Перейти к содержанию
Сергей Ильин

Антивирус Альтаир - очередной фейк или казахский антивирусный убийца?

Recommended Posts

Dmitriy K
1. Загуглите, если лень, вот вам официальный сайт софтины http://www.pc-st.com/us/index.htm

2. Тот же касперский детектит по хешам в базах + эвристика. Эмсисофт - только по ним, как и ClamAV. Вы походу не в курсях?) Где батники? не вижу.

Альтаир так же ищет по хешам, я сам пробовал в модифицирующихся приложениях которые обнаруживает Альтаир изменять байты, антивирус все равно детектит. Значит и другие способы скана имеются, по мимо сверки с Md5

1. Я спрашиваю ВАС, знаете ли ВЫ как работает это приложение? Я не спрашиваю, где его скачать.

2. По второму вашему ответу - :facepalm: - вместо тысячи слов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
1. Я спрашиваю ВАС, знаете ли ВЫ как работает это приложение? Я не спрашиваю, где его скачать.

2. По второму вашему ответу - :facepalm: - вместо тысячи слов.

Вы ппц трудный... Вот с сайта:

"PC Security Test is a free program for Windows that checks computer security against viruses, spyware and hackers. With a few mouse clicks, users can easily control the efficiency of their protection software (anti-virus programs, spyware scanners and firewalls).

PC Security Test simulates virus, spyware and hacking attacks and monitors the responses of your protection software. Don't worry, no real viruses are involved ! After the tests are complete, PC Securtiy computes a security index and provides tips on improving PC security."

первое: Секьюрити Тест проверяет, может ли антивирус обнаружить добавление в автозагрузку? - ответ ДА Альтаир обнаружил это, я нажал кнопку "Удалить из автозагрузки", потому что я не хочу чтобы какая то странная хрень загружалась автоматически с системой.

второе: проверяет, может ли антивирус обнаружить всем известный тестовый файл eicar? - ответ Да Альтаир эту вату тоже обнаружил

третье: проверяет, может ли антивирус обнаружить модифицированный троян, и сует в систем32 трояна с названием system32.exe - Ответ ДА это тоже обнаружил и удалил

четвертое: проверяет, может ли антивирус очистить вредоносное ПО из процессов, если оно уже запущено - этот тест тоже прошел.

Потом Секьюрити Тест ожидает несколько секунд, для того чтобы пользователь смог просканировать компьютер для антивирусов не имеющий защиту в реальном времени. И выдает результат.

Можно заметить, что Альтаир сработал в реал тайм. И все успешно заблокировал. По этому в его эффективности я еще раз убеждаюсь.

altair_mcafee.PNG

McAfee определенно что-то знает ... :unsure:

МакАфи частенько вордпрес блокирует

Результат вирустотал: 2 детекта из 39

Opa.png

post-19986-1371132181_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Вы ппц трудный... Вот с сайта:

"PC Security Test is a free program for Windows that checks computer security against viruses, spyware and hackers. With a few mouse clicks, users can easily control the efficiency of their protection software (anti-virus programs, spyware scanners and firewalls).

PC Security Test simulates virus, spyware and hacking attacks and monitors the responses of your protection software. Don't worry, no real viruses are involved ! After the tests are complete, PC Securtiy computes a security index and provides tips on improving PC security."

первое: Секьюрити Тест проверяет, может ли антивирус обнаружить добавление в автозагрузку? - ответ ДА Альтаир обнаружил это, я нажал кнопку "Удалить из автозагрузки", потому что я не хочу чтобы какая то странная хрень загружалась автоматически с системой.

второе: проверяет, может ли антивирус обнаружить всем известный тестовый файл eicar? - ответ Да Альтаир эту вату тоже обнаружил

третье: проверяет, может ли антивирус обнаружить модифицированный троян, и сует в систем32 трояна с названием system32.exe - Ответ ДА это тоже обнаружил и удалил

четвертое: проверяет, может ли антивирус очистить вредоносное ПО из процессов, если оно уже запущено - этот тест тоже прошел.

Потом Секьюрити Тест ожидает несколько секунд, для того чтобы пользователь смог просканировать компьютер для антивирусов не имеющий защиту в реальном времени. И выдает результат.

Можно заметить, что Альтаир сработал в реал тайм. И все успешно заблокировал. По этому в его эффективности я еще раз убеждаюсь.

МакАфи частенько вордпрес блокирует

Результат вирустотал: 2 детекта из 39

Opa.png

Хрень на постном масле, но вы продолжайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Хрень на постном масле, но вы продолжайте.

Вы только тролите) Безо всяких доводов))

Что хрень?Оо Вирустотал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
2. Тот же касперский детектит по хешам в базах + эвристика.

 А мужики-то и не знают ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Теперь знают. ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

Больше ненависти! Давайте что ли фактов вброшу немного...

Из 289мб инсталлируемого хлама 238мб занимают официальные майкросовтовские инсталляторы .net фреймворков. Зачем им сразу все версии (2.0, 3.0, 3.5, +сервиспаки) не понятно. Разве что для солидности.

"базы" - половина .adm файлов либо пустая, либо содержит преведы вида "211:little boy :]]]] I know about your little problem :D"

Остальные (16 файлов, разбитые по первому символу) содержат MD5'ки в текстовом(!) виде

Соответственно внутри 37 741 142 байта всего / 33 байта на хэш == 1 143 670 хэшей

Не густо, надо сказать. Четкие посоны лимон хэшей за квартал добавляют.

Начинаем вытягивать файлы по хэшам (я посмотрел штук 200), и таки да, это не фэйк, файлы таки существуют

Но есть одно большое НО - 95% это DOS'овые вирусы 90х годов!

Мало того, что это совершенно неактуальный мусор 15-ти летней давности, так еще и детектить вирусы по хэшам от всего файла абсолютно бессмысленно. Это файло представляет из себя 0-поколение вируса, т.е. дроппер/goat со всеми комментариями, как автор прикладывал образец к е-зинесу (а в 90х это было нормой), что с реальным заражением не имеет никакой корреляции.

Судя по всему аффтор(ы) просто обсчитали какую-то раритетную публичную помойку типа vx.netlux.org

На мой взгляд это не фэйк-ав, а чистой воды "цыгантивирус" (с) сами-знаете-кто

Отличный бизнес судя по всему. Такое поделие пишется за месяц парой пьяных студентов, а потом демпингуем, берем локальные тендеры, и на майами =)

Еще доставляет "иммунизация" флэшек по заветам Бабушкина (usb.bat):

attrib -s -h -r autorun.*del autorun.*mkdir %~d0AUTORUN.INFmkdir <\?%~d0AUTORUN.INF..>attrib +s +h %~d0AUTORUN.INF

Bye-bye годовой отчет с именем autorun.xls

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
man-bsa
Не только Куропаткин выходит на госзакупки. http://altair.winzard.kz/?page_id=54

Я и сам с Альтаиром на госзакупках. К тому же на моем компьютере он установлен, как на домашнем, так и на рабочем.

Я тоже его ставил почти год назад.

Интерфейс - явные проблемы с цветами и шрифтами, опять же что такое Patch? Неужели нельзя было нормальную морду ему сделать.

Студенты из политеха или энерго лучше бы справились не особо напрягаясь за какой-нибудь зачет.

По работе программы - вообще ерунда какая-то, что этот антивирус вообще делает?

Из реальных зловредов взятых из карантинов McAfee, Kaspersky и Dr.Web ничего не обнаружил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Некторый офф. Если посмотреть шире, то окажется, что существует целый класс программ, у которых реальный функционал может полностью отсутствовать, а реализованным быть лишь в виде описания к программе, картинок в меню и индикатора прогресса.

Пример - антивирус, шифровальщик данных, чистильщик реестра, ускоритель чего-нибудь, дефрагментатор, наверно еще можно чего много добавить.

Т.е. вместо реальных действий можно сделать оболочку, прорекламировать и продавать. Ну кто вот реально определит без помощи нормального дефрагментатора, что фэйковый, просто сначала показал ужасную раздробленную картину, а потом, в течение 5 минут нарисовал ровнехонький рисунок из кирпичиков. А юзер будет доволен.

Получаем некие плацебо программы (при условии что не вредят). Из аналогичных вещей вспоминаются аудиофильские сверхдорогие кабели из бескислородной меди с многокаратным золотом, не вредят конечно, но легко выкачивают приличные суммы из лопухов, которым просто нужны понты.

Мне кажется для этих программ надо новое определение уже вводить.

