Лидеры форума

Привет. Я не считаю правильным whitelist'ить приложение, которое проявляет себя как типичный руткит: прячет ключи, блокирует файлы и вызывает недовольство пользователей, учитывая что вайтлистинг создает огромную брешь в надежности детектора. Добавила примечание в readme.txt. Если будет много жалоб от пользователей (пока не было не одной) - сделаем вывод предупреждения. p.s. (updated) Currently we are aware of the following false positives: - Daemon Tools and Alcohol 120%: sptd.sys. - Kaspersky Antivirus: fidbox*.*. - Avast! antivirus: aswBoot.exe, AvastSS.scr, aswFsBlk.sys, aswMonFlt.sys, aswRdr.sys, aswTdi.sys, aswSP.sys. - Symantec Antivirus: S32EVNT1.DLL, SymNeti.dll, SymRedir.dll, co_mon.cat, CO_Mon.inf, CO_Mon.sys, srtsp.cat, srtsp.inf, srtsp.sys, srtspl.cat, srtspl.inf, srtspl.sys, srtspx.cat, srtspx.inf, srtspx.sys, symdns.sys, SYMEVENT.CAT, SYMEVENT.INF, SYMEVENT.SYS, symfw.sys. symids.sys. SymIM.sys. symndis.sys. symndisv.sys, SymRedir.cat. SymRedir.inf, symredrv.sys. symtdi.sys. - Dr.Web antivirus: dwprot.sys. - Outpost: sandbox.sys, afw.sys. (все с вердиктом No Access) Очевидно, практика внедрения бесполезных фич у производителей внутри одной отрасли заразна. Вендоры, АУ! В чем смысл блокировать свои файлы на чтение (именно это соответствует вердикту No Access)? Если это защита от изучения кода - то глупая, т.к. файл можно скопировать (remover это умеет, значит, сумеет и кто-то другой, кто по самой специфике задачи обладает для этого достаточной квалификацией).

А вы бы не могли сделать сайт нормальным, без ошибок, опечаток, на которые я уже указывал?

Используете последнюю версию SEP? Вот статья: http://service1.symantec.com/support/ent-s...e0?OpenDocument Да, именно так. Вы указываете компьютер, на котором установлен клиент SEP, и он становится GUP. После этого клиенты тянут все обновления с него, а не с главного сервера SEPM. В новой версии можно еще настраивать канал для GUP. Теперь можно настраивать и на уровне подсетей. Для этого используется Multiple GUP. Интересная ситуация. Здесь Вам точно нужно использовать GUP и только его - сэкономите массу трафика. Вот еще полезная статья - best practice'ы по настройке GUP И troubleshooting GUP'а.

