Comments 35
А конечному пользователю лицензионное соглашение запрещает пользоваться антивирусами? :)
Лично такого не видел, но видел у легального ПО на сайте инструкции по обходу антивирусов. Самый большой список был у создателей ПО, через которое потом Непетя пошел
Только формулировки иногда не такие отточенные.

Прости господи, зато какие они понятные! Я как-то на хабре видел статью, где автор не поленился рядом с EULA каждый абзац выразить простым понятным языком. Так вот тут можно сказать всё уже из коробки идёт:


Поддержка осуществляется до закрытия проекта

В обычной EULA будет пять абзацев мутных формулировок!

Ведь согласно пункту 1 уже знакомой нам статьи 273 УК РФ нейтрализация средств защиты компьютерной информации является преступлением. А продаваемый ими упаковщик как раз создан для несанкционированной нейтрализации антивирусов — он скрывает от них вредоносный код.

Это очень сильно натянуто. Коммерческие программы тоже используют обфускаторы для защиты своих секретов. Более того, обфускатор не "нейтрализует" антивирус и ничего с ним не делает. "Нейтрализация" — это какое-то активное воздействие.


Должен заметить, что я не юрист, законы не обязаны соответствовать здравому смыслу, а решения российского суда — законам.

Ну тут абзац, как я вижу, касается конкретного товарища — «Автор (или авторы) указанного упаковщика...»

Если это будет нужно, то наш суд притянет за уши что угодно. Но это слишком мелко, чтобы кого-то это заинтересовало.
Долгое время создатели криптеров были в безопасности, поскольку их ПО проходило как защита программного кода. Но пару лет назад, если не ошибаюсь, в закон добавили расплывчатые формулировки, под которые и криптеры можно притянуть. Чтобы от них уйти, продавец должен делать вид, что якобы не понимает для чего используют его программу.

Антивирус — одна из вредоносных программ

Посудите сами

— Имеет высшие права в системе (ring-0)
— Запускается до запуска остальных программ
— Перехватывает и может изменять трафик
— Блокирует возможность заглянуть внутрь своего трафика и компонент
— Автоматически без согласования с пользователем качает и устанавливает любые свои модули (в которые можно добавить что угодно)
— Вы поставили антивирус сами без принуждения и дали ему полный доступ
— Что отправляется в лабораторию вам не известно ( это могут быть файлы — документы — пароли)
— Отправляет на свои сервера полную информацию о вашем PC — железо — софт и пр

Это идеальный троян для удаленного управления вашим ПК
Который вы поставили сами и который не контролируете
У которого полный доступ к вашим данным

Самые большие ботнеты у разработчиков антивирусного ПО )))

Э нет батенька. Вредоносная программам, это программа, устанавливаемая без разрешения пользователя или нарушающая описанный при установке или где либо функционал (не точно, но близко, так как вредоносные программы или ставятся тайно или ставятся обманом или имеют скрытый функционал). А где вы видели, чтобы в описании антивируса не было описано его назначение? /юмор офф
ок. шпионская программа

Устанавливается с хорошим описанием и предполагается что весь функционал у нее хороший

Но где гарантии что антивирусная программа не следит за вами?

По нынешним временам такой гарантии вам никто не даст. Правда лично я не понимаю почему все боятся антивирусной программы и не боятся скажем программ удаленного доступа
И как достаточно древний сотрудник антивирусных компаний я скажу так — ваши персональные данные антивирусным компаниям совершенно не сдались. Во первых их в техподдержку и пресейл присылают самостоятельно и во множестве (посмотрите недавнюю новость, что нашли на том же вирустотале), а во вторых антивирусные компании в качестве экспертов участвуют в анализе вирусных инцидентов (в том числе серверов разных хакеров). Сами понимаете там персданных утекших…
Если говорить о том, что интересует антивирусные компании на ваших компьютерах, то это в основном версия используемого защитного ПО (не устарело ли) и какие вирусы у вас найдены. Не имя пользователя, ни какие иные его данные компании не интересуют. Если что — я статистику видел
Если вы боитесь, что утащатся ваши данные, то тут два пункта
— читайте лицензионное. Не все антивирусы скачивают файлы/передают файлы третьим лицам. Как правило передают данные третьим лицам бесплатные программы. Кушать хочется
— если вы выбрали ПО, которое может скачивать файлы — не ставьте продукты, в настройках которых нельзя отключить их отправку на анализ

Не все?) Может, так было изначально. Сейчас все антивирусы, что популярнее, завели себе облачные сервера и выкачивают туда, наверное, любой исполняемый файл без лицензионной подписи с допустимым весом.


Америка обвиняла касперского в шпионаже в пользу России и запретила своим сотрудникам использовать его.

