Jsou zname a placene AV vubec k necemu?

[radek178]

Ahoj,

posledni dobou se schvalne zameruji na par smejdu, co mne chodi pres emaily at na Centrum nebo jinam. Vzdy je to zabaleno v Zipu. Soubory si stahuju, nespoustim a testuju je na virustotalu apod. Prichazim na zajimavy veci. Placeny a zde celkem protlacovany AV si ani neskrtaji. An ijeden z nich se nechyta. Aby to nevypadalo, ze si chci stezovat, tak se dobrovolne priznavam, ze 2 z nich pouzivam na ruznych pc.

Ted k veci. Dnes zase prisel soubor, ktery by logicky podle vseho mel byt vir. Stahl jsem to, dal otestovat na virustotal a ukazalo to 3/40. Dal jsem ho preskenovat znovu a vysledek je tady 7/37 http://www.virustotal.com/cs/analisis/0 ... 1278046886

Pak vzdycky par dni pockam a sleduju, jak se s tim moje AV (NIS a KIS) vyporadaji. V prumeru jim trva 2-3 dny, nez vubec tyto veci detekuji.
Otazkou pak je, k cemu platit drahy AV SW, kdyz ty placene a podle vseho "spickove" AV selhavaji pri tak zakladni cinnosti jako je proskenovani emailu. Nemusim dodavat, ze z teto trojky (NIS, KIS, NOD) je na tom jasne nejhur NOD, protoze ho Centrum pouziva a pres Centrum se to ke mne dostane. Neni pak lepsi pouzivat splasenou Aviru, ktera sice muze mit plane poplachy, ale spolu s Gdata ma jednoznacne nejlepsi vysledky v tom co sleduju uz cca mesic?

Timto nechci tvrdit, ze je placeny AV k nicemu, ale napadla me myslenka, jak je mozne, ze pri detekci beznych smejdu (tohle povazuju za bezne smejdy, ne nejaky vyber sbirky viry, jak je to v ruznych testech, k tem se obyc. clovek moc nedostane, ale k tomuhle kazdy den).

Tady ....... /5240574/passport-documents-id50247.zip prikladam konkretni soubor se smejdem, kdyby ot nekoho zajimalo. Denne jich chodi cca 5 na email na Centrumu a skoro vsechny dopadnou v testovani AV jako tenhle. Prvnich par dnu, to chyti par AV. Norton, KAspersky a NOD ale statecne mlci a hraji si na indiany. Celkem me to stve, protoze jsem zaplatil penize za vec, ktera v podstate moc dobre nefunguje. Samozrejme je to jen jeden uhel pohledu, ale za zamysleni to stoji.

[j3šť3r]

prave, ze jste ten soubor nespoustel - coz vubec nedoporucuju (jako smejd to vypada - ikona dokumentu pro exe soubor, navic se tak chova - videl jsem zmenu ve startup sekci F2, vic jsem se nekoukal) - je velka pravdepodobnost, ze by to lepsi AV zastavil na zaklade chovani (pravda, nezkousel jsem).
Napsat vir, co projde pres souborovej stit, neni az takovej problem, pokud se nad tim jeden zamysli (tech par postupu, co me napadlo, popisovat nebudu; nicmene mam to v hlave jen jako teorii, na praxi nemam skill ani naturu). Tezsi uz je, aby jako nedetekovanej fungoval po spusteni.

Jeste upozorneni - pokud nekam hazite linky na smejda, pak ho udelejte neklikatelnej (staci zmenit http treba na hxxp) a archiv zaheslovat a nejak oznacit (napr. pro heslo vir - smejd.zip.vir). Je to hlavne z duvodu, ze existujou lidi, co nebavi cist a stahujou a spousteji vsechno mozny (a ze jich par znam, navic to muze udelat cizinec a pak informovat na strankach typu siteadvisor - i kdyz zrovna tady bych to povazoval za extra nahodu).
Timto prosim moderatory o znefunkcneni linku, chce to sice vyplnit catchu, ale jistota je jistota

[radek178]

Proc pises "praveze jste ho nespoustel? Ja prece vim, ze jsem ho nespoustel a jen jsem ho nechal otestovat. O tom byl muj prispevek, ze placene AV, ktere mam na svych PC se poslednich nekolik mesicu v odhalovani teto haveti nejsou schopny jaksi chytat. To je vse. Jen jsem se zamyslel, jestli ma vubec cenu platit za neco nemaly penize, kdyz to neni schopny pokryt tuto hrozbu posilanou pres elektronickou postu (a se kterou se bezny smrtelnik setka mnohem castej, nez s laboratornima vzorkama, podle kterych se delaji testy AV) a neplaceny AV si vedou casto lip. To je vse co jsem tim chtel rict.
"Dival ses vubec na ten odkaz? Proc prosis moderatory o znefunkcneni linku? Soubor je samozrejme zabalenej a je to videt uz i v nazvu (ZIP), takze jakakoli nakaza je vyloucena pred rozbalenim a spustenim konkretniho souboru. Navic kdo ma email na seznamu nebo Centrumu bude tohoto smejda mit skoro 100% v poste.

