Avast WEBforum
Non-English Zone => Русский => Topic started by: thesis on September 09, 2011, 04:48:25 PM
-
Hi
Аваст, вин-хр/32, бесплатный, нерегистрированный, четвертый день как установлен
Часто возникающая ситуация: аваст видит вирус в файле (и сканер и монитор и онлайнсканер тоже),
а другие антивиры (drweb-онлайн, каспер-онлайн) ничего подозрительного не обнаруживают.
Например, NDD.EXE (досовский пакет norton utilities 6) по мнению аваста заражен Burglar-1150.
Кто тут врёт? Если врёт аваст, как его вразумить?
Многовато ложных тревог, раздражают уже.
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
-
отправьте NDD.EXE в он-лайн проверкa аваста (http://onlinescan.avast.com/)
-
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.
Например, если Вы в браузере откроете заражённую страницу, то сработает Веб-экран, который обнаружит вредоносную активность и заблокирует доступ к этой странице. Если же кто-нибудь попытается взломать Вашу систему, то сработает Сетевой экран, который обнаружит подозрительную скрытую сетевую активность и отключит соединение с её источником. Проще говоря, Веб-экран отслеживает видимый на экране интернет, а Сетевой экран следит за "техническим" интернетом, скрытым от глаз пользователя, т.е. за непосредственным общением компьютеров, серверов, сетей и т.д. Сетевой экран тоже регистрирует, просматриваемые страницы, но только для проверки на сетевое мошенничество: вирусные базы Аваста содержат и список на мошеннические и вредоносные сайты, доступ к которым блокируется сразу же после появления запроса на их посещение.
-
аваст видит вирус в файле (и сканер и монитор и онлайнсканер тоже)
отправьте NDD.EXE в он-лайн проверкa аваста (http://onlinescan.avast.com/)
Хм.
-
Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.
Оба экрана - и веб и сетевой - в процессе работы браузера рапортуют о проверке открываемых www-страниц. Только веб-экран именует их "Last page scanned", а сетевой - "Last analyzed connection".
-
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Вэб-экран делает антивирусную проверку трафика, а фаервол контролирует сетевую активность.
Другими словами антивирусное ядро и фаервол могут лишь дополнять друг друга, но никак не заменять.
-
Часто возникающая ситуация: аваст видит вирус в файле (и сканер и монитор и онлайнсканер тоже),
а другие антивиры (drweb-онлайн, каспер-онлайн) ничего подозрительного не обнаруживают.
Например, NDD.EXE (досовский пакет norton utilities 6) по мнению аваста заражен Burglar-1150.
1. Так уж часто возникающая? Примеры в студию.
2. "Burglar-1150" достаточно древний и известный вирус и его детект идёт по базам, а не эвристикой, поэтому врятли это ложная тревога.
3. Онлайн-сканеры могут и не находить вируса в файле т.к. его там уже нет. При работающих экранах Аваста заражённый фал просто не отправился бы в сеть. По всей видимости этот файл проходит процедуру лечения антивирусным ядром Аваста и только после этого отправляется в сеть, и естественно, он оказывается чистым.
П.С. решили просканировать залежи древнего хлама, раз такое нашлость? )))
-
Оба экрана - и веб и сетевой - в процессе работы браузера рапортуют о проверке открываемых www-страниц. Только веб-экран именует их "Last page scanned", а сетевой - "Last analyzed connection".
Вы же знаете английский, так что же Вам тут не понятно? Веб-экран сканируект именно страницы, которые Вы посещаете. Он ищет угрозы от элементов на этих страницах и поэтому он сообщает о "проверенных страницах". Сетевой экран сканирует соединения Вашего компьютера через внешние порты. Соединение, установленное для просмотра страницы, это всего лишь частный случай множества соединений, устанавливаемых Вашим компьютером, и поэтому Сетевой экран сообщает о "просмотренных соединениях". За время нахождения в сети компьютер устанавливает множество соединений, но в большинстве - это технические ("невидимые" для пользователя) соединения (например, пользователь не видит на экране процесс поиска запрашиваемого сайта, а компьютер за это время может установить несколько соединений - начиная от поиска сайта и до установления с ним связи).
-
Ð’Ñб-Ñкран делает антивируÑную проверку трафика, а фаервол контролирует Ñетевую активноÑÑ‚ÑŒ.
