Антивирусы: лицом к пользователю

Обсуждение различных сборок антивирусов, их версий и т.д.

Отличная статья, очень приятно почитать грамотный обзор, не то, что в долбаных глянцевых журналах сравнивают антивирусы по дизайну, ха-ха.
Правда трюк с заменой опкода pushad на nop я не понял, ведь после такой замены как минимум разрушится стэк и программа будет просто неработоспособна, а антивирус имеет полное право (я в этом на 105% уверен!) НЕ ОПОЗНАВАТЬ выведенный из строя код.

понимаю твое недоумение но вот так сложилось и все тут, никуда от этого не денешься - если есть такая возможность пробуют все
кстати про пушад это я не сам а прочтиал статейки в инете

Господа, приволок много программ, сам буду тестировать их достаточно долго , если кто изъявит желание помочь протестировать фаеры и антивири пишите в ПС
Требования к тестеру:
-работать честно
-до конца теста прогу не выкладывать в сеть
-инструкцию по настройке (желательно с картинками хотябы в критических точках) и комментарии отсылать мне почитаю просмотрю и выложу от вашего имени
вот !
желающие пишите в ПС

Acronis Privacy Expert Suite 8.0trialware
ADinf32 3.02trialware
AntiVir Personal Edition 6.30freeware
a-squared Free 1.6freeware
avast! 4 Home Edition. Russianfreeware
AVG Anti-Virus Free Edition 7.308freeware
BitDefender Free Edition 7.2freeware
Dr.Web 4.32trialware в принципе она есть просто попала в список
eTrust EZ Antivirus 2005(требуется загружать из Интернета)trialware.registerware
F-Prot Antivirus 3.16(требуется загружать из Интернета)trialware.registerware
F-Secure Anti-Virus 2005(требуется загружать из Интернета)trialware.registerware
McAfee AVERT Stinger 2.5.3freeware
Microsoft Windows AntiSpyware.betaware
Microsoft Strider GhostBuster Rootkit Detection(только предв. информация)info
NOD32 Version 2.0trialware
Panda Platinum Internet Security 2005(требуется загружать из Интернета)trialware.registerware
PC-cillin Internet Security 2005(требуется загружать из Интернета)trialware.registerware
Proantivirus Антивирус Stop! 4.10freeware
StarForce Safe’n’Sectrialware
Stocona Antivirus 3.2C.trialware
VirusBuster Personal 2005info
Антивирус Касперского Personal 5.0trialware тоже мож кто ман напишет
Украинский Национальный Антивирус 1.83
ну там еще немного есть но писать лень

Предлагаю вашему вниманию продукт программеров из самостийной незалежной украины. Продукт бесплатный не требует ключей с/н, и денег. Обновления можно скачать с оффсайта. UNA (Український Національний Антивірус) - це комплексне рішення для захисту від вірусів і троянських програм робочих станцій і серверів. Система Антивірусного Захисту UNA виконує пошук і видалення відомих комп'ютерних вірусів, троянських і інших шкідливих програм на дисках і в пам'яті комп'ютера, а також дозволяє відстежити появу принципово нових вірусів і троянських програм.
САЗ UNA оптимізована для роботи в середовищі операційних систем Windows 95/ 98/ ME/ NT/ 2000/ XP і є антивірусом-поліфагом з повним набором функцій, чутливим евристичним аналізатором, інструментарієм для автоматизованого оновлення через Інтернет. Крім того, інтегрований допоміжний інструментарій для досвідчених користувачів, такий як "Менеджер завдань".
До складу "UNA for Win32" входить безліч окремих модулів, кількість яких постійно поповнюється. Це:
сканер-поліфаг з віконним інтерфейсом, що має в своєму складі додатковий інструментарій;
консольний сканер;
система автоматизованого оновлення;
планувальник завдань;
резидентний монітор (перевірка файлів "на льоту");
Script Checker (контроль VBS хробаків);
HTML Checker (захист MS Internet Explorer та MS OutLook від шкідливих скриптів);
модулі захисту окремих програм (поштових клієнтів, браузерів, серверів);
Весь комплекс програм під загальною назвою "Український Національний Антивірус" реалізований на основі антивірусного ядра від Українського Антивірусного Центру.
В принципе прога поддерживает русский язык, но прикольнее на родном украинском (логи такие, что просто петросян отдыхает ). Инсталляция до боли проста. Интерфейс-простенько и со вкусом(все нужное есть а приблуд левых нет-уже плюс).
Время сканирования в режиме максимума 1 час 20 мин 04 сек (все возможности включены) (у меня 80+20 Гб НТФС)у вас может немного отличаться.
Вирусы нашел мриковский Backdoor-удален, myDOOM (откуда?) тоже удалил.
кстати в прикрепленном файле эмблема антивиря - офигенная есть еще просто все таскать не охото.
ссылка внизу так что пользуйтесь
una32.zip .... 151FDE|h=YYMXNWNTJCZK6HHKIIBL346HT3MFPV65|/) - 7.64 Mb [216-223]