Вспомнилось - недавно был скандал с поисковиками мячей для гольфа, которые поставлялись как детекторы взрывчатых веществ http://www.webground.su/topic/2013/05/02/t322/ Похоже как раз на фэйк антивирус, так как при наступлении реальной проблемы она не будет обнаружена.

ничего не напоминает?

Устройства Маккормика ADE 651 (Advanced Detection Equipment), если бы работали, были бы настоящим спасением от террористов, наркоторговцев, контрабандистов и всех возможных преступников. На вид прибор выглядит предельно просто: металлическая палочка на шарнире прикреплена к пластиковой ручке и подсоединена с помощью провода к небольшой коробке, которая вешается на пояс. Судя по испытаниям, работа прибора напоминает поиск воды с помощью лозы. Антенна должна указывать в направлении, где находится спрятанный предмет.

Маккормик обещал, что ADE 651 поможет найти чуть ли не любое вещество: взрывчатку, оружие, наркотики, различные жидкости, слоновую кость, купюры разного достоинства и даже людей. Реклама сулила, что прибор способен находить предметы с высоты пяти километров над землей, на глубине одного километра под землей и на глубине 31 метра под водой.

При этом устройство не требовало подзарядки, так как работало якобы на «электростатической энергии человеческого тела». В коробочку, к которой подсоединялась ручка с антенной, предлагалось вставить карточки разного цвета. Каждый цвет соответствовал типу предмета, который требовалось найти: будь то наркотики, валюта или взрывчатка. Утверждалось, что на карточках записана специальная программа, однако в действительно это были просто разноцветные пластинки без намека на особые технологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Этой ночью мы с DrGolova шли по схожему пути, с разницей, что он опубликовал результаты исследований, а я лег спать :) Потому повторяться не буду, а напишу пару дополнений.

1. База антивируса наполнялась в том числе из популярных вирусных коллекций, которые раскиданы по всяким варезным и не только сайтам, где люди скачивают эту коллекцию непонятно чего и ругают друг друга и антивирусы, что они не обнаруживают зловреды... например: в сети очень популярна коллекция из 3732 вирусов. Коллекция вирусов для тестирования антивируса. Вирусная коллекция для теста. (жирный шрифт для поисковика). Данные коллекции представляют из себя мусор в виде хрен пойми чего и зловредов под операционную систему DOS.

2. Большинство детектов (ну, вдруг где-то есть еще детект по имени файла...) сделано именно по md5 хешу файла целиком - качаем коллекцию, меняем какой-либо байт у нескольких файлов - детект отваливается.

3. В данной коллекции есть интересный файлик под названием TMTMID.TXT - хотя правильнее его было назвать по смыслу - readme.txt. Обычный текстовый файлик, описание коллекции. Название детекта очень красивое - Malware.Unclassifed.EE2 (почему именно EE2? да потому что с этих символов начинается md5 данного файла). Там в архиве есть еще несколько файликов из класса "readme" и они тоже прекрасно выпиливаются данным чудо-антивирусом.

4. Даже некоторые крупные ав-конторы идут на поводу у хомячков и добавляют в вирусные базы эту коллекцию хлама...причем ладно бы если б она была добавлено в 90-лохматом году, так нет же - за последние пару лет видно, что количество детектов растет. А такие новые антивирусы, как Зилля, Нано, разумеется тоже не должны отставать от планеты всей и добавили в базу практически всю вирусную коллекцию.

PS: А из серьезных вендоров кто-нибудь добавил этот ридми в базу как вирус? :lol: Обидно, но нет и детекта на остальные ридми от аверов с ВТ также не наблюдается.

PS2: прикладываю архив с данным вирусом... без пароля :o

PS3:

5 чел. читают эту тему (гостей: 2, скрытых пользователей: 1)

Пользователей: 2 ak_, Зайцев Олег

Олег, давай с нами :)

TMTMID.zip

TMTMID.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Получаем некие плацебо программы (при условии что не вредят). Из аналогичных вещей вспоминаются аудиофильские сверхдорогие кабели из бескислородной меди с многокаратным золотом, не вредят конечно, но легко выкачивают приличные суммы из лопухов, которым просто нужны понты.

Мне кажется для этих программ надо новое определение уже вводить.