ПожалуйÑта, еще раз внимательно прочитайте то, что Ñ Ð²Ñ‹ÑˆÐµ напиÑал.
-
ПожалуйÑта, еще раз внимательно прочитайте то, что Ñ Ð²Ñ‹ÑˆÐµ напиÑал.
Да хоть сто раз прочитаю, ответ остаётся прежним.
-
1. Так уж чаÑто возникающаÑ? Примеры в Ñтудию.
2. "Burglar-1150" доÑтаточно древний и извеÑтный Ð²Ð¸Ñ€ÑƒÑ Ð¸ его детект идёт по базам, а не ÑвриÑтикой, поÑтому врÑтли Ñто Ð»Ð¾Ð¶Ð½Ð°Ñ Ñ‚Ñ€ÐµÐ²Ð¾Ð³Ð°.
3. Онлайн-Ñканеры могут и не находить вируÑа в файле Ñ‚.к. его там уже нет. При работающих Ñкранах ÐваÑта заражённый фал проÑто не отправилÑÑ Ð±Ñ‹ в Ñеть. По вÑей видимоÑти Ñтот файл проходит процедуру Ð»ÐµÑ‡ÐµÐ½Ð¸Ñ Ð°Ð½Ñ‚Ð¸Ð²Ð¸Ñ€ÑƒÑным Ñдром ÐваÑта и только поÑле Ñтого отправлÑетÑÑ Ð² Ñеть, и еÑтеÑтвенно, он оказываетÑÑ Ñ‡Ð¸Ñтым.
П.С. решили проÑканировать залежи древнего хлама, раз такое нашлоÑÑ‚ÑŒ? )))
1. Ð Ñ Ñ€Ð°Ð·Ð²Ðµ не в "Ñтудии"? Я - плохой пример? Ðтот NDD - не единÑтвенный ÑкземплÑÑ€. ЕÑÑ‚ÑŒ и другие, проÑто менее звеÑтные широкой публике. Имена файлов вам ни о чем не Ñкажут. Файл NEWBIRD.X вам знаком? Полагаю, что нет. Ðто хранилище каких-то данных, по вÑей видимоÑти графичеÑких Ñлементов, от ДОСовÑкой игрушки 80Ñ‹Ñ… годов. ÐваÑÑ‚ полагает, что в Ñтом файле еÑÑ‚ÑŒ Dark Avenger-1536/1800. Да, и онлайн-аваÑÑ‚ тоже. Да, вÑе оÑтальные антивируÑÑ‹ ничего подозрительного в Ñтом файле не видÑÑ‚.
Файлик размером 32000 байт, Ñтруктура Ñовершенно прозрачна. Хотите поÑмотреть на него Ñами? Вот, пожалуйÑта (http://meteodata.spb.ru/temp/NEWBIRD.zip)
И так далее.
2. "Burglar-1150" Ð²Ð¸Ñ€ÑƒÑ Ð¸ правда не новый. Дрвеб и Nod32 его не видÑÑ‚. ОнлайнÑканеры Дрвеб и КаÑпера его не видÑÑ‚. Древние верÑии антивируÑов - Ñовременником Ñтого Бурглара - ничего не обнаруживают.
ÐваÑÑ‚ же его видит - и Ñканер и онлайнÑканер.
Почему?
3. Онлайн-Ñканеры могут и не находить вируÑа
ОнлайнÑканер _аваÑта_ его таки находит. Чтение Ñтого зараженного (или нет) файла ÐваÑÑ‚ позволÑет. Ðтот NDD Ñ Ð¼Ð¾Ð³Ñƒ Ñовершенно безнаказанно открыть и поÑмотреть, Ñкопировать в NULL, отправить по ftp. Скопировать на другой диÑк не могу, запуÑтить не могу - аваÑÑ‚ блокирует.
Ðо Ñто вÑе лирика. ÐœÐµÐ½Ñ Ð² первую очередь интереÑует можно ли уменьшить количиеÑтво ложных тревог без ущерба Ð´Ð»Ñ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑти, и еÑли можно, то как Ñто Ñделать.
