Virus Free Podcast #8 - Форум технической поддержки ESET NOD32

Размещено 19.03.2010 19:40:12

Основные темы:

- Отчет ФБР о финансовых убытках нанесенных компьютерными преступниками
- Вирусописатели внедряют защиту от копирования в свои вредоносные творенья
- Массовое распространение трояна Lethic
- Что нового в релизе 4.2 ?
- Какие улучшения произойдут в новой версии Eset SysInspector

Скачать можно на нашем сайте.

Сообщений: 66

Баллов: 52

Регистрация: 15.03.2010

Размещено 19.03.2010 22:55:45

вот в этом подкасте говорилось что баг-фикс касается только смарт секьюрити а просто антивируса версии 4.2 что нибудь коснулось?

Сообщений: 317

Баллов: 253

Регистрация: 16.03.2010

Размещено 19.03.2010 23:57:19

Думаю SysInspector System Analyzer Tool использует поведенческие и эвристические технологии, и анализируя систему эвристиками выставляет риски. Плюс к этому Anti-Stealth точно использует проактивно-эвристические и поведенчиские технологии для выявления активных в системе Rootkit.
Думаю там нет белых и черных списков вообще, но цифровые подписи SysInspector точно проверяет, и анализирует все это Я думаю только эвристиками. =)

Вот один и тот-же объект получает разные оценки, в зависимости от поведения в системе.
http://www.imageup.ru/img26/snimokhjfgf308777.png
http://www.imageup.ru/img26/snimokjhfgd308779.png

Цитата

How does ESET SysInspector evaluate the risk posed by a particular object?

In most cases, ESET SysInspector assigns risk levels to objects (files, processes, registry keys and so forth) using a series of heuristic rules that examine the characteristics of each object and then weight the potential for malicious activity. Based on these heuristics, objects are assigned a risk level from "1 - Fine (green)" to "9 - Risky (red)." In the left navigation pane, sections are colored based on the highest risk level of an object inside them.

AVZ она глупая и отсталая, и белые-черные списки ей не могут помочь, только навредить. И нечего она не видит или неспособна увидеть. Программы разного класса с разными задачами. =)

Цитата
How does ESET SysInspector evaluate the risk posed by a particular object? In most cases, ESET SysInspector assigns risk levels to objects (files, processes, registry keys and so forth) using a series of heuristic rules that examine the characteristics of each object and then weight the potential for malicious activity. Based on these heuristics, objects are assigned a risk level from "1 - Fine (green)" to "9 - Risky (red)." In the left navigation pane, sections are colored based on the highest risk level of an object inside them.

Изменено: EVE N - 20.03.2010 01:31:16

ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats

Сообщений: 15

Баллов: 7

Регистрация: 20.03.2010

Размещено 20.03.2010 12:11:54

Цитата
stopudof пишет: вот в этом подкасте говорилось что баг-фикс касается только смарт секьюрити а просто антивируса версии 4.2 что нибудь коснулось?

Service Build 4.2 for ESET Smart Security and ESET NOD32 Antivirus is now available (http://www.eset.com/press-center/article/eset-releases-service-build-42-for-eset-smart-security-and-eset-nod32-antivirus/7177)

Highlights of Service Build 4.2 include:
Windows Automated Installation Kit (AIK) 2.0 for Windows 7
Improved performance HTTP scanning
Limited support for NT 4.0 SP6 (ESET NOD32 Antivirus only)
Support for Thunderbird 3 and Opera 10 (ESET Smart Security only)
Trusted network zone authentication (ESET Smart Security only)
Firewall profiles (ESET Smart Security only)
Support for centralized quarantine management (with ESET Remote Administrator 4 Beta)
Support for firewall rule merge wizard (ESET Smart Security with ESET Remote Administrator 4 Beta)
GUI enhancements
Fixes for known issues

Изменено: android - 20.03.2010 12:12:32

Сообщений: 15

Баллов: 7

Регистрация: 20.03.2010

Размещено 20.03.2010 12:17:38

Цитата
EVE N пишет: Думаю там нет белых и черных списков вообще, но цифровые подписи SysInspector точно проверяет, и анализирует все это Я думаю только эвристиками. =)

Там есть профили системных процессов (например explorer.exe и т.п.) и распространенных приложений, если это не технология черных/белых списков, то что же?