Предлагаю использовать термин "бумажный антивирус" по аналогии с "бумажной безопасностью". Формально такой антивирус, например, рассматриваемый Альтаир, на бумаге может подходить под условия тендера, может по формальным признакам считать антивирусом (качество в данном случае не рассматривается). Другой вопрос, что бумажный антивирус на практике будет бесполезный. Но кого это волнует в коррумпированной среде? Все получили откаты, контракты, на бумаге все чин чином. Защита закуплена, установлена, аудитору можно показать, если что :) В общем все довольны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Нет, мне кажется надо более хлесткое название, понятное всем, что-то вроде "распил (или роспил по навальному) антивирус" или "откат антивирус" чтобы по названию сразу было ясно что это. заголовок "В тендере участвует откат антивирус" вполне доносит смысл поделки. Это при условии продажи продукта, если не продают, то пусть делают что хотят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Ага, значит результаты по ВТ, вполне можно принимать за реальное положение дел, может кому то спасут кошелёк)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion

Так, давайте перейдем к делу) Видно, что на форуме залежались некоторые комментаторы которые без понятия политики антивирусных вендоров пишут всякую ересь и хаят современные разрекламированные программы. Причем большенство - тупые и бесполезные софтины. Я не говорю что Altair, который нам предлагают так называемая компания workscape супер продукт. Но есть в нем потенциал, именно для Казахстанского пользователя. Я объясню свою точку зрения.

Давайте посмотрим примеры с другими антивирусами.

Ответьте мне на вопросы, или скажите где я не прав:

1. Откуда другие вендоры пополняют вирусную базу и почему она такая огромная а не лям с лишним, как в Альтаире?

- Мой ответ, от пользователей у которых установлены эти антивирусы. Каждое антивирусное решение должно не только защищать от известных злостных программ, но и от модифицированных. А так же обязаны принимать файлы для анализа, или отчеты с каждого компьютера своих пользователей в автоматическом режиме. И чем больше пользователей у антивируса, тем быстрее база накапливается.

На примере нода32 могу сказать, что база которая была выпущена неделю назад, а лицензия закончилась, уже будет не актуальной, так как модифицированный зловред будет обнаружен позже, но вы этого не увидите. Здесь я приводил уже этот пример http://vermillion.yvision.kz/post/312066

Все вендоры нам громко твердят обновляйте эту чертову базу, покупайте нашу лицензию! Потому, что если вы один из сотни пользователей которому попал новый зловред, он обязательно заразит вашу систему до не узнаваемости, и ценой вашей ОС обновятся другие пользователи в течении n`ного времени. Если вам повезет, то вирус тоже будет удален, если нет, восстанавливайте систему ручками.

Сидят аналитики, и смотрят в мониторы, пытаются обнаружить новую заразу на компьютерах своих клиентах. Опа! Обнаружен зловред, считываем его Md5 или другой тип суммы, ищем его уникальность и кидаем к себе в накопительный лист. Лист накопился, отлично обновляем наших пользователей. Правильно Касперский называет своих аналитиков - дятлами) Сидят и только успевают хеши кидать, ведь пользователей то в каждом континенте сотни тысяч.

Я не говорю, что не имеются гибридный способ сканирования, у Каспера он очень даже good. Но в Альтаире есть такая штука как Зонд, как песочница и блокировщик подозрительных приложений, правда его еще допиливать и допиливать, но идея хороша, чем то смахивает на Авастовский сандбокс.

2. Представьте на Ваш компьютер, на которым находится интересная для хакера информацию попал вирус. Он сможет утащить важную инфу, с условием того, что установлен известный антивирус с последними базами?

- 100%, да. И не только утащить важное, но и убить вашу систему, так что вы запаритесь восстанавливать информацию. И это будет не руткит, так, как руткиты больше палятся антивирами, чем безобидное на первый взгляд ПО, в некоторых случаях даже без прав администратора можно хорошую кашу заварить.

1. Альтаир собирает базу только из пользователей, на которых установлен сей антивирус, ну может быть еще какие то дополнительные источники, типа 3732 супер вируса. По этому база еще мала. Учитывая всего год работы, а с официальной версией - пол года (!). Это совсем не значит, что пользователи не защищены. Даже на оборот, аналитикам быстрее добавлять сигнатуры и анализировать новые вирусы, когда меньше пользователей. И детектить можно по одному источнику то бишь рабочей станции, а не ждать пока вирус распространится на сотню юзеров, а потом рисовать красивые графики географического распространения на своем сайте.