[petrik3]

trošku z praxe takže,v prvom rade,neviem akú politiku majú tie ktoré poštové servery,ale napr.cez gmail neodošlete exe súbor ani v archíve,jedine zmeniť koncovku,alebo zaheslovať archív silným heslom.Túto srandu som si vyskúšal..kaspersky ,norton,comodo,aj avira pri skenovaní archívu zakričali ,sklamanie nastalo až pri mbam..

[radek178]

Ono je celkem jedno jakou praktiku pouzivaji postovni servery. Tady jde o to, ze placene AV, ktere jsou razeny mezi spicku vsude pri testu techto smejdu mlci. Sleduju to uz fakt dyl a vybiram si specialne emaily ze spamu, protoze to tam vetsinou pada. Jedinej Norton uz z tech znamejsich tohle dnesni detekuje.
Navic v CR pouziva vetsina zelenacu Centrum a Seznam a ty to v zipu bez problemu pusti, protoze Nod taky mlci.

To chces rict, zes tento vir zkousel skenovat kasperskym a on ti rve? To by me zajimalo co mas za verzi kasperskyho a jaky aktualizace, protoze ja mam posledni co jsou a kaspersky mlci. Norton uz ted rve, ale trvalo mu to pul dne a ten email uz mam ve schrance od vcera.
Pro me je zajimavy sledovat, jak postupne pribyvaji AV, ktery to detekuji a NOD, Kaspersky a Norton jsou vzdy mezi poslednima, ktery to detekuji. NOD kolikrat ani po nekolika tydnech nedela nic. Kaspersky skoro to samy- pouzivam ho na 3 pC a silne posledni dobou uvazuju o prechodu jinam. Byl jsem hodne spokojenej, ale zacinam mit pocit, ze heuristika u nej nefunguje a jedou jen na vzorky. Tech maji pozehnane, ale novy neumi detekovat a dodavaji je zpetne pozde. Neumim si predstavit, co by tento vir udelal v pripade spusteni treba u mych rodicu. Maji NIS, ten to pred par hodinama jeste taky neznal a ikonka Adobe na tom byla. V podstate by jim byl AV na dve veci. Samozrejme by mozna neco chytly pri spusteni jeste dalsi veci z NISu, ale jistotu nemas. Vim, ze tohle je malej vzorek na to, aby bylo neco prukazny, ale jako zajimavost to rozhodne poslouzi a fakt by me zajimalo, proc ty bezplatny to umi ve vetsine pripadu najit a placeny ne (do tech dobrych free ted neradim AVG a Avast, ty jsou na tom v tomto ohledu co ja zkousim hur nez ostatni). Me na tom zarazi hlavne to, ze to takhle opravdu je. Fakt to vypada tak, ze ti, kdo tohle vyrabi maji sadu AV pres ktery to projizdi nez smejda vypusti. No a nejhorsi je to, ze je to opravdu asi hodne rozsireny prave diky emailum a AV, ktery jsou nasazeny na serverech. Proste snadny zasvineni pc a hodne "prace" pro vyrobce smejdu s vybirani mkont a ja nevim k cemu vsemu to slouzi.

[mahajana]

Fakt to vypada tak, ze ti, kdo tohle vyrabi maji sadu AV pres ktery to projizdi nez smejda vypusti.

Jednoducha otazka - jednoducha samo odpoved na tohle tema

Neumim si predstavit, co by tento vir udelal v pripade spusteni treba u mych rodicu. Maji NIS, ten to pred par hodinama jeste taky neznal a ikonka Adobe na tom byla. V podstate by jim byl AV na dve veci.

jednoducha rada rodicum jeste pridejte LINUX do pocitace na brouzdani po netu (na zacatek treba Ubuntu)+dual boot Ubuntu a Windows
http://proc.linux.cz/chci-vyzkouset.html

[Linux]

Tady ...............5240574/passport-documents-id50247.zip prikladam konkretni soubor se smejdem, kdyby ot nekoho zajimalo.

