Текущее время: 28 мар 2024 23:29

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 32 ]  На страницу Пред.  1, 2, 3, 4
Автор Сообщение
СообщениеДобавлено: 18 апр 2015 22:33 
Аватара пользователя
Не в сети

Зарегистрирован:
16 дек 2013 00:57
Сообщения: 138
Откуда:
г.Мытищи М.О.

Награды:

Наш бета-тестерСлово – золото Активист форума
Открыть цитату
Mockingbird писал(а):
Мы внимательно изучили данное видео и решили прокомментировать:

1. Автор видео выставил в настройках Защиты системы автоматическую блокировку вредоносных файлов. Чуть позже он начинает распаковку архивов с вредоносными образцами, ожидая каких-либо запросов со стороны Антивируса. Но их нет из-за выставленных самим пользователем настроек, всё блокируется автоматически. В режиме автоблокировки Антивирус "молча" блокирует обнаруженные вирусы, при этом ничего не лечит и не удаляет.

2. Автор видео отметил большую нагрузку на компьютер во время сканирования папки с огромным количеством вредоносных файлов. Такое действительно возможно. Мы всегда делали ставку на максимально быстрое и эффективное сканирование и лечение ПК. Отчасти это достигается за счет использования всех доступных ресурсов машины. Возможно в будущем наша стратегия будет несколько изменена.

3. При проверке web-защиты автор скачивает не только exe, но и архивы, ожидая, что Антивирус заблокирует скачивание и того, и другого. В данный момент Защита системы NANO Антивируса намеренно не сканирует архивы, чтобы дополнительно без явной необходимости не нагружать компьютер. Сам по себе архив не представляет опасности для системы, а при его распаковке Антивирус обнаружит извлеченный вредоносный файл (и автоматически заблокирует, см. п.1).

4. После перезагрузки ПК, не загрузилась визуальная часть Антивируса. Наиболее вероятная причина произошедшего - высокая нагрузка на ПК в момент загрузки ОС (GUI по таймауту не успела приконнектится к антивирусной службе и "молча" завершилась). Возможно произошла какая-то внутренняя ошибка при старте GUI - чтобы подтвердить или опровергнусь это предположение необходимы логи антивируса. Вмешательство вредоносного ПО в процесс загрузки визуальной части маловероятно (здесь также для подтверждения или опровержения версии необходимо подробное изучение вирусного образца). Самое главное - что даже без загрузки визуальной части, антивирусная служба защищает ПК и автоматически блокирует любое обнаруживаемое вредоносное ПО. Далее визуальная часть вручную запускается и работает без каких либо сбоев.

5. Антивирус позволил запуститься некоторым файлам: дело в том, что делать выводы о вредоносности пропущенных файлов можно лишь на основании изучения самих файлов. Тот факт, что автор скачал их из интернета, и даже тот факт, что какие-то из них прописались в автозагрузку, ещё не делает эти файлы однозначно вредоносными. Во всяком случае, мы регулярно сталкиваемся с ситуациями, когда распростроняемая через интернет коллекция вредоносного ПО, наряду с действительно вредоностными образцами, содержит и вполне безобидные файлы. В любом случае делать окончательные выводы можно лишь изучив сами файлы, и мы будем благодарны автору, если он сможет нам их предоставить, а также за любые другие подозрительные или потенциально опасные образцы.

6. Антивирус обнаружил вирус в памяти и не смог его вылечить: если смотреть видео внимательно, то можно заметить, что антивирус действительно что-то находит в памяти, но только в памяти процесса KillSwitch, которым активно пользуется автор. Что стало причиной этого обнаружения - вопрос открытый. Помочь ответить на него мог бы полный дамп памяти процесса KillSwitch, снятый в момент обнаружения (обнаружение одним антивирусом заражения в памяти другого антивируса - в принципе ситуация возможная, однако повторить эту конкретную ситуацию в лабораторных условиях нам не удалось). Однозначно можно сказать лишь, что автор ошибочно связывает обнаруженное заражение с подозрительным (по его мнению) процессом, и далее делает ошибочный вывод о том, что NANO Антивирус не смог вылечить память, на основании того, что подозрительный (по мнению автора) процесс продолжает находится в памяти после лечения (хотя на самом деле Антивирус даже не пытался лечить этот процесс). Является ли указанный подозрительный процесс действительно вредоносным - вопрос также открытый (см. п.5). В любом случае, мы будем признательны пользователям, отправляющим подобные образцы на почтовый ящик virus@nanoav.ru или через специальную форму на нашем сайте.