П.С. решили проÑканировать залежи древнего хлама, раз такое нашлоÑÑ‚ÑŒ? )))
Ðга. При Ñмене антивируÑа. ÐŸÐ¾Ð»Ð½Ð°Ñ Ð¿Ñ€Ð¾Ð²ÐµÑ€ÐºÐ° вÑей файлопомойки. Полезно бывает веÑьма, иной раз такие Ñюрпризы вÑплывают!
-
thesis
Была как-то тема про сканирование сборки каких-то древних, по большей части ещё досовских вирусов. Там всё спорили почему разные антивирусы показывали разное количество детекта. В общем там дошли даже до представителей антивирусных вендоров, и кажется, представитель Др. Вэба объяснил ситуацию так, что они не будут добавлять в свои базы древние вирусы, которые неработоспособны под современными ОС, т.к. это безсмысленно и только раздувает базы.
Возможно ваши вирусы как раз и попали под такие причины необнаружения другими АВ сканерами - они просто удалены из большинства АВ баз. Пока других причин не могу придумать.
Можно было бы согласиться с ложным детектом если бы это был проактивный детект, но эти вирусы чётко обнаруживаются по базам, поэтому ложняк маловероятен.
-
Соединение, уÑтановленное Ð´Ð»Ñ Ð¿Ñ€Ð¾Ñмотра Ñтраницы, Ñто вÑего лишь чаÑтный Ñлучай множеÑтва Ñоединений, уÑтанавливаемых Вашим компьютером, и поÑтому Сетевой Ñкран Ñообщает о "проÑмотренных ÑоединениÑÑ…".
ОК. Я Ñформулирую Ð²Ð¾Ð¿Ñ€Ð¾Ñ Ð¸Ð½Ð°Ñ‡Ðµ.
ИÑходÑщее Ñетевое Ñоединение, в Ñлучае Ñ TCP, еÑÑ‚ÑŒ открытый по моей инициативе Ñокет. ЕÑли клиент (мой браузер) запрашивает Ñтраницу www.host.com/page.htm, то Ñоединение здеÑÑŒ www.host.com:80, а '/page.htm' - Ñодержание запроÑа, оформленного ÑоглаÑно протоколу http. По тому же Ñоединению клиент примет от Ñервера то, что Ñервер поÑчитает нужным выдать. Скорее вÑего Ñту Ñамую page.htm Ð¿Ð»ÑŽÑ Ð½ÐµÐ¼Ð½Ð¾Ð³Ð¾ http-заголовков.
ВопроÑ: что из Ñтого проверÑет "Ñетевой Ñкран"?
-
ВопроÑ: что из Ñтого проверÑет "Ñетевой Ñкран"?
Думается, что это вопрос разрабам.
-
thesis Повторяю, Сетевому экрану до лампочки содержимое данных, пересылаемых через порты. Его задача - проверка допустимости самого соединения. Веб-экран же контролирует именно содержимое полученных данных.
-
Возможно ваши вируÑÑ‹ как раз и попали под такие причины Ð½ÐµÐ¾Ð±Ð½Ð°Ñ€ÑƒÐ¶ÐµÐ½Ð¸Ñ Ð´Ñ€ÑƒÐ³Ð¸Ð¼Ð¸ ÐÐ’ Ñканерами - они проÑто удалены из большинÑтва ÐÐ’ баз. Пока других причин не могу придумать.
Ð’ Ñблочко.
Я (наконец-то!) Ñообразил, что можно и ÑобÑтвенными глазами поÑмотреть, а не полагатьÑÑ Ð½Ð° Ñканеры. Бурглар таки там еÑÑ‚ÑŒ.
00036A70: 41 54 20 54-48 45 20 47-52 41 56 45-20 4F 46 20 AT THE GRAVE OF
00036A80: 47 52 41 4E-44 4D 41 2E-2E 2E 2E FF-1E A7 00 9C GRANDMA.... ▲з Ь
Так что Ñту фишку Ñ Ð¼Ñ‹Ñленно перекладываю из "ложные ÑрабатываниÑ" в "надо же, молодец, что нашел!"
Ð’Ð¾Ð¿Ñ€Ð¾Ñ Ñ DarkAvanger-ом, однако, оÑтаетÑÑ Ð¾Ñ‚ÐºÑ€Ñ‹Ñ‚Ñ‹Ð¼. У Ñтого дырпыр.X нет никаких признаков иÑполнÑемого кода. Ðе Ð³Ð¾Ð²Ð¾Ñ€Ñ ÑƒÐ¶ о Ñигнатурах вируÑа (хотÑ, емнип, были полиморфные варианты)
Рможет разрабам поÑлать? Может кому любопытно Ñтанет.