Безопасность: Антивирус GFI по ошибке удалил тысячи писем Дисскусия
Специалисты фирмы GFI, специализирующейся в области защиты электронной почты, совершили ошибку, приведшую к удалению тысяч писем клиентов. Со слов представителя GFI, это произошло из-за модернизации модуля BitDefender Engine от одноименной компании, использующегося в антивирусном продукте GFI.
В результате антивирус начал работать неккоректно и удалять входящие и исходящие почтовые сообщения. Кроме BitDefender в антивирусах GFI используются компоненты от McAfee и «Лаборатории Касперского». GFI является «золотым сертифицированным партнером» Microsoft.

И еще немного:
Вот я решил не полениться и потратил 10 секунд на поиск инфы по вирусу CleverIEHooker.Jeired. И вот что нашел:
CleverIEHooker.Jeired
Известен также как clever, IEHooker, Jeired, Jeired.dll
Дата появления: January, 2004
Распространение:
CleverIEHooker: 0.0%
CleverIEHooker.Jeired: < 0.00005%
Размер: 77 KB
Рапространяется только в Internet Explorer
Возможные проблемы: сбои в работе Windows XP, сообщения об ошибках.
Автоматическое удаление:[/color] средствами PestPatrol и Spybot-Search&Destroy
Ручное удаление:
Здесь сложнее.
Необходимо очистить реестр:
HKEY_CLASSES_ROOT\interface\{707e6f76-9ffb-4920-a976-ea101271bc25}
HKEY_CLASSES_ROOT\software\microsoft\windows\curre ntversion\explorer\browser helper objects\{707e6f76-9ffb-4920-a976-ea101271bc25}
HKEY_CLASSES_ROOT\typelib\{707e6f76-9ffb-4920-a976-ea101271bc25}
HKEY_LOCAL_MACHINE\software\classes\clsid\{707e6f7 6-9ffb-4920-a976-ea101271bc25}
HKEY_LOCAL_MACHINE\software\classes\typelib\{707e6 f76-9ffb-4920-a976-ea101271bc25}
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\browser helper objects\{707e6f76-9ffb-4920-a976-ea101271bc25}
Необходимо удалить следующие файлы:
systemroot+\jeired.dll
systemroot+\system\jeired.dll
systemroot+\system\tvmbho.dll
systemroot+\system32\jeired.dll
systemroot+\system32\tvmbho.dll

Общие рекомендации по очистке системы при заражении:

