[xoxmodav]

Цитата Vadikan:

xoxmodav, это полная ерунда, прости уж за прямоту. Для подстраховки своего антивируса нужно использовать сканеры других антивирусных компаний, а не проверку файлов в папке Windows с помощью VT. И уж тем более не надо это подсовывать менее квалифицированным кадрам в качестве успокоительного. »

Согласен в том, что проверка сторонними сканерами увеличивает уверенность в безопасности. Но, я надеюсь никого не удивлю тем, что расскажу о том, что в ряде случаев ни Антивирус Касперского, ни NOD32, ни dr. Web и даже не Avirа Antivir (на определённый момент) не видят ничего подозрительного в файлах, в то время как антивирусные решения от Panda, Microsoft и ещё нескольких других производителей (повторюсь - на тот момент) зловреды уже вполне замечательно находят. Единственное чего вы добьётесь проверкой сторонними сканерами (к тому же далеко не каждая компания предоставляет бесплатные сканеры) - потеряете кучу времени. Может кто-то из вас составит и опубликует памятку пользователю, в которой расскажет как быстро, эффективно и без излишнего геморроя проверить ОС несколькими антивирусными сканерами?

Цитата Drongo:

Другими словами пока не отошлёшь файл в вирлабы ты можешь даже вирусы считать "чистыми" файлами. »

В сколько вирлабов надо будет отсылать пользователям заражённые файлы (и ведь они их должны ещё будут вычислить перед отправкой - ни одна антивирусная компания не возьмётся разбирать архив с папкой Windows) - во все имеющиеся? А вот изменённые или "левые" dll-ки и exe'шники вполне возможно (с большей вероятностью) найдутся на VT и их-то уже можно будет выслать в вируслабы.

Вот кстати простой пример работы Вирусной Лаборатории "Лаборатории Касперского" (из личного опыта):
В вердикте запроса о проверке файлов на вредоносный код № 312341422 от 23.07.2010 значится: "..., MiModules.gif, ... - Вредоносный код в файлах не обнаружен." А уже 09.08.2010 в этом файле замечательно находится Trojan-Spy.Win32.Delf.jxd. Сейчас же, на вопрос "как это понимать", техподдержка сыпет перлами, типа: "Присланные Вами файлы были неоднозначны для вынесения вердикта.Очевидно, был проведен повторный анализ и принято такое решение." и зачем-то просит выслать эти файлы ещё раз.

Цитата Drongo:

Рискованое и ошибочное мнение. »

Рискованное - да, ошибочное - спорно. Согласен, что далеко не все файлы можно найти на VT, но тем не менее куча людей, вычисляя зловредов, так или иначе использует данный сервис или его аналоги. Поэтому пользователям вычислить заражённый файл с помощью данной утилитой возможно будет проще, нежели разбираться со специализированными утилитами (AVZ, HijackThis и т.п.) или ждать когда он сам начнёт "отлавливаться" антивирусом.

Цитата Drongo:

Пользователь в ошибочной уверености чистоты компьютера, а вирус тихонько делает своё дело »

Хм, забавное сравнение - то есть когда с помощью сторонней утилиты пользователь проверит папку Windows и она ничего ему не покажет - это "ошибочная уверенность чистоты компьютера", а когда лажает антивирусная программа (и хорошо если одна), то как это назвать? Какая это "уверенность чистоты компьютера" - внушённая, легальная, ложная, маркетинговая? Чем они в таком случае будут лучше этой утилиты? К тому же - никто и не собирается её преподносить как панацею от всех зловредов.

P.S. Не многовато ли вы требуете от пользователей? Знания о том, что искать, где искать, где спрашивать, куда отправлять и т.п. уже выходят далеко за рамки простого (и даже продвинутого) пользователя.

P.P.S. Добавление файла в базы можно ждать не день и не два, к примеру, у меня в неразобранном (от середины июля и начала августа) Касперский после очередного обновления баз регулярно находит что-то новое. А многие ли согласятся ждать полмесяца или месяц?

