sto testando due file con KAV aggiornato: nulla!

con virustotal ho questi risultati:
http://www.virustotal.com/it/analisis/833d07958370e836c51338ed999d10b5
http://www.virustotal.com/it/analisis/1d32306aa5b3e380586723a2852efbdb

Un file è stato riconosciuto anche da micrsoft che ha aggiornato l'av
http://www.virustotal.com/it/analisis/187a85c707ccfe5392cf548cc4f83838

Intanto ho spedito i virus a ClamAV, avira e McAfee.

Vediamo un po'

STEFANO

Mi sembra strano.... :rolleyes: niente quarantena, niente rimozione, sicuro? Non li vede proprio? :mbe:

Vabbè che nemmeno l'engine su VT li vede... :rolleyes:

eh, in effetti mi son beccato il delf ed il backdoor.graybird.k che fino a qualche settimana fa KAV non riconosceva :(

ciao
STEFANO

si stanno muovendo tutti e non gli si sta dietro :)

KAV in entrambi ora:
http://www.virustotal.com/it/analisis/ddd874c2651d85ea76a669c05ac92e0d
http://www.virustotal.com/it/analisis/fe26a2793ace51264c06c70540e90549

STEFANO

Molto interessante questa discussione...attendiamo gli sviluppi.
Son curioso di vedere in quanto tempo il kasper inserisce una siganuature nelle sue firme.;)

Molto interessante questa discussione...attendiamo gli sviluppi.
Son curioso di vedere in quanto tempo il kasper inserisce una siganuature nelle sue firme.;)
l'8/05 c'era anceh il KAV ma un bel po' in ritardo rispetto ad altri tipo antivir :-/

Situazione ad oggi:
http://www.virustotal.com/it/analisis/6adb72bed79996798153f5736608840e
http://www.virustotal.com/it/analisis/18292135486bf18c8aeb61f37dd6be87

STEFANO

Di norma non ci mette più di due ore. Provato più volte.

Forse parli degli aggiornamenti...
Parlavo proprio di inserimento nuova signature in data base...:confused:

Lo ha riconosciuto addirittura la versione 7.2 (Oldissima!) di BitDefender.

Lo ha riconosciuto addirittura la versione 7.2 (Oldissima!) di BitDefender.

con le signature sono tutti i uguali, e il motore di bitdefender è da ben pi indietro della 7 che ha tutti gli unpcker del caso

No no, parlo propio dell'inserimento del virus nel database :) . Sono una volta ho dovuto convincerli che gli avevo mandato un virus facendogli vedere che Avira lo riconosceva, il che è abbastanza assurdo :eek:
Azz!! questo è il massimo :D

No no, parlo propio dell'inserimento del virus nel database :) . Sono una volta ho dovuto convincerli che gli avevo mandato un virus facendogli vedere che Avira lo riconosceva, il che è abbastanza assurdo :eek:

volevo mandarlo anch'io ma non sapevo come, sul sito non ho trovato nessun servizio di invio.

Cmq sui due virus sopra KAV era in ritardo di 2-3 settimane. :(
Da un annetto KAV sembra un po' sottotono, no?

STEFANO

Ahnlab: v3sos[AT]ahnlab.com
ArcaBit: virus[AT]arcabit.com
Avast: virus[AT]avast.com
AVG: virus[AT]grisoft.cz
AVIRA: virus[AT]avira.com
BitDefender: virus_submission[AT]bitdefender.com
CA: virus[AT]ca.com
Dr.Web: vms[AT]drweb.com
EmsiSoft: submit[AT]emsisoft.com
eSafe: esafe.virus[AT]eAladdin.com
ESET: samples[AT]eset.com
Ewido: submit[AT]ewido.net
Fortinet: submitvirus[AT]fortinet.com
F-Prot: viruslab[AT]f-prot.com
F-Secure: samples[AT]f-secure.com
Hauri: hauri98[AT]hauri.co.kr
Ikarus: analyse[AT]ikarus.at
Kaspersky: newvirus[AT]kaspersky.com
McAfee: vsample[AT]avertlabs.com
Microsoft: avsubmit[AT]submