[QUOTE]Валентин пишет:
Carberp - это отдельная тема для разговора. На протяжении долгого времени всё новые модификации этого вируса причиняли много головной боли не только для разработчиков ESET.[/QUOTE]
А также Pihar, RLoader, Cidox, СPD под х64 -  вообще не подъемная мальварь, столько они причинили боли, что ав-индустрия решила вообще на них забить, только три авера их лечат, а остальные даже не видят их, и вводят своих пользователей в заблуждение, так как говорят что комп чист, мальвари нет, а мальварь живет и процветает.

[URL]http://www.anti-malware.ru/firewall_test_outbound_protection_2013[/URL]
Новый тест, неплохие результаты

[QUOTE]EVE N пишет:
Если кому не понятно, то HIPS работает вместе с Advanced memory scanner.  :)  
[/QUOTE]
Только на настройках по умолчанию от этого толку, как от Навального.  :D

[B]ORION[/B], в статистике, которую ты мне привел, на лидирующих местах HTML угрозы. HTML угрозы делают только одну функцию - переброс на сайт с эксплойт-паком(самый актуальный это Blackhole 2.0). Blackhole оценивает плагины, операционку и браузер на наличие дырок, если дыра в ПО есть и срабатывает эксплойт, то он тянет через дырку мальвару(которая, ясен пень, не палится сигнатурами и эвристикой).
Получается что компания не особо печется о тех, которых занесло на сайт с HTML мальварью раньше чем появился детект на этот сайт.

[QUOTE]ORION пишет:
Компания делает ставку на обнаружение и отражение / удаление, а не лечение.
[/QUOTE]
Кажется я начинаю догадываться, почему ботнеты построенные на руткитах имеют миллионы активных ботов даже после того как разрабы руткита забросили обновлять руткит. Спрятать дроппер от сигнатур и эвристики просто, а хипс и прочую хрень из 10 человек, будет настраивать один - два, ну максимум три.

Компания ESET часто пишет про современные руткиты, описаны практически все современные руткиты. Но почему тогда продукты ESET не способны эти руткиты даже детектировать, уж не говоря про лечение?
Возьмем к примеру TDL4, нод научился стабильно его детектить только к 6 версии, хотя руткит появился за пару месяцев до релиза версии 4.2. Лечить же нод его не умеет, да и что лечить если детект идет на внедренную руткитом dll'ку, а не на драйвер или загрузчик в MBR.
Возьмем последний описанный ESET'ом руткит - Gapz. Мало того что на ХР нод его называет Mebroot, хотя ничего общего(ну разве что оба буткиты) у Mebroot и Gapz нету, так на Win7 x64 детекта нет вообще.
[URL=http://fastpic.ru/view/53/2013/0308/babd45eaced0edae3ab30d2a9913ad34.png.html][IMG]http://i53.fastpic.ru/thumb/2013/0308/34/babd45eaced0edae3ab30d2a9913ad34.jpeg[/IMG][/URL]
Почему каспер, доктор, битдефендер руткиты видят и лечат, а нод нет?

Какой бы не был троянец - всю инфу они передают в зашифрованном виде.
Пример: dXNlIHRoZSBLYXNwZXJza3k=. Что там скрыто?

[QUOTE]marshal64 пишет:
А если нет?[/QUOTE]
А если нет, то на обычном доступе антивирус даже не установится, поскольку пишет в C:\Windows\drivers, а что бы писать в папку винды и ее под папки нужны админские права, я уже не говорю про установку служб и регистрацию драйверов.

[QUOTE]marshal64 пишет:
Даже в профиле с правами обычного пользователя?[/QUOTE]
Если включен UAC, то семерке не важен тип учетной записи. Просто если тип "админ", то аллерт UAC простой(да или нет), если тип "обычный пользователь", то после нажатия "Да" в аллерте UAC, выскочит еще один алллерт от UAC c запросом админского пароля.

[QUOTE]marshal64 пишет:
Настройки ОС и отсутствие прав доступа могут не позволить проверить как некоторые файлы, так и загрузочные сектора.
[/QUOTE]
У меня на Win7 x64 стоял аваст, а сейчас стоит нортон 13, так аваст и нортон единственное что просили для скана - ребутнутся и обновить базы. После этого, оба нашли и вылечили TDL4, который заражает MBR. Причем нашли как и драйвер в памяти(нод детектит только инжектируемую библиотеку в svhost.exe), так и заражение в MBR. И они не требуют повышения прав, для себя, так как работают уже с максимальными(System).