ПрактичеÑкого-то ÑмыÑла задача начиÑто лишена.
-
Я (наконец-то!) Ñообразил, что можно и ÑобÑтвенными глазами поÑмотреть, а не полагатьÑÑ Ð½Ð° Ñканеры. Бурглар таки там еÑÑ‚ÑŒ.
00036A70: 41 54 20 54-48 45 20 47-52 41 56 45-20 4F 46 20 AT THE GRAVE OF
00036A80: 47 52 41 4E-44 4D 41 2E-2E 2E 2E FF-1E A7 00 9C GRANDMA.... ▲з Ь
Так что Ñту фишку Ñ Ð¼Ñ‹Ñленно перекладываю из "ложные ÑрабатываниÑ" в "надо же, молодец, что нашел!"
РзапуÑкать не пробывали? Может файл вылечен давно, проÑто оÑталиÑÑŒ оÑтатки кода?
Можно мне его Ñкинуть..
Про веб-Ñкран и Ñетевой Ñкран вот здеÑÑŒ немного еÑÑ‚ÑŒ:
http://lab14.narod.ru/avast5_2.htm
Уточню только, что веб-Ñкран держит под контролем порты, пропиÑанные в "ÐаÑтройках перенаправлениÑ", а Ñетевой - вÑе неÑколько деÑÑтков Ñ‚Ñ‹ÑÑч...
thesis
Была как-то тема про Ñканирование Ñборки каких-то древних, по большей чаÑти ещё доÑовÑких вируÑов. Там вÑÑ‘ Ñпорили почему разные антивируÑÑ‹ показывали разное количеÑтво детекта. Ð’ общем там дошли даже до предÑтавителей антивируÑных вендоров, и кажетÑÑ, предÑтавитель Др. Ð’Ñба объÑÑнил Ñитуацию так, что они не будут добавлÑÑ‚ÑŒ в Ñвои базы древние вируÑÑ‹, которые неработоÑпоÑобны под Ñовременными ОС, Ñ‚.к. Ñто безÑмыÑленно и только раздувает базы.
Возможно ваши вируÑÑ‹ как раз и попали под такие причины Ð½ÐµÐ¾Ð±Ð½Ð°Ñ€ÑƒÐ¶ÐµÐ½Ð¸Ñ Ð´Ñ€ÑƒÐ³Ð¸Ð¼Ð¸ ÐÐ’ Ñканерами - они проÑто удалены из большинÑтва ÐÐ’ баз. Пока других причин не могу придумать.
Возможно вы имеете ввиду вот Ñто моё Ñообщение: http://forum.avast.com/index.php?topic=71691.msg599933#msg599933
Уточню - Ñ Ð½Ðµ предÑтавитель Dr.Web :)
-
Возможно вы имеете ввиду в Ñто моё Ñообщение... Уточню - Ñ Ð½Ðµ предÑтавитель Dr.Web :)
Всё может быть. Помню звон да не помню где он. ;D
-
РзапуÑкать не пробывали? Может файл вылечен давно, проÑто оÑталиÑÑŒ оÑтатки кода?
Можно мне его Ñкинуть..
Ðе риÑкнул. Вот тут http://meteodata.spb.ru/temp/ndd.virus.buglar.1150.rar зараженный файл и оригинал, ÑвежевзÑтый из диÑтрибутива.
Про веб-Ñкран и Ñетевой Ñкран вот здеÑÑŒ немного еÑÑ‚ÑŒ:
http://lab14.narod.ru/avast5_2.htm
СпаÑибо.
[/quote]
-
thesis , ÑпаÑибо
Burglar.1150
ÐеопаÑный резидентный вируÑ. При значении Ñекунд ÑиÑтемного времени- 14 Ð²Ð¸Ñ€ÑƒÑ Ð²Ñ‹Ð²Ð¾Ð´Ð¸Ñ‚ текÑÑ‚ "Burglar/H". Ðе заражает файлы из ÑпиÑка (по 2 Ñимвола на имÑ) "CLHWTBF-WCTK". Содержит текÑÑ‚ "AT THE GRAVE OF GRANDMA...".
http://read.newlibrary.ru/read/kasperskii_lab_/page128/opisanija_virusov.html
ПриÑтупим:
ПроверÑем файл антивируÑом, в базах которого Ñтот зловред еÑÑ‚ÑŒ
Ð’ качеÑтве такового берём Ð°Ð½Ñ‚Ð¸Ð²Ð¸Ñ€ÑƒÑ Dr.Web 4.02 от 28.08.1998 (9040 вируÑных запиÑей).