Не все. Списка нет, не делал, но Доктор Веб файлы в облако не качал. Это приписывается в лицензионном. Читать его — трудно, но рекомендуется

Запретили иностранные антивирусы Великобритания, Китай, Украина. Не только США. Причем Китай до кампании в США. Это скорее тренд. Причем я вижу на что меняют нормальные продукты и мне (просто как параноику от безопасности) грустно

Не знаю, паранойю легко успокоить виртуалкой+брандмаузер от большинства вирусов. Было бы терпение их терпеть(pun)

Тут проблема, что Хабр все же место где живут причастные к безопасности. И то всякое бывает. Я недавно словил адварь просто согласившись в браузере на уведомления на одном сайте. Но для обычных пользователей это не просто дремучий лес — это магия. И поэтому то, что для профессионалов — одно из средств, для иных — обязательное средство
Я опасаюсь программ удалённого доступа, поэтому мучаюсь с открытым сервером VNC, хотя есть реализация от RealVNC.
Вот вроде мелочь. Но в своё время ни в одном антивирусе я так и не увидел в настройках что-то вроде «Настройки передачи отчётов вендору» в котором попунктно было бы. разрешить передавать А, B, C etc. Я бы выбрал что хочу отправить и отключил то, что не хочу. После чего пакет шифруется и передаётся вендору. А у меня остаётся ключик и возможность проверить что и когда было передано. И не дай wireshark/tcpdump найдёт абсолютно что угодно лишнее…

Не жалко же хорошему продукту помочь… Вот только без подобного пункта доверия никакого и не осталось. И совершенно не удивительно, что многие пользователи считают главным вирусом — антивирус.
У меня где-то был список того, что мы собираем, я поищу. Но вот чисто для интереса (все же думают, что антивирусы шпионят) — как вы думаете, что мы (антивирусы) собираем с компьютеров и что из этого списка вы бы не хотели передавать. Сразу скажу, что персональные данные нам не нужны и они не собираются. Точнее так. Они у нас есть для частных пользователей, так как они запрашиваются при регистрации. Но с компьютеров не собираются
Давно заметил такую тенденцию у своих друзей, что их ноуты с антивирусами очень сильно тормозят систему. Поэтому я им всем удаляю любые антивирусники, и даю 2 простых совета:
1. не скачивай софт хрен пойми откуда (только официальный), а лучше вообще ничего не качать и не запускать что на .exe заканчивается. Сам я стараюсь предустановить им весь нужный софт, в котором я уверен на 100%
2. не вставлять свои флешки в чужие компы, хотя я и ставлю софт для проверки флешек

Сам лично антивирусниками давно не пользуюсь, и считаю что если вас надо кому-то поломать, обязательно поломают даже с антивирусником.
«Ведь согласно пункту 1 уже знакомой нам статьи 273 УК РФ нейтрализация средств защиты компьютерной информации является преступлением. А продаваемый ими упаковщик как раз создан для несанкционированной нейтрализации антивирусов»

вообще-то антивирус остаётся включён, и самозащита его тоже не отключается при написании криптера. А то, что антивирус не умеет детектировать накрытый криптором код уже известной малвари — проблема исключительно АВ-разработчика.
Ждем квантового превосходства для дешифровки упакованного /смайл офф
Если серьезно, то есть проблемы. Начнем с количества. Уникального вредоносного ПО создается не так много. Крутых вирусописателей порядка десятка. А в день приходит на анализ до миллиона файлов. Это все в основном перешифрованное.Теоретически с ним можно разбираться (далеко не все зашифровано без уязвимостей), но это время. Время которое будет работать троян на пользователях. Поэтому для быстроты выпуска обновлений выпускают сигнатуры перешифрованного образца (создаваемые в том числе с помощью машинного обучения)
А второе это тоже количество. Если мы будем возиться с анализом, то это завтра будет уже никому не нужно. Если сигнатура выйдет завтра — завтра этот троян уже в атаках может и участвовать не будет — будет новый перешифрованный образец

Сигнатуры это, конечно, хорошо и в чем-то эффективно, но ровно до завтрашнего дня, когда злоумышленник еще раз перешифрует файл другим обфускатором.


Статические сигнатуры — это прошлый век. Это умеют все антивирусы, разница лишь в базах.
А вот определять вирус по его действиям, по динамическим сигнатурам обфускатора, в оперативной памяти, по обращению к неблагонадежным хостингам и тп — это уже нормальный уровень аниивируса и есть уже не первый день, но не у всех.


Антивирусы редко работают на опережение угрозы, их защита — просто работа по базам. Любое творческое изменение вируса+криптование = новая угроза

Второй абзац это превентивная защита или поведенческий анализатор вкупе с правилами машинного обучения и ограничениями доступа. Именно анализ по действиям. Но это тоже не панацея увы. Так как для того же анализа по действиям требуется время для сбора статистики. В случае шифровальщика суть менее десятка файлов. И тут уж на кого повезет из файлов. Точно также не золотая пуля и ограничения доступа
Но все вместе это кирпичики безопасности. Сигнатуры — это скорость реакции на новые угрозы, ограничения доступа — запрет доступа к контрольным центрам, новейший поведенческий анализ и традиционный эвристик — защита от новых угроз
И кстати у Доктор Веба есть фирменная фишка — поиск в зашифрованных файлах. Типа поиска по почерку. Почему я об этом вспомнил — это в составе антивирусных баз, которые не только сигнатуры.