1. Обновить базы и сам антивирус при необходимости.
2. Отключить восстановление системы (как - см. ниже).
3. перезагрузка в безопасный режим (Hажать F8 в начале загрузки Windows)
4. проверка всех дисков сканером в режиме "по формату".
Hайденное выбирать "Лечить", при невозможности удалять.
5. Провериться еще и этим:
Ad-Aware:
....
....
Обновления базы сигнатур к ней:
....
SpybotSD:
.... page=download
hijackthis:
....
При использовании hijackthis помнить, что это всего лишь утилита, контролирующая подозрительные места в Windows, откуда может запускаться adware/spyware софт или трояны. Решение об удалении принимает юзер.
Hи в коем случае не удалять всё подряд, лучше спросить у опытных людей, приведя в письме лог этой программы.
6. Перезагрузиться в нормальный режим и включить восстановление системы.
Примечание 1. !!! Известные проблемы DrWeb !!!
Hе рекомендуется лечить программой DrWeb следующие вирусы:
- Win32.Parite.2 - для лечения можно использовать KAV.
- Win32.HLLP.Jeefo.36352
Брать утилиту лечения
.... (75 кБ)
или (для командной строки, но он почему-то больше, 131 кБ)
....
они это делают правильно. Говорят, первая утилита не всегда работает.
Кстати говоря, KAV тоже не может нормально лечить этот вирус.
Примечание 2. Как отключить восстановление системы.
1. "Восстановление системных файлов" (System restore) (Windows Me/XP)
Windows защищает папки восстановления системы от всех внешних пpогpамм. Когда виpусы попадают на компьютеp, Windows может также сохpанить их в папке восстановления системы. Антивиpусы и утилиты не могут удалить виpусы из этих папок. Для лечения необходимо вpеменно отключить опцию восстановления системы. После лечения необходимо включить ее обpатно.
Windows Me:
Пуск > Hастpойки > Панель упpавления (Start > Programs > Accessories >Пуск > Hастpойки > Windows Explorer). Двойной клик на иконке "Система" (System). (Если иконка "Система" не видна, щелкнуть мышью на "Показывать все опции Панели
упpавления" "View all Control Panel options")
Hа вкладке "Быстpодействие"(Performance) нажать кнопку "Файловая система" (File System).
Hа вкладке "Дополнительно" (Troubleshooting) поставить птичку напpотив "Запpетить восстановление системных файлов". ("Disable System Restore"). Hажать ОК. Появится пpедложение пеpезагpузить Windows - также нажать ОК.
Windows XP:
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs >Accessories > Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" ("Turn off System Restore on all drives")
Hажать "Пpименить" (Apply). Появится сообщение, упpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

1. Ad-aware - "Лидер отрасли"
....
Программа бесплатна, при желании использовать резидентный монитор защиты реестра нужно платить денежку (доступен в платной версии Pro).
Ссылки:
....
.... - v.6.181
.... -v. SE
Updates:
.... - к версии 6.181
.... (к SE 1.03)
Ad-aware 6 Plug-ins
....
2. Spybot-Search&Destroy - freeware
Hедостаток один - обновляется не так часто, как мутирует та дрянь, которую SpyBot призван ловить. Зато имеет в своём составе очень полезный
набор инструментов. Сильная сторона Спайбота - умеет выделять адверт dll, которые необходимы для работы бесплатного ПО, предусматривающего показ рекламы пользователю.

Официальный сайт программы - .... русский интерфейс
Скачать и прочитать подробности на русском можно и здесь:
....

hijackthis:
....
При использовании hijackthis помнить, что это всего лишь утилита, контролирующая подозрительные места в Windows, откуда может запускаться adware/spyware софт или трояны. Решение об удалении принимает юзер.
Ни в коем случае не удалять всё подряд, лучше спросить у опытных людей, приведя в письме лог этой программы.
Список стандартных процессов Windows XP (для сравнения):
....

3. Ещё есть масса программ подобных программ - System Mechanic, WinPatrol, TDS, Spy Remover, Spy Guard, Ad Killer, AntiHacker и т.д. и т.п. У всех есть достоинства и недостатки.
Вся эта "дрянь-варе" залазит на комп или через "дырки" в IE, или через ActiveX в IE и OE, или при установке ПО (как правило из всяких хацкерских keygen-ов и patch-ей). Таким образом, лучший способ защиты от заражения "дрянь-варью" - пропатчить IE, отключить (лучше отключение + блокировка активного содержимого файерволлом) ActiveX в IE при сурфинге по "определённым" ресурсам.

