Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 73
*sarcasm* Просто на вашем компьютере не было подозрительной активности!
Требую повторить тест и перед запуском exeшника начать подозрительную активность, иначе ваш тест не имеет смысла.
а попробуйте в /etc/hosts %SystemRoot%\system32\drivers\etc\hosts добавить что-нибудь странное связанное с vk.com
> это всё, что вам нужно знать
Нет, ещё надо просниффить его трафик и понять, что он делает в действительности :)
Нет, ещё надо просниффить его трафик и понять, что он делает в действительности :)
Я не про в сниффинге, единственное, что удалось понять — программа в процессе скана обменивается данными с mustang.cezurity.com по https.
К вечеру попробую. Интересно, что всё-таки они делают, и почему ставят ударение на необходимость наличия соединения с интернетом.
Взял из FAQ:
9. Требуется ли обновлять Антивирусный Сканер Cezurity?
Антивирусный Сканер Cezurity не требует обновления сигнатурных баз. Это связано с тем, что сам по себе анализ данных происходит “в облаке”, сигнатурные базы на локальный компьютер не скачиваются.
Однако, используемые в Антивирусном Сканере технологии постоянно совершенствуются и некоторые компоненты программы могут обновляться. Актуальность установленной у вас версии Антивирусного Сканера проверяется автоматически.
9. Требуется ли обновлять Антивирусный Сканер Cezurity?
Антивирусный Сканер Cezurity не требует обновления сигнатурных баз. Это связано с тем, что сам по себе анализ данных происходит “в облаке”, сигнатурные базы на локальный компьютер не скачиваются.
Однако, используемые в Антивирусном Сканере технологии постоянно совершенствуются и некоторые компоненты программы могут обновляться. Актуальность установленной у вас версии Антивирусного Сканера проверяется автоматически.
Как тут не вспомнить Бабушкина антивирус) Эта история с этим софтом прямо таки мотивирует удалиться из ВК.
Спасибо вамза краткость и информативность статьи. Полезно и наглядно. Единственное, я бы добавил информацию о распространенности описанных вами угроз.
Знаете, тут даже добавить нечего. Из категории тех постов, когда краткость — сестра таланта.
(накиньте +1, дайте человеку инвайт в руки, заслужил :) )
(накиньте +1, дайте человеку инвайт в руки, заслужил :) )
Думаю это метка что бы потом таргетировать рекламу на пользователей (по данным из соцсетей и историй посещений).
А как так получилось, что у вас в VirusTotal разное количество антивирусов при проверках (44/50, 51/57 и т.п.)?
Честно говоря, понятия не имею. Значения — копипаст с сайта. Как они выдали, так и я вам передаю :)
Проверки были произведены в разное время, соответственно не все антивирусы были на VirusTotal. Сам с таким сталкивался когда загружаешь файл, а он уже по хэшу лет Х известен и результат хх/50 (к примеру), нажимаешь проверить заново и данные актуализируются до хх/57+ т.е. современных.
Думаю, это связано с размером файла передаваемого на проверку, у разных антивирусов свои ограничения на онлайн-проверку(по размеру файла, по ресурсам в данный момент времени), а VirusTotal лишь агрегатор.
Да всё ведь очень просто. ВК живет за счет рекламы, но какая-то часть аудитории заражена всяким говном, которое вместо контактовской рекламы показывает, например, свои баннеры. Денежки-то теряются, вот они и сделали свою вундервафлю (зачем-то через дружескую полулевую фирму, не знаю, зачем точно).
Чистить компьютеры пользователей от всего тщательно накопленного годами зоопарка им неинтересно и на два порядка сложнее, от этого их денежки не теряются, поэтому чистит оно только от того, что напрямую гадит контактику, и очень странно ожидать другого поведения.
Чистить компьютеры пользователей от всего тщательно накопленного годами зоопарка им неинтересно и на два порядка сложнее, от этого их денежки не теряются, поэтому чистит оно только от того, что напрямую гадит контактику, и очень странно ожидать другого поведения.
А по какому критерию выбраны вирусы для тестирования?
Насколько я понял это не антивирус в широком смысле этого слова а просто утилита п очищающая всякие паразитные экстеншены и софтины, которые нацелены специально на вк.
Почему-то когда вижу слово Cezurity мне кажется, что это Security с ошибками написано…
www.youtube.com/watch?v=t39uhC_TuQQ
вероятнее всего вот это стало источником имени продукта
вероятнее всего вот это стало источником имени продукта
Попробую слегка прояснить ситуацию:
1. Данный продукт используется саппортом ВК для помощи юзерам у которых «не открывается контакт» — эта тулза смотрит хостс, прокси, тулбары, appinitdll и еще немного — ищет там как по сигнатурам (именам файлов, хешам), так и «эвристически» — «какие-то изменения» в хостс она найдет. В большинстве случаев это помогает и контактик у пользователя начинает работать (доволен юзер, спокоен саппорт, разрабы антивируса покупают своим детям мороженое и те счастливы).
Но этот продукт для пользователей бесплатен и не является конторообразующим софтом, он для известности, входа на рынок, партнерских связей, портфолио, сбора статистики и любых других байт с компьютеров пользователей.
2. Фактически вирусы можно подбирать любые — заразить все файлоинфектором, зашифровать пользовательские файлы, поставить парочку биткоин-майнеров и сверху накрыть это винлоком — результат будет такой же (0).
3. На VT может показываться разное общее число антивирусов по следующим причинам (за раз их может быть несколько):
+ Файлы на VT не заливались, а был осуществлен их поиск с отображением последнего результата сканирования, соответственно если сканирование одного было год назад, а другого позавчера, то будем иметь разное количество антивирусов
+ Какой-то антивирус куда-то «выпал» — такое иногда случается — проверяешь файл сейчас и видишь одно количество антивирусов, проверяешь через десять минут — один из антивирусов куда-то «выпал»
1. Данный продукт используется саппортом ВК для помощи юзерам у которых «не открывается контакт» — эта тулза смотрит хостс, прокси, тулбары, appinitdll и еще немного — ищет там как по сигнатурам (именам файлов, хешам), так и «эвристически» — «какие-то изменения» в хостс она найдет. В большинстве случаев это помогает и контактик у пользователя начинает работать (доволен юзер, спокоен саппорт, разрабы антивируса покупают своим детям мороженое и те счастливы).
Но этот продукт для пользователей бесплатен и не является конторообразующим софтом, он для известности, входа на рынок, партнерских связей, портфолио, сбора статистики и любых других байт с компьютеров пользователей.
2. Фактически вирусы можно подбирать любые — заразить все файлоинфектором, зашифровать пользовательские файлы, поставить парочку биткоин-майнеров и сверху накрыть это винлоком — результат будет такой же (0).
3. На VT может показываться разное общее число антивирусов по следующим причинам (за раз их может быть несколько):
+ Файлы на VT не заливались, а был осуществлен их поиск с отображением последнего результата сканирования, соответственно если сканирование одного было год назад, а другого позавчера, то будем иметь разное количество антивирусов
+ Какой-то антивирус куда-то «выпал» — такое иногда случается — проверяешь файл сейчас и видишь одно количество антивирусов, проверяешь через десять минут — один из антивирусов куда-то «выпал»
ВКонтакте я отвечать разработчикам не собираюсь, может, увидят здесь :)
Хороший уход от ответа. В любом случае, сбой это, или нет, плашку увидели миллионы пользователей ВК, и этого достаточно.
Ещё один уход! Больно уж он похож на ваш логотип, захотелось вставить в пост.
О методике здесь всё написано :)
Так и хочется ответить словами певца уровня антивируса Цезурити — «Я знаю точно невозможное возможно!»
Человеку в депутаты надо! Четко и ясно написано, что после заражение сканирование производилось, и даже понескольку раз. Доступ в интернет, естественно, был, и принципы работы я тоже прочитал)
Да-да, конечно.
И вообще я всё это выдумал и виртуалки никакой не было.
ALL PRAISE CEZURITY
Александр, пост о тесте начинается словами «Недавно ВКонтакте началось активное продвижение по всем фронтам нового антивируса». Мы уже постарались объяснить, что говорить о «продвижении по всем фронтам» неуместно. Появившееся в ВК сообщение — результат тех. сбоя на стороне ВК.
Хороший уход от ответа. В любом случае, сбой это, или нет, плашку увидели миллионы пользователей ВК, и этого достаточно.
Александр, вторая вещь, на которую я хотел бы обратить внимание в связи с этим тестом — это робот. В постинге на Хабре почему-то появился робот, который использовался очень сомнительным антивирусом MacKeeper/PCKeeper (он теперь как-то иначе называется).
Ещё один уход! Больно уж он похож на ваш логотип, захотелось вставить в пост.
Александр, третья вещь по поводу теста. Мы готовы к тестам. Но для того, чтобы их комментировать, нам необходимо знакомство с методикой.В статье на Хабре сказано: Сканер не обнаружил данные вирусы.Мы проверим этот факт. Пока я лишь могу сказать, что, скорее всего, это невозможно.
О методике здесь всё написано :)
Так и хочется ответить словами певца уровня антивируса Цезурити — «Я знаю точно невозможное возможно!»
Александр, к сожалению, это не тест, а очередная попытка, не имея технической экспертизы и понимания, сделать какие-то выводы.
Достаточно посмотреть методологию «тестирования», я ее процитирую: «Метод тестирования следующий: Скачиваем, распаковываем zip, запускаем сканирование компьютера. Запускаем экзешник. И (если возможно) снова сканирование компьютера. После виртуалка восстанавливается в начальное состояние.»
Т.е. сканирование производилось _до_ активного заражения системы. После активного заражения — сканирование не производилось. Более того, по ряду признаков я уверен, что на этой ситеме был заблокирован (отключен) доступ в интернет. Т.е. человек, который проводил это «тестирование» даже не удосужился прочитать документацию к нашему продукту, статьи о его принципах работы и т.д. (Которые есть в нашей группе, в заголовке).
Человеку в депутаты надо! Четко и ясно написано, что после заражение сканирование производилось, и даже понескольку раз. Доступ в интернет, естественно, был, и принципы работы я тоже прочитал)
Александр, скорее всего, при проведении теста допущены какие-то технические ошибки. Например, угрозы не были в активном состоянии. Или, если учесть первые две вещи («продвижение по все фронтам» и не-наш робот), тест просто не был объективным и преследовал цель высказать заведомую критику.
Да-да, конечно.
И вообще я всё это выдумал и виртуалки никакой не было.
ALL PRAISE CEZURITY
Это что, разработчики Cezurity? Детский сад
После вот этого комментария вообще словосочетание «разработчик VK» попахивает говницом
Ефименко не разработчик ВК, а просто кто-то непонятно кто.
Вот ответ настоящего разработчика ВК:
линк: vk.com/wall1708231_16390?reply=16403
Вот ответ настоящего разработчика ВК:
линк: vk.com/wall1708231_16390?reply=16403
Т.е. сканирование производилось _до_ активного заражения системы.
Блин, да нормальный антивирус скушает каку ещё на стадии
Скачиваем
Все посты на тему вирусов и антивирусов читаются как-то иначе… легче… добрее… сидя в линуксе )
Я удивлен как в самом Cezurity VT ничего не показал).
Загрузите его туда, а мы проголосуем… Ну и ссылочку пожалуйста.
Я загружал, оказалось до меня за час загружали).
А вот и ссылка
Данный файл уже был проверен в VirusTotal 2015-07-06 23:49:01 UTC (8 часов, 30 минут ago) а самый первый анализ был проведён 2014-05-31 22:41:19 UTC.
А вот и ссылка
Я даже больше скажу, он уже там год лежит и первые "лайки" от армии анонимусов выглядят как накрутка.
Поддержу.
Взял из FAQ:
5. У меня на компьютере в папке лежит вредоносная программа. Почему Антивирусный Сканер ее не обнаруживает?
Антивирусный Сканер предназначен для поиска и обезвреживания вредоносных программ, которые уже заразили систему. Такие программы могут, например, перехватывать нажатия клавиш, копировать и отправлять данные, рассылать спам или просто ожидать специального сигнала от своего “командного центра”.
При этом важно помнить, что Антивирусный Сканер проверяет не все, а лишь подвергающиеся заражению области. Например, Антивирусный Сканер не обнаружит вредоносную программу, которая не запущена, на нее нет ссылок из автозапуска, и она при этом не находится в критическом месте системы (например, в системном каталоге).
Это означает, что если на жестком диске в пользовательской директории вы сами просто сохранили (не запуская) вредоносную программу, Антивирусный Сканер ее не обнаружит. Такая программа не может причинить какого-либо вреда, пока вы не запустите ее самостоятельно.
5. У меня на компьютере в папке лежит вредоносная программа. Почему Антивирусный Сканер ее не обнаруживает?
Антивирусный Сканер предназначен для поиска и обезвреживания вредоносных программ, которые уже заразили систему. Такие программы могут, например, перехватывать нажатия клавиш, копировать и отправлять данные, рассылать спам или просто ожидать специального сигнала от своего “командного центра”.
При этом важно помнить, что Антивирусный Сканер проверяет не все, а лишь подвергающиеся заражению области. Например, Антивирусный Сканер не обнаружит вредоносную программу, которая не запущена, на нее нет ссылок из автозапуска, и она при этом не находится в критическом месте системы (например, в системном каталоге).
Это означает, что если на жестком диске в пользовательской директории вы сами просто сохранили (не запуская) вредоносную программу, Антивирусный Сканер ее не обнаружит. Такая программа не может причинить какого-либо вреда, пока вы не запустите ее самостоятельно.
Это еще что… мне как-то Avast снёс пол системы(не смог удалить активные файлы) в процессе «чистки браузера». Видать какой-то добренький троянчик добавил «мусор» в виде ссылки на системную папку С:\Windows\ или какая другая ошибка… и Avast стал методично оттуда все вычищать. На системном уровне, с системными правами… Я еще удивился чего это он мусор так долго чистит. А через минуту-другую после чистки начали сыпаться ошибки…
Резервная копия системы это просто чудо, всего неделю изменений потерял.
Резервная копия системы это просто чудо, всего неделю изменений потерял.
Очевидно, что этот продукт позиционируется как домохозяйский антивирус («проверяет не все, а лишь подвергающиеся заражению области» и т.п.). Посмеялись, и здорово. А если серьёзно, за этим шагом стоит какая-то целенаправленная сила, и я сомневаюсь, что дело в рекламе (деньги и так есть) или фишинге (слишком грязное воровство для такой известной организации). Может ли Cezurity стать «официальной» программой слежения за пользовательским контентом в свете последних инициатив защиты авторских прав и прочей вредной для детей информации? Я не эксперт, но есть ли возможность просмотреть содержимое упомянутого https-трафика?
Я помню, как Adobe Reader хотел сканировать все PDF-файлы на моём компьютере на предмет нарушенной DRM-защиты и отправлять результаты в далёкое облако. Не прижился.
Я помню, как Adobe Reader хотел сканировать все PDF-файлы на моём компьютере на предмет нарушенной DRM-защиты и отправлять результаты в далёкое облако. Не прижился.
ateraefectus Возьмите c malwr бинарники с детектируемые 30+ антивирусами, запустите их в виртуалке с рабочим Cezurity, для «чистоты эксперимента» так сказать. Не думаю, что ситуация будет сильно отличаться от описанной в статье.
А вы пробовали скормить ему EICAR Test File?
Это вообще антивирус?
Это вообще антивирус?
Слушайте, Cezurity — это же типа продукт бывшей ВЕСЬМА ПРИЛИЧНОЙ команды Online Solutions?
Они же делали OSAM, OS Security Suite, что у Матусека вторые места брал почти что деля пальму с Comodo…
А потом там появилась какая-то удивительная женщина в руководителях проекта — и вышло вот это вот?
Я скачивал и пробовал это Cezurity — и реакцией было сплошное нецензурити.
А уж продвижение в ВК — настолько явный пример типичной малварной пирамиды, что просто ваще…
Они же делали OSAM, OS Security Suite, что у Матусека вторые места брал почти что деля пальму с Comodo…
А потом там появилась какая-то удивительная женщина в руководителях проекта — и вышло вот это вот?
Я скачивал и пробовал это Cezurity — и реакцией было сплошное нецензурити.
А уж продвижение в ВК — настолько явный пример типичной малварной пирамиды, что просто ваще…
Слушайте, Cezurity — это же типа продукт бывшей ВЕСЬМА ПРИЛИЧНОЙ команды Online Solutions?
Так и есть. Только в чем вы меряете приличность? Цель софта — приносить прибыль. С той бизнес-моделью они имели глубоко отрицательную прибыль бы, т.к подобного софта на рынке навалом и он никому не нужен (все подобные софтины либо закрылись, либо влились в кого-то и прирастили себе 100500 функций, либо стали бесплатными (фримиум) с платным флагманом. Самостоятельно проверить мои слова можно просто: смотрите тот самый топ Матюшека (на который вы как раз и ссылаетесь) и посмотреть что там с продуктами топа.
Напомню только, что у Online Solutions не было в составе ничего кроме горы хуков и вопросительного алерта с отображением перехваченных аргументов функции.
А потом там появилась какая-то удивительная женщина в руководителях проекта — и вышло вот это вот?
Нет, не это. Это нужно в основном для вот этого:
— общая узнаваемость брэнда
— простота налаживания связей с клиентами (аля «смотрите, нас даже вк использует!»)
— имение своего облака со статистикой
— за это вк им еще и денюжку платит!
Если понимать, что этот «антивирус» сделан как раз для этих целей, то придется признать, что справляется с ними он на пять с плюсом.
Но вообще вышло у них это вот, а вот такая штука: www.anti-malware.ru/news/2015-09-17/16857 К ней они последние годы и шли (и не только к ней).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Маленький тест «антивируса» Cezurity