Jump to content

Alisa Shevchenko

Members
  • Content Count

    36
  • Joined

  • Last visited

1 Follower

About Alisa Shevchenko

  • Rank
    Candidate
  1. отдельно взятые аналитики ЛК понимают несколько иначе (глубже, глупше или по диагонали - не знаю): важно - понятие относительное и не имеет смысла вне некоего мета-критерия. важна лишь фактичность, если мы говорим о достоверном отображении влияния фактора на реальность. если же мы хотим это влияние осознать и использовать - помимо фактичности важна еще и теоретичность. термины вольные, надеюсь присутствующие дофантазируют. это как защита реактивная и проактивная кто-то работает на уровне использования фактов (ie сигнатурное детектирование), а кто-то - на уровне отслеживания закономерностей (ie поиск аномалий). это не значит, что одно хорошо, а другое плохо. это значит, что для разных ситуаций хороши разные подходы. а в среднем и целом, однобокий подход ущербен.
  2. дело даже не в том, насколько упрощенным должен быть лог, чтобы вам удобно было его читать. дело в том, что перцептивно-мыслительная система под данный процесс должна быть настроена эвристически, а не прямолинейно-логически. т.е если вы читаете лог как роман, выискивая все подозрительное - это задача, сравнимая по ресурсоемкости с, скажем, брутфорсом пароля. если же вы прикидываете вероятности аномалий вкупе с вероятностями мест их обнаружения и содержите в голове картину иерархии всех этих вероятностей - лог в пару проходов просматривается очень быстро, и по ресурсоемкости это сравнимо с (продолжая пример предыдущего абзаца) применением алгоритма обращения пароля. а картина вероятностей проистекает из здравого смысла, в меньшей степени - из количественного опыта. тренируйтесь (вначале 10 отжиманий, потом по одному в день накидывать сверху и т.д.)
  3. 2 часа - это вы их по слогам читаете, что ли? путь наименьшего сопротивления в выборе между информативностью и читаемостью - самый нересурсный. меж тем, для работы с метровым логом достаточно текстового поиска, понимания, что именно ты делаешь, и (опционально) набитой руки
  4. 1. полное сканирование KAV6 со свежими базами 2. если не поможет - нужны логи системы: getsysteminfo, AVZ
  5. по логам - чисто, едиственное подозрение вызывает файл \system32\vistaui.exe - скорее всего, тоже чистый (какой-нибудь themes), но лучше перестраховаться и проверить. для полноты уверенности недостает только скана kernel-перехватов (AVZ умеет) p.s. зря, зря общественность не пользуется getsysteminfo. AVZ (а уж тем более hijack this) много куда не смотрит. в идеале - AVZ + getsysteminfo, в AVZ обязательно сканирование всех перехватов.
  6. ouch - второго просмотрела. тогда это, вероятно, оно и есть. попросите пользователя прислать этот файл на newvirus@kaspersky.com.
  7. точки пересечения двух логов не просматриваются - что говорит, скорее всего, не столько об их отсутствии, сколько о необходимости использовать более продвинутые утилиты снятия системных данных (getsysteminfo/AVZ, сканер перехватов) что касается вредных файлов - у первого это C:\Program Files\system102\system102.dll (скорее всего, не страшное уровня AdWare), у второго - C:\WINDOWS\system32\tmp_kwm.dll (больше похоже на троянца).
  8. ситуация странная - куча кейсов и ни одного лога getsysteminfo/hijack this/avz. меж тем, именно последнее нужно для понимания/решения проблемы - а не коллекционировать ip-адреса в форумах по сути, эвристика из доступной информации: 1. похоже на Trojan.Win32.DNSChanger 2. Mail.ru тут не причем - скорее, его хотят немного по-DDoS-ить. 3. поскольку симптомы возникли одновременно у многих пользователей и при этом не очевидно для остального комьюнити - использовался скорее старый ботнет, чем свежая рассылка. дальше - только логи
  9. F-Secure 2007 DeepGuard - брэнд совокупности технологий, одна из которых - System Guard
  10. вот и сказал DVI двумя понятными словами то, про что я поленилась раскатывать четвертую язвительную телегу... пора принимать антижелчин, и вообще, тренироваться в риторике
  11. что тестировать, я выше написала.. где-то от слов "чай" и "Господа" к слову сказать, определение проактивки у вас как раз адекватное, и я добавлю на всякий случай: HIPS - слово модное, маркетологически востребованное, и вовсе не всегда обозначает реальную проактивку. так же, как и реальная проактивка не всегда обозначается HIPS. и вообще, в прессрелизах пишут много чего, часто далекого от реальности. вот как раз реальность (субъективная, разных личностей) и интересна. не беда, а расстановка приоритетов запросов (исправления, предложения, улучшения..) много, ресурс ограничен, но мы стараемся. Если проблема в том, что запросы теряются - их можно слать напрямую мне (e-mail в подписи) - будет гарантированный индивидуализированный фидбэк. так и напишите же, что врут злодеи, не имея проактивки вовсе.. или, если на месте проактивки эвристик, но до того замечательный, что умолчать о нем невозможно - не молчите! даже если движок не уникален, его конкретная реализация в интерфейсе может делать большую разницу. одним словом, за отмазку не канает - все равно интересно хоть и да, F-Secure'у лавры можно сразу выдать, сугубо эвристически.
  12. не обязательно искать и озвучивать идеал - ценны живые мнения. что понравилось, что не понравилось, кто в синьку упал, а кого предпочли (если предпочли кого..) кажется, имеет место недопонимание.. мой пассаж про отсутствие отката и т.п. касался F-Secure Internet Security почему? за ссылку ага. список составлялся не мной, править голосование уж не станем, чай Господа присутствующие не отара погуглить адекватный список софта по ключеслову HIPS
  13. судя по раскиду голосов и вялому ходу обсуждений, господа присутствующие либо предпочли подлещивание объективности, либо действительно сплошь шороокие фанаты KIS... господа! про то, какой KIS классный, мы и сами знаем! нужны непредвзятые обоснованные мнения и честные тесты разных проактивок в количестве. причем мнения выступающих могут не совпадать с мнением редакции и им за это НИЧЕГО НЕ БУДЕТ! тестируем!!!! ну, "как-то" они реагируют на изрядную часть ITW, но на практике от этого толку мало - действие, сочтенное вредным (а список оных, кажется, невелик - по сравнению с тем же KIS) блокируется, а вирус продолжает бегать. (кто-нибудь смотрел подробнее?) самое ужасное же то, что откат не предусмотрен вовсе. интерфейс неудобен, возможностей тонкой настройки проактивки нет. все вышесказанное есть imho не сотрудника KL, но любопытного и невероятно объективного пользователя.
  14. расширенные базы включены? http://www.kaspersky.ru/extraavupdates Насчет того, что файл появляется снова и снова: 1. для закрытия уязвимостей операционной системы: скачайте все доступные заплатки windowsupdate.microsoft.com 2. для локализации неизвестных науке вирусов: скачайте эту утилиту ftp://ftp.kaspersky.com/utils/trojans/TrojanFindInfo.rar и вышлите сгенерированный ею лог на support@kaspersky.com.
  15. пришлите, пожалуйста, файл с ложным срабатыванием на newvirus@kaspersky.com.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.