Hа сайте .... публикуется список программ, активно и агрессивно рекламируемых как anti-spyware, которые на самом деле являются
откровенным жульничеством либо сами устанавливают шпионские модули.
Вот этот список по состоянию на 28.08.2004:

1 Click Spy Clean (clickspyclean.com clicksuite.net)
2 2004 Adware/Spyware (adware.storesbiz.com)
Remover & Blocker
3 Ad-Eliminator (ad-eliminator.com adwareindanger.com
realspyerase.biz)
4 AdProtector (adprotector.com protectorsuite.com redv.net)
5 Ads Alert (pcprivacysoftware.com)
6 ADS Adware Remover (adware-remover.net)
7 Adware Agent (killersoftware.com)
8 Adware Hitman (adwarehitman.com)
9 AdwareHunter (adwarehunter.com browser-page.com)
10 AdwareSpy (adwarespy.com)

Представляю 2 версии одного продукта Tiny FireWall
в составе программы-антивирус, фаервол, spy и ad блокиратор и т.д
По просьбе трудящихся цены на лицензию:
Tiny FireWall 2005 desctop-49$ server-99$
Ultimate Protection Tiny FireWall 2005 PRO D-99$ S-199$
Mabaged Security Host Security 2005 Management Server and 20 Clients 1449$
Ман пока не написан, так как данную прогу взялись тестить добровольные помошники пока пишут, потом выложу и ман
Итак:
1) последняя версия 6.5.78
TFPRO-6.5.78.exe .... D|h=BDFJAF2EUYINUTIWWWEUJUMLQVQQXFDW|/|sources,192.168.217.116:4662|/) - 4.94 Mb [216-223]
2)Предпоследняя версия но зато с ключем
Tiny.Firewall.2005.Pro.v6.5.62.Incl.Keymaker-ZWT.rar .... 32LPX34AWVTIHRUBD4E3IDOXLGR3IVXW|/|sources,192.168.217.116:4662|/) - 867.83 Kb [216-223]
3) ман на англицком
tiny2.rar .... 8C38|h=ABBLHSLWJNYMWOGZAKNSFBMUQOB4PCR5|/|sources,192.168.217.116:4662|/) - 23.00 Kb [216-223]

Антивирус по своей укомплектованности превосходит все виденное мной ранее. Все в одном. Да и интерфейс красивый, напоминает Досовские приложения на 486 машинах но более современные (ностальгия мучает). База на март 2005 года, с возможностью обновления без переустановки (камень DrWeb в огород). Минус нет пока руссификатора, или есть но я пока не нашел (простите за невольный повтор).
стоимость лицензии напишу позже, просто потерял файл куда вносил
Инсталяция быстрая-у меня заняла меньше минуты. Сканирование 100 Gb в максимальном режиме-0часов 21 мин 46 сек. Шустрый малый!
Возможность создания Rescue Disk, хелп (на англицком-промт Рулит!), выбор проверяемой области, стартуемых приложений, MBR, boot sector, и т.д и т.п.
Проверка начинается с регистров и динамических библиотек. А далее по диску
Касаемо вирусов: после проверки УНА 1.83 удалил единственный оставшийся по этому пришлось бросать на диск тела вирусов и исходники-нашел все и даже попытался втихаря от меня их стереть, но я не дал и переместил в особую папку.
Вывод: маст хэв для знатоков English или если кто руссификатор достанет, то может еще кто заинтересуется.
ссылка как обычно ниже:
AVG_Pro7.0.rar .... 3FDBA4957E16|p=A804A1A2A76A690863D7AB85587F7133:AC 74F3298324FF7E7485E2DD2D8F5EDE|h=2XTWKCQR6GVKE7FRP GA52GKQ4MSAO4C5|/|sources,192.168.217.116:4662|/) - 15.51 Mb [216-223]