Будем рады услышать конструктивную критику, мнения, советы, рекомендации с вашей стороны.

Спасибо за комментарий к видео.Сразу скажу что я не автор данного видео.Так как судя по всему тест проводился на виртуальной машине,уже скорее всего не получится получить не образцы вредоносного по не дамп памяти,машина судя по всему уже стерта.
Лично мое мнение,антивирус показал себя очень даже хорошо,да идеального решения безопасности нет и не будет,пропускают все кто то больше, кто то меньше.
Даже можно не делать скидку на beta как написал автор,так как детект антивируса да и защита в целом уже на хорошем уровне.Можно даже было прибавить оценку.За что прибавить,нет ни облачных технологий, ни полноценного hips(анализа поведения и.т.д.) как в других продуктах.Для сравнения,если посмотреть другие видео данного автора то можно увидеть что некоторые платные продукты за которые берут деньги,показали гораздо худший результат(не будем показывать пальцем :) ).
п.2 Нагрузка действительно присутствует при распаковке и сканированиях.В основном нагружается процессор а не память,что может быть критическим для слабых машин например 1 или 2 ядра.Не все пользователи могут позволить себе последние модели с 4,8 и.т.д ядрами и оперативной памятью под 32 гб,как пример организации.Да антивирус действительно начал лечить файлы а не тупо удалять даже если выбрать лечить как в далеком прошлом.Надеюсь разработчики оптимизируют процесс лечения.
п.3 Мне кажется при проверке web-защиты автор имел ввиду блокировку непосредственно web-адреса независимо скачивается там архив,exe файл или выполняется эксплойт.Если адрес является опасным, то антивирусная программа должна на это отреагировать(заблокировать или предупредить) не правда ли?.Никто не будет держать в базах антивируса миллионы web адресов,для этого и существует"Коллективный разум" и другие подобные.
п.4 Как мы знаем у NANO антивируса(а может NANO Security ;) ) есть два процесса это "nanoav.exe"(оболочка) и "nanosvc.exe"(основной),при выгрузке(НЕ Process Hacker"ом) оболочки антивируса,защита действительно сохраняется,при том что файлы можно перемещать или удалять,а вот запустить не получится.Ну и если выгрузить основной процесс,то уже защиты нет никакой(оно и понятно).Возникает вопрос,когда разработчики реализуют восстановление процессов антивируса,хотя бы основного?
п.5 и п.6 Описал в самом верху.
P.S.Это сугубо мое личное мнение и не кому не хочу его навязывать.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 апр 2015 18:31 
Аватара пользователя
Не в сети

Зарегистрирован:
16 дек 2013 00:57
Сообщения: 138
Откуда:
г.Мытищи М.О.

Награды:

Наш бета-тестерСлово – золото Активист форума
Вот еще похожее обнаружение,в настройках файловой системы стоит галочка на блокировку зараженных файлов.Распаковываются объекты формата .exe через архиватор 7zip,появилось уведомление от продукта явно указывающее на то,что процесс в оперативной памяти (3064) архиватора является Virus.Win32.Nimnul.bgvqm.
Действие было выбрано пропустить,я думаю если бы выбрал лечить с перезагрузкой,то бы действия лечения не произошло бы,просто завершился бы процесс распаковки.
Открыть
Изображение

Да, и в выложенном выше видео теста,похожее обнаружение.В начале теста при распаковке объектов архиватором.И в конце теста антивирус явно указывает на работающий процесс killswitch,считая именно сам процесс в оперативной памяти вредоносным.

Вот еще тест для ознакомления:
Открыть спойлер


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 32 ]  На страницу Пред.  1, 2, 3, 4

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
POWERED_BY
Русская поддержка phpBB