Предложения по функционалу продуктов ESET

Loner
Красава! Прямо в точку. Люди, в подавляющем большинстве не желают читать документацию и разбираться. И ничего с этим не поделать.

marshal64
Ваше мнение чисто субъективное. Если идти вашим путем, то только не в массы, а в "клуб по интересам", где сидят любители игр на калькуляторах (если вы помните была такая фича). Не в обиду.

Продукцию нужно продвигать предоставляя взамен эффективность "на лету". Сейчас продукты ESET не ловят "винлоки", по-умолчанию и это факт. Если компания ориентирована на рынок в нашей стране, то нужно учитывать наши особенности. Иначе, все усилия сойдут на нет. За ESSET окончательно закрепится определенная нелестная репутация.

P.S. Заметьте, что данный вопрос поднял не с целью какой-либо рекламы.

winlock не трагедия, а "недобрым молодцам и девицам" урок. невозможно идти на поводу у дилетантов и делать так, чтобы им не надо было ничего делать. на самом деле специалистов, которые могут правильно настроить HIPS и фаерволл в интерактивном режиме не так уж и много. Возможно отсюда и призывы к тому, что надо все "жестко проверять". Чем более сложная система, тем гибче должна настраиваться ее защита, чтобы адаптироваться к всевозможным пользователям, задачам и особенностям системы. "жесткие проверки всего и много раз" приведут к тому, что люди захотят отключить ее, не понимая смысла и механизмов проверки.
-----------
+ к этому можно добавить, что год-два назад, когда Есет автоматически что-то проверял в плане проактивной защиты, то всевозможные критики говорили, что у Есета нет настраиваемого HIPS, что у него вообще нет нормальной проактивной защиты.

теперь же получается, что и настраиваемый HIPS не эффективен, сделайте что-нибудь "не настраиваемое, но эффективное".

В случае с винлоками нужен поведенчесский анализ. Если юзверь  может и не знать, что делать с файлом svchost.exe, который почему-то находится в папке Windows , а не в Windows\System32, то уж когда у него залочится экран и выскочит поверх окна WinLock'а сообщение Eset'а примерно такого содержания: Процесс aasasfw546514.exe заблокировал ваш экран. Возможно это вредоносная программа. Что сделать? Завершить этот процесс? Заблокировать? Отправить в облачный анализ?..и так далее...; уж тут я думаю, он сообразит что делать.
Второе, правила HIPS должны быть включены по умолчанию. На основные ветки реестра и основные файлы изначально. Взять, например, COMODO, если его настроить в жёстком режиме, то вопросов будет много, НО, уже сразу после установки, довольно большое количество системных файлов будет уже стоять в Доверенные. И запросов по ним не будет. И тем более правила hips должны быть включены по умолчанию, если политика такая Только работа с дилетантами должна быть гибче. Что то можно им дать на расмотрение, а что-то должно блокироваться независимо от уровня знаний пользователя.
Например, взять БЕСПЛАТНЫЙ антивирус COMODO. Его для новичков тоже никак не назовёшь. При жёстких настройках он довольно много вопросов задаёт, первое время, пока правила не созданы. Но в нём есть при установке настройки, галочка, что бы не задавать много вопросов. При таких настройках, HIPS будет отключен. Но поведенчесский анализ, песочница, всё-равно будет работать.
Вот случай из жизни: С недели три назад, я словил винлока, причём не заметил как, но комод его в песок загнал, в ожидаемые решения. Увидел только случайно, благодаря гаджету на раб.столе, который показывал что один файл ожидает решения. Я открыл окно где он ожидал решения, и не успел его закрыть, как пришёл ответ из облака, что это вредонос, и файл был удалён.Тоесть, мои действия к нулю практически сводились. Как скачался вирус, я не заметил. не заметил как его поместили в ожидаемые решения. И если бы меня не было за компом, то и как его удалили не заметил бы. И это при том, что и HIPS включен, и правила какие-то особые я в него специально не загонял, и то, что баз на этот винлок на то время у комодо не было.
Это я к тому, что надо искать золотую середину в решениях. Где-то юзверя и задолбать вопросами, а что-то может быть сделано и по умолчанию.
У шестой версии комода хватает недостатков, он сыроват ещё. Но уже то, что он делает....
В общем, нодовцам есть над чем подумать.

santy
"Винлок" не трагедия. Но ESET никак не реагирует на "винлокоподбоные" вредоносные файлы, которых нет в базе данных сигнатур.

Loner четко представляет то, чего не хватает ESET`у. Да и поверьте, не он один. Он выражает мнение большинства, а не "клуба по интересам".

Да, COMODO - очень хорошее бесплатное решение.
Что же касается ESET, то в принципе, может, и действительно имеет смысл разработчикам сделать еще одну версию с настроенными правилами по умолчанию (для важных веток реестра, системных файлов и т.п.): не факт, что количество заражений снизится, но, главное, что часть пользователей получит то, что хочет.