Найдена уязвимость в Kaspersky Antivirus / 11:20 13.04.05
Найдена уязвимость в KAV
Элитные кодеры из Лаборатории Касперского допустили грубую ошибку в перехватчике вызова ZwOpenProcess.
Перехватчик преследует цель сделать процесс антивируса неубиваемым и выглядит следующим образом:
NTSTATUS NewZwOpenProcess (
OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL)
{
if (ClientId->UniqueProcess == MyPid) return STATUS_ACCESS_DENIED;
else return RealZwOpenProcess(ProcessHandle, DesiredAccess,
ObjectAttributes, ClientId);
}
Казалось бы все верно, но в этом коде нет проверки указателя ClientID на валидность. Первая строка обращается к этому указателю напрямую без его проверки. Таким образом, передав в последнем параметре функции NtOpenProcess 0, мы получим синий экран. Для эксплойта уязвимости достаточно сделать следующий вызов под любыми правами в пользовательском режиме:
NtOpenProcess(NULL, NULL, NULL, NULL);
Рекомендуем всем прекратить использовать антивирус, написанный некомпетентными программистами. Это может нарушить нормальную работу вашей системы поставить под угрозу ваши данные. Это не шутка, данный эксплойт теперь будут использовать в вирусах. Кстати, данный казус вполне подпадает под статью 273 УК «Создание вредоносного ПО».

Компетентным органам стоит заняться расследованием и наказанием виновных.
Андеграунд.
Данная статья взята с ....
с целью ознакомления широких масс

Kaspersky Antivirus Web Scanner запустил систему «онлайн антивирусная проверка» / 10:47 13.04.05
«Лаборатория Касперского» теперь может проверить ваш комп через интернет онлайн. Сканер позволяет любому посетителю сайта проверить свой компьютер на присутствие на нем червей, троянцев и любых других вредоносных программ. Все, кому это интересно, могут зарегистрироваться в разделе бета-тестирования корпоративного сайта компании и проверить работоспособность нового продукта самостоятельно. страница регистрации
Взято с оффсайта КАВ

Новый КОНДОР+ 2.2
/ 08:59 13.04.05
Политика информационной безопасности компании является важнейшим нормативным документом, определяющим комплекс мер и требований по обеспечению информационной безопасности бизнеса. Политика безопасности должна описывать реальное положение дел в информационной системе компании и являться обязательным руководством к действию для всего персонала компании. На сегодняшний день общепризнанным стандартом при создании комплексной политики безопасности компании является международный стандарт управления информационной безопасностью ISO 17799, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов.
Digital Security разработала программный продукт КОНДОР+, позволяющий специалистам (ИТ-менеджерам, офицерам безопасности) управлять политикой информационной безопасности компании в соответствии с требованиями ISO 17799.
Разработанный программный комплекс КОНДОР+ включает в себя более двухсот вопросов, ответив на которые, специалист получает подробный отчет о состоянии существующей политики безопасности, а так же модуль оценки уровня рисков соответствия требованиям ISO 17799. В отчете отражаются все положения политики безопасности, которые соответствуют стандарту и все, которые не соответствуют, а также существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом. Причем, к тем элементам, выполнение которых может вызвать затруднение, даются комментарии и рекомендации экспертов. По желанию специалиста, работающего с программой, может быть выбрана генерация отчета, например, по какому-то одному или нескольким разделам стандарта ISO 17799, общий подробный отчет с комментариями, общий отчет о состоянии политики безопасности без комментариев для представления руководству и другие. Все варианты отчетов для большей наглядности сопровождаются диаграммами.
Кроме того, КОНДОР+ дает возможность специалисту отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта, а также иметь возможность представлять отчеты руководству, свидетельствующие о целесообразности и обоснованности инвестиций в обеспечение безопасности информационной системы компании.
Версия КОНДОР не включает модуль оценки уровня рисков соответствия требованиям ISO 17799.
КОНДОР+ предназначен для работы с информационной системой одной компании.
По вопросам приобретения лицензий для работы с информационными системами нескольких компаний свяжитесь с нами по e-mail sales@dsec.ru.

Взято из открытых источников

Найдена уязвимость в Kaspersky Antivirus / 11:20 13.04.05
Найдена уязвимость в KAV
Элитные кодеры из Лаборатории Касперского допустили грубую ошибку в перехватчике вызова ZwOpenProcess...
Эта ошибка присутствует в Ант Касп Personal 5.0.277?