Používam Aviru Premium Securiry Suite a súbor mi nedovolilo stiahnúť... našlo v ňom dva TR/Crypt.XPACK.Gen2 Trojan

takže u mňa dobrý...

[Rudy]

Znefunkčněny linky linky na nelegitmní soubory.

[smrtelnik]

... jen jsem ho nechal otestovat. O tom byl muj prispevek, ze placene AV, ktere mam na svych PC se poslednich nekolik mesicu v odhalovani teto haveti nejsou schopny jaksi chytat.

Radku, z celeho Tveho textu jsem vypichnul pouze tyto vety. Da se na ne dobre navazat s odpovedi. Situace s haveti pred 5-10 lety byla vcelku primocara … antivirus bud proti haveti mel virove definice, nebo je nemel. To predem jednoznacne urcovalo jeho uspesnost. Dnes je vsak situace jina. Denne vznika takove mnozstvi novych skodlivych kodu (radove tisice denne), ze jiz neni v pozemskych silach vytvaret proti vsem virove definice .. a jiz vubec ne ve stejny den, kdy se novy skodlivy kod objevi. Samotny antivirus s detekci pouze na zaklade virovych definic proto jiz dnes nestaci a je nutne se spolehat na dalsi zpusoby detekce haveti – firewall, intrusion prevention, behavior blocking. Verim tomu, ze pokud by jsi soubor spustil, ochrana ve Tvem pocitaci by zareagovala a spusteni souboru zakazala. Tedy pod podminkou, ze ta ochrana ma dobrou heuristiku, dobrou detekci skodliveho chovani aplikaci.
Ty sam soubory nechavas otestovat na Virustotal, coz je spravne … ale zcela nepresne pro urceni uspesnosti toho ci onoho antiviru. Virustotal jen ukazuje, jestli ma ci nema dany AV virove definice proti konkretnimu skodlivemu kodu. Jiz nebere v potaz FW, IPS, Behavior Blocking a dalsi ochranne vlastnosti antiviru, ci security baliku, ktere by konkretni skodlivy kod pri jeho spusteni nakonec zachytily. Virustotal Ti sice ukaze detekce kodu, ale vlastne presne nerekne, kolik z uvedenych AV je opravdu ‘schopno havet chytat’.
Jeste ke Tve otazce … pouzivat Aviru/G-Data s dobrou detekci a vice falesnymi detekcemi nebo tady doporucovane placene AV? Jsi zkuseny, mas prehled a jsi schopen reagovat na dotazy AV aplikace (i prip. FP) .. rozhodni se sam. Zadny AV Te neochrani na 100%, takze jde o to zvolit to nejmensi riziko. Avsak opet musim dodat, ze zde asi pri vyberu AV spolehas opet pouze na schopnost detekce pomoci virovych definic. Muze se Ti to subjektivne zdat dostatecne, ale neni. Ja osobne znamym (babicka, teticka, kamosi) doporucuji placene Interent Security baliky.
Jeste odbocim .. ja mam na centrumu 2 emailove adresy, ktere pouzivam vcelku casto a email s virem jsem nedostal dlouhe mesice.

[radek178]

Nechtel jsem, aby ten muj prispevek vyznel jako stiznost. To vubec ne. Takze jsem to mozna mohl dat spis do pokecu nebo tak nejak. Tak to klidne presunte. Melo to byt jen takove zamysleni a chtel jsem si pokecat o zkusenostech jinych lidi, ktery to taky zajima. No a mimo jine jsem opravdu premyslel o tom, ze bych presel na Gdata nebo Aviru, az mne dojede predplatny, ale zatim ma KIS i NIS pro me vyssi hodnotu. NIS mam u rodicu a na jednom PC, kterym projizdim ostatni po KISu pres sit.

Slo mne spis o to, ze tyto smejdy jsou skoro denne v 5-10 pripadech dostupny v me emailove schrance a kdyz se dostanou kuprikladu k lidem jako je moje mamka apod., tak je na pruser zadelano a to pouziva NIS (samozrejme nevim, jestli by po spusteni NIS nezacal treba neco "cichat"). Pritom kdyby mela nejaky AV zdarma, tak ma paradoxne vyssi sanci na ochranu (i kdyz Avira neskenuje emaily, ale na PC by to snad chytila, kdyz ho nasla pres VT). Dal chapu, ze nic neni 100%, ale opravdu tyhle veci posilane pres email, lip detekuji AV zdarma a nekdy opravdu i po nekolika dnech se placene nechytaji a nedetekuji to. To me taky prekvapuje. Nerikam to jako nejaky dogma, ale v teto oblasti to tak je. Samozrejme v jine to muze byt uplne jinak. Opravdu jak sjem rikal, neni mym umyslem nadavat na neco, co sam pouzivam.

