Уже тема поднималась неоднократно, просто с выходом новой версии DrWeb'a поднялась снова - какой антивирус выбрать...Предлагаю обсудить антивирусы (именно те, которые стоят на ваших домашних\рабочих компах), их плюсы и минусы. За основу думаю стоит взять наиболее популярные программы, т.к. проводить тестирование по обнаружению вирей желания нету.. Критериев несколько - скорость работы сканера, монитора, системы после установки антивиря, возможность и размеры автоматического обновления баз, разнообразие настроек. Ну и железо, на котором антивирь стоит.
Я ставил каспера 5.0 на домашний и на рабочий комп - тормоза при включенном сканере наблюдались капитальные, плюс на рабочем компе некоторые безобидные тулзы были удалены без ведома юзера (т.е. меня). К тому же полная проверка дисков висла на одном из архивов бух.проги, а после исключения из списков проверки найденные вири удаляться отказывались - каспер падал с ошибкой при удалении. Размер обновляемых баз >500 Кб в день - не очень радует...
ДрВеб 4.33 неплохо работает на домашнем компе, на рабочем (PIV-1500,128 метров памяти) тормоза жуткие, сканер полное сканирование дисков (2Х20 метров) так и не смог довести до конца. Размер обновляемых баз довольно маленький, криво реализовано автоматическое обновление. Убогий интерфейс, криво реализована автоматическая проверка...
По отзывам - Панда жутко тормозит (очень жутко).
Хотелось бы узнать, как (и какие) антивири работают у других, их достоинства и недостатки.

| Сообщение посчитали полезным:

mozaxaka
Теже мысли и меня посещают. Если вирусня сама шифрует файло значит вирус точно знает приватный ключ. Так что спецам нужно найти в теле вирусни ключик и усё. Или опять куча полиморфа с собственной защитой из ядра как было с Рустоком от чего было проблематично разобрать вирусок?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Нам недавно клиенты притащиле комп с этим сраным вирусом...
Я посмотрел на файл !_README_!.txt, там снизу была сигнатурка после текста. Напоминает пгп ключ, только его размер был 90 бит... немогу въехать. Если заюзоле рса 1024, то каким хреном там 90 битный ключ? И вообще по моему в лабе каспера просто никто не хочет разбираться с этой хренью... напесал аффтар, что использует 1024 и ему поверели, а вот есле бы напесал 2048? а в лабе каспера максимум что сделале - это добавеле сигну и на калькуляторе пощитале, что для факторизации N им потребуется 15 мил. компов и 30 лет работы... создается такое впечатление, что они даже в тело не заглядывале.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Talula writes:
а толку от него?
Открытый и закрытый ключи в RSA (rsa ведь фирма?) связаны какой-то математической последовательностью. Теоретически по нему можно восстановить закрытый ключ, вот пусть мосги из Лаборатории Каспера и думают как его найти

| Сообщение посчитали полезным:

mozaxaka
Не теоретически, а практически.
для того, чтобы
mozaxaka пишет:
восстановить закрытый ключ D
Нужно факторизовать
mozaxaka пишет:
Открытый N
И получить праймы P и Q, а далее все очень легко считается. Но как уже говорилось, факторизовать рса 1024 практически невозможно, т.к. это требует огромных ресурсов и времени.
А вообще почитай про криптографию, интересная штука...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
Я посмотрел на файл !_README_!.txt, там снизу была сигнатурка после текста. Напоминает пгп ключ, только его размер был 90 бит... немогу въехать.
я так понял что файлы пошифрованы RC4, а RSA накрыт только ключ.
иии КАЛы не призывают факторизовать 1024 они пытаются найти уязвимость данной конкретной реализациии (типо)
думаю можно принимать ставки... через сколько дней они объявят о победе

| Сообщение посчитали полезным:

bitgame пишет:
через сколько дней они объявят о победе
Та нихера они не пытаются, на форуме так и было сказанно. Еще они сказале дайте на 15 мил. канпов объедененных в один кластер и 30 лет времени.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Они просто подождут пока люди поумнее и посвободнее все сделают за них, а потом просто у них это купят
Лаборатории то невыгодно я думаю, они будут стараться, средства потратят, обновят базы чтобы все халявшики могли это скачать

| Сообщение посчитали полезным:

ну хз. обычно такой пеар не с проста. да и за русток.С надо отыграться

| Сообщение посчитали полезным:

bitgame
Опять же возвращаемся к нашим баранам....
Ну накрыт ключ RSA?! И что? Значит вирус имеет публичный ключ для расшифровки RSA и извлечения ключа. Потрейсив вирусок или найдя в теле паблик ключ и пошифрованый ключ получим чистый ключ для RC4 с помощью которого шифруются и дешефруются файлиги при заражении.

