Pull to refresh

Comments 41

Хорошее начинание, желаю только, чтобы и «партнёры» рассекретили американские фишки, и пусть они все захлебнутся в своей зловредской изобретательности.
После появления в общедоступных базах VirusTotal эти инструменты попадут во все антивирусные базы и по сути станут неэффективными.

При желании антивирусных компаний. А не по мановению волшебной палочки. И кто сказал что в антивирусе не будет — а в случае наличия такой метки в где-то, не в вирусе, внимание на такое не обращаем.

А зачем? Или вы Касперского имеете ввиду?

По-моему, Касперского здесь имеете в виду только вы, причём совершенно непонятно, почему.

Я предположил, что вы говорите про него. Если нет, значит нет.


Так всё же, зачем антивируснику делать исключение для вируса? Тем более для вируса, который Пентагон выложил, фактически, в открытый доступ? Какой смысл и польза?

Отличные вопросы — возможно, у pnetmon есть на них какие-то ответы.

Конечно не то что хотели услышать


Так всё же, зачем антивируснику делать исключение для вируса? Тем более для вируса, который Пентагон выложил, фактически, в открытый доступ? Какой смысл и польза?

Ну например кормить левыми данными ;)

А зачем?

Антивирус обычно установлен на самой распространенной операционной среде Windows. Которая как мы знаем разработана в США. Чтобы службам США шалить на компьютерах с Windows не нужно устанавливать дополнительное программное обеспечение, есть сама Windows.
То есть США и их антивирусные разработки исключаем.


Вот захотелось китайцам пошалить на компьютерах третьих стран, например почитать переписку. Встроить дырку в американский Windows через индусов тяжело и долго, а вот через установленные свои китайские антивирусы можно и пошалить. Антивирус на определенной машине не детектирует определенный троян. Троян залазит, скачивает инструменты, и происходит утечка. Антивирус к утечке никаким боком, он только не определил троян.


А в вашем примере приводилось что ПО как-то странно реагировала на определенные слова.

Антивирусных компаний очень много. Никто не мешает выбрать бренд, которому доверяете, и использовать его. Если, конечно, не исповедовать логику #рептилоидыправятмиром.

Конечно много и на одном компьютер, сервере одновременно может работать зоопарк от разных разработчиков. Сарказм.
Разве я говорил о всех? По желанию антивирусных компаний, не по желанию одной, или двух, или трех… Когда как в тексте написано во все антивирусные базы

Если антивирус А будет находить эти вирусы, а антивирус Б — нет, второму будет нанесён весомый репутационный урон. В то же самое время антивирус А сможет большими буквами писать в своей рекламе «Уничтожаю шпионские зловреды». Т.е. практической пользы никакой, а вот потери весьма не иллюзорны.

У вас плохо с пониманием прочитанного? Прочитайте еще раз И кто сказал что в антивирусе не будет — а в случае наличия такой метки в где-то, не в вирусе, внимание на такое не обращаем.
Антивирус Б в тестах работает замечательно. Но вот при наличии определенной метки на компьютере где он работает он работает чуточку по другому чем при тестировании.

Ну, если вы выбираете такой агрессивный тон, то, справедливости ради, понять эту фразу реально непросто. Одно “метки в где-то, не в» чего стоит.

Да агрессивный. Да не успел исправить за то время которое дается для исправлений.
Ну предложите свою версию.
Где метка которая изменяет алгоритм работы антивируса на детектирование определенных вирусов находится не в теле вирусного файла, а например (один или несколько пунктов)
1) нахождение антивирусом при анализе файлов определенных словосочетаний
2) определение антивирусом что система используется в определенной среде
3) метка в самом обновлении антивирусных баз (для определенного региона, на определенное время...)
....


При этом не надо как тут советует Igor_Shumilov кидать подозрение на антивирус, антивирус в тестовой среде все хорошо определяет и хорошо работает.

Конечный пользователь не будет заниматься сравнительным тестированием антивирусов. Он будет ими пользоваться. И если он будет видеть, что у него антивирус А работает полностью, а антивирус Б не замечает каких-то зловредов — он сделает свой вывод.
Почему так происходит — вопрос второй. На него будут отвечать разработчики антивируса Б. Руки кривые, не протестировали нормально, сочетание железа и софта у пользователя уникальные или просто фаза Луны не подходящая.
Конечный пользователь не будет заниматься сравнительным тестированием антивирусов. Он будет ими пользоваться.