2. По мимо хэшей, имеется детект модифицирующихся программ + песочница. Которые уменьшат риск появления нового вируса.

3. Был случай, когда нод удалил трояна по этому пути: HKLM\Software\Microsoft\...\Winlogon\userinit, а в реестре, естественно ничего не исправил. Для пользователя, который понятия не имеет что такое загрузочный диск это оказалось критичным. Стоял бы Альтаир, вирус был бы обнаружен, а ветка реестра поставлена на свое законное место, будь то C:\Windows\system32\userinit.exe.

4. Про автозагрузку походу антивирусы вообще забыли. Мне лично неприятно, когда в нее лезет не понять что. Тот же GuardMail или GeolocationProvider (как то так). С помощью Альтаира это легко забанить.

ИМХО каждый антивирус должен не только успевать дятловским способом добавлять в базу хэши, но и иметь в себе альтернативные способы для обнаружения несанкционированного доступа к компьютеру из вне. Этим обладает один из моих любимых АВ - Outpost Security.

Альтаир не фейк антивирус и не бумажный, это антивирус который не отличается ничем от современных, но пока еще работает с малым количеством своих пользователей. И те функции, которые сейчас выполняются в этом антивирусе, наиболее приближены к реальной безопасности системы, а не тупое колотилово мд5 как в Австрийских пацанах. Есть еще куча недочетов и не совсем корректных выполнений своих функций для современной защиты. Но судя по http://altair.winzard.kz/?cat=4 с такими темпами скоро они все будут исправлены.

З.Ы.

А вообще каждый антивирус до сих пор имеет ряд своих минусов. Но врятли они буду писать на своих сайтах, как хренова работает в таком то месте их код, или грамотно ли устроены такой то функциональный процесс. Они просто запилят новую версию.

Если рассматривать какой нибудь другой антивирус и заранее ожидать от него фигню. То ее только и обнаружишь, а про логику вообще можно забыть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Итак все понятно "антивирус" Альтаир пустышка. Я вообще не пойму зачем на него еще тратить нужно свое время?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Откуда другие вендоры пополняют вирусную базу и почему она такая огромная а не лям с лишним, как в Альтаире?

- Мой ответ, от пользователей у которых установлены эти антивирусы. ... И чем больше пользователей у антивируса, тем быстрее база накапливается. ...На примере нода32 могу сказать, что база которая была выпущена неделю назад, а лицензия закончилась, уже будет не актуальной

1. основной путь набора вирусных баз это отнюдь не файлы, которые сабмитятся от пользователей через KSN/LiveGrid и т.д

2. Так можно про _любой_ антивирус сказать - база недельной давности у _любого_ антивируса является неактуальной

3. независимо от количества файлов в базе (все с чего-то начинали) детектить их нужно не по md5-хэшу

Представьте на Ваш компьютер, на которым находится интересная для хакера информацию попал вирус. Он сможет утащить важную инфу, с условием того, что установлен известный антивирус с последними базами?

- 100%, да.

Или вы таким образом таргетированную атаку назвали? Или мы про Zbot говорим? Допустим он не палится базама N-ного антивируса на сегодняшний день и попал через уязвимый плагин на комп юзеру... вот только у нормального антивируса есть и эмулятор, и защита от эксплоитов, и фаервол, и поведенческий блокиратор (во время инжекта спалит) и защита персональных данных - попробует спереть пароли от фтп, а фиг ему... чуете к чему? к тому, что _нормальный_ АВ комплекс имеет кучу возможностей заблочить зловреда даже без помощи баз.

Альтаир собирает базу только из пользователей, на которых установлен сей антивирус, ну может быть еще какие то дополнительные источники, типа 3732 супер вируса. По этому база еще мала. Учитывая всего год работы, а с официальной версией - пол года (!). Это совсем не значит, что пользователи не защищены.

1. А зачем файлы ридми было детектить?

2. Это совсем не значит, что пользователи не защищены?! А как проверить защиту? От какой угрозы они защищены? Скажите простую вещь - где найти в интернете реальную малварь, которую бы обнаружил альтаир? (аналогичные коллекции зловредов конца 70-х не предлагать скачивать).

а ветка реестра поставлена на свое законное место, будь то C:\Windows\system32\userinit.exe.

