Jump to content


Friends, we are happy to invite you to our NEW Global Kaspersky Club! Please follow this link www.kasperskyclub.com , sign-in and enjoy our new platform!


Photo

Блог Ивана Стогова - NOD32 первым защитил от Win32/Stration/E-mail.Worm


  • Please log in to reply
No replies to this topic

#1 KL FC Bot

KL FC Bot

    Commander

  • Members
  • PipPipPipPipPip
  • 856 posts

Posted 29 October 2006 - 12:18 PM

Просто не могу молчать ребята, эти гаврики опубликовали пресуху http://www.pressroom...8614&PRID=47340

Мда, врать и выдумывать в Еset горазды. А тут еще нафодятся умники, которые это вранье
поддерживают. Разберем по пунктам. Я предлагаю обсуждение этого прекрасного пресрелиза в отдельную тему вынести

Цитата:
Москва, 26 октября 2006 г. Сегодня компания Eset – международный разработчик антивирусного ПО и решений в области компьютерной безопасности, объявляет о том, что антивирус Eset NOD32 стал первым антивирусным продуктом, обеспечивающим защиту от почтового червя Stration, распространение которого в Интернет приняло характер эпидемии. Таким образом, технология проактивной защиты ThreatSense™, встроенная во все версии антивирусного ПО Eset NOD32, вновь доказала свою исключительную эффективность в противодействии вирусам и вредоносному ПО. Первые сообщения о распространении нового сетевого червя Win32/Stration появились 19 сентября 2006 г.

Вранье, не брал их эвристик ничего в начале эпидемии
Вот результаты скана на jotti на 7.30 утра 19го сентября (вирустотал был недоступен):
File: Update-KB6828-x86.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 7f405f8d83ee8555f44a9dc757f84bd4
Packers detected: PE_PATCH.UPX, UPX
Scanner results
AntiVir Found Worm/Marmota.B
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Downloader.AOW
ClamAV Found Trojan.Small-377
Dr.Web Found Win32.HLLM.Limar
F-Prot Antivirus Found W32/Downloader.AHQM
Fortinet Found nothing
Kaspersky Anti-Virus Found Email-Worm.Win32.Warezov.dc
NOD32 Found nothing
Norman Virus Control Found nothing
VirusBuster Found nothing
VBA32 Found nothing


Цитата:
Червь Win32/Stration тщательно маскирует свое присутствие в системе. В этом вирусе содержится сложный полиморфный код, позволяющий «на лету» создавать новые модификации червя. Так, в пик эпидемии ежедневно фиксировалось более 60 новых модификаций червя. Именно из-за высокой частоты появления новых форм, по существу, оказались неэффективными реактивные методы защиты. Выпускаемые антивирусными компаниями сигнатурные обновления зачастую детектировали лишь отдельные модификации червя, но против новых его вариантов были бессильны. Компания Eset первой среди производителей антивирусного ПО обнаружила момент распространения червя и выпустила необходимое обновление NOD32, позволяющее противодействовать уже известным формам червя и его и всем его возможным модификациям.

Опять вранье, не про червя конечно, а про Есет
Да они выпустили обновление с докруткой к своему эвристику, это правда. Кстати эта прада подтверждает мысль о том, что эвристки постепенно будут скатываться к сигнатурному методу, т.к. вирусописатели будут их обходить, а значит появится необходимость в обновлениях. Вот наглядный пример: только после специального обновления нод32 стал брать НЕКОТОРЫЕ ВЕРСИИ ЧЕРВЯ. Зачем они отпиарили собственную неудачу - невозможность взять зловред эвристиком без всякого обновления - непонятно.
Так вот неправда еще и в том, что не берут они все версии, как утверждают
система VirusTotal, например, по модификации червя Email-Worm.Win32.Warezov.do
"Complete scanning result of "decconf.exe", received in VirusTotal at 10.25.2006, 11:05:39 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.32 10.25.2006 Worm/Warezov.DO.1
Authentium 4.93.8 10.25.2006 no virus found
Avast 4.7.892.0 10.24.2006 no virus found
AVG 386 10.25.2006 I-Worm/Stration.WQ
BitDefender 7.2 10.25.2006 Win32.Worm.Stration.AQ
CAT-QuickHeal 8.00 10.23.2006 no virus found
ClamAV devel-20060426 10.25.2006 no virus found
DrWeb 4.33 10.25.2006 Win32.HLLM.Limar
eTrust-InoculateIT 23.73.36 10.25.2006 no virus found
eTrust-Vet 30.3.3156 10.25.2006 no virus found
Ewido 4.0 10.24.2006 no virus found
Fortinet 2.82.0.0 10.25.2006 W32/Stration.DO@mm
F-Prot 3.16f 10.25.2006 no virus found
F-Prot4 4.2.1.29 10.25.2006 no virus found
Ikarus 0.2.65.0 10.24.2006 no virus found
Kaspersky 4.0.2.24 10.25.2006 Email-Worm.Win32.Warezov.do
McAfee 4880 10.24.2006 no virus found
Microsoft 1.1609 10.25.2006 no virus found
NOD32v2 1.1832 10.25.2006 no virus found
Norman 5.80.02 10.24.2006 no virus found
Panda 9.0.0.4 10.24.2006 Suspicious file
Sophos 4.10.0 10.24.2006 no virus found
TheHacker 6.0.1.105 10.25.2006 no virus found
UNA 1.83 10.25.2006 no virus found
VBA32 3.11.1 10.24.2006 suspected of Worm.Warezov.1 (paranoid heuristics)
VirusBuster 4.3.7:9 10.24.2006 no virus found"
Эвристик как и сигнатуру легко обойти, вот в чем загвоздка господа и дамы. И чем больше есет будет кричать о том, что они все берут, тем больше появится модификаций, которые они не берут. Так было с пинчем, так будет и сейчас