Ð’ качеÑтве контрольной проверки Ñканируем преÑловутый архив "3732 вируÑа"(Ñодержащий как раз в оÑновном DOS-вируÑÑ‹ 90-Ñ… годов) http://forum.avast.com/index.php?topic=71691.msg599933#msg599933
Результат ÑканированиÑ
(http://savepic.net/1979426m.jpg) (http://savepic.net/1979426.htm)
подтверждает, что Ð°Ð½Ñ‚Ð¸Ð²Ð¸Ñ€ÑƒÑ Ñ€Ð°Ð±Ð¾Ñ‚Ð¾ÑпоÑбен и по детекту на Ñтом архиве не уÑтупает Ñовременным...
УбеждаемÑÑ, что Ð²Ð¸Ñ€ÑƒÑ ÐµÑÑ‚ÑŒ в базе антивируÑа. Ð’ те времена ÑпиÑок вÑех запиÑей был в комплекте Ñ Ð°Ð½Ñ‚Ð¸Ð²Ð¸Ñ€ÑƒÑом
(http://savepic.net/2008101m.jpg) (http://savepic.net/2008101.htm)
ПрверÑем файл антивируÑом, в базе которого определение Ñтого вируÑа еÑÑ‚ÑŒ:
(http://savepic.net/1987640m.jpg) (http://savepic.net/1987640.htm)
Сравним наш подозрительный файл Ñ Ñ‡Ð¸Ñтым файлом (чиÑтый Ñлева), взÑтым из диÑтрибутива:
(http://savepic.net/1971237m.jpg) (http://savepic.net/1971237.htm)
Похоже, что наш подозрительный файл был вылечен (вверху в Ñтроке 00010 видимо оÑталÑÑ Ñлед от удаленного "оÑновного", управлÑющего кода вируÑа, а внизу Ñ 5-го Ñимвола Ñтроки 36Ð68 - инÑÑ‚Ñ€ÑƒÐºÑ†Ð¸Ñ Ð²Ñ‹Ð¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ ÐºÐ¾Ð´Ð° (но она теперь безжизнена, некому ей управлÑÑ‚ÑŒ).
Файл наш поÑле Ð»ÐµÑ‡ÐµÐ½Ð¸Ñ Ð¾ÑталÑÑ Ð²Ð¸Ð´Ð¸Ð¼Ð¾ вполне рабочим, контрольный запуÑк и проверка работоÑпоÑобноÑти не выÑвила как Ñледов Ð¾Ñ‚ÐºÐ»Ð¾Ð½ÐµÐ½Ð¸Ñ ÐµÐ³Ð¾ от функциональноÑти, так и вывод текÑта "Burglar/H".
Кто-то может Ñказать - надо удалÑÑ‚ÑŒ файл Ñ Ð»ÑŽÐ±Ñ‹Ð¼Ð¸ Ñледами от вируÑа... Может Ð´Ð»Ñ ÐµÐºÐ·ÐµÑˆÐ½Ð¸ÐºÐ¾Ð² Ñто желательно, а что прикажете делать Ñ Ð´Ð¾ÐºÑƒÐ¼ÐµÐ½Ñ‚Ð°Ð¼Ð¸, фотками, видеоматериалами и Ñ‚. п...
P.S. КÑтати, еÑÑ‚ÑŒ и приколы в инете по поводу Burglar 1150:
http://dibr.nnov.ru/hf1.php?n=8645
AP> Кто-нибудь знает Ñабж - Burglar 1150? ОпаÑный он не опаÑный?