K tomu centrumu - vlez do Spamu, temer vzdy je to v nem a skoro kazdy email, ktery ma prilohu je s virem. Predpokladam, ze neprolizas spam slozku a nevytahujes z ni prilhy a nezkoumas je. Ja jak jsem na to poprvni narazil, tak od te doby, kdyz si na to vzpomnenu, tak to zkoumam. Vcera tam byly zase 2.

[smrtelnik]

Ja to neberu jako stiznost, je to dobre tema k diskusi.

Takze ve Spam slozce jsem takove emaily nasel, ale s takovou cetnosti jako u Tebe mi nechodi ... posledni prisel dnes s casem 09:07 a predmetem 'Changelog 07.06.2010'. Ja mam nainstalovany Norton 360 a ten mi pri pokusu ulozit exe prilohu na disk nahlasil Trojan.Sasfis a soubor smazal. Zabrowsil jsem dal ve Spam slozce (zhruba 20 dni zpetne) a N360 detekoval vsechny prilohy, ktere byly pripojeny k emailum ve Spam slozce. Nemam moznost ted zkoused KIS ci ESET, ale moje zkusenost z dneska s placenym AV je pozitivni a da se rict opacna, nez mas ty. Ale netestuju dlouhodobe a tak dukladne jako ty, tak se muzeme ve vysledku lisit.

Nez Ti skonci predplatne stavajicich AV/IS programu, budes mit snad dost casu otestovat kvality vsech tebou zminovanych AV/IS reseni a vyberes nakonec ten nejvice vhodny at jiz pro sebe, nebo pro rodice.

[radek178]

Ted nemam prave co delat a vlezl jsem do Spamu. Vytahl jsem prvni email a tady mas vysledek. Je to opet podobna situace akorat dneska s ikonkou Wordu. Chudaci lidi, co neznaji, ze existuje funkce, kterou se daji zobrazit pripony ve win, kdyz uz to win maji defaultne vypnuty. http://www.virustotal.com/cs/analisis/8 ... 1278511462 a soubor je ve schrance od vcera. Napada me opravdu otazka, k cemu pak AV jsou? Tohle je totiz realna hrozba pro lidi. Ne statisice nebo miliony vzorku (jak se chlubi KIS), ktery maji AV v databazi.
Ja mam denne asi 50-100 beznych spamu. Nekdo proste muj email asi nekde provaril diky tem skvelym skupinovym emailum. Samozrejme na dulezity veci mam jinej email, ale i tak me to stve.

Bojim se testovat dalsi AV programy. Nerad instaluju do funkcniho systemu nejaky AV. Celkem to dokaze rozhazet konfiguraci. Obcas to zkousim ve virtualu, ale ten nemivam dlouhodobe zapnutej a bez dlouhodobyho trstu to nema smysl pak menit. Vsimni si, ze tentokrat poprve Avira nic a uz po druhe za sebou Comodo jo. Comodo, kterymu ja moc neverim. Myslim ted jeho AV. Zase ale vsechno nasly pouze takovy programy z tzv. "druhe ligy" a opet ani jeden ze spicky.

[petison]

A to je chyba ,že Comodu nevěříš. Na to ,že je zdarma tak je špičkovej.Dost se poslední dobou zlepšil.

[radek178]

Co to uz delsi dobu sleduju, tak se Comodo chytlo jen pri 2 poslednich skenech na VT. JInak nenaslo nikdy nic. Takze mam duvod neverit.

[smrtelnik]

Radku, ten dnesni email s prilohou jsem mel v Centrum spam slozce taky. Stejny nazev souboru, jako jako jsi mel ty.

Jakmile se jej pokusim ulozit na disk, N360 hned nahlasi Trojan.Sasfis a hned jej smaze. A to ten soubor ani nespoutim, jen se jej pokousim ulozit ze schranky na disk.

Virustotal ukazuje u Symantecu, se soubor neni detekovan (stejne jako u tveho vysledku Virustotalu).

Takze Virustotal report rika, ze soubor Symantec nedetekuje jako malware ale ve skutecnosti soubor N360 detekuje a smaze jako Trojan. Kde je tedy chyba?

Opet musim zopakovat, ze povazovat pouze vysledky Virustotalu jako meritka pro kvalitu AV neni vubec dostacujici. Moje dnesni zkusenost to jen potvrzuje a snad to vidis i ty.