Нашёл сайтик, на котором баннер xxx_video_ХХХХ.avi обновляется каждый день или даже каждых пол дня, вот приходится мне его каждый раз отправлять в лабораторию, такой фигнёй занимаюсь уже 5-ый день, к счастью баннеры добавляют в базу на след. день.
Вопрос вот в чём, в вирусскане всегда в первую очередь определяют такие антивирусы как: F-Secure, G Data и Bit Defender. У них какая то особая защита на них автоматическая по первому коду или есть такие же умельцы как я, просто их тупо отправляют в лабораторию? Может быть есть какой то начальный код в баннере, чтобы антивирус сразу его обнаруживал бы, без всяких отправок в лабораторию? Буквально в баннере меняется пару килобайт и антивирус уже его не видит. Объясните суть пожалуйста. По какому принципу работают F-Secure, G Data и Bit Defender?
Да, Вы ба сказали, просто добавить этот сайт в чёрный список, но дело вот в чём, есть другой сайт, и на этот сайт, где баннер, делается редирект, то есть, URL всегда меняется, а сам сайт остаётся в том же оформлении. В полне возможно баннер не только там обновляется, он распространяется на многие другие сайты.
А ЕСЛИ человек в наглую откроет по мимо песочнецы7 И вообше если отключить песочнецу, как дела будут обстоять?
p.s. завтра отпишу по поводу нового баннера в песочнице, сейчас не дома пока.
ну вот, а как быть тем, кто по мимо песочнецы будут обходить баннер, как баннеры видят антивирусы, сказанные мною выше?
без разницы как они их видят. Никто не угонится за детектом свежих вирусов или конкретно винлоков. Сейчас вся надежда на HIPS (в народе именуется проактивкой). Я выбираю антивирус из ходя из этого.
[b]makcunknown,[/b] вы делаете очень хорошее дело, отправляя вирусы в лабораторию, за это вам большое спасибо.
Народу свойственно ошибаться (или заблуждаться?)…
Как раз проактивная защита в Авасте есть (экран поведения), а хипс, к большому сожалению, отсутствует. http://forum.avast.com/index.php?topic=84963.0
В силу того что HIPS является средством проактивной защиты, программы данного класса не содержат базы данных сигнатур вирусов (однако могут их задействовать, скажем HIPS в Kaspersky Internet Security блокирует запуск известных вредоносных программ независимо от включения либо отключения файлового монитора) и не осуществляет их детектирование. HIPS-продукты осуществляют анализ активности программного обеспечения и всех модулей системы и блокирование потенциально опасных действий в системе пользователя. Анализ активности осуществляется за счет использования перехватчиков системных функций или установке т.н. мини-фильтров. Следует отметить, что эффективность HIPS может доходить до 100%, однако большинство программ этого класса требуют от пользователя высокого уровня квалификации для грамотного управления антивирусным продуктом.
очень сильно переплетается с [url=http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%B0%D1%8F_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0]проактивкой[/url]. У обоих есть технологии "предсказывания " запускаемого приложения.
Не спорю… Анализ поведения, как элемент проактивной защиты -
“…является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems)…”
Вот снова баннеры шлю, и одни и те же антивирусники видят его сразу же, почему аваст не видит так? Dr.Web видит его постоянно mbr.lock, почему аваст автоматом не может видеть его? По одному и тому же принципу сделан же баннер я так понял.
makcunknown, Вы можете в англоязычной ветке задать этот вопрос?
Когда занимался отправкой подозрительных файлов в лабораторию Microsoft, так они связались со мной и предложили отправлять на специальный емаил , таким образом обработка проходила намного быстрее. Может и у Аваста есть нечто похожее?