Или два интерфейса, продвинутый и для обывателей... Или два варианта настроек, как у того же комодо, "с множеством вопросов и без" Хотя выбирать будут скорее всего без...
Вот история, которая ....в общем так...
Вчера мне позвонили, по поводу пойманного где-то винлока. Мол, что делать? Ну, ответил стандартно, что надо загрузиться с диска, через поиск с фильтром по времени найти все exe на системном разделе, потом винда загрузиться. Почистить реестр... И все дела. НО. На вопрос , какой у них был антивирус, они сказали, что вообще никакого...
- Как так?
- Да вот так...Стоял Макафи, чёто стало всё виснуть и глючить. Поставили Касперского...всё виснет и глючит. Тогда удалили все антивирусники... И словили винлока.
Ну, Бог с ним. Я им объяснил что делать...
Сегодня (сутки прошли), опять звонок, от них же. Мол, не можем с диска загрузиться. После недолгого разбирательства по телефону, я им сказал, что бы везли комп ко мне...Я просто понял, что там уровень юзверей слабоват. И проще показать, чем объяснить, тем более по телефону.
Привозят.
Винлок мы нашли быстро. Кстати, свеженький, но Eset его, судя по вирустоталу видел. Всего семь антивирусников его видели. Доктор веб не видел. Комодо тоже не видел.Загрузились в винду, с виду всё в порядке. Решил просканиться malwarebytes Antimalware...Она еле ворочалась... Но нашла вирус Jeefo...Всё. Надо сканить весь комп. (Сканируется из безопасного до сих пор). Они уехали.
Я ради прикола в наглую запускал этот винлок у себя на компе, и все разы он был загнан в Ожидающие решения. Заражения не произошло.
А теперь сами посудите уровень обычных людей, кто не заморачивается по вопросу антивирусов. Если представить, что они установили по умолчанию ESS (без правил hips), да ещё и баз не было бы (как у меня на комодо на текущий момент), и если бы они этот файл запустили, или он сам запустился бы, что бы их ждало? Правильно, залоченный рабочий стол. Не знание как обращаться с LiveCD привело бы к "трагедии", поездке в сервисный центр, или переустановке системы (из-за такой-то ерунды).
Хоть я и отправил этот винлок в лабу комода, до сих пор базы на него нету, но облако...Короче, вот видео.
http://youtu.be/khKB3FGIkMI

Думаю, чтобы выпаливать винлоки, не нужно прицепляться к реестру. Если логически подумать - речь идет об обнаружении уже ПОСЛЕ того как винлок попытался, и / или установил себя. Т.е. вы рассматриваете исходы после события. Почему бы заранее не проанализировать код на наличие блокирующего функционала? Думаю, необходимо перехватывать API функции, которые используют винлоки. Зачастую это API для работы с экраном, окнами. Эти основы можно вложить в алгоритм эвристики, чем клепать сигнатуры на винлоки, действующее по одной схеме, один конечный результат, следовательно, оптимальней разработать алгоритм обнаружения, но минус тогда в том, что далеко не каждый ведь файл потенциальный винлок. Поэтому сканирование кода на наличие тех или иных апи это лишняя нагрузка...с другой стороны, клепать сигнатуры на винлоки которые по сути, братья-близнецы тоже как-то муторно.

В автоматическом режиме с правилами добавлено базовое правило
Разрешить доступ к реестру и загрузку драйверов, необходимые для успешной загрузки

Данную политику можно дополнить пользовательскими правилами "запросить", "заблокировать".

Другое дело что в Eset Endpoint 5 некорректно работают правила "запросить". (корректно выполняются правила "заблокировать".) в 6 Home версии по моим наблюдениям это исправлено. Что касается Comodo, то по части реализации HIPS, firewall - он безусловный лидер, и разработчикам данного функционала в ESET есть с кем сравниться и к чему стремиться. Подобный уровень сервиса, по всей вероятности не создается по мановению руки.

Все-таки, при установке ESET необходим выбор уровня защиты, наподобие: "базовый", "повышенный", "высокий", для начала. А по "винлокам" отслеживание подозрительного поведения файлов, в по поводу внедрения записей в определенные ветки реестра и последующее блокирование подозрительных действий и исправление реестра.

В последнее время самые ходовые "винлоки" внедряются в

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

Не нужно даже антивирусом сканить, достаточно убрать руками эти записи, загрузившись в "безопасном режиме с поддержкой командной строки", если конечно вредоносной программой не испорчена загрузка в "безопасном режиме".

Если можно, то добавьте к настройкам HIPS в тему http://forum.esetnod32.ru/forum9/topic8267/

скорее всего по работе с HIPS надо отдельную тему открывать, чтобы в ней фиксировать текущие проблемы и предложения. обратная связь по этому топику с разработчиками ESET достаточно низкая.