему на своём месте.
Добавлено через 13 минут
Сообщение от
Nick222
А трояны будут добавлять по каким расценкам?
Так... Для тормозов - медленно и подробно.... Оплачивается АНАЛИЗ присланного файла в оговоренные сроки. Не "Когда руки дойдут, а рак на горе свиснет", а в течение 5 рабочих дней (например).
А уж если он не чистый - гарантированный ответ, что файл не может быть включён в базу чистых по таким-то основаниям.
Последний раз редактировалось Jef239; 01.09.2007 в 00:16.
Причина: Добавлено
-
Сообщение от
Jef239
Для невозможности распространения с машины на машину, в слепке чистого состояния фиксируются особенности системы. Например - номер винчестера.
Ещё один момент. В слепке чистого состояния (или в локальном списке чистых, если он будет), хорошо бы фиксировать не только MD5, но и полный путь. То есть я доверяю не любому файлу с этим MD5, а только лежащему на своём месте.
Мне представляется это наиболее верным вариантом, но возможны трудности реализации..
Напр. номер HDD не так просто считать (вроде как только из r0), серийник тома //в противоположность// - доступен всем и каждому.
То, что локальная база "безопасных" нужна, подтверждается (в том числе) .net-программами.
Сборок библиотек для нэт-фреймворк оч. много
и далеко не все из них занесены в баэу безопасных.
The worst foe lies within the self...
-
-
Сообщение от
Kuzz
Мне представляется это наиболее верным вариантом, но возможны трудности реализации..
Видишь ли, если привязывать этот слепок к "МАШИНЕ", то его можно храниь не в папке AVZ, а в %WINNT%\system32 или реестре. Тогда можно вообще никаких привязок не делать.
Смысл всех этих привязок - не допустить копирование вместе с папкой AVZ в случае, если AVZ работает с флэшки.
-
Сообщение от
Jef239
Так... Для тормозов - медленно и подробно....
Jef239, шутки тоже надо понимать (не в обиду..)
Сообщение от
Jef239
в %WINNT%\system32 или реестре.
В "идеологии" AVZ - быть _утилитой_, т.е. не оставлять после себя в машине ничего лишнего, ни в реестре ни в сис. директориях..
Где гарантия, что тот-же юзер не будет распространять вместе с AVZ файл-экспорт реестра с исключениями или файл исключений со скриптом атвокопирования в %system32% (если захочет, к примеру).
Добавлено через 9 минут
Если-бы все так просто было с защитой от копирования, не появился-бы старфорс, алкоголь, деймон-тулс и т.д...
В идеале каждая копия Windows должна иметь уникальный идентификатор, но и здесь встречаются 2 проблемы:
1. Пиратство. Сколько копий проинсталено с одного _оригинального_ диска..
2. Образы установленной системы.
Добавлено через 50 минут
Зайцев Олег, можно ли внести скрипты удаления "сложных" руткитов (вроде runtime.sys&runtime2.sys и PE386) в скрипты "Восстановление системы"?
Последний раз редактировалось Kuzz; 01.09.2007 в 01:43.
Причина: Добавлено
The worst foe lies within the self...
-
-
Сообщение от
Kuzz
Зайцев Олег, можно ли внести скрипты удаления "сложных" руткитов (вроде runtime.sys&runtime2.sys и PE386) в скрипты "Восстановление системы"?
Можно - добавлю.
--------
Не знаю, что с NOD32 делать - детект до сих пор идет, я получил более 500 рапортов - видимо, придется вешать объявление на сайте ...
Добавлено через 26 минут
Я повесил у меня на сайте объявление следующего содержания:
Уважаемые пользователи AVZ! С момента выхода новой версии AVZ 4.27 антивирус NOD32 детектирует исполняемый файл avz.exe как "вероятно модифицированный Win32/Genetik" (в англоязычном варианте "probably a variant of Win32/Genetik trojan") и уничтожает его. В техподдержку NOD32 отправлено сообщение о данном ложном срабатывании (по почте и средствами самого NOD), однако накакой реакции за прошедшие два дня не последовало и ложное срабатывание сохраняется до сих пор.
Поскольку отвечать на шквал сообщений о ложняке NOD32 уже нет физической возможности
Последний раз редактировалось Зайцев Олег; 01.09.2007 в 11:12.
Причина: Добавлено
-
-
Сообщение от
Зайцев Олег
Не знаю, что с NOD32 делать - детект до сих пор идет
Я тоже пнул суппорт. Кстати, помимо NOD32 детект также у eSafe и Webwasher-Gateway
Добавлено через 19 минут
Также отписался на тамошнем форуме. Нюхом чую, что скоро меня там забанят Немного не вписываюсь я в тамошнюю политику
Последний раз редактировалось ALEX(XX); 01.09.2007 в 12:28.
Причина: Добавлено
Left home for a few days and look what happens...
-
-
Изменения в ложном детекте на сегодня:
File avz.exe received on 09.01.2007 10:55:13 (CET)
Antivirus Version Last Update Result
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
NOD32v2 2495 2007.09.01 probably a variant of Win32/Genetik
Webwasher-Gateway 6.0.1 2007.08.31 Worm.Win32.ModifiedUPX.gen!90 (suspicious)
Additional information
File size: 726016 bytes
MD5: 8499121440521062210cfd1b09357764
SHA1: 1a7d94fc83049f0e8b6d5af9e1f8f768dd73b8f6
packers: UPX
packers: UPX
packers: UPX
Сравните с этим. AVG исправил.
Опыт — это слово, которым люди называют свои ошибки.
-