[Vadikan]

Цитата xoxmodav:

Единственное чего вы добьётесь проверкой сторонними сканерами (к тому же далеко не каждая компания предоставляет бесплатные сканеры) - потеряете кучу времени. »

Такая проверка - это первый шаг устранения заражений в методиках российских специалистов, занимающихся лечением систем от вредоносных программ. Она применяется и в нашем форуме лечения. И ее эффективность в любом случае выше, чем проверка папки Windows на VT.

Цитата xoxmodav:

Может кто-то из вас составит и опубликует памятку пользователю, в которой расскажет как быстро, эффективно и без излишнего геморроя проверить ОС несколькими антивирусными сканерами? »

Это не нужно. Достаточно одного сканирования, с учетом наличия резидентного антивируса. Можно подумать, проверка на VT обеспечивает быструю и эффективную проверку системы... Быструю - может быть, но она ничего не дает, кроме ложного ощущения чистоты системы.

Обсуждаемая фича - это шарлатанство. Я лишь хочу, чтобы сия полезная утилита делала то, для чего она предназначена, а не пыталась брать на себя ненужные функции, вызывающие недоумение специалистов ИБ, какую бы аргументацию ты бы не подводил под их внедрение.

[xoxmodav]

Цитата Vadikan:

Возможно, стоило принять формат ГГ-ММ-ДД (10.8.20) и сразу понятно, когда версия вышла. »

Этот формат не принят в русскоговорящих странах и, ИМХО, ещё больше введёт пользователей в заблуждение. Скорее всего после версии утилиты будем писать какого числа был выпущен данный билд: "VT Checker 1.5 (от 01.10.2010)".

Цитата Vadikan:

Такая проверка - это первый шаг устранения заражений в методиках российских специалистов, занимающихся лечением систем от вредоносных программ. Она применяется и в нашем форуме лечения. И ее эффективность в любом случае выше, чем проверка папки Windows на VT. »

Эффективность выше, но не на столько, чтобы считать данный метод панацеей.

Цитата Vadikan:

Обсуждаемая фича - это шарлатанство. Я лишь хочу, чтобы сия полезная утилита делала то, для чего она предназначена, а не пыталась брать на себя ненужные функции, вызывающие недоумение специалистов ИБ, какую бы аргументацию ты бы не подводил под их внедрение. »

Это будет всего лишь её дополнительный функционал, а не шарлатанство, к тому же мы же не говорим о шарлатанстве антивирусов, которые вводят пользователей в заблуждение, обещая защиту от всех угроз и зловредов - или мало было случаев заражения ОС с установленным лицензионным антивирусом с последними базами? Так же как и не говорим о продукции той или иной фирмы, которые заявляют одно, а на деле оказывается совсем другое и вместо простейшей настройки для работы, приходится устраивать танцы с бубном, обсуждения на форумах и вести многокилометровую переписку с разработчиками. Тот же AVZ многие пользователи до сих пор считают полноценным антивирусом, но на самом деле таковым не является. Но разработчик утилиты ведь не виноват в том, что многие пользователи не читают описание ПО и не хотят понимают разницу? Вот и тут - никакого шарлатанства, мы не обещаем никому никакой безопасности, утилита только просканирует каталог Windows, отсеит заранее "чистые" файлы, и, не спеша, проверит результат сканирования на VT оставшихся. В это время никто не мешает пользователям проверять компьютер сколько угодно различными антивирусными сканерами и т.п. - утилите нужен только интернет.

А в чём собственно будет шарлатанство? Мы же не пишем в описании - замена антивируса, гарантия абсолютной безопасности и т.п. Мы пишем вполне ясно - утилита для получения результатов сканирования файлов на VT. Где тут обман-то?