Теперь дальше
Цитата:
Эпидемия червя Win32/Stration отлично иллюстрирует невозможность противостоять новым угрозам, опираясь лишь на методы и концепции, которые хорошо зарекомендовали себя когда-то в прошлом, - говорит Дмитрий Попович, глава представительства Eset в России. - Более того, далеко не все пользователи осознают опасность, потому что привыкли доверять своим поставщикам систем защиты. На российском рынке вообще сложилась уникальная ситуация - пока антивирусные компании пугают рынок вирусами для смартфонов, их пользователи в форумах ищут способы защититься от наиболее актуальных угроз. И использование современного антивируса, сочетающего в себе сигнатурные и проактивные методы обнаружения, представляется сегодня наиболее эффективным инструментом противодействия».

Я не знаю чего там ищут пользователи продуктов ЛК, но подозреваю, что Диму Поповича с Аней Григорьевой, чтобы посмотреть в их честные глаза. Прстить их можно только в том случае, если они просто не понимали о чем пишут.
Наченм кратко со смартфонов. Тут даже комментировать неохота. Отсутсвие у Поповича смартфона, а у Eset продуктов для смартфона вовсе не означает отсутсвия вирья для этих устройств.
А по поводу злобных высказываний EYE я вообще молчу, если он сейчас не верит в угрозу эпидемий для мобильных устройств, то наверное он раньше не верил в возможность существования компьютерных червей и полиморфов (как неверили некогда многие пока не залетели на эпидемиях).

Ну да бог с ними, теперь к главному. Лаборатория не только клепает (как некоторые выражаются) сигнатуры, а как мы видим ЛК реагирует сигнатурами на этого зловреда весьма неплохо.
ЛК также разработала вполне действенные проактивные методы.
Вот, например, Антивирус Касперского и Kaspersky Internet Security версии 6.0 с включенной проактивной защитой (при настройках по умолчанию) обнаруживала 19го числа и обнаруживает и теперь все модификации червя Email-Worm.Win32.Warezov (Win32/Stration по классификации Eset) без обновления антивирусных баз (напомню, что есету требовалось обновление эвристика).

вот реакция проактивки на одну из модификаций, рассылаемых по ICQ
во-первых, при запуске пользователем полученного по ICQ файла появится алерт максимального уровня опасности об обнаружении вредоносной программы класса Trojan При нажатии на кнопку "Terminate" процесс будет завершен и заражения не произойдёт. Если же пользователь сомневается, то он может поместить данное приложение в карантин и отправить его в ЛК для исследования.





Posted Image






//



Если, всё же, пользователь решил продолжить исполнение программы, то практически сразу же появится предупреждении (среднего уровня опасности) о том, что запущенный процесс пытается внедрить свой код в другие процессы, что характерно для ряда вредоносных программ. Появление двух подряд преупреждений проактивной защиты должно вызвать значительное подозрение у пользователя и если, уже в данный момент он решит прекратить исполнение программы, то модуль проактивной защиты позволит ему откатить все изменений, сделанные вредоносной программой, в системном реестре и файловой системе компьютера.





Posted Image






//


И это все только с настройками по умолчанию, а если у опытных ребят включены еще и дополнительные компоненты проактивки - тут уж и контроль реестра сработает и контроль целостности приложений


Так что привет Есету как западному, так и российскому.
Первым за вранье и за то, что рассказали всему миру, что их эвристик требует обновлений, чтобы брать новых зловредов.
А вторым за то, что строят всю свою работу на антикасперовском посыле. "Уставшие от Касперского пользователи ищут в форумах Дмитрия Поповича. Гы гы гы"

View the full entry | Посмотреть запись полностью