Похоже, скрипт-чеккер Касперского перестал ловить Еикара именно потому, что из него убрали детект COM-программ
Судя по всему, предположение Alex Plutoff было верным.
Ну и этот детект вернут? как касперский вообще будет бороться с этой угрозой? в настоящее время что-то можно изменить?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Все разузнал. Детект чистого Еикара в скрипт-чеккере Касперского был сбит нарочно. По замыслу разработчика, это сделано, чтобы не портить алгоритм IE, который обязан отрапортовать об ошибке скрипта (как это указано здесь). Детект должен вернуться, если перед началом кода Еикара поставить апостроф, превратив Еикар в комментарий.
А с чего вдруг детект вернется, если в скрипте сигнатура Эйкара будет не c первого байта?
Я же говорю - потому что так задумано разработчиком: скрипт-чеккер вообще не детектит COM-файлы, но детектит "модифицированного Еикара" по просьбе тестеров - надо же им проверять функциональность.
Вот картинка - я отредактировал оригинальный файл и открыл его в ИЕ:
Ну и этот детект вернут? как касперский вообще будет бороться с этой угрозой? в настоящее время что-то можно изменить?
-KIS вполне успешно справляется с такого типа угрозами... другое дело вышеупомянутый тест, IMHO, он не совсем корректен, именно по причине того, что вместо VBScript вбит код EICAR, который на самом деле есть DOS-программа.
Я же говорю - потому что так задумано разработчиком: скрипт-чеккер вообще не детектит COM-файлы, но детектит "модифицированного Еикара" по просьбе тестеров - надо же им проверять функциональность.
Ну, положим, про детектит _модифицированного_ Эйкара разговора не было. А непонятно все же вот что: детект com-файлов исключен (и Эйкара в том числе), но детект _модификации_ Эйкара оставлен?
Сообщение от DVi
Вот картинка - я отредактировал оригинальный файл и открыл его в ИЕ:
Все разузнал. Детект чистого Еикара в скрипт-чеккере Касперского был сбит нарочно. По замыслу разработчика, это сделано, чтобы не портить алгоритм IE, который обязан отрапортовать об ошибке скрипта (как это указано здесь). Детект должен вернуться, если перед началом кода Еикара поставить апостроф, превратив Еикар в комментарий.
Ну, положим, про детектит _модифицированного_ Эйкара разговора не было. А непонятно все же вот что: детект com-файлов исключен (и Эйкара в том числе), но детект _модификации_ Эйкара оставлен?
Детект Еикара в скрипт-чеккер фактически вбит хардкодом, потому что нужен только для тестов (тестируется работоспособность скрипт-чеккера)
Сообщение от borka
А чего имя "вредоносного скрипта" не говорит?
Говорит-говорит. Просто я картинку запостил другую.
обнаружено: вирус EICAR-Test-File Скрипт: file://C:\Documents and Settings\Vit\Мои документы\1eicar.html[1]
Добавлено через 37 секунд
Сообщение от MaxQ
KIS 8 beta ловит эту заразу
Ну вот, разработчик уже вернул старый алгоритм детекта.
Последний раз редактировалось DVi; 14.03.2008 в 09:11.
Причина: Добавлено
-на самом деле, это вовсе никакой не вирус, а примитивная DOS-программа, принятая сообществом производителей антивирусов в качестве тестового объекта, на который должны срабатывать антивирусы, при проверке их работоспособности...
-при выполнение этой программы на дисплей компьютера выводится надпись: "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!" и ничего более..