P.S. А если утилита дорастёт до отправки файлов на VT, и в неё будет добавлен функционал отправки файлов, которые так или иначе находятся в автозагрузке ОС - это тоже будет шарлатанство, обман пользователей и абсолютно никому не нужная фича?

Цитата Vadikan:

Обсуждаемая фича - это шарлатанство. Я лишь хочу, чтобы сия полезная утилита делала то, для чего она предназначена, а не пыталась брать на себя ненужные функции, вызывающие недоумение специалистов ИБ, какую бы аргументацию ты бы не подводил под их внедрение. »

Кстати пока из всех специалистов ИБ, связанных с оказанием помощи в лечении заражённых систем, высказался только Drongo. И высказался не о том, что данный функционал вреден/опасен/абсолютно не нужен, а всего лишь о том, что часть пользователей будет введена в заблуждение, получив результат сканирования. Но ведь никто не мешает нам во время выполнения данной функции выводить окно с сообщением о том, что эта функция НЕ ДАЁТ НИКАКИХ ГАРАНТИЙ БЕЗОПАСНОСТИ, а всего лишь помогает вычислить заражённые файлы, которые уже были проверены на VT и которые уже детектируются другими антивирусными продуктами. Или это тоже будет шарлатанством?

[Severny]

Цитата zeroua:

Severny, пологаю что как раз .Net сейчас необходимое дополнение для каждой системы, да и вообще время ХР все быстрее быстрее близиться к своему завершению так что проблем с .Net у опытных пользователей для коих и разработана данная утилита не должно быть. »

Ну не думаю. Мне она пригодилась бы как раз в походе , а вот для личного пользования ну не востребована.
Объяснить всем заранее, что нужно установить Net, ну невозможно.
Устанавливать самому не всегда оправдано и нужно.
В нашем городе, особенно на предприятиях, ну никак не хотят верить, что время ХР прошло
И правильно делают с точки зрения экономической.

Неизвестно кто быстрее окажется в небытии -- Virustotal или ХР.

[Vadikan]

Цитата xoxmodav:

Эффективность выше, но не на столько, чтобы считать данный метод панацеей. »

А я и не считал его панацеей. Ну хорошо, проверил человек папку Windows, нашел в ней три детектируемых файла. Что будет делать пользователь дальше?

И вообще, ты представляешь себе кол-во файлов в папке Windows в Windows 7, например?

Цитата xoxmodav:

Но ведь никто не мешает нам во время выполнения данной функции выводить окно с сообщением о том, что эта функция НЕ ДАЁТ НИКАКИХ ГАРАНТИЙ БЕЗОПАСНОСТИ, а всего лишь помогает вычислить заражённые файлы, которые уже были проверены на VT и которые уже детектируются другими антивирусными продуктами. »

Первый раз слышу об этом сообщении.

[iskander-k]

Цитата xoxmodav:

Вот и тут - никакого шарлатанства, мы не обещаем никому никакой безопасности, утилита только просканирует каталог Windows, отсеит заранее "чистые" файлы, »

Похоже данная утилита приближается к "званию " аналога АВЗ. Зачем утилите предназначенной

Цитата xoxmodav:

для пакетной проверки файлов на сервисе VirusTotal.com »

самой искать эти самые подозрительные файлы ?

[akok]

Цитата Delirium:

функционал сканирования папок Windows. »

Плохая идея, даже реализовав систему "белых списков" не удастся избавиться от множества запросов и потери времени.

Тем более не каждый зловред позволит снять свой хеш. А о ложных срабатываниях я умолчу они будут особенно на диких сборках класса Zver.



В хотелки:
- Рекурсия (указываем корневую папку программа смотрит еще и подпапки)
- Возможность преобразовывать имена файлов карантинов AVZ и Combofix

Пример:

Имеем два файла avz00001.dta и avz00001.ini. В avz00001.ini мы видим:

Код:

Src=c:\program files (x86)\kaspersky lab\kaspersky internet security 2010\avp.exe
Infected=avz00001.dta

Сможет ли программа отражать в интерфейсе имя файла не avz00001.dta, а avp.exe с указанием полного пути.

