Авторизация
Ник
Пароль:
      
Офисные приложения
Список конференций  Список ТемСоздать новую тему  Добавить свой ответ
VirusHunter (Администратор)
Странный глюк Антивируса Касперского при обновлении баз  
Всем добрый день. Сейчас тестирую KAV 15.0.2.361 - у кого, кто им тоже пользуется, какое количество сигнатур в базах при обновлении на сегодняшнюю дату? Просто уже 4-й день оно не меняется после обновления (точнее, периодически меняет значения с одного на другое - одни и те же 2 варианта - 8062160 и 8060840), хотя в строчке с датой пишет, что базы обновлены сегодняшним числом и являются актуальными. Выглядит как феномен - никогда ещё не сталкивался с тем, чтобы при обновлениях базы (пусть даже её и оптимизируют) кол-во сигнатур в течении нескольких дней вообще не менялось, или менялось на одни и те же значения.

P.S. Похоже, не я один столкнулся с таким феноменом - вот человек тоже такое наблюдает, только с серверной линейкой - https://forum.kaspersky.com/index.php?showtopic=352355 Тех. поддержка Каспера, как всегда, морозится и уходит от прямого ответа ... ((
 22.06.2016 06:13 
NoFtp (Академик)
 
Существует три вида лжи - просто ложь, наглая ложь и статистика. Жертвой третьего вида лжи можно считать того, кто верит числу вирусов в базе. Определенно это глюк, но крайне низкоприоритетный. Скорее всего все закончится тем, что ЛК посоветует не волноваться, заняться чем-то более приятным, чем сличением  цифр. И укажет, что в любом случае антивирус  использует "облако", где данные о заразе - всегда в режиме онлайн.
 22.06.2016 12:44 
VirusHunter (Администратор)
 
Шутки шутками, но я реально не понимаю что Каспер делает: на 3-х компах, где установлена одна и та же версия, внесены одни и те же настройки - после произведенного обновления, датированного одним и тем же временем, на всех 3-х машинах кол-во сигнатур - разное, причём разница достигает почти что 300000 сигнатур (!!!) Однако, несмотря на это и полную идентичность выставленных настроек отслеживания вирусов, на одном компе - где база, почему-то, больше, Касперский реагирует на просто попытку просмотра кода вирусных файлов, а на двух других - только при попытке их запуска, а на просмотр никак не реагирует... Вобщем, с одной стороны, он ловит то, что я выявил в Инете и недавно пересылал в ЛК на исследование - и при "большой" базе, и при "маленькой", но меня настораживает, во-первых, такая разница в количестве сигнатур при одинаковых условиях работы и настройках антивируса, во-вторых - что эти цифры не меняются с течением дней после очередных обновлений - меняются одни цифры на другие, а потом другие - снова на первые...
 23.06.2016 04:40 
VirusHunter (Администратор)
 
Вобщем, накопав некоторую скудную информацию в Интернете (такое впечатление, что Интернет - в плане рассмотрения проблем с продуктами Касперского - постоянно подчищают, и присутствует только редкая информация, в основном уже неактуальная и не старше 2013-го года, а вот дальше - практически никакие проблемы нигде не описаны и не рассматриваются - даже странно как-то...) и проведя нехитрые эксперименты на одном из компьютеров с установленным антивирусом, вроде как докопался до причины выше описанного феномена с базами: мягко говоря, это полный маразм - кто-то когда-то видел, чтобы часть сигнатурных кодов хранилась локально - в компьютере пользователя, часть - где-то на серверах Касперского, а ещё часть - в сети "Облака" - ? Так вот так оно, оказывается, и хранится - поэтому, если обновляться, например, при отключенных компонентах антивируса, связанных с Интернет-защитой, то загружаться в компьютер будут только базы, не связанные с Интернет-угрозами, а если - интереса ради, отключить файловый монитор - сердце всей защиты и самый надёжный и древний метод выявления вредоносных объектов - база, мягко говоря, вообще обновляться не будет... Думаю, комментировать тут что-то дальше бессмысленно. Проще говоря, те, кто не хотят нагружать систему ненужными компонентами защиты - типа проверки Интернет-трафика, загружаемых в почте и пейджерах файлов "по ходу их загрузки", проверять сайты на подозрительность, а также не хотите предоставлять бесконтрольную отсылку данных с Вашего компьютера в мировую сеть "Облака" Касперского - Вы можете оказаться далеко не настолько защищёнными, как кажется на первый взгляд. Лично меня такое открытие убило наповал...

P.S. Вот, кстати, эта темка поднималась на Форуме сайта Касперского ещё в 2012-м году - http://forum.kasperskyclub.ru/index.php?showtopic=36530 Интересен тот факт, что большую часть тех, кто подымал этот вопрос и спорил с тех. поддержкой, тогда забанили.
Кстати, для меня загадкой всё равно остаётся одно: почему на компьютерах с одинаковыми настройками антивируса обновление баз загружается в разном виде? Я так понял, что "маленькая" - это оптимизированная, а "большая" - неоптимизированная, но ведь время обновления и выкладки его на сервере Касперских - одно и то же...

 23.06.2016 05:20 
NoFtp (Академик)
 
Я вспомнил по этому поводу, как основатель Facebook Марк Цукерберг выложил фотографию со своего рабочего места. И СМИ тут же заметили, что на его ноутбуке заклеены изолентой веб-камера и микрофон. И по рунету пошла шутка: по данным лаборатории Касперского 25% пользователей заклеивают веб-камеры. Как и откуда эти данные, лаборатория не уточняла.
Приходится принимать, как данность, что современное собственническое ПО, в том числе, от Касперского и Ко ничего не гарантирует. Оно работает на получение денег и только в интересах своего производителя. И пытается развести пользователя заплатить еще немного. За более расширенную версию, которая "еще более лучше" защитит пользователя. На плагин. На платный кодек. На очень нужный сервис...
И, если раньше, легально приобретаемое ПО от известного производителя, означало некий уровень качества, когда ПО писал "гик", или небольшая команда профи, то сейчас это не гарантирует ровно ничего. Вы покупаете программный продукт "как есть", со всеми его хитрыми "закладками", с особенностями, с багами. Производитель может привлечь к разработке индусов, стучащих по клавиатуре ногами, или китайцев, работающих за еду. Или обезьян из зоопарка. И совесть его будет как бы чиста. Пользователи Windows 8-10 это заметили.

Так что все задающие лишние вопросы, сравнивающие цифры в базах и просто излишне любопытные будут "покараны" производителем, как враги корпорации. :)
 30.06.2016 06:49 
VirusHunter (Администратор)
 
Сейчас с ЛК ситуация вообще странная: раньше можно было файлы для изучения/ложники отсылать как через личный кабинет, так и через емэил - прямо вирусным аналитикам, если были проблемы, которые нельзя было решить посредством онлайнового робота. Теперь мне некуда отсылать пакет с ложниками Касперского - везде ответы пишет автоответчик-робот: если я отсылаю пакет со стандартным паролем - робот пишет про ложники, что они уже детектируются антивирусом; если я специально отсылаю пакет с отличным от стандартного паролем - робот пишет, что пакет не удалось распаковать и письмо не может быть передано на анализ (раньше пакет передавался для ручной распаковки вирусным аналитикам, которые, прочитав текст моего письма, понимали о чём идёт речь, принимали меры и вносили правки); если я отсылаю письмо без вложений, в тексте которого спрашиваю КАК же мне отослать таки вложения - опять мне отвечает робот, что приложений не найдено и отправляет моё письмо в корзину, или же просто никакого ответа нет... И вот лежат у меня эти файлы - а это же, очевидно, не единственные ложники, наверняка и кто-то ещё хочет, как и я, отослать файлы на анализ вирусным аналитикам - но там одни роботы, для которых всё в порядке и существует только мусорная корзина, в которую они и пасуют мои послания и, очевидно, сообщения других пользователей... Короче, жесть полная!
 30.06.2016 10:53 
NoFtp (Академик)
 
До кучи, чтобы не открывать новую тему. Получил сегодня зловреда в почту.
Отправил вендорам на vendors(собака) malware-research.co.uk .
Оттуда рассылается всем антивирусным ребятам.
Касперский автоматом отписал, что робот передал на изучение людям новый образец. И тишина.
Доктор Веб ответил, что все у них уже в базах уже есть, типа мы этого зверя знаем, как своего.
Я написал, что судя по Вирустоталу, таки не детектит. Ни один антивирус, кстати.
В ответ мне уже человек из доктора пишет: А ну, тогда напишите в Вирустотал :)
И вот оба уже детектируют. Остальные пока спят:
https://virustotal.com/ru/file/9b0f31d38fc93365f97accd59dd4131874e308680a52adb92006cb6832cd6797/analysis/1469457672/
 25.07.2016 10:01 
VirusHunter (Администратор)
 
NoFTP, привет. Можешь мне его переслать на емэил в архиве с паролем 1 -? Интересно, что оба детектят, но один как скрипт на Batch, а второй - как скрипт на JS. Если там таки батч - интересно взглянуть, ну и мою коллекцию пополнить. ))
Кстати, если касперцы на тебя среагировали - может спросишь их, как мне, всё ж таки, передать им на правку детекшенов файлы, на которые Касперский ошибочно матюкается "вирус" - ? А то я никак к ним подхода найти не могу... ((
 29.07.2016 08:16 
NoFtp (Академик)
 
Теперь у меня 2 варианта вируса. Первый - тот, что поменьше. С его "узнаваемостью" уже чуть лучше. Отправил тебе оба. Реакция антивирусных лабораторий (при отправке заразы всем сразу) непредсказуема. Большинство молчат вообще, только у доктора и Каспера обязательно идет автоматическое подтверждение. И потом кто-то живой может глянуть.
В прошлый раз вживую ответили из доктора и Авиры, кажется. 
Вчера на 2-й образец ответил Eset, типа внесем в базу. 
Самое главное, ни один антивирус не детектировал первый образец на момент его получения. И сейчас большинство АВ его "не видят".
Вот так и плати за этот сервис. 
Хотя, может быть, есть микроскопическая вероятность, что какой-то из антивирусов, заметив подозрительную активность по шифрованию файлов пользователя, забил бы тревогу, или хоть предупреждение выдал. Правда, у нас бухгалтерша первый вариант вируса запустила при работающем Каспере со свежими базами. Тот и не пикнул, пока ее файлы шифровались...
Что касается вердикта АВ, насколько могу догадаться, сам файл - командный, ("cmd", почти то же что батник) с обфускацией содержимого, а тот файл, что потом работает (извлекается, или докачивается?) шифрует файлы пользователя - он уже на JS. И есть баннер-вымогатель со страшным текстом заплатить сто баксов - приложение HTА. которое прописывается в автозагрузку.
Общая форма: https://newvirus.kaspersky.ru/ Если там выбрать "чистый" и отправить ложняк  - нет реакции?
Если нет, то жду обратно файл с фальшивым срабатыванием. С паролем 1. Попробую достучаться кому-то по старой памяти и отпишусь, что получится.
 02.08.2016 00:58 
NoFtp (Академик)
 
Отзыв о ЛК изнутри. 
Сперто отсюда: http://otrude.net/employers/25980?sort=useful
    
Устроился в компанию без малого 8 лет назад. И долгое время всё было прекрасно - молодой профессиональный коллектив (куда странные, глупые и вообще мутные личности просто не попадали), зарплата выше, чем по рынку, профессиональный рост. В 2009 году, в разгар кризиса, я сменил должность и зарплата одномоментно увеличилась в два раза. Даже офис, в котором можно было тупо открыть окошко - это тоже плюс )) 
Очень клёвые корпоративы (летом, в день рождения компании, и зимой, под Новый год) и тимбилдинги (раз в квартал всем департаментом, а то и двумя, выезжали в интересные места - всё оплачивалось). 
В целом, в компании была дружелюбная и клёвая атмосфера, на работу хотелось идти.


Изменения произошли года 4 назад - начали один за другим уходить олдовые сотрудники, причём только те, кто реально представлял собой пользу для компании. Бестолковые же паразиты, которые работали там за 5 лет до меня, сидят и поныне, в том числе на руководящих должностях. Плюс к этому, компанию наводнили пришлые личности, от младших админов до топов, которые неквалифицированы, не заинтересованы в работе на компанию, а только лишь в том, чтобы срубить бабла за контракт и свалить после потопа, учинённого ими. На руководителя нашего департамента дважды подряд брали иностранцев, которые по три года непонятно чем занимались, разве что летали к себе на европейские родины бизнес-классом.
Два года назад переехали в новый офис - и по сей день там душно, от солнца не скрыться, питаться можно только в столовой с адовыми ценами. 
Всё чаще стали закручиваться СБ-шные гайки - эти товарищи то и дело лезут в твой проект в самый неожиданный момент, тормозя его. 
Внутренние ИТ-системы обновили на решения, которые кроме как за откат не поставишь - они не отвечают ни требованиям внутренних заказчиков, ни вообще здравому смыслу. 
Тимбилдинги исчезли как класс, причём не у всех - эйчары могли слетать в Грецию, а нам соглашались оплатить максимум жралово-бухалово в кабаке на выбор.
За все годы меня не повысили даже на одну позицию, до старшего инженера поддержки/техписателя/аналитика, хотя упахивался я как следует. Видимо, надо было чаще ходить обедать с нужными людьми, чего моя замкнутая натура не любит =)
Ну и в завершение - зарплата практически перестала расти, а свете последних событий было принято решение "оптимизировать систему бонусов", и эта оптимизация выглядела так, что за премию теперь надо будет жопу рвать (до того, премии можно было лишиться только за очень серьёзный фейл - мне за всего годы этого не удалось). И когда новая "начальница" (сопля-ровесница) мне, с хроническим недосыпом и мешками под глазами, сказала, что мало работать от звонка до звонка, надо пахать - вот тут меня окончательно всё достало, и было решено валить в неизвестность во время очередного "кризиса".
 02.08.2016 10:02 
VirusHunter (Администратор)
 
Привет, NoFTP. Сегодня вернулся с отдыха. Сразу, как проверил почту, посмотрел присланные тобой файлы зловредов. Первый - тот, что 900 байт имеет, это интересный BATник - он частично зашифрован, да ещё и некоторый функционал смахивает на вставки кода на VBS. Вот только как идёт расшифровка отдельных байт - не совсем понятно (насколько мне известно, в ХРишке такого механизма в интерпретаторе команд нет). Очевиднее всего, работает это существо на ОС Виндовс более поздних версий, чем ХР. Сам батник - это троян-довнлоадер, который загружает с чьего-то облака в Инете файл mqlook.js, в котором, очевидно, и содержится скрипт с функционалом шифрования файлов на компьютере пользователя. Также в коде батника есть некие строки-идентификаторы. Оформлены они как строки-комментарии, но похоже, что используются неким образом как аргументы для ключей шифрования файлов.
Второй файл написан на JS или VBS, но по этим языкам я не спец - покажу этот файлик Swat2 - он в этом разбирается лучше кого бы то ни было.
Сейчас запакую и вышлю тебе ложники Касперского - напишешь, сможешь ли ты достучаться до живых аналитиков в ЛК (мне никаким способом этого сделать не удалось, даже через емэил когда-то реального человека - наверно, его модифицировали в киборг-человека).
 07.08.2016 09:53 
Страницы: 1  2  

Пришло время электрокаров!
Новости, обзоры, видео, все об электромобилях Tesla на форуме TeslaTime.com.ua.


Добро пожаловать на наш Компьютерный Форум. Здесь Вы можете задавать свои вопросы касательно работы компьютера и его комплектующих, программного обеспечения и софта.
Всегда рады Вам помочь!!!
Rambler's Top100

0.020267009735107