там другое значение должно быть

Про автозагрузку походу антивирусы вообще забыли. Мне лично неприятно, когда в нее лезет не понять что. Тот же GuardMail или GeolocationProvider (как то так). С помощью Альтаира это легко забанить.

любой нормальный АВ-комплекс знает куда больше мест автозагрузки (и других критичных мест системы, которые сложно классифицировать, например, Shell) и контролирует туда запись. и это даже можно настраивать...

Этим обладает один из моих любимых АВ - Outpost Security.

Зачет. Возражать не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion

Если точнее быть 2106674, точное количество сигнатур в базах Altair. Пришлось на делфи написать небольшую софтину для подсчета)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

а дубликаты есть? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
1. основной путь набора вирусных баз это отнюдь не файлы, которые сабмитятся от пользователей через KSN/LiveGrid и т.д

2. Так можно про _любой_ антивирус сказать - база недельной давности у _любого_ антивируса является неактуальной

3. независимо от количества файлов в базе (все с чего-то начинали) детектить их нужно не по md5-хэшу

1. файлы и отчеты, еще облако

2. значит все таки файлы и отчеты)) ну еще на форумах время от времени помогают

3. все детектят именно по хэшу, не обязательно по md5 + дополнительные плюшки

Или вы таким образом таргетированную атаку назвали? Или мы про Zbot говорим? Допустим он не палится базама N-ного антивируса на сегодняшний день и попал через уязвимый плагин на комп юзеру... вот только у нормального антивируса есть и эмулятор, и защита от эксплоитов, и фаервол, и поведенческий блокиратор (во время инжекта спалит) и защита персональных данных - попробует спереть пароли от фтп, а фиг ему... чуете к чему? к тому, что _нормальный_ АВ комплекс имеет кучу возможностей заблочить зловреда даже без помощи баз.

Как и Альтаир имеет дополнительные возможности для блокировки, но обмануть ппц легко любой антивирус. Сам писал вирус который очень долго сидел на компьютере с каспером и ждал своего часа. К счастью с этим человеком мы помирились, но троян до сих пор сидит не спаленный, причем самое обычное приложение, которое разнесет пользовательский пк.

1. А зачем файлы ридми было детектить?

2. Это совсем не значит, что пользователи не защищены?! А как проверить защиту? От какой угрозы они защищены? Скажите простую вещь - где найти в интернете реальную малварь, которую бы обнаружил альтаир? (аналогичные коллекции зловредов конца 70-х не предлагать скачивать).

1. Хз, как я и говорил, у всех есть касяки)

2. Точнее середины 90х) Вопрос в том, какая из этих малварей будет находится на юзеровском компе до тех пор пока не обновится база.

там другое значение должно быть

1. Какое? Просто userinit?))

любой нормальный АВ-комплекс знает куда больше мест автозагрузки (и других критичных мест системы, которые сложно классифицировать, например, Shell) и контролирует туда запись. и это даже можно настраивать...

Не любой. Альтаир так же контролирует не только общий и пользовательский Run.

а дубликаты есть? :)

Неа, тоже проверено )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
1. файлы и отчеты, еще облако

2. значит все таки файлы и отчеты)) ну еще на форумах время от времени помогают

3. все детектят именно по хэшу, не обязательно по md5 + дополнительные плюшки

1. ага, про пауки, хонепоты не слышали?

3. разницы между хэшем и мд5 хешем не ощущаем?

1. Хз, как я и говорил, у всех есть касяки)

2. Точнее середины 90х) Вопрос в том, какая из этих малварей будет находится на юзеровском компе до тех пор пока не обновится база.

1. это не косяк - это и есть технология антивируса.

2. Что? Я ничего не понял.

Что умеет данный антивирус? Все, что есть в его базах - это хлам 20-летней давности, добавленный по md5, чтобы тупые юзеры, желающие проверить крутость антивируса видели, что он удаляет все файлы в папке (даже все ридми...)

Какое? Просто userinit?))

запятая на конце там должна быть <_<

Не любой. Альтаир так же контролирует не только общий и пользовательский Run.

Не любой? :) Что же не детектируют Касперский и Аутпост?

PS: вы либо тролль (автор сего чуда), либо реально не понимаете, что ТАКОЕ продавать нельзя - оно ни от чего не защищает - оно никакие вирусы не ловит и не лечит - максимум может удалить архив с коллекцией вирусов под DOS и мониторить пару ключиков реестра (даже если 10).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
1. ага, про пауки, хонепоты не слышали?