Если он не будет заниматься сравнительным тестированием, то почему же он занимается дальше


И если он будет видеть, что у него антивирус А работает полностью, а антивирус Б не замечает каких-то зловредов — он сделает свой вывод.

???
Обычно никто не занимается сравнением, что купили, то и работает. Притом тестированием все время, со всеми версиями вирусов и разными решениями.


Главное не тестированием заниматься, а избегать заражений, а это не только нарушение работы компьютера, но и утечки информации, и манипуляции с ней.

Закончилась лицензия на условного «Касперского» и решили вместо него закупить условного «Доктора Вэба». Установили на клиентских машинах новый антивирус, и сразу нашли много интересного.
Никакого тестирования, обычный рабочий процесс.
А системный администратор, который этим занимался, нашёл данную ситуацию достаточно интересной, чтобы написать условную статью на условный «Хабр».
А самое прикольное, что купи два антивируса, и установи их сразу, они не просто дополнять друг друга не будут, а наоборот, перегрызутся между собой так, что комп станет неюзабелен :-D
у него антивирус А работает полностью, а антивирус Б не замечает каких-то зловредов

Ваш гипотетический пользователь держит 2 антивируса на компьютере одновременно? Боюсь, у него будут скорее другие проблемы, чем кремлевские хакеры, крадущие у него переписку во вконтакте.

Мой гипотетический пользователь может использовать два антивируса последовательно. Не продлили лицензию, или просто решили сменить антивирус.
У пользоателя может быть не один компьютер, а если пользователь администратор… (да даже приходящий эникей).
в случае наличия такой метки в где-то, не в вирусе, внимание на такое не обращаем

Великий могучим русская язык.

Прям вижу картину как наряду с блокированием тех или иных сайтов на территориях разных стран, в суды пойдут иски об исключении тех или иных сигнатур из антивирусного ПО ;)
А смысл?
Во-первых, товарищ майор без лишнего шума может об этом попросить.
Во-вторых, работать это будет лишь в том случае, если все клиенты товарища майора будут использовать вполне конкретные антивирусы.
В-третьих, что мешает хранить у себя локальную версию баз с этими сигнатурами (до потенциального удаления), которую использовать только для целенаправленного их поиска? Т.е. есть один «полноценный» антивирус, который обновляется, и один «специализированный».
Боюсь, что мешать будет требование антивируса о совместимости. Они же проверяют при старте, что не установлено иное решение.

А вот вирус один помню был, который устанавливал версию баз, в которой его еще не знали

А свои зловреды они тоже сливать будут?

Да, под меткой «их сделали проклятые русские»
UFO just landed and posted this here

Я так понял, они "рассекречивают" только хеши, а не сами бинарники.
Осмысленность данного действа сомнительна, т.к. такой подход не работает для метаморфного софта.

Чтобы получить бинарники, нужно сотрудничать с virustotal, т.е. быть производителем антивируса. Любой желающий их не получит.

Отдают они бинарники, а не хеши, т.к. есть логи проверки файлов всеми антивирусами. С хешами это сделать нельзя.
Они заливают бинарники на VirusTotal, где потом можно сравнить реакцию антивирусов на данный зловред. Я что-то не вижу чтобы антивирусные компании бинарники всех пойманных зловредов в открытый доступ выкладывали.
Это столько лет им понадобилось чтобы понять такие простые вещи? ))))
Новый руководитель пришел адекватный что ли?
Ага, хитрый план… Осталось прикинуть, сколько процентов пользователей используют антивирус. :)
1. Берешь зловред
2. Вписываешь коммент «2012 (с) Фома Киняев» (на русском!)
3. Профит!

Кто там будет разбираться, правда?
Фома Киняев
image
Для скриптовых вирусов такое может и пойти. С учетом того, что есть сервисы для поиска в коде сигнатур, на которые реагируют антивирусы

Но самое главное не это. Выложенный код можно перешифровать (и проверить на необнаружение) и далее использовать в перешифрованном виде. И такой образец будет проходить проверку антивирусом — до добавления новой сигнатуры или эвристики
Пентагон рассекретил то, что ни для кого уже не было секретным с 1 мая. asert.arbornetworks.com/lojack-becomes-a-double-agent

Файлы представляют полностью оригинальный софт computrace в котором просто перебиты доменные имена серверов computrace на сервера злоумышленников (хотя оригинальные файлы с тем же успехом могут считаться троянами). Т.е так же могут распространятся из прошивки биоса и переживать форматирование винта.
Sign up to leave a comment.

Articles