+1Сообщение от Zveroboy
ОФФ:
Добро пожаловать, Zveroboy!
Может быть, Вам удастся позвать сюда вирусных аналитиков DrWeb - это было очень полезно для команды Вирусинфо. Я затаскивал сюда аналитиков ЛК, но пока с переменным успехом.
+1
ОФФ:
Добро пожаловать, Zveroboy!
Может быть, Вам удастся позвать сюда вирусных аналитиков DrWeb - это было очень полезно для команды Вирусинфо. Я затаскивал сюда аналитиков ЛК, но пока с переменным успехом.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Репутацию добавьте.Кнопку спасибо, к сожалению, нажать нельзя. Наверное, потому что "Сообщения: 1"
А так: +1
Опыт — это слово, которым люди называют свои ошибки.
http://forum.drweb.com/viewtopic.php?t=6087
"Тем не менее даже с имеющимся функционалом плагин очень неплохо
определяет зараженные веб-страницы, сейчас это в основном
VBS.Packfor, VBS.Psyme (у Storm - VBS.Psyme.434) и т.д.
У Касперски Лаб и на тот сервис, который предоставляет бесплатный
DrWeb плагин, духу не хватило. Я предлагал г-ну Никишину организовать
аналогичный сервис примерно года два назад. Сказали, дорого и накладно.
А то, что они пишут по вышеприведенной ссылке - оно понятно, работа у них
такая.
P.S. Загружать на сайт и проверять _все_ ссылки, имеющиеся на
проверяемой странице - имхо, довольно затратная вещь, её придется
как-то ограничивать разумными рамками. Страницы разными бывают, некоторые
гейтвеи тонны мусора по редиректам закачивают, накручивают клики.
Best regards, Alexey"
Согласен с DVi по поводу вирусных аналитиков DrWeb, послушать комментарии аналитиков на нетральной площади (virusinfo.info), а не постить ссылки на форумы DrWeb и ЛБ.
За два года слова "дорого и накладно" не потеряли своей актуальности.
+ проявилось достаточно много минусов, о которых написал я и подтвердил Alexey P.
Так Вы ж про плюсы не написАли...
---
С уважением,
Borka.
Отчего ж не написал? Написал выше.
Возможно, рекламная площадка - это само собой. Но то, что это реально работает, и юзеры не скачивают Пластиксы и ему подобные веСТЧи - это факт. Проверено неоднократно.
---
С уважением,
Borka.
Борис, вот первая же запомнившаяся мне ссылка на форуме DrWeb.
Alexey Podtoptalow проверил указанный сайт плагином и авторитетно заявил, что сайт чист. А между тем в этот момент там сидел всем нам известный iframe со ссылкой на Psyme. Psyme грузился автоматически всем зашедшим туда пользователям и моментально исполнялся в браузере. За собой он тянул Tiny.eo и Small.ddy. А что за собой тянули эти два зверька, я уже не разбирался.
Как Вы полагаете, плагин выполнил свою работу в данном случае?
Ну, во-первых, нужно спросить у Алексея, что и как он проверял.
Я же не говорю, что плюхин - это панацея. Но в некоторых случаях здОрово помогает.
Последний раз редактировалось borka; 25.09.2007 в 16:11. Причина: исправлена опечатка :)
---
С уважением,
Borka.
Если Алексей вспомнит этот инцидент, он сам нам расскажет, как было дело. Думаю, если бы он как обычно вел наблюдение со своей тестовой машины, он не мог бы не заметить весь тот зоопарк, который лез вслед за этим Псаймом.Ну, во-первых, нужно спросить у Алексея, что и как он проверял.
Весь этот топик посвящен тому, что проверять ссылку следует неограниченно глубоко, чтобы полностью эмулировать поведение браузера пользователя. В этом случае, если бы DrWeb не знал конкретно этого Псайма, он выявил бы Тини или Смолла, или еще хоть кого-нибудь из цепочки зловредов.
Ну а так как полностью эмулировать поведение браузера практически невозможно, то и эффективность проверки ссылок на отдельно стоящем сервере подвергается мной сомнению. Гораздо большей эффективностью обладает прокси-сервер, прозрачно проверяющий весь трафик браузера - ему нет необходимости имитировать действия браузера.
В идеале - конечно, нужно проверять все. Но того плюхина, который есть, вполне хватает для проверки открыто лежащей заразы.
---
С уважением,
Borka.
Которой весьма и весьма хватает.
2 Shu_b,
Плагин работает, причем, не смотря на выпады конкурентов. Это не панацея, но лишняя подстраховка не помешает
Как вижу "вступаться" нашлось кому и это хорошо, потому как сторонний читатель сможет лучше разобраться в этом вопросе.
2 Zveroboy,
Умерьте свой пыл, остыньте, глубоко вздохните и выдохните. Во время процедуры думайте о чём-то приятном. Повторите упражение 3 раза.
Со своей стороны советую вам проделать тоже самое, что бы в более спокойном, а не взвинченном настроении ВНИМАТЕЛЬНЕЙ читать сообщения форума. Это стоит делать хотя бы для того, что не приписывать людям несуществующих обидных качеств. Я не отношусь ни к какой из "команд", не состою в стаде или корпоративных группах. Это вам на будущее, вдруг опять забудетесь, не вчитаетесь, и припишете ересь к моему образу.