"Он _очень_ опаÑный. Ðто один из предÑтавителей нового Ð¿Ð¾ÐºÐ¾Ð»ÐµÐ½Ð¸Ñ Ð²Ð¸Ñ€ÑƒÑов, воздейÑтвующих непоÑредÑтвенно на hardware. Hикаких больше штучек Ñ Ð¾ÑыпающимиÑÑ Ð±ÑƒÐºÐ²Ð°Ð¼Ð¸ и Янки Дудль. Burglar 1150, запиÑÑ‹Ð²Ð°Ñ Ð¾Ð¿Ñ€ÐµÐ´ÐµÐ»ÐµÐ½Ð½Ñ‹Ðµ Ð·Ð½Ð°Ñ‡ÐµÐ½Ð¸Ñ Ð² порт ÑƒÐ¿Ñ€Ð°Ð²Ð»ÐµÐ½Ð¸Ñ ÐºÑƒÐ»ÐµÑ€Ð¾Ð¼ (вентилÑтор на проце) инвертирует направление его вращениÑ, в результате чего тот начинает не охлаждать проц, а, наоборот,нагонÑет на него горÑчий воздух. От Ñтого проц перегреваетÑÑ Ð¸ глючит. Может и вообще Ñгореть.
ЕÑли на проце нет кулера, Ð²Ð¸Ñ€ÑƒÑ Ð½Ðµ опаÑен."
-
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.
Например, если Вы в браузере откроете заражённую страницу, то сработает Веб-экран, который обнаружит вредоносную активность и заблокирует доступ к этой странице. Если же кто-нибудь попытается взломать Вашу систему, то сработает Сетевой экран, который обнаружит подозрительную скрытую сетевую активность и отключит соединение с её источником. Проще говоря, Веб-экран отслеживает видимый на экране интернет, а Сетевой экран следит за "техническим" интернетом, скрытым от глаз пользователя, т.е. за непосредственным общением компьютеров, серверов, сетей и т.д. Сетевой экран тоже регистрирует, просматриваемые страницы, но только для проверки на сетевое мошенничество: вирусные базы Аваста содержат и список на мошеннические и вредоносные сайты, доступ к которым блокируется сразу же после появления запроса на их посещение.А можно сравнить на уровне "лучше-хуже" аваст и MSE по этим опциям?
-
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.
Например, если Вы в браузере откроете заражённую страницу, то сработает Веб-экран, который обнаружит вредоносную активность и заблокирует доступ к этой странице. Если же кто-нибудь попытается взломать Вашу систему, то сработает Сетевой экран, который обнаружит подозрительную скрытую сетевую активность и отключит соединение с её источником. Проще говоря, Веб-экран отслеживает видимый на экране интернет, а Сетевой экран следит за "техническим" интернетом, скрытым от глаз пользователя, т.е. за непосредственным общением компьютеров, серверов, сетей и т.д. Сетевой экран тоже регистрирует, просматриваемые страницы, но только для проверки на сетевое мошенничество: вирусные базы Аваста содержат и список на мошеннические и вредоносные сайты, доступ к которым блокируется сразу же после появления запроса на их посещение.А можно сравнить на уровне "лучше-хуже" аваст и MSE по этим опциям?
А можно сравнить на уровне "лучше-хуже" аваст и MSE по этим опциям?
-
vadim170552
Можно было просто отредактировать предыдущее сообщение, а не создавать ещё одно.
-
Кто-то может Ñказать - надо удалÑÑ‚ÑŒ файл Ñ Ð»ÑŽÐ±Ñ‹Ð¼Ð¸ Ñледами от вируÑа... Может Ð´Ð»Ñ ÐµÐºÐ·ÐµÑˆÐ½Ð¸ÐºÐ¾Ð² Ñто желательно, а что прикажете делать Ñ Ð´Ð¾ÐºÑƒÐ¼ÐµÐ½Ñ‚Ð°Ð¼Ð¸, фотками, видеоматериалами и Ñ‚. п...
на проце нет кулера, Ð²Ð¸Ñ€ÑƒÑ Ð½Ðµ опаÑен[/I]."
Целое иÑÑледование получилоÑÑŒ, ÑпаÑибо. Понимаю теперь, почему мои запаÑÑ‹ Ñтарых антивируÑов ничего не нашли. Думаю, что такие объекты лучше бы удалÑÑ‚ÑŒ, Ñ…Ð¾Ñ‚Ñ Ð±Ñ‹ Ð´Ð»Ñ Ñ‚Ð¾Ð³Ð¾, чтобы антивируÑник не паниковал.
КÑтати, еÑли у Ð²Ð°Ñ Ð½Ð°Ð¹Ð´ÐµÑ‚ÑÑ Ð½ÐµÐ¼Ð½Ð¾Ð³Ð¾ Ñвободного времени, то может быть вы поÑмотрите на второй объект -- тот, в котором ÐваÑÑ‚ видит DarkAvanger-1536/1800?
вот он (http://meteodata.spb.ru/temp/NEWBIRD.zip)
Заведомо чиÑтого файла у Ð¼ÐµÐ½Ñ Ð½ÐµÑ‚, вÑе копии Ñтой игрушки (StarGoose 1988), какие Ñ Ñ‚Ð¾Ð»ÑŒÐºÐ¾ Ñмог ÑÐµÐ¹Ñ‡Ð°Ñ Ð¾Ñ‚Ñ‹Ñкать, немного отличаютÑÑ Ð¾Ñ‚ той копии, что хранитÑÑ Ñƒ менÑ. Однако могу Ñ ÑƒÐ²ÐµÑ€ÐµÐ½Ð½Ð¾Ñтью Ñказать, что длина в 32000 байт ÑоотвеÑтвует оригиналу.
-
КÑтати, еÑли у Ð²Ð°Ñ Ð½Ð°Ð¹Ð´ÐµÑ‚ÑÑ Ð½ÐµÐ¼Ð½Ð¾Ð³Ð¾ Ñвободного времени, то может быть вы поÑмотрите на второй объект -- тот, в котором ÐваÑÑ‚ видит DarkAvanger-1536/1800?
Заведомо чиÑтого файла у Ð¼ÐµÐ½Ñ Ð½ÐµÑ‚, вÑе копии Ñтой игрушки (StarGoose 1988), какие Ñ Ñ‚Ð¾Ð»ÑŒÐºÐ¾ Ñмог ÑÐµÐ¹Ñ‡Ð°Ñ Ð¾Ñ‚Ñ‹Ñкать, немного отличаютÑÑ Ð¾Ñ‚ той копии, что хранитÑÑ Ñƒ менÑ. Однако могу Ñ ÑƒÐ²ÐµÑ€ÐµÐ½Ð½Ð¾Ñтью Ñказать, что длина в 32000 байт ÑоотвеÑтвует оригиналу.
Хорошо. Ð’ Ñтом иÑÑледовании мы попробуем поÑтавить под Ñомнение то, что из баз Ñовременных антивируÑов иÑключают Ñтарые вируÑÑ‹...(Ñ…Ð¾Ñ‚Ñ Ð¸ÑÐºÐ»ÑŽÑ‡ÐµÐ½Ð¸Ñ Ð¸Ð· правил вÑегда еÑÑ‚ÑŒ...)
DarkAvanger-1536/1800 (по клаÑÑификации Dr.Web - Eddie.1530 и Eddie.1800)
Eddie.1530
ОпаÑный резидентный вируÑ. Иногда "вешает" ÑиÑтему и изменÑет тип диÑка
в CMOS-памÑти.
Eddie.1800 (1-3)
Очень опаÑные резидентные вируÑÑ‹. ПроизводÑÑ‚ запиÑÑŒ в Ñлучайные Ñектора
текущего диÑка 512 байт Ñвоего кода. Перехватывают INT 21h, 27h. Ðе
дают изменить Ð°Ð´Ñ€ÐµÑ Ð²ÐµÐºÑ‚Ð¾Ñ€Ð° INT 21h. INT 27h иÑпользуетÑÑ Ð´Ð»Ñ ÐºÐ¾Ð½Ñ‚Ñ€Ð¾Ð»Ñ
за INT 21h. Первоначальный вариант вируÑа Ñодержал текÑтовые Ñтроки:
Eddie lives...somewhere in time!
Diana P.
This program was written in the city of Sofia (C) 1988-89 Dark Avenger
http://stfw.ru/page.php?id=9120
Берём два файла зараженных Eddie.1800 - один оригинальный, второй - МоÑковÑкий штамм, в котором Ñообщение "Eddie lives... somewhere in time" заменено на
"B O R O D A мÑтит во времени".
