Обсуждение статьи

RSS
Камрады, в продолжение темы KIS-2011…(это 2-ая серия)

Залез ещё раз на их форум, где меня уже 2 раза забанивали за неудобные вопросы и «рекламу нелицензионного ПО», т.е. широко распространённого в Инете вареза, говоря по-простому. Этим идиотам даже не хватает ума забанить меня по IP, поэтому просто очищаю кукисы в Опере и выхожу снова на их словесный понос по обмену опытом, но с другим логином – всё прокатывает, без проблем!
Продолжаю эксперименты с лицензионным KIS-2011 и делюсь опытом: сначала сборка 11.0.1.400, теперь уже 11.0.2.556, которая почему-то продержалась на сайте ЛК в русской редакции всего несколько дней, и теперь осталась только в японском варианте. Не верите?---Зайдите туда сами и приколитесь, вместе со мной. Может быть, это такая изощрённая месть за Курильские острова? Не знаю:-)
Короче говоря, количество ошибок и вопросов от пользователей Касперского возрастает в арифметической прогрессии с каждой новой версией, десятки однотипных вопросов почти каждый день, но этого стараются как видно просто не замечать…

Поставил я снова ради эксперимента их первую 400-ю сборку, с которой начинал в августе – см. ссылку внизу. По уверениям ЛК, эта версия от 19.08.2010  (кстати, уже вторая сборка по счёту от 01.07.2010) должна автоматически всосать все патчи и обновиться до CF2, но ничего подобного я не заметил. Более того, программа вообще не запустилась после перезагрузки машины, с серым значком в трее: «Не удалось запустить все компоненты защиты»…. Система автоматического восстановления KIS-2011 зависла сразу после запуска, а при попытке переустановки с дистрибутива программа просто вылетела из памяти и автозагрузки---вообщем, всё как обычно. А поскольку KIS-2011  корректно не удаляется вообще (даже с помощью их же собственной утилиты KAV-Remover с оффсайта ЛК, о чём я писал раньше), то опять пришлось откатывать назад систему, чистить реестр—и всё повторять сначала, как в той песне… Короче, это же просто пипец какой-то, не понос так золотуха, иначе не скажешь!!

Причём даже в последней 556-ой сборке KIS-2011, которую я успел скачать в русском варианте и которая вроде запустилась нормально, сохранились те же ошибки: например, при обновлениях программы он показывает опцию вредоносные скрипты от 05.10.2010, когда появилась эта сборка, хотя сама программа успела уже десятки раз обновиться (в KIS-2010 такого нет – там всё обновляется корректно). Зато последняя сборка перестала создавать диск аварийного восстановления – выдаёт ошибку по одному и тому же адресу памяти. Но спрашивать об этом их модераторов бесполезно – у них как правило стандартные ответы: «обновите программу с нашего сайта;  включите восстановление системы; ждите выхода CF2…CF3» и т.д. Или  «а вы делали это и это?» -- со ссылками на службу их техподдержки – когда уж совсем ничего не помогает и чтобы оппонент загрузился подольше:-)

Не знаю, насколько они сами компетентны в этих вопросах, но когда я сравнил их модеров с ботами Zeus, действующими по программе сверху, то была жуткая обида и очередное строгое предупреждение. А если серьёзно, поясните неспециалисту: как подобный продукт с таким количеством критических ежедневных ошибок, можно усиленно продвигать вперёд, когда его нужно бы забанивать по всему рынку??
Кстати, в заключение: на компьютере дочки, которая любит шариться по всяким злачным местам в Сети, система с KIS-2010  начала безбожно тормозить и в конце концов зависла – видимо, последствия некорректного излечения и повреждения виндосовского эксплорера в итоге (хотя KIS-2010 показывает около 4500 излечённых угроз и ни одной активной!). Так что имейте ввиду: 4500 вирусов это и есть верхний предел для KIS-2011, дальше всё может запросто накрыться медным тазом, причём безо всякого вашего желания. А вот вторая точно такая же система XP--SP3 с  ESS-2010 работает изумительно, причём в режиме расширенной эвристики а/вируса. При этом никакого торможения я не вижу, хотя ESET постоянно подбирает за Касперским какие-то непролеченные угрозы (или тупо отправленные им на карантин). Да и по части эвристического анализа ESS-2010 нет равных, как я убедился!