Если вы читали мое предыдущие сообщение, то, наверное бы, до вас дошло хоть каким-то образом, что никаким боком "опускать" продукцию Вэба я не собирался, а наоборот, благодарил за очень удобное и полезное решение. После появления критики на сайте ЛК мне, например, очень захотелось разобраться в этом вопросе подробнее, потому и попытался своей репликой дать понять кому-то из форумчан-вэбовцев (расчитывал, что такие найдутся), что пользователям их плагина хочется услышать точку зрения разработчика на критику. Оправдываться никто не обязан, а вот ответить на критическую оценку, причем данную в весьма гонористой и принебрежительной форме на сайте ЛК я думаю, просто необходимо. О чем и написал. Что не так?
П. С. С уважением отношусь к разработчикам любых антивирусов, потому что они делают важную и полезную работу. Очень расстраивает, что словестные перепалки в форумах между ЛК и ДрВэб носят систематический характер.
Последний раз редактировалось TANUKI; 25.09.2007 в 23:34.
Так это вроде бы не вам советовали... Я так думаю (c)
Вот именно ... эмулировать поведение браузера можно (тогда уже точнее - браузеров), но это будет уже не плагин, а целый аппаратный аналитический комплекс. И анализировать он будет со скоростью примерно 1 URL в минуту на узел, не быстрее. Анализ бедет очень глубоким и тщательным, но очень медлинным и трафикопрожорливым.
Теперь по поводу плагина - если уже так хочется народу, я могу сделать тулзу-плагин для KIS7, который будет проверять указанную ссылку, используя ресурсы и трафик локального ПК + AV ядро KIS ... на этой тулзе народ сможет убедиться в правоте наших слов
Злые вы.Где ж это видано - свои ресурсы тратить! Лучше будем ресурсы online.drweb.com использовать.
Опыт — это слово, которым люди называют свои ошибки.
Мы не злые, мы реалистыЗлые вы.
По поводу web-страниц мне и в голову не приходит проверять их на online.drweb.com или только лишь там. Про то как зловреды маскируются для online.drweb.com - в курсе. А вот когда стоит выбор качать тот или иной софт (нет ли в нем шпионов), а канал у меня не широкий, я иду к "добрым людям" на online.drweb.com. Спасибо им за доброту, а ЛК за реализм.
Опыт — это слово, которым люди называют свои ошибки.
В принципе тут опять-же может быть заковыка - для анализатора архив будет выдан нормальный, для пользователя - с шпионом. Более того, большинство файловых и варезных архивов содержат разные антиличи и прочие системы защиты от публикации прямых ссылок на файл. Т.е. если я вижу в файловом архиве ссылку вида http://z-oleg.com/files/66287883299E...puper-file.zip, то скачать этот файл смогу только я (длинный бредокод в адресе привызывает линк к моему IP) - если передать такой URL стороннему сервису WEB проверки, то он обратится по указанном URL, получит в ответ код 200 и текстовую страничку с описанием, как нехорошо качать файлы по чужим ссылкам и выдаст вердикт, что все чисто). защититься от этого можно, если сервис показывает размер файла (online.drweb.com показывает - т.е. если вместо 16 мб я получаю 16 кб, то ясно, что сработала привязка к IP).По поводу web-страниц мне и в голову не приходит проверять их на online.drweb.com или только лишь там. Про то как зловреды маскируются для online.drweb.com - в курсе. А вот когда стоит выбор качать тот или иной софт (нет ли в нем шпионов), а канал у меня не широкий, я иду к "добрым людям" на online.drweb.com. Спасибо им за доброту, а ЛК за реализм.
Тема к сожалению постепенно скатывается на флейм, что плохо, так как проблема проверки WEB ресурсов - это актуальная тема, так как в последний год я наблюдаю очень активный рост защиты от WEB проверялок. Причем реализуется он двумя базовыми путями:
1. Статический список-фильтр (я для опыта сделал примерчик - http://z-oleg.com/eicar.php - он выдает EICAR для всех IP и чистый объект для проверялки online.drweb.com). Я лично на подобные "грабли" налетал уже неоднократно
2. Динамический список - первое обращение с любого IP приводит к выдаче зловреда, второе - выдается безвредный мусор, т.к. на IP автоматом ставится бан. Следовательно ПК юзеров будут заражаться, а любая автопроверялка за счет многократных обращений сама себя забанит.
Вариант 2 эффективен и против админов - если выход в Инет через прокси или NAT транслятор, то соответственно юзер получит зловреда, а проверяющий открытые юзером ссылки админ получит мусор (у них общий внешний IP - блокировка сработает).
Последний раз редактировалось Зайцев Олег; 26.09.2007 в 10:28.
Угу, работает как написано.
Все налетали - достаточно посмотреть топик url сайтов, с которых инсталлируется malware в закрытой части форума. Там неоднократно возникали споры: "- У меня зловред виден на этой странице. - А у меня нет."
Ваши права в разделе
