Перейти к содержанию
vaber

Антишпионы в брандмауэрах

Автор vaber, в Выбор сетевого экрана (фаерволы, firewall)

Recommended Posts

broker    30

broker
Опубликовано

Сергей Ильин

вот это не правильно, есть процессы которые никоим образом изменяться не должны.. (типа winlogon.exe и т п), вообще если кто-то пытаетеся спорить с системой или вмешиваться в её работу то в большинстве случаев это вредонос

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано

Нашёл в инете несколько вредоносных программ и решил проверить встроенный в аутпост модуль антиспайвэй. Надо сказать, результаты меня порадовали. так как помимо шпионов он оказывается ловит и рекламные проги и даже кейлоггеры!!!

Интересно, одну шпионскую прогу не видел даже Каспер, а вот антиспайвэй-определил! Правда, что касается Adware, то нашёл он далеко не все, что вообщем я считаю не является недостатком.

Интересно то, что он может проверять и в архивах(RAR,ZIP)

Скриншот прилагается.

antispyware.rar

antispyware.rar

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

vaber

Вообще под spyware сейчас подразумевают широкий класс потенциально опасного ПО, в том числе adware, keyloggers и т.д. Это определение Anti-Spyware Coalition (in the broad sense - в широком смысле). Поэтому все вендоры работают в направлении детекта всех этих классов программ.

Поэтому так и должно быть, что движок у Outpost берет различные потенциально опасные программы.

Я вот чего-то так и не нашел на официальном сайте информации о том, чей же у них движок стоит ... ведь сто пудово они его у кого-то по лицензии взяли.

Может кто знает?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

broker    30

broker
Опубликовано

Сергей Ильин

Я бы сказал условно опасного, так как лопата тоже условно опасна, поэтому в самолёт с ней не пустят. Половина консольных утилит разработанных systernals обнаруживаются каспером как условно опасные и ЭТО ПРАВИЛЬНО, админ обязан знать, что качают юзеры...

Но честно говоря, когда у тебя есть разрешение на использование этиъ утилит в благих намерениях и Каспер мешает, ТО КАСПЕРА ХОЧЕТСЯ ВЫКИНУТЬ... Тоже самое хочется сказать и в отношении avel.exe !!!!!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано
когда у тебя есть разрешение на использование этиъ утилит в благих намерениях и Каспер мешает, ТО КАСПЕРА ХОЧЕТСЯ ВЫКИНУТЬ

В 6-ке есть механиз исключений для потенциально опасного ПО, это как раз на тот случай, если тот же radmin испольуется на компе легально.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

broker    30

broker
Опубликовано

Сергей Ильин

для каждого ПО отдельно надо высталять или сразу группой?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Исключения выставляются отдельно для каждого, но можно выключить детект для потенциально опасного ПО вообще.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Latin    5

Latin
Опубликовано
А вот про работу(качество детектирования)встроенных в фаерволл(agnitum,zone alarm) мало где пишут.

Про OP мне интересно узнать кто ж им движок делал и на основании чего они определяют вредоносность? Были такие прецитендны: есть стандартные методы повышения безопасности в M$ прописываешь полные пути к проводнику скрисеверу и т.д., так вот OP при этом начинает вопить, что обнаружен троян winlogon.exe и предлагает удаление :):( Так что качество конечно надо еще подтягивать а вообще в брэндмаурех такие вещи нужны. Только по типу OP в виде плагина. И еще бы не в одном дестрибутиве, а скачивания(заказа/покупки) при необходимости.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано

Олег Зайцев прогонял эту антиспайварьную компоненту через свой набор зловредов. Результат- в среднем определилость 10%.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
Олег Зайцев прогонял эту антиспайварьную компоненту через свой набор зловредов. Результат- в среднем определилость 10%.

Олег прогонял Tauscan от Agnitum. Хотя вроде бы этот Таускан несколько отличается от встроенного в брандмауэр модуля анти-спайваре.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор сетевого экрана (фаерволы, firewall)

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      И не должен работать, такое удалять разрешено только вручную.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask  [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов. Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду: 1) Обнаружить угрозы - исходя из данных статистики 2) Создать автоскипт на базе общей операционной статистки 3) Создать автоскипт на базе моей статистики. Файл\ы данных доступны - как при обращении к серверу - так и локально. ----- % 70 скрипта - Это всё одно и тоже... Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека. ------- Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?  
×