Да, а первая серия моих приключений с Лабораторией Касперского описана здесь: http://www.eset-club.ru/topic/6806-мой-опыт-общения-с-kis-2010kis-2011/

Советую прочитать всем, и - не повторяйте моих ошибок!
Изменено: Антон Копёнкин - 03.11.2010 14:48:32
Gaudeamus!

Ответы

Цитата
Антон Копёнкин пишет:
А что за PDF-файлы на скриншоте, расшифруйте, плизз:


Цитата
Антон Копёнкин пишет:
то как - или точнее, куда? smile;) Я такого там ещё не видел! smile:D smile:D
Да, скорее всего, и не увидете. Эти эксплойты как раз таки и любят загружаться незаметно. :)
Цитата
crank69 пишет:
Да, скорее всего, и не увидете. Эти эксплойты как раз таки и любят загружаться незаметно.

Блин, сколько раз мне говорили, что Каспер - дерьмо, а я таки и не верил до вчерашнего дня, пока сам не убедился!! :!:  
На Эролаше он всё-таки отразил одну эксплойт-атаку при входе, а на второй слетел начисто - соответственно уже вместе с системой... Я не могу понять: а зачем КИСу тогда все эти ХИПСы, с контролем приложений, откатом изменений и "лечением активного заражения"? А также более 3000 правил для "анализа безопасности" и прочая шняга, если это всё через раз будет срабатывать??

В тот же день стуканул в ЛК на этот сайт с описанием ситуации и просьбой занести его во вредоносную базу - и хрен там! - как был он в обычной базе данных, так и остался. Хотя сегодня вошёл туда в безопасном режиме - всё чисто, все белые и пушистые и ни одной заражённой ссылки! Вы уже поняли, как хорошо у них обратная связь работает? :D  Тогда тем более непонятно, по какому принципу заносят туда сайты и какой шкурный интерес у ЛК на этой порнухе, если они так лояльно и выборочно к ней относятся? (о чём я уже писал ранее в своих постах).
Вообщем, камрады, отказываюсь я от Каспера насовсем, на всех системах, потому что не вижу смысла закачивать каждый день тонны обновлений к нему - да к тому же очень сомнительного свойства - и иметь весь этот геморрой просто так, ради спортивного интереса.
Чего и вам желаю, от всей души! :D  :D
Изменено: Антон Копёнкин - 07.01.2011 23:22:25
Gaudeamus!
Цитата
crank69 пишет:
Да, скорее всего, и не увидете. Эти эксплойты как раз таки и любят загружаться незаметно.

Какую методику обнаружения Вы используете ?

Какие меры безопасности при работе с такого рода опасными объектами применяете?
Цитата
Антон Копёнкин пишет:
Сегодня вошёл туда в безопасном режиме - всё чисто, все белые и пушистые и ни одной заражённой ссылки!

Возможно у них есть функция определения Sandboxie и соответственно происходит отказ от атаки?

Если, кто владеет информацией по данному вопросу - то напишите будет интересно прочесть!  :D
Цитата
RP55 RP55 пишет:
Какую методику обнаружения Вы используете ?
Какие меры безопасности при работе с такого рода опасными объектами применяете?
Вообще про js-exploit pdf много понаписано... На компе должен быть сам акробат (или adobe reader) - атакуют они только через него. С дефолтными настройками браузера и акробата pdf-exploits быстро загружаются в фоне, и потом обычно подгружают другие зловреды, напр. - gpcode или mbr ramson.  :) http://forums.malwarebytes.org/index.php?showtopic=68279
На антивирусы не всегда можно надеятся, нередко они их в упор не видят. Поэтому, чтоб избежать неприятностей, нужно выставить в настройках браузера - сохранять pdf на диске (в опере - ctrl+f12 (настройки) - расширенные - загрузки). В firefox, скрин ниже -

А можно вообще в самом акробате (а также и в firefox) запретить открывать pdf в браузере. Но тогда вы лишитесь возможности отправить в вирлаб pdf-троян.  :D
Изменено: crank69 - 08.01.2011 05:19:31
Читают тему (гостей: 1)