-
Господа, всё очень мило, сам порадовался NOD-32 - выбирал себе антивирь для локальной машины. Сейчас буду покупать вторую, думаю что ставить туда.
В сентябре поставил себе NOD32, он проработал положенный трайальный срок почти, но были тормаоза при игре в контерстрайк ( отключил imon -ситуация улучшилась),
но добил меня вирус - ссылка присланная по почте. В субботу если не соврать ссылка была активна, скачал вирус, положил на комп. NOD- ноль внимания. Эвристика молчит. Проверил принудительно - молчит. Добавл в каратнин, отправил разработчику через submit - не почтой. Прошло 4(!!!!) дня- вирус так и не ловился. БАзы стояли на ежечасном обновлении -вроде даже писали что обновлялись, только версия баз при этом не менялась.
Каспер вирус ловил сразу.
dr web тогда не пробовал и о virustotal не знал, к сожалению.
Через 4 дня неопредленеия я не выдержал, срубил нод, поставил каспера. НА нем пробыл недолго, пересел на DrWeb, по результатам трайал срока купил лицензию.
Вопросы:
1. Нафига imon модуль, если зараза все равно детектируется файловым монитором при создании файла на диске.
2. Как это он так хитро базы обновляет.
3. Что можете сказать по поводу такого долгого срока реакции на новый вирус?
Сам продукт понравился, и интерфейс приятный, но пропущеного вируса простить не могу, сами понимаете.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте!
Если Вы думаете, что установите другой антивирус и начнете играть в игрушки то тормозов будет меньше чем с NOD32 - Вы сильно ошибаетесь!
Потом, вот мне непонятно, зачем скачивать что-то если заведомо знаешь что это вредоносное ПО?
Ответы:
Модуль IMON нужен для проверки Интернет трафика.
Что понимается под словом хитро?
Вы еще долгой реакции не видели!
Если Вы думаете, что другой антивирус не пропускает - Вы очень ошибаетесь! Так и будете переставлять антивирусы!
-
-
Сообщение от
Синауридзе Александр
Здравствуйте!
Если Вы думаете, что установите другой антивирус и начнете играть в игрушки то тормозов будет меньше чем с NOD32 - Вы сильно ошибаетесь!
Каспер конечно безбожно торомозил, производительность веба меня устраивает. Тормоа были не от фаулового монитора а от проверки трафика.
Сообщение от
Синауридзе Александр
Потом, вот мне непонятно, зачем скачивать что-то если заведомо знаешь что это вредоносное ПО?
В исселодовательских целях. ДЛя проверки качества существующей защиты. Проверку защита провалила.
Сообщение от
Синауридзе Александр
Ответы:
Модуль IMON нужен для проверки Интернет трафика.
Что понимается под словом хитро?
Вы еще долгой реакции не видели!
Если Вы думаете, что другой антивирус не пропускает - Вы очень ошибаетесь! Так и будете переставлять антивирусы!
1. Вопрос был зачем нужен имон дополнительно к файловому. В каких случаях сработает он, а не файловый монитор?
Значит ли это что монитор можно вырубать о оставлять только имон?
2. Под словом хитро я понимаю что в течении 4-х дней антивирус ежечасно выдавал сообщения что базы обновились, при этом количество сигнатур оставалось прежним.
3. Возможно, но даже symantec со своим еженедельным обновлением работал над добавлением оперативно. Вопрос был в том - это штатная для нода ситуация или нет.
Сотрудники eset утверждают что nod не пропускает ни одной in-the-wild заразы. Вои вопросы - попытка узнать описанная мной ситуация типична, или нет.
Вирус был: Trojan-PSW.Win32.PdPinch.fd
-
Сообщение от
Helgin
Каспер конечно безбожно торомозил, производительность веба меня устраивает. Тормоа были не от фаулового монитора а от проверки трафика.
В исселодовательских целях. ДЛя проверки качества существующей защиты. Проверку защита провалила.