Непонимаю нафига они брутить собрались? Ладно если вирусок при первом своем попадании на машину запрашивает с сервака рандомный ключик для этой машины, шифрует файлы этим ключём и потом его проебывает в /dev/null с радосными возгласами давай бабла иначе сосите х. Если это так то моглиб и написать про это.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Talula
для того менеджеры пакетов и существуют, да и нафиг ставить если она предустановлена (:
Кароче флейм пошел. Твою мысль я понял.

бодягу эту не видел, но для чего прога должана содержать приватный и публичный ключ, если для шифрования достаточно только публичного?
что мешает аффтору высылать тулзу для расшифровки. Если вшивать разные ключи, то можно их потом требовать с жертвы и всего-то.

иначе, аффтор поделия должен собирать вещи и отправляться в направлении биореактора

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx
Упс... точно перепутал действия приватного и публичного ключа Тогда действительно достаточно публичного ключа в теле вируса и все файлы будут пошифрованы с помощью него, а расшифровать сможет только приватный ключ который у владельца вирусни. Если вирусня для каждой машины не генерит свою пару ключей, тоесть не имеет обратную связь с автором вирусни, то будет достаточно один раз заплатить автору и получить утилю или ключ для расшифровки файлов и тогда можно будет вылечить всех остальных.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

и сколько у него стоит дешефратор интересно?

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

[HEX], я не видел сабжа... но по здравой логике: вирусня в момент зараражения основываясь на данных компа+дыты\времени и.т.п. генерит ключ RC4 и шифрует им все что хочет. закончив грязное дело ключ RC4 шифруется RSA через открытый ключ, пишет его в реадми и "в dev/null его с радостными возгласами...". пусть даже открытый и закрытый ключи существует в одном экземпляре, по законам жанра расшифровать закодированный ключик RC4 не зная закрытый ключ ооочень проблемно.
зы ну ты и сам это понял но не совсем... нафига ему шифровать все файлы РСА1024? это оч долго.

| Сообщение посчитали полезным:

bitgame
Логично. В следующей версии автор так и поступит если в этой версии не так.

Talula
ХЗ. Посмотреть бы на тело вирусни, а то сидим гадаем на кофейной гуще

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

оффтоп: пролинукс - www.razgovor.org/special/article588/
я под столом читал =)))

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

[HEX], может это вообще очередной пиар? типа, доктор вэб тут пропиарился.. и мы тоже о себе заявим? 8-0

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

[HEX]
http://exelab.ru/f/action=vthread&forum=2&topic=6500&page= -1#32

Talula
ололо (:
читал сие на ннм.ру

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Чо-то какой-то оффтоп пошёл с гаданием на кофейной гуще... Как-то уменьшайте потихоньку его объёмы...

| Сообщение посчитали полезным:

>Я просто не пойму, почему Вы утверждаете что проактивка = сэндбоксу?
Проактивная защита по определению- это защита, работающая в опережение зловреда. Она же- превентивная защита. То, что написано в русской вики- бред сивой кобылы, поскольку там описана лишь реализация данной технологии от ЛК. А кроме неё существует также whitelisting, sandboxing, классические HIPS, сочетающие whitelisting и blacklisting. И всё это- системы проактивной защиты. Так что не стоит путать пиар ЛК и реальность...

| Сообщение посчитали полезным:

Talula пишет:
я вообще считаю, что защита от вирусов - это как здравоохранение. и обеспечивать юзеров антивирусами должно государство

Нам и без этого государство мнго чего дложно... но увы не в этой жизни...

