Comments 41
После появления в общедоступных базах VirusTotal эти инструменты попадут во все антивирусные базы и по сути станут неэффективными.
При желании антивирусных компаний. А не по мановению волшебной палочки. И кто сказал что в антивирусе не будет — а в случае наличия такой метки в где-то, не в вирусе, внимание на такое не обращаем.
А зачем? Или вы Касперского имеете ввиду?
По-моему, Касперского здесь имеете в виду только вы, причём совершенно непонятно, почему.
Я предположил, что вы говорите про него. Если нет, значит нет.
Так всё же, зачем антивируснику делать исключение для вируса? Тем более для вируса, который Пентагон выложил, фактически, в открытый доступ? Какой смысл и польза?
Конечно не то что хотели услышать
Так всё же, зачем антивируснику делать исключение для вируса? Тем более для вируса, который Пентагон выложил, фактически, в открытый доступ? Какой смысл и польза?
Ну например кормить левыми данными ;)
А зачем?
Антивирус обычно установлен на самой распространенной операционной среде Windows. Которая как мы знаем разработана в США. Чтобы службам США шалить на компьютерах с Windows не нужно устанавливать дополнительное программное обеспечение, есть сама Windows.
То есть США и их антивирусные разработки исключаем.
Вот захотелось китайцам пошалить на компьютерах третьих стран, например почитать переписку. Встроить дырку в американский Windows через индусов тяжело и долго, а вот через установленные свои китайские антивирусы можно и пошалить. Антивирус на определенной машине не детектирует определенный троян. Троян залазит, скачивает инструменты, и происходит утечка. Антивирус к утечке никаким боком, он только не определил троян.
А в вашем примере приводилось что ПО как-то странно реагировала на определенные слова.
Антивирусных компаний очень много. Никто не мешает выбрать бренд, которому доверяете, и использовать его. Если, конечно, не исповедовать логику #рептилоидыправятмиром.
У вас плохо с пониманием прочитанного? Прочитайте еще раз И кто сказал что в антивирусе не будет — а в случае наличия такой метки в где-то, не в вирусе, внимание на такое не обращаем.
Антивирус Б в тестах работает замечательно. Но вот при наличии определенной метки на компьютере где он работает он работает чуточку по другому чем при тестировании.
Да агрессивный. Да не успел исправить за то время которое дается для исправлений.
Ну предложите свою версию.
Где метка которая изменяет алгоритм работы антивируса на детектирование определенных вирусов находится не в теле вирусного файла, а например (один или несколько пунктов)
1) нахождение антивирусом при анализе файлов определенных словосочетаний
2) определение антивирусом что система используется в определенной среде
3) метка в самом обновлении антивирусных баз (для определенного региона, на определенное время...)
....
При этом не надо как тут советует Igor_Shumilov кидать подозрение на антивирус, антивирус в тестовой среде все хорошо определяет и хорошо работает.
Почему так происходит — вопрос второй. На него будут отвечать разработчики антивируса Б. Руки кривые, не протестировали нормально, сочетание железа и софта у пользователя уникальные или просто фаза Луны не подходящая.
Конечный пользователь не будет заниматься сравнительным тестированием антивирусов. Он будет ими пользоваться.
Если он не будет заниматься сравнительным тестированием, то почему же он занимается дальше
И если он будет видеть, что у него антивирус А работает полностью, а антивирус Б не замечает каких-то зловредов — он сделает свой вывод.
???
Обычно никто не занимается сравнением, что купили, то и работает. Притом тестированием все время, со всеми версиями вирусов и разными решениями.
Главное не тестированием заниматься, а избегать заражений, а это не только нарушение работы компьютера, но и утечки информации, и манипуляции с ней.
Никакого тестирования, обычный рабочий процесс.
А системный администратор, который этим занимался, нашёл данную ситуацию достаточно интересной, чтобы написать условную статью на условный «Хабр».
у него антивирус А работает полностью, а антивирус Б не замечает каких-то зловредов
Ваш гипотетический пользователь держит 2 антивируса на компьютере одновременно? Боюсь, у него будут скорее другие проблемы, чем кремлевские хакеры, крадущие у него переписку во вконтакте.
в случае наличия такой метки в где-то, не в вирусе, внимание на такое не обращаем
Великий могучим русская язык.
Во-первых, товарищ майор без лишнего шума может об этом попросить.
Во-вторых, работать это будет лишь в том случае, если все клиенты товарища майора будут использовать вполне конкретные антивирусы.
В-третьих, что мешает хранить у себя локальную версию баз с этими сигнатурами (до потенциального удаления), которую использовать только для целенаправленного их поиска? Т.е. есть один «полноценный» антивирус, который обновляется, и один «специализированный».
А свои зловреды они тоже сливать будут?
Я так понял, они "рассекречивают" только хеши, а не сами бинарники.
Осмысленность данного действа сомнительна, т.к. такой подход не работает для метаморфного софта.
Отдают они бинарники, а не хеши, т.к. есть логи проверки файлов всеми антивирусами. С хешами это сделать нельзя.
Новый руководитель пришел адекватный что ли?
2. Вписываешь коммент «2012 (с) Фома Киняев» (на русском!)
3. Профит!
Кто там будет разбираться, правда?
Но самое главное не это. Выложенный код можно перешифровать (и проверить на необнаружение) и далее использовать в перешифрованном виде. И такой образец будет проходить проверку антивирусом — до добавления новой сигнатуры или эвристики
Файлы представляют полностью оригинальный софт computrace в котором просто перебиты доменные имена серверов computrace на сервера злоумышленников (хотя оригинальные файлы с тем же успехом могут считаться троянами). Т.е так же могут распространятся из прошивки биоса и переживать форматирование винта.
Пентагон начал рассекречивать чужие зловреды