Все верно, спасибо. Но давайте рассуждать здраво. Я сейчас возьму поза- или прошлогодний вирус из числа не особо злобных, зашифрую его обфускатором без сигнатур и запущу. Сколько из антивирей его обнаружат? Только если он стучится в интернет, иначе — 0. Некоторые антивири очень ленивые и блокируют любое подобное действие, для файлов без подписи. Из известных мне и популярных 0-2.
Поэтому, вся эта эвристика, поведенческий и тп работают только на очень страшных и изученных вирусах, как черви, локеры или любых, кто использующих устаревшие эксплоиты и типичные для вирусов возможности ходы.

«а чего вы хотите за одну тысячу рублей»

Уточнение. Только не просто перешифровать, а после этого проверить на сервисе с запущенными популярными антивирусами. И только после этого в продакшен. Именно так все работает увы. Сами понимаете как это сказывается на уровне обнаружения.
К чему это я. В подавляющем числе случаев антивирус после установки не настраивается. Не настраиваются ограничения доступа, не настраиваются действия по отношению к вредоносным программам. Зато после установки антивирус отключается тем или или иным способом. А настроенный антивирус это совсем не то, что антивирус по умолчанию на серверах вирусосоздателей

Это как же он отключается? Только самим пользователем или уже прошедшим РАТ.
Разница между настройками не очень большая. Некоторые антивири в режиме паранойи просто остро реагируют на файлы без подписи или рвущиеся в интернет, на подозрительные действия с реестром и автозагрузкой.
Есть сервисы с настроенными антивирями, которые не просто сканят, но и запускают твой файл. Правда, стоимость услуг там зашкаливает и просто ради интереса, там не проверишь

Пользователями отключаются. Ага

Хотите тайну? Все нормальные антивирусы запускают файлы. Ну не совсем запускают. Внутри ядра эмулируют исполнение. Для получения сигнатур обфусцированных или полиморфных программ.

А удаленные песочницы есть, да. У кого встроенные, у кого отдельным сервисом

В том-то и дело, что лишь эмулируют, да не совсем эффективно. Сейчас крипторы давно имеют противодействие подобным системам, иначе они не котируются. Запуск в песочнице еще более-менее эффективен, однако при желании, можно просто запретить запуск в песочнице или вирт машинах и это программно очень легко. (Правда, обычно все ленятся это делать).
Поэтому запуск на живой машине всегда будет показателем.

обход песочницы к сожалению прост — задержка с началом вредоносной деятельности с последующей закачкой вредоносного содержимого с серверов злоумышленников. Это по сути стандарт для мобильных

Проблема в том, что антивирусы одними воспринимаются как зло, собирающие данные, другими как панацея, позволяющая при правильном выборе защитить на все 100. А антивирус не то и не другое. Это система (сложная, да) позволяющая выполнить достаточно узкий круг задач. Но мифологизированная до упора. Я в свое время мифов более десятка насчитал для интереса

Абсолютно верно. Другое дело, что для того, чтобы поднять песочницу/виртуальное окружение нужно время и мощности. Если поднимать это на каждый файл, будет жаловаться пользователь, мол, тормозит всё.


Поэтому гонка пока всегда выигрывается писателем вредоноса. Антивирус лишь реагирует на новые варианты старой малвари в большинстве случаев.

Тут надо понимать назначение антивируса. В обыденном представлении антивирус обязан ловить 100% угроз в момент попытки проникновения (так думают увы порядка 19 из 20). На самом же деле избежать заражения можно и иными способами (да хоть терминальным доступом). Или постоянно бекапиться. Антивирус же нужен для лечения того, что пропустили иные уровни защиты. Тут ему замены нет
Интересно, а в чём проблема вирусописателям написать (и так часто делают, мне друг рассказывал, он видел) что данное ПО только для личного пользования, да и даже в этом случае нельзя использовать его для нарушения закона?
Какая тут ответственность и за что привлечь? С адекватной точки зрения, понятно что ни автор, ни покупатель не хотят следовать тому, что написано, но ведь закону нужно иное.
Или будут натягивать законы, по которым обладание ножом — уже умышленная подготовка у поножовщине? Тогда грамотный адвокат развалит дело на раз или даже меньше.

Какой закон запрещает продавать в ознакомительных целях?

Новый вирус @ В шапке прописано что запрещено дизасемблировать и анализировать исходный код

Шах и мат, разработчики антивирусов!
Ну ребят, вы дремучий лес. В последний период все вирусописатели пишут другие соглашения. В частности они пользуются понятием «Кража файла с закртого файл-хранилища»: Т.Е. adware писатель создаёт прототип для демонстрации уязвимости рабочих протоколов на закрытом файло-хранилище, но происходит КРАЖА прототипа. В результате получается — я не виноват что выковал рукоять, клинок кто-то сам приделал.( И чаще всего эти вирусы пишутся внутри «кое каких» организациях с правами к протатипированию таких опасных штук )
Only those users with full accounts are able to leave comments. Log in, please.