Линки не сохраняю. Только в текстовике детект. Файл bqag.dll получен 2009.12.02 12:56:05 (UTC)Результат: 7/40 (17.5%)Антивирус Версия Обновление Результатa-squared 4.5.0.43 2009.12.02 -AhnLab-V3 5.0.0.2 2009.12.02 -AntiVir 7.9.1.92 2009.12.02 -Antiy-AVL 2.0.3.7 2009.12.02 -Authentium 5.2.0.5 2009.12.02 -Avast 4.8.1351.0 2009.12.02 -AVG 8.5.0.426 2009.12.02 -BitDefender 7.2 2009.12.02 -CAT-QuickHeal 10.00 2009.12.02 -ClamAV 0.94.1 2009.12.02 -Comodo 3103 2009.12.01 Heur.Packed.UnknownDrWeb 5.0.0.12182 2009.12.02 -eSafe 7.0.17.0 2009.12.01 -eTrust-Vet 35.1.7152 2009.12.02 -F-Prot 4.5.1.85 2009.12.01 -F-Secure 9.0.15370.0 2009.11.29 -Fortinet 4.0.14.0 2009.12.02 -GData 19 2009.12.02 -Ikarus T3.1.1.74.0 2009.12.02 -K7AntiVirus 7.10.906 2009.11.27 -Kaspersky 7.0.0.125 2009.12.02 -McAfee 5819 2009.12.01 -McAfee+Artemis 5819 2009.12.01 Artemis!4247DC236926McAfee-GW-Edition 6.8.5 2009.12.02 -Microsoft 1.5302 2009.12.02 -NOD32 4654 2009.12.02 -Norman 6.03.02 2009.12.02 -nProtect 2009.1.8.0 2009.12.02 -Panda 10.0.2.2 2009.12.02 -PCTools 7.0.3.5 2009.12.02 HeurEngine.MaliciousPackerPrevx 3.0 2009.12.02 Medium Risk MalwareRising 22.24.02.09 2009.12.02 -Sophos 4.48.0 2009.12.02 Sus/UnkPack-CSunbelt 3.2.1858.2 2009.12.02 Trojan.Win32.Bredolab.Gen.1 (v)Symantec 1.4.4.12 2009.12.02 Packed.Generic.269TheHacker 6.5.0.2.083 2009.12.01 -TrendMicro 9.100.0.1001 2009.12.02 -VBA32 3.12.12.0 2009.12.02 -ViRobot 2009.12.2.2068 2009.12.02 -VirusBuster 5.0.21.0 2009.12.01 -Дополнительная информацияFile size: 88608 bytesMD5...: 4247dc236926bdeac95ba9c33c3878b9SHA1..: 958d5e2ab998325fd75a1caaa15ebbc74f0704b8SHA256: 655e03ec7563a908d1e3364f803a6b7b6bbc00740e6aa6029a8f21c14c88f001 Файл mrgn3vzpxmpl.exe получен 2009.12.03 07:51:16 (UTC)Результат: 9/41 (21.96%)Антивирус Версия Обновление Результатa-squared 4.5.0.43 2009.12.03 -AhnLab-V3 5.0.0.2 2009.12.03 -AntiVir 7.9.1.92 2009.12.02 -Antiy-AVL 2.0.3.7 2009.12.03 -Authentium 5.2.0.5 2009.12.02 -Avast 4.8.1351.0 2009.12.03 -AVG 8.5.0.426 2009.12.02 SHeur2.BWFEBitDefender 7.2 2009.12.03 -CAT-QuickHeal 10.00 2009.12.03 (Suspicious) - DNAScanClamAV 0.94.1 2009.12.03 -Comodo 3103 2009.12.01 Heur.Packed.UnknownDrWeb 5.0.0.12182 2009.12.03 -eSafe 7.0.17.0 2009.12.02 -eTrust-Vet 35.1.7154 2009.12.03 Win32/Bredolab!genericF-Prot 4.5.1.85 2009.12.02 -F-Secure 9.0.15370.0 2009.12.03 Suspicious:W32/Malware!GeminiFortinet 4.0.14.0 2009.12.03 -GData 19 2009.12.03 -Ikarus T3.1.1.74.0 2009.12.03 -Jiangmin 13.0.900 2009.12.02 -K7AntiVirus 7.10.910 2009.12.02 -Kaspersky 7.0.0.125 2009.12.03 Trojan.Win32.Obfuscated.aiunMcAfee 5819 2009.12.01 -McAfee+Artemis 5819 2009.12.01 Artemis!180E312FC93AMcAfee-GW-Edition 6.8.5 2009.12.03 -Microsoft 1.5302 2009.12.03 -NOD32 4656 2009.12.02 -Norman 6.03.02 2009.12.02 -nProtect 2009.1.8.0 2009.12.03 -Panda 10.0.2.2 2009.12.03 -PCTools 7.0.3.5 2009.12.03 -Prevx 3.0 2009.12.03 Medium Risk MalwareRising 22.24.03.03 2009.12.03 -Sophos 4.48.0 2009.12.03 Sus/UnkPack-CSunbelt 3.2.1858.2 2009.12.03 -Symantec 1.4.4.12 2009.12.03 -TheHacker 6.5.0.2.083 2009.12.01 -TrendMicro 9.100.0.1001 2009.12.03 -VBA32 3.12.12.0 2009.12.03 -ViRobot 2009.12.3.2069 2009.12.03 -VirusBuster 5.0.21.0 2009.12.02 -Дополнительная информацияFile size: 131584 bytesMD5...: 180e312fc93aacbea6bf9bf82ec12f0aSHA1..: fbd8fd550bf7bad4e7712ca70f9f3764a24113e6SHA256: 1b0030e3e170da78263ba0f06c5fedc3c06208af968ca7d86d935492386ab7ce Это на момент, когда я обнаружил dll и, соответственно, дроппер. К сожалению, по отзывам пользователей, данный винлокер ставился по крайней мере при активном КАВ/КИС, Dr.Web и NOD32. По поводу последнего как раз повод задуматься, так ли спасает проактивка и так ли не нужно организовывать лечение. Для таких вредоносных программ, как Trojan.Winlock в последнее время это может требоваться достаточно часто. Как видим, эвристики сработали только на пакер. Если б оно было незапакованное или запакованное новым типом пакера, то не было бы даже такого детекта. Эвристик на такие программы настраивать весьма сложно, насколько понимаю. На мой взгляд, здесь очень тонкая грань между винлокерами и легальными программами.

...Компания Prevx, которая первой возложила вину за эти неприятности на корпорацию Microsoft, принесла ей публичные извинения... ...Как говорит представитель разработчика, существует не менее 10 различных сценариев, каждый из которых приводит к возникновению "черного экрана"... Подробнее>>> Чтобы там не утверждали Prevx и как бы не пытались отгородиться в самой Microsoft, проблема эта есть (наша техническая служба сама в этом убедилась). Ей подвержены как пиратские так и лицензионные копии Windows. И эта проблема очень плотно пересекается с работой Microsoft по борьбе с пиратскими копиями. Вряд ли это совпадение.

зашел на софт-кей ввел слово пароль, выскочило 3 программы менеджеров паролей. цена 200-400 р. и после этого считать 900р не дорого? а KeePass так вообще бесплатный и с открытым кодом.

Огромное спасибо коллеги.

Приветствую всех! в дополнение к написанным выше ссылкам: ftp://ftp.antivirus.com/products/ это публичный ftp Trend Micro, где нередко продукты (в т.ч. русскоязычные) появляются раньше, чем на офф сайте!