Сообщений: 109

Баллов: 87

Регистрация: 15.03.2010

Размещено 20.03.2010 12:20:22

Version 4.2.22 - 4.2.35
Fix: Issues with HTTP scanner with longer domain names ( support for length of domain name to 256 characters)
Fix: Issues after PC restart when firewall system integration is "only scan application protocols"
Fix: When ESS installed with disabled FW, dialog about trusted networks not displayed
Fix: Installation of ESS using Remote Desktop; after selecting firewall's "Interactive mode", the session will interrupt
Fix: Long file name makes trouble with logs in "document protection enabled" mode
Fix: Scan profile settings not retained after reinstallation
Fix: Open ESI log of EAV doesn't work on Microsoft Windows NT4.0
Fix: Not possible to save EAV's ESI log and export service script on Microsoft Windows NT4.0
Fix: Wrong settings imported from ESS configuration cause problems in EAV
Fix: All ESI logs are lost after upgrade from V4 to V4.2
Fix: Impossible to delete the on-demand Scan Log in ESS
Fix: Fixed ceasing of scan tasks when logged in as standard user
Fix: Minor issues with Trusted zone conversion from older to newer version
Fix: Unification of behavior when disabling some parts of EAV/ESS/EMS in the main settings window
Fix: Possible to delete log of a running on-demand scan
Fix: X64 Vista + win7: UAC appears when opening ESI log from ESS/EAV GUI
Fix: Minor Thunderbird and Outlook issues

Version 4.0.474 – 4.2.22.0

Fix: Potential BSOD during scanning of inbound traffic. Fix on the TDI driver
Fix: Received and rescanned e-mails appear twice in Thunderbird offline mode (IMAP)
Fix: Error sending a file using right mouse button on MS Outlook (POP3, IMAP, Exchange)
Fix: ESET Thunderbird Extension interference with Thunderbird spam filter
Enhancement: Possibility to add Antivirus & Antispyware exceptions in quotation marks
Enhancement: Added special zones in the Firewall
Enhancement: Added support for Opera 10. The path to database of certificates changed
Fix: Issues with ESS installation on some operating systems
Fix: http address management - impossible to add mask host/*
Fix: Missing information about transport protocol (TCP/UDP) in the interactive dialog
Fix: Received infected email stops Thunderbird with IMAP account.
Fix: Issues when firewall rules are being looked up
Fix: Problems with https scanning. Fix: Windows Live Mail: Phishing mails corrupted (Contents of e-mail get lost)
Fix: Automatic removal of encrypted files in Outlook Express
Enhancement: Support for Thunderbird 3
Enhancement: Possibility to push update the Firewall module after PC restart
Feature: Only emails with infected files will be tagged by default
Enhancement: Changed principle of authentication by a way of automated creation of trusted zone on the basis of subnet. Now authentication of zones is defined by DNS, DHCP, Default gateway, and SSID.
Fix: BSOD appearing if the firewall driver not loaded
Enhancement: New configuration window for the exclusion of an application within the Firewall’s "Protocol filtering" function. It works in TDI and WFP (in WFP it is not possible to exclude applications from filtering)
Fix: Thunderbird crashes after rescan of messages (IMAP, offline mode)
Fix: Improved performance of http scanning.
Enhancement: Firewall profiles added
Enhancement: Trusted Zone verification by the Authentication Server or a local network
Fix: issues with USB blocking feature
Fix: Random "Last successful update" date value displayed before the first update using SysRescue CD

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.03.2010 10:46:11

Заявленные возможности ESI - это, конечно хорошо. Ждем улучшений и исправлений.

Я провел следующий эксперимент. Через ERA 4 создал задачу (Configuration task) в планировщике - "снэпшот системы" на удаленной машине с EAV 4.2, затем через ERA 4 (SysInspector) запросил лог Инспектора с удаленной машины, создал сервисный скрипт по процессам, выделил с помощью "+" один для примера, и запустил задачу удаленного выполнения скрипта (SysInspector Script Task). Антивирус его "проглотил" и выполнил, (без предупреждения, кстати, что это подписанный или не подписанный скрипт) и при этом высветилось сообщение, что выполнен скрипт такой то, т.е. всплывающее окно было, как при обновлении.... это правильно. Желательно бы это событие записать в лог событий антивируса. В настоящее время с помощью скриптов можно прибить процессы, удалить записи в реестре, прервать сетевое соединение... (без возможности удаления модулей.) со службами и драйверами же SysInspector (видимо, антируткит) борется автономно. Как показывает опыт лечения зараженных систем в предыдущей версии форума, в таком виде ESI полезен как вспомогательный инструмент при лечении активного заражения. (логи, инфо о системе, об установленных программах, патчах показывают уровень защищенности и компьютерной грамотности пользователя.) Весьма полезны сведения о модулях (хэши и риски), по хэшам, без наличия сэмплов можно выполнить поиск запросов по проверке файлов на ВирусТотал чтобы определить степень опасности\безопасности модуля.

Изменено: santy - 22.03.2010 10:47:42

[ Как создать образ автозапуска? ]

Сообщений: 317

Баллов: 253

Регистрация: 16.03.2010

Размещено 25.03.2010 20:27:42

Спасибо. =)
А когда 9 подкаст, завтра?

ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats

Размещено 27.03.2010 00:13:17

Цитата
EVE N пишет: Спасибо. =) А когда 9 подкаст, завтра?

Сегодня записали, в выходные его обработаю и в понедельник будет на сайте. На этот раз звук что надо.