[ Закрыто ] Когда ESET научится лечить руткиты?

1
RSS
Компания ESET часто пишет про современные руткиты, описаны практически все современные руткиты. Но почему тогда продукты ESET не способны эти руткиты даже детектировать, уж не говоря про лечение?
Возьмем к примеру TDL4, нод научился стабильно его детектить только к 6 версии, хотя руткит появился за пару месяцев до релиза версии 4.2. Лечить же нод его не умеет, да и что лечить если детект идет на внедренную руткитом dll'ку, а не на драйвер или загрузчик в MBR.
Возьмем последний описанный ESET'ом руткит - Gapz. Мало того что на ХР нод его называет Mebroot, хотя ничего общего(ну разве что оба буткиты) у Mebroot и Gapz нету, так на Win7 x64 детекта нет вообще.

Почему каспер, доктор, битдефендер руткиты видят и лечат, а нод нет?
Компания делает ставку на обнаружение и отражение / удаление, а не лечение. Обычно даже если вылечивается система от руткита - она остается дырявой, "прогнившей". Да и никто не отменял человеческий принцип - гораздо легче выполнять профилактику, не допуская возможности что-то подхватить серьезное, чем потом лечиться неделями.
Цитата
ORION пишет:
Компания делает ставку на обнаружение и отражение / удаление, а не лечение.
Кажется я начинаю догадываться, почему ботнеты построенные на руткитах имеют миллионы активных ботов даже после того как разрабы руткита забросили обновлять руткит. Спрятать дроппер от сигнатур и эвристики просто, а хипс и прочую хрень из 10 человек, будет настраивать один - два, ну максимум три.
Изменено: Avast 6 - 09.03.2013 00:28:40
Есть еще такие варианты:
1. В их лабы отправляется глобальная статистика различных угроз со всего мира. И наибольший приоритет уделяется как раз этим угрозам. Ботнеты, руткиты не смотря свою технологичность, не топ-угрозы. Взять к примеру отчет за явнварь.
2. Решения конкурентов могут лечить, прибыли компания вряд ли получит больше за счет того что начнет у себя делать лечение рутов. А вот проблем точно будет полно, потому как ковырять руткиты зачастую это нужно много времени, и требуются хорошие спецы.
Изменено: ORION - 09.03.2013 00:45:50
ORION, в статистике, которую ты мне привел, на лидирующих местах HTML угрозы. HTML угрозы делают только одну функцию - переброс на сайт с эксплойт-паком(самый актуальный это Blackhole 2.0). Blackhole оценивает плагины, операционку и браузер на наличие дырок, если дыра в ПО есть и срабатывает эксплойт, то он тянет через дырку мальвару(которая, ясен пень, не палится сигнатурами и эвристикой).
Получается что компания не особо печется о тех, которых занесло на сайт с HTML мальварью раньше чем появился детект на этот сайт.
Цитата
ORION пишет:
Компания делает ставку на обнаружение и отражение / удаление, а не лечение. Обычно даже если вылечивается система от руткита - она остается дырявой, "прогнившей". Да и никто не отменял человеческий принцип - гораздо легче выполнять профилактику, не допуская возможности что-то подхватить серьезное, чем потом лечиться неделями.
А зачем кампании Eset напрягаться с лечением руткитов? Куда проще брать деньги с пользователей и не допускать заражения.  :D
Изменено: mike 1 - 09.03.2013 14:46:30
Михаил
народ, шли бы вы лучше к Бабушкину кости перемывать.
1
Читают тему (гостей: 2)