С Combofix проще, программа хранит карантин в формате avp.exe.vir но соблюдает структуру каталогов т.е. множество вложенных папок

Цитата xoxmodav:

- добавить возможность отправки файлов на сервис VirutTotal.com на проверку »

Очень нужно, для консультантов ассоциации.

[xoxmodav]

Цитата akok:

Плохая идея, даже реализовав систему "белых списков" не удастся избавиться от множества запросов и потери времени. »

Цитата iskander-k:

Зачем утилите самой искать эти самые подозрительные файлы ? »

Как минимум - уменьшить нагрузку на этот самый сервис (думаете будет мало таких пользователей, которые интереса ради закинут каталог с системой на проверку?), как максимум - упростить процедуру проверки файлов из автозагрузки на VT (в многих случаях зловреды прописываются именно там).

Цитата iskander-k:

Похоже данная утилита приближается к "званию " аналога АВЗ. Зачем утилите предназначенной »

Не дай боже - у AVZ ооочень уж немаленький функционал.

Цитата Vadikan:

А я и не считал его панацеей. Ну хорошо, проверил человек папку Windows, нашел в ней три детектируемых файла. Что будет делать пользователь дальше? И вообще, ты представляешь себе кол-во файлов в папке Windows в Windows 7, например? »

Удалит, перенесёт, отправит в вирусную лабораторию своего антивируса (если конечно зловред ему это позволит ). Или же позвонит человеку или в сервис, которые занимаются профессиональным лечением компов.
Прекрасно представляю это самое количество - порядка 70-80 тысяч (без учёта файлов в архивах), но о чём это говорит? К примеру, файлов, которые относятся к антивирусу Касперскому (без карантина, отчётов, резервного хранилища) - 5.000, в дистрибутиве .NET Framework 3.5 - 21.000 (из них только 12 тысяч уникальных) - это много или мало?

Цитата Vadikan:

Первый раз слышу об этом сообщении. »

Конечно - пока нет такого функционала, нет никакого сообщения. Зачем делить шкуру неубитого медведя? В текущем же состоянии утилиты считаю такое предупреждение излишним.

Цитата akok:

Тем более не каждый зловред позволит снять свой хеш. »

Соглашусь с этим, но это также будет дополнительным сигналом для того, чтобы задуматься - к чему относится данный файл и почему он не даёт это сделать.

Цитата akok:

А о ложных срабатываниях я умолчу они будут особенно на диких сборках класса Zver. »

От них никуда не денешься , но всё же хотелось бы минимизировать их количество.

[Vadikan]

Цитата xoxmodav:

Удалит, перенесёт, отправит в вирусную лабораторию своего антивируса »

Первое наиболее вероятно, учитывая неквалифицированных пользователей, на которых ориентирована фича. И что это даст? Зловред не вылечен, от него осталась куча хвостов.

Цитата xoxmodav:

но это также будет дополнительным сигналом для того, чтобы задуматься - к чему относится данный файл и почему он не даёт это сделать. »

Неквалифицированные пользователи над этим не задумаются.

Ладно, как я понял, решение о внедрении фичи уже принято, а сотрясать воздух - бессмысленно.

[Drongo]

Цитата xoxmodav:

(в многих случаях зловреды прописываются именно там). »

Нет, многие вирусы используют механизм автозапуска, но способы автозапуска уже зависят от фантазии вирусописателя:
1. Это либо вредная служба работающая и запущеная
2. Это либо запуск из Userinit, Shell, AppInit_DLLs, Winlogon, и т.д.
3. Это либо планировщик задействован.
4. Запуск из ветки Run, хотя файл находится хз где, хоть даже в интернет-кеше
5. И наконец, случай, папка Автозагрузка(monoka32.exe), ну так её уже все мы знаем.