Gideon Vi пишет:
Аналитики "Лаборатории Касперского" продолжают попытки купить дешифратор по оптовой цене. Автор, наученный горьким опытом почти двугодичной давности по оптовой цене продавать отказывается и с наглой ухмылкой предлагает узнать цену за аренду мейнфрейма

Жжош

Spirit пишет:
Я посмотрел на файл !_README_!.txt, там снизу была сигнатурка после текста. Напоминает пгп ключ, только его размер был 90 бит... немогу въехать. Если заюзоле рса 1024, то каким хреном там 90 битный ключ?

90 бит - это не есть серъёзно...
---------------------------------------------------------------------- -------------------------------------
«Лаборатория Касперского» объявила о запуске международной инициативы «Stop Gpcode». Целью данной инициативы является факторизация («взлом») ключа RSA-1024, который используется во вредоносной программе Virus.Win32.Gpcode.ak — последней версии опасного вируса-шантажиста Gpcode.

Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.

| Сообщение посчитали полезным:

Пользуясь случаем, раз уж заглянул в этот топик, хочу поздравить разработчиков "Лаборатории Касперского" что наконецто научились распаковывать upx с ключем упаковки LZMA. С праздником вас господа аналитики.

| Сообщение посчитали полезным:

fire4x writes:
«Лаборатория Касперского» объявила о запуске международной инициативы «Stop Gpcode».
О! как я и предпологал. самим влом видать..

| Сообщение посчитали полезным:

mozaxaka пишет:
О! как я и предпологал. самим влом видать..

«Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com»

«Лаборатория Касперского» настоятельно рекомендует пользователям, увидевшим такое сообщение на своем компьютере, обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу stopgpcode@kaspersky.com, и сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.

Сотрудники «Лаборатории Касперского» приложат все усилия, чтобы помочь пострадавшим пользователям вернуть зашифрованные данные.

Кроме того, пользователям ни в коем случае не следует идти на поводу у киберпреступников и выплачивать им требуемый выкуп, так как это мотивирует их продолжить свою преступную деятельность и совершенно не гарантирует жертве получения дешифратора.

| Сообщение посчитали полезным:

fire4x пишет:
«Лаборатория Касперского» настоятельно рекомендует пользователям, увидевшим такое сообщение на своем компьютере, обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу stopgpcode@kaspersky.com, и сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.

Может кто-нибудь из дзен-буддистов объяснить логику этих на первый (а у меня и на второй) взгляд бессмысленных инструкций? Видно: если сделать ничего не можешь - изобрази кипучую дейтельность

| Сообщение посчитали полезным:

Gideon Vi пишет:
При этом не следует перезагружать или выключать зараженный компьютер.
Ну судя по всему при первом запуске зверька он прописывает себя или кусок себя в автозапуск, а просле перезагрузки эта сволочь уже начинает шифровать файлы, и в лабе каспера посоветуют отцепить винт, прогнать на другом канпе на антивире и фтыкнуть назад...а мож еще чего.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Единственный выход тут имхо (если не случится чуда с брутом и комунить не повезет).
то это поймать автора за йайца и брутить уже его.

Почему интересно автор RSA-2048 не использовал например? чтобы все вопросы о бруте - вообще не поднимались.

| Сообщение посчитали полезным:

Spirit
Нее... все гораздо проще. Пока процесс вирусни болтается в памяти есть шанс вытащить сгенереные ключи и естественно расшифровать файлы на машине.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Если так, то видимо автор не догадался сделать авторебут после шифровки

| Сообщение посчитали полезным:

inf1kek
В соседней теме тело вирусни имеется можно взглянуть для более точного ответа. Я не дома и поэтому пока не смотрел толком обнуляются буферы с ключами или нет. Если автор забыл обнулить, то есть очень огромный шанс вытащить сгенереные ключи.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Ему не откажешь в уме и изобретательности — весь механизм атаки «вируса-шантажиста» хорошо продуман, да и методы социальной инженерии автору Gpcode не чужды.
спам-рассылка, конечно, превыше всего. Придумал бы другой способ рассылки вируса. Или он есть??

"Компьютер, подключенный к сети Интернет, — это как секс. Он может быть безопасным и не очень."
Евгений Касперский
все дружно юзаем ZoneAlarm и надежно зашишены от этого вируса

| Сообщение посчитали полезным: