All streams
Search
Write a publication
Pull to refresh
140
40

Пользователь

Send message
Спасибо за уточнение, значит, я вас неправильно понял. Но смысл моего сообщения вам, надеюсь, понятен. Не стоит бояться заражения BIOS`а: поделки, подобные этой, у нас на примете, и даже если они получат распространение, очень скоро будут искорены.
Блокер, заражающий MBR, встречается нам уже не впервые. Это не новый «штамм», просто новая модификация. Заражение BIOS`а — дело крайне непростое. Вряд ли вирусописатели этим займутся, так как соотношение прибыль/затраченное_время окажется невысоким. Кстати, скоро мы выпустим очередной пост с десяткой самых необычных блокеров, там будет представлена одна из модификаций описанного вами зловреда.
В файле расписано прохождение Final Fantasy 10, полностью переводить? :)
Задачей поста стояло не описание каждого отдельного способа заражения, которые уже известны, а описание зловреда, который использует сразу все три способа для своего заражения. Более того, учитывая, что все эти способы не новы, примечательно, что такой зловред вообще появился на свет. Это говорит о том, что малварщики используют не толкьо 0-day, а еще и всякие древние штуки.
Поразмыслив, мы выбрали не один, а три самых интересных вопроса, авторам которых отправлены ключи для активации KIS 2011 на 1 год на 2 ПК. Вот победители:
1. RedCenter: звук обнаружения угроз — Больше всего улыбнул
2. ShouldNotSeeMe: дамп BBS — До сих пор ищем ответ
3. ipfw: о принципах работы Aybo — «естьнадчемподумать»
Те, кому лицензий в этот раз не досталось, не отчаивайтесь, мы обязательно будем устраивать еще раздачи. Всего хорошего, и с праздниками вас!
Спасибо за вопрос, мы передадим его на рассмотрение ответственных лиц! ;)
Утверждение «если движок не обновляется, то фактически является фиговым листком» неверно. Вместе в обновлениями сигнатурных баз наши продукты регулярно получают обновления антивирусного движка.
1. В конце 2009 года 6 версия антивируса для Windows Workstations была значительно переработана, в том числе продукт получил новое антивирусное ядро, новые функции, например, контроль устройств, была добавлена поддержка Windows 7. Переработанный продукт получил обозначение KAV for Windows Workstations 6 Release 2. Что касается качества этого продукта, то, наверное, лучшим подтверждением этого качества является проведенное в декабре 2010 года тестирование Virus Bulletin, по результатам которого KAV 6 Release 2 обошел всех основных конкурентов.
2. Что касается наших планов по выпуску новой версии — да, мы работаем над новой версией продукта :) Не забывайте, что цикл разработки корпоративного антивирусного ПО длиньше, чем у домашних продуктов. Домашние продукты обновляются каждый год, корпоративные — раз в 2-3 года, это принятые в индустрии стандарты.
В версии 8.0 эта возможность реализована! support.kaspersky.ru/ak8/tech?qid=208639579
Как Вы верно заметили, наши продукты — это прежде всего приложения, обеспечивающие безопасность ПК. Безусловно, на сегодняшний день одного лишь файлового сканера и проверки по требованию в антивирусе мало. А некоторые пользователи хотят видеть продукты с большим набором функций и возможностей, чем даже есть в Kaspersky Internet Security. В качестве примера логического развития линейки наших продуктов в этом плане выступает Kaspersky CRYSTAL, где есть шифрование данных, бэкап (не говоря уже о различных мастерах настроек). Еще недавно, пожалуй, такие модули многими из пользователей даже не рассматривались как что-то необходимое в продукте, обеспечивающем защиту ПК. Возможно, спустя некоторое время секъюрити-продукты будут решать и проблемы, подобные описанной Вами для файловых систем. Но пока об этом говорить еще рано.
64-битные версии IDA и WinDBG успешно справляются с отладкой 64-битных файлов.
Ответ был дан на вопрос «Почему ваши базы так сильно фрагментируются?».
Что же касается скриншота, полностью исключить фрагментацию файлов не представляется возможным. Пока вопрос снижения уровня фрагментарности везде и всюду нами не рассматривался. Надо сказать, что на сегодняшний день современные версии операционных систем имеют достаточно удобные средства автоматической дефрагментации, поэтому данная проблема не выглядит столь ужасной.
Антивирусные вендоры обмениваются между друг другом сэмплами, но обмена сигнатурами не происходит, так как у каждого вендора свой движок.
1. А откуда у вас такая информация? Уточните вопрос, пожалуйста!
2. Мы уделяем много внимания вопросам производительности. Например, при разработке следующей версии продуктов (2012) помимо оптимизации работы самого приложения было проведено множество тестов производительности для наиболее распространеных сценариев использования ПК, т.е. продукт отдельно был протестирован, например, при веб-серфинге, просмотре видео и т.д.
Если Вы наблюдаете серьезное снижение производительности системы при работающем нашеи продукте, рекомендуем убедиться, что ПК соответствует системным требованиям (для KIS 2011 можно посмотреть здесь: support.kaspersky.ru/kis2011?level=3), а затем обратиться в техподдержку, т.к. такое поведение не является нормальным.
Например, наш старший вирусный аналитик группы эвристического детектирования использует комбинацию IDA + HexRays, а для отладки драйверов — WinDBG. Помимо этих отладчиков, еще используются, например, OllyDbg и Syser.
Дело в том, что сами по себе такие файлы не представляют опасности, как верно было замечено, в них содержится лишь путь к телу самого зловреда. В то же время, файл autorun.inf вполне может быть создан пользователем для реализации необходимых ему задач (например, автозапуск какого-либо конкретного приложения, находящегося на диске/флешке). В этом случае удаление файла autorun.inf нашим продуктом и вовсе нанесет, скорее, определенный вред, нежели пользу.
Все конкуренты сильные. На данный момент входим в четверку Symantec, MacAfee, TrendMicro. Конечно же, хотим стать №1.
Формат сигнатур относится к нашей внутренней информации, а разработка возможности управления сигнатурами со стороны пользователя в настоящее время не ведется.
Если вы производили все модификации в ring0, то вам требовалось загрузить свой драйвер для этих целей, а на загрузку драйвера успешно реагирует PDM/HIPS модуль.
Спасибо за комментарий! Вопрос оптимизации перемещения головок винчестера при проверке файлов нами пока не рассматривался.
Мы бы и пиратов защитили, нам не жалко, но уж больно большая от них нагрузка на серверы. А нам ведь надо в первую очередь легальных пользователей защищать! Приходится отключать ваши ключи, уж извините.

Information

Rating
Does not participate
Location
Москва и Московская обл., Россия
Registered
Activity