1. Вопрос был зачем нужен имон дополнительно к файловому. В каких случаях сработает он, а не файловый монитор?
Значит ли это что монитор можно вырубать о оставлять только имон?
2. Под словом хитро я понимаю что в течении 4-х дней антивирус ежечасно выдавал сообщения что базы обновились, при этом количество сигнатур оставалось прежним.
3. Возможно, но даже symantec со своим еженедельным обновлением работал над добавлением оперативно. Вопрос был в том - это штатная для нода ситуация или нет.
Сотрудники eset утверждают что nod не пропускает ни одной in-the-wild заразы. Вои вопросы - попытка узнать описанная мной ситуация типична, или нет.
Вирус был: Trojan-PSW.Win32.PdPinch.fd
Здравствуйте!
Во первых, сам SpiderGuard лишь частично проверяет трафик. Для этого в Dr.Web есть модуль SpiderGate. Видно он у Вас не установлен. Иначе Вы так бы не говорили. Он значительнее тормозит систему.
Во вторых, скачивать на компьютер разное вредоносное ПО очень чревато. Вы зря так делаете.
По Вашим вопросам:
1. Если вы не работаете в Интернете, то временно можете отключить IMON. Он нужен только для проверки Интернет трафика. Также можно отключить модуль EMON если Вы не используете MS Outlook. А вот модуль AMON должен быть включен всегда.
2. Базы могли обновляться 2-3 раза в день, но не ежечасно. Количество известных сигнатур NOD32 не показывает. Это версия сигнатурной базы и число выхода.
3. Symantec обновляется значитель реже. Вообще большую часть заразы NOD32 ловит эвристикой. Но бывает, что и он пропускает.
Про вирус могу сказать, что это троян ворующий пароли. У меня есть в коллекции несколько вариантов Trojan-PSW.Win32.PdPinch которые как раз не ловит Dr.Web. И что из этого следует? Да то, что не один антивирус не знает и не может знать все и вся.
-
-
Сообщение от
Helgin
2. Под словом хитро я понимаю что в течении 4-х дней антивирус ежечасно выдавал сообщения что базы обновились, при этом количество сигнатур оставалось прежним.
Возможно, задание по обновлению ав-баз было выставлено с интервалом в 1ч. Э... к сожалению, это никак не влияет на скорость добавления новых сигнатур в антивирусную базу. .
-
-
Сообщение от
santy
Возможно, задание по обновлению ав-баз было выставлено с интервалом в 1ч. Э... к сожалению, это никак не влияет на скорость добавления новых сигнатур в антивирусную базу.
.
Возможно, хотя толку от этого нет. Ежечасно даже Касперский не обновляется.
-
-
Сообщение от
Синауридзе Александр
Возможно, хотя толку от этого нет.
Ежечасно даже Касперский не обновляется.
Кто вам такое сказал?
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
2Helgin Ну, что могу сказать по данной ситуации... Я 10 лет работаю с компутерами и за всё это время, я не видел НИ ОДНОГО (!) антивируса, который бы ловил 100% вирусов. Во-вторых, каким образом был настроен НОД? Дэфолтные настройки, они уж чересчур либеральны... По поводу тормозов Контры. В настройках модуля IMON можно добавлять приложения, которые не надо проверять.
Left home for a few days and look what happens...
-
-
Сообщение от
Синауридзе Александр
Возможно, хотя толку от этого нет.
Ежечасно даже Касперский не обновляется.
Ежечасное обновление было - причем оно идет в списке дефаултов для нода. Вообще у него механизм обновления меня напрягал своей нопонятной работой.
Вопрос не можно ли отключить imon если нет инета. Понятно что если нет трафика то он не нужен. Вопрос на который никто не хочет отвечать - какой вирус поймается имоном но не поймается файловым монитором.
что ни один антивирус не берет 100 % -понятно, хотя они об этом утверждают, тряся значками vb100%. Но согласитесь - покупать антивирус сразу после того как он пропустил вирус говоря себе "ну и что, вдруг другие тоже пропустят. А зато у этого кнопочки красивые".-странно. Тем более, что 4 дня реакции-недопустимо в наше тревожное время, ведь sample вируса у них был.
Настройки не помню - возможно что и дефолтные, по большинству разделов. Эвристика мне понравилась. какойто порно-adware поймал сразу.
Касперскому потребовалось карантинный фаул засылать и ещё дня 3 они тормозили с анализом. Но в общем для adware считаю нормальный срок реакции.
-
Сообщение от
Helgin
какой вирус поймается имоном но не поймается файловым монитором.
Троянский скрипт, сидящий в некэшируемой странице. А даже если файловый антивирус и сработает на объект в кэше - браузер интерпретирует страницу из буфера, а не из кэша. И ещё: Internet Explorer настолько интегрирован в систему, что файлы в кэше бывают недоступны файловому монитору.
-
-
Сообщение от
Helgin
Ежечасное обновление было - причем оно идет в списке дефаултов для нода. Вообще у него механизм обновления меня напрягал своей нопонятной работой.
А в чем напряг-то? Вы ведь понимаете, что если поставить в расписание обновляться через час - от этого сигнатуры не будут выпускаться с данным интервалом. Т.е. это события невзаимосвязанные. А актуально - обновляться ЧАСТО в период вирусной активности, например Stration, когда ESET выпускал обновление баз 5-6 раз в сутки, может быть, и чаще.
И в чем непонятки?
-
-
4 дня реакции-недопустимо в наше тревожное время, ведь sample вируса у них был.
Сегодня ESET меня порадовал. Утром отправил образец, в 15:48 обновились базы и стал детектить эту заразу E:\WORK\!\NEW UnTESTED\FILES\perfectcodec.102.exe »NSIS »isecur.dll - Win32/TrojanDownloader.Zlob.AJD trojan - was a part of the deleted object
Left home for a few days and look what happens...
-
-
А как удобнее отправлять подозрительный файлы в ESET? Обычной электронкой, или используя сервис "передать файлы на анализ"?
Отправил вторым способом файл, (кстати, тоже содержащий isecur.dll), получил ответ (в интерфейсе программы), что-то "файл успешно поставлен в очередь для анализа".
-
-
Сообщение от
santy
А как удобнее отправлять подозрительный файлы в ESET? Обычной электронкой, или используя сервис "передать файлы на анализ"?
Отправил вторым способом файл, (кстати, тоже содержащий isecur.dll), получил ответ (в интерфейсе программы), что-то "файл успешно поставлен в очередь для анализа".
Сама ESET рекомендует использовать именно функцию "передать файлы на анализ". Но, как я заметил, не всегда эти файлы отправляются... Я использую "передать файлы на анализ" (не хочу заморачиваться с написанием писем ). У меня в журнале событий НОДа пишется, что файл был отправлен в ESET для анализа(иногда не пишется )
ЗЫ: Завтра должна выйти официальная версия NOD32 2.7
Последний раз редактировалось ALEX(XX); 16.11.2006 в 09:01.
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Сама ESET рекомендует использовать именно функцию "передать файлы на анализ". Но, как я заметил, не всегда эти файлы отправляются... Я использую "передать файлы на анализ" (не хочу заморачиваться с написанием писем
). У меня в журнале событий НОДа пишется, что файл был отправлен в ESET для анализа(иногда не пишется
)
ЗЫ: Завтра должна выйти официальная версия NOD32 2.7
У меня на версии 2.50.41 все отправляется и пишется отчет всегда, а на новой пока отправлять не приходилось.
-
-
Сообщение от
ALEX(XX)
Сама ESET рекомендует использовать именно функцию "передать файлы на анализ". Но, как я заметил, не всегда эти файлы отправляются... Я использую "передать файлы на анализ" (не хочу заморачиваться с написанием писем
). У меня в журнале событий НОДа пишется, что файл был отправлен в ESET для анализа(иногда не пишется
)
NOD сам его пакует при отправке, если это файл не из карантина? Надо ли при отправке указывать личную информацию, например, номер лицензии?