ПроверÑем их на вируÑтотал:
1. Результат первого
File name: DA-1800D.COM
Submission date: 2011-09-12 19:21:09 (UTC)
Result: 40/ 44 (90.9%)
http://www.virustotal.com/file-scan/report.html?id=79f9a330739b4d30379303e1e563deff867d9677922faf9f011073f79cd412b4-1315855269
2. Результат второго:
File name: DA-1800B.COM
Submission date: 2011-09-12 19:22:12 (UTC)
Result: 40/ 44 (90.9%)
http://www.virustotal.com/file-scan/report.html?id=ed9d688705f71a05e4c564e86d8ba73da075b008b36e039e409176b6c2bd167a-1315855332
Как видим, еÑли файлы дейÑтвительно заражены, то Ñто отметили вÑе уважаемые антивируÑÑ‹.
Ðу, и результат проверки вашего файла:
http://www.virustotal.com/file-scan/report.html?id=fcb73b98ac4903c7176bfb710900d9912c0fc0c83e5e1f63952079df28b611d1-1315851399
Видимо, ÐваÑÑ‚ опÑÑ‚ÑŒ ругаетÑÑ Ð½Ð° оÑтатки кода вируÑа в вылеченом файле...
-
Eddie.1800 (1-3)
Eddie lives...somewhere in time!
ЕÑÑ‚ÑŒ! Характерный куÑок, 512 байт, от 0x6000 по 0x61ff, единÑтвенный фрагмент файла, похожий на программный код, начинаетÑÑ ÐºÐ°Ðº раз Ñ Ñтой Ñтроки.
Вот, видимо на нее аваÑÑ‚ (и прочие) и реагирует.
ВеÑÑŒ оÑтальной объем -- раÑÑ‚Ñ€Ð¾Ð²Ð°Ñ Ð³Ñ€Ð°Ñ„Ð¸ÐºÐ°, Ñ Ð¿Ð¾Ð»Ð°Ð³Ð°ÑŽ. Комбинации битовых тетрад 0x0, x1, 2, 6, 9, b, f занимают 96% объема.
Файл - не иÑполнÑемый. Контент более вÑего похож на графичеÑкие Ñлементы и веÑьма Ñхож Ñ ÐºÐ¾Ð½Ñ‚ÐµÐ½Ñ‚Ð¾Ð¼ оÑтальных *.X файлов из Ñтой игрушки. Он не мог быть выбран Ð´Ð»Ñ Ð·Ð°Ñ€Ð°Ð¶ÐµÐ½Ð¸Ðµ по маÑке *.exe/com, не мог быть заражен на перехвате ДОС-функции exec.
Каким образом в него попал фрагмент тела вируÑа - тайна ÑÐ¸Ñ Ð²ÐµÐ»Ð¸ÐºÐ° еÑÑ‚ÑŒ.
-
vadim170552
Можно было просто отредактировать предыдущее сообщение, а не создавать ещё одно.
Красиво, я так не умею :'(
-
Касательно ложных срабатываний...
Информация о последнем обновление
Версия:11091301
Дата:2011-09-13
Добавлены новые вирусы:-30
This VPS update contains only fixes to existing definitions or removal of false alarms.
-
Красиво, я так не умею :'(
Кнопка "Modify"
-
Касательно ложных срабатываний...
Информация о последнем обновление
Версия:11091301
Дата:2011-09-13
Добавлены новые вирусы:-30
This VPS update contains only fixes to existing definitions or removal of false alarms.
Почти всегда у Аваста после большой обновы ложняки (перед этим была - New virus definitions added:7386).
-
А мне главное то, что у аваста отличный детект, хороший песок и то, что он один из немногих прошёл достойно тесты Рампанта. Это реальный показатель) Особенно потешно смотреть на то, что бесплатная версия аваста даёт жару некоторым платным продуктам. Хехехе))) Что уж говорить про платную)
-
Aryen
Что за тест? Ссылочку можно?
Dim@rik
Это же роботы работают, в случае чего аналитики руками допиливают. Сейчас так все антивирусные вендоры работают.
-
Dim@rik
Это же роботы работают, в случае чего аналитики руками допиливают. Сейчас так все антивирусные вендоры работают.
Спс за инфу...я в курсе.
-
Aryen
Что за тест? Ссылочку можно?
http://www.youtube.com/user/OldRampant
-
http://www.youtube.com/user/OldRampant
Благодарю. ::)