Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Разное Флудилка обо всем

[ Закрыто ] Когда ESET научится лечить руткиты?

1
RSS
 
Avast 6
Avast 6
Пользователь
Сообщений: 85
Баллов: 68
Регистрация: 10.04.2011
Размещено 08.03.2013 22:41:27
Компания ESET часто пишет про современные руткиты, описаны практически все современные руткиты. Но почему тогда продукты ESET не способны эти руткиты даже детектировать, уж не говоря про лечение?
Возьмем к примеру TDL4, нод научился стабильно его детектить только к 6 версии, хотя руткит появился за пару месяцев до релиза версии 4.2. Лечить же нод его не умеет, да и что лечить если детект идет на внедренную руткитом dll'ку, а не на драйвер или загрузчик в MBR.
Возьмем последний описанный ESET'ом руткит - Gapz. Мало того что на ХР нод его называет Mebroot, хотя ничего общего(ну разве что оба буткиты) у Mebroot и Gapz нету, так на Win7 x64 детекта нет вообще.

Почему каспер, доктор, битдефендер руткиты видят и лечат, а нод нет?
 
ORION
ORION
Пользователь
Сообщений: 264
Баллов: 211
Регистрация: 02.04.2010
Размещено 09.03.2013 00:18:54
Компания делает ставку на обнаружение и отражение / удаление, а не лечение. Обычно даже если вылечивается система от руткита - она остается дырявой, "прогнившей". Да и никто не отменял человеческий принцип - гораздо легче выполнять профилактику, не допуская возможности что-то подхватить серьезное, чем потом лечиться неделями.
 
Avast 6
Avast 6
Пользователь
Сообщений: 85
Баллов: 68
Регистрация: 10.04.2011
Размещено 09.03.2013 00:28:05
Цитата
ORION пишет:
Компания делает ставку на обнаружение и отражение / удаление, а не лечение.
Кажется я начинаю догадываться, почему ботнеты построенные на руткитах имеют миллионы активных ботов даже после того как разрабы руткита забросили обновлять руткит. Спрятать дроппер от сигнатур и эвристики просто, а хипс и прочую хрень из 10 человек, будет настраивать один - два, ну максимум три.
Изменено: Avast 6 - 09.03.2013 00:28:40
 
ORION
ORION
Пользователь
Сообщений: 264
Баллов: 211
Регистрация: 02.04.2010
Размещено 09.03.2013 00:43:13
Есть еще такие варианты:
1. В их лабы отправляется глобальная статистика различных угроз со всего мира. И наибольший приоритет уделяется как раз этим угрозам. Ботнеты, руткиты не смотря свою технологичность, не топ-угрозы. Взять к примеру отчет за явнварь.
2. Решения конкурентов могут лечить, прибыли компания вряд ли получит больше за счет того что начнет у себя делать лечение рутов. А вот проблем точно будет полно, потому как ковырять руткиты зачастую это нужно много времени, и требуются хорошие спецы.
Изменено: ORION - 09.03.2013 00:45:50
 
Avast 6
Avast 6
Пользователь
Сообщений: 85
Баллов: 68
Регистрация: 10.04.2011
Размещено 09.03.2013 14:05:26
ORION, в статистике, которую ты мне привел, на лидирующих местах HTML угрозы. HTML угрозы делают только одну функцию - переброс на сайт с эксплойт-паком(самый актуальный это Blackhole 2.0). Blackhole оценивает плагины, операционку и браузер на наличие дырок, если дыра в ПО есть и срабатывает эксплойт, то он тянет через дырку мальвару(которая, ясен пень, не палится сигнатурами и эвристикой).
Получается что компания не особо печется о тех, которых занесло на сайт с HTML мальварью раньше чем появился детект на этот сайт.
 
mike 1
mike 1
Пользователь
Сообщений: 142
Баллов: 113
Регистрация: 10.06.2011
Размещено 09.03.2013 14:45:59
Цитата
ORION пишет:
Компания делает ставку на обнаружение и отражение / удаление, а не лечение. Обычно даже если вылечивается система от руткита - она остается дырявой, "прогнившей". Да и никто не отменял человеческий принцип - гораздо легче выполнять профилактику, не допуская возможности что-то подхватить серьезное, чем потом лечиться неделями.
А зачем кампании Eset напрягаться с лечением руткитов? Куда проще брать деньги с пользователей и не допускать заражения.  :D
Изменено: mike 1 - 09.03.2013 14:46:30
Михаил
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 09.03.2013 14:59:27
народ, шли бы вы лучше к Бабушкину кости перемывать.
[ Как создать образ автозапуска? ]
 
1
Читают тему