Сообщение от
ALEX(XX)
ЗЫ: Завтра должна выйти официальная версия NOD32 2.7
Хорошая новость! А русская версия будет завтра?
Что слышно про версию 3.0 с фаерволом?
-
-
Сообщение от
santy
NOD сам его пакует при отправке, если это файл не из карантина? Надо ли при отправке указывать личную информацию, например, номер лицензии?
Хорошая новость! А русская версия будет завтра?
Что слышно про версию 3.0 с фаерволом?
Смысл работы таков, как только Вы добавляете файл в карантин, НОД переделывает его в свой формат + добавляет файл описания. При отправке я обычно указываю краткий комментарий на аглицком + краткие результаты скана на вирустотале и свой e-mail для связи. номер лицензии не указываю (его надо указывать, если с суппортом общаешься). кстати, вчера ещё раз порадовали, за 4 часа новую заразу задетектили после отправки. Начали усиленно работать... Это ж-ж-ж не спроста! (с)
Насчёт новой версии... Обещали 17-го ноября... Пока будет доступно на 3-х языках, English, Slovak and Czech . А 3-ку обещают либо в декабре, либо в начале 2007.
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Смысл работы таков, как только Вы добавляете файл в карантин, НОД переделывает его в свой формат + добавляет файл описания. При отправке я обычно указываю краткий комментарий на аглицком + краткие результаты скана на вирустотале и свой e-mail для связи. номер лицензии не указываю (его надо указывать, если с суппортом общаешься). кстати, вчера ещё раз порадовали, за 4 часа новую заразу задетектили после отправки. Начали усиленно работать... Это ж-ж-ж не спроста! (с)
В карантин, понятно. Преобразуется в незапускаемый формат. В том и дело, что из карантина ты не можешь отправить файл на анализ. Опция скрыта. Даже если это чистый с точки зрения НОД файл, добавленный пользователем. Еще, возможно ли добавлять в описание при отправке файла текст из буфера? (Что-то у меня не работает.)
Кстати, есть в Украине что-то подобное ESET Russia?
Сообщение от
ALEX(XX)
Насчёт новой версии... Обещали 17-го ноября... Пока будет доступно на 3-х языках, English, Slovak and Czech . А 3-ку обещают либо в декабре, либо в начале 2007.
Ну, словакам и чехам - это святое! .
-
-
Опция скрыта. Даже если это чистый с точки зрения НОД файл, добавленный пользователем. Еще, возможно ли добавлять в описание при отправке файла текст из буфера? (Что-то у меня не работает.)
Значится так, если опция "отправить на анализ" не активна, то это значит, что отключена система своевременного обнаружения (ThreatSense.Net Early Warning System). Включается она так: идём в модуль "Служебные программы NOD32" -> "Настройки системы NOD32"-> "Настройка" -> закладка "Система своевременного обнаружения" и включаем эту вещь. Также можно посмотреть какие настройки скрываются за кнопкой "Дополнительно". Добавлять в описание при отправке файла текст из буфера можно, но небольшого размера (строчек 5-6).
Кстати, есть в Украине что-то подобное ESET Russia?
К сожалению, украинский сайт ESET находится в запущении
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Значится так, если опция "отправить на анализ" не активна, то это значит, что отключена система своевременного обнаружения (ThreatSense.Net Early Warning System). Включается она так: идём в модуль "Служебные программы NOD32" -> "Настройки системы NOD32"-> "Настройка" -> закладка "Система своевременного обнаружения" и включаем эту вещь. Также можно посмотреть какие настройки скрываются за кнопкой "Дополнительно". Добавлять в описание при отправке файла текст из буфера можно, но небольшого размера (строчек 5-6).
Угу. Обычно отключаю систему своевременного обнаружения. Она весь карантин будет отправлять?
Сообщение от
ALEX(XX)
К сожалению, украинский сайт ESET находится в запущении
А кто-нибудь работает на украинском рынке с Eset?
-