3. разницы между хэшем и мд5 хешем не ощущаем?

1. Ловушки и IDS практически та же система, что и песочница. Я говорил про выделенку типа облака.

2. А кроме МД5 больше сумм не знаем?

1. это не косяк - это и есть технология антивируса.

2. Что? Я ничего не понял.

Что умеет данный антивирус? Все, что есть в его базах - это хлам 20-летней давности, добавленный по md5, чтобы тупые юзеры, желающие проверить крутость антивируса видели, что он удаляет все файлы в папке (даже все ридми...)

1. это косяк, как и тот косяк когда симантик детектил половина установочных файлов с одной из программ для создания инсталляторов. Или нод32 - 3 обчищал время от времени буффер обмена.

2. Этот антивирус умеет поддерживать базу в актуальном состоянии для пользователей у которых установлен этот антивирус. Смотреть здесь http://altair.winzard.kz/?page_id=32

запятая на конце там должна быть

Ну не придирайся хД еще .exe должно быть)

Не любой? Что же не детектируют Касперский и Аутпост?

Аутпост не трогать! Это другая тема) Кроме каспера и аутпоста по моему еще более сотни антивирусов, м?) Не все правильнее сказать.

PS: вы либо тролль (автор сего чуда), либо реально не понимаете, что ТАКОЕ продавать нельзя - оно ни от чего не защищает - оно никакие вирусы не ловит и не лечит - максимум может удалить архив с коллекцией вирусов под DOS и мониторить пару ключиков реестра (даже если 10).

1. Я не автор этого чуда, но авторам респект! Такое продавать нужно и развивать тоже нужно. Лично я уже около 50 коробок продал, и хоть бы один человек пожаловался. Как я уже говорил, у меня он так же установлен. А полюбил я этот АВ после хорошей блокировки Винлокеров.

P.S. вы скорее всего супер-агент Касперского) У него есть такие люди.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
2. А кроме МД5 больше сумм не знаем?

Разве Альтаир какие-то еще хэши юзает? есть свои разработки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
Разве Альтаир какие-то еще хэши юзает? есть свои разработки?

Я выше писал уже. Обычно когда Альтаир перемещает файл в карантин и детектит его как модифицированное ПО. Значит он его обнаружил не по хэшу. Я пробовал вытаскивать его из карантина и менять байты и имя файла. Альтаир все равно его детектил.

Про многие косяки ребят из workscape над антивирусом Altair я писал им по электронке. Большинство они исправляли с новыми модулями. И кстати адекватные люди, если бы делали фейк, послали бы меня сразу, или игнорили. Но сразу видно, что есть амбиции развивать свой продукт.

кстати про ошибку с виндовс сервер на их сайте, Я спалил))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

ближе к теме: какие вредоносы он может обнаружить? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion
ближе к теме: какие вредоносы он может обнаружить?

Взято с сайта разработчика:

"ALTAIR блокирует появление баннеров рабочего стола, троянских

программ, руткитов, программ шпионов, бэкдоров, ботнетов

и др. С высокой точностью определяет вредоносный код.

Если вирус не известен, система ZOND© делает его

«обездвиженным» до следующего обновления сигнатур. Имеется возможность установки программы прямо на зараженный компьютер, с последующей очисткой."

Вопрос в том как именно кроме МД5 он обнаруживает вредоносы? Если смотреть краткую схему работы Зонд. То доходишь до "Приложение относится к опасным?", а вот каким образом Зонд определяет опасность приложения, этого мне не знать) Про модифицированные файлы тоже хз. Но факт в том что обнаруживает их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • demkd
      а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
    • santy
      Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP  пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
    • demkd
      ---------------------------------------------------------
       4.99.4
      ---------------------------------------------------------
       o Исправлена функция автоматического переключения удаленных рабочих столов.
         Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения
         от имени администратора не происходило автоматическое переключение на защищенный рабочий стол.
         (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было).

       o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS.
         Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS.
         Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD.
         (!) Выявлена проблема совместного использования uVS и системного рабочего стола.
         (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет
         (!) отбразить рабочий стол логона пользователя (Winlogon).
         (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
       
    • demkd
      ---------------------------------------------------------
       4.99.3
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы.
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру.
         (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом.
         Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой.
         Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и
         физическая возможность подключения к удаленному компьютеру.
         Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования.
         o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной
           способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS).
         o Передаваемые кадры теперь не только сжимаются, но и шифруются,  целостность передаваемых файлов защищена
           проверочным хэшем и шифрованием.
         o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P.
         o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP.
         o Подключение возможно к компьютеру, где активирован VPN.
           (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется.
         o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается
           при начальной настройке.

         При запуске start.exe теперь вам доступны три новые кнопки:
         o Управление удаленным компьютером и обмен файлами.
           Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать
           вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру.
           Варианты подключения:
             o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая
               сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером
               и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]).
               Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию.
               Если же в списке нет белых IP то вам следует выбрать другую опцию подключения.
               После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне.
               При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения.
               Поддерживается и IPv4 и IPv6.
               (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт".

             o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически
               если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения.

         o Разовый удаленный доступ к моему компьютеру [админ]
           (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб.
           Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать
           разрешения для другой стороны.
           Доступны 3 варианта:
             o  Управление     - доступно: мышь, клавиатура, просмотр экрана и обмен файлами.
             o  Просмотр       - доступно: просмотр экрана и обмен файлами.
             o  Обмен файлами  - доступно: обмен файлами.
           Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения
           запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del.

         o Разовый удаленный доступ к моему компьютеру [не админ]
           Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора
           и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов.

       o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны.
         Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне
         удаленного рабочего стола нажмите кнопку со стрелкой вверх.
         Передача изображения автоматически отключится и откроется окно с логом передачи файлов.
         В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска).
         По окончании передачи  файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и
         средней скорости передачи.
         Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете  вставить их из буфера
         в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога.
         Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\*
         точный путь до которого выводится в лог на удаленном компьютере.
         Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере
         и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера
         и вы можете перенести их в любую нужную папку.
         Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования.
         (!) При закрытии окна лога передача файлов будет остановлена.
         (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения,
         (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его
         (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново.
         (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки.
         (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается
         (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой.
         (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно
         (!) сократит время передачи.
         (!) Состоянии кнопки CS никак не влияет на данный функционал.

       o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети
         IPv4 позволяет достичь более высокой скорости передачи данных.

       o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации.

       o В случае разрыва соединения повторное подключение происходит автоматически без запроса.

       o Снижен инпут лаг при работе с удаленным рабочим столом.

       o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов
         в обе стороны.

       o Обновлена функция передачи движений мыши в удаленную систему.
         Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM)
         Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше),
         в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши.
         При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей
         клавише RWin.

       o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS.

       o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора.
         Кнопка 1:1 применяется автоматически при первом выборе монитора.
         Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем,
         где размер окна включает в себя тень.

       o Добавлен выбор метода захвата экрана, доступно 3 варианта:
         o GDI -  медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps.
                  (единственный доступный метод для Win2k-Win7)

         o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия,
                  переменный fps в зависимости от экранной активности.
                  (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2.

         o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера,
                  работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности.
                  Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров.
                  (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности).
                  (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше
                  (!) из-за низкого коэффициента сжатия.
                  (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше.
          
       o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров.
         (отжатая кнопка соответствует нулевой задержке)
         Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии
         с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг,
         однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления
         при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной
         экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом
         из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить,
         в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд.
         Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата.
         Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале.
         Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг.
         Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS.
         Выбранная цветовая битность теперь тоже сохраняется.

       o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы,
         Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно.
         Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами.

       o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя.
         (только если открыто окно удаленного рабочего стола)

       o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме.
         (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола,
         (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана.

       o Добавлена поддержка браузера Microsoft Edge.

       o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge.
         Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений.
         Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью.
         Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на
         отсутствующие файлы.

       o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта.

       o Улучшена совместимость с системами с малым количеством оперативной памяти.

       o Исправлена функция захвата экрана в GDI режиме.

       o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу.

       o Исправлена ошибка в функции смены рабочего стола

       o Исправлены ошибки инициализации COM.

       o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска.

       o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом.

       o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой
         до повторного открытия окна удаленного рабочего стола.

       o Исправлена ошибка при открытии окна информации о компьютере.
         Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение
         ее производительности.

       o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или
         через контекстное меню.
         (!) Недоступно при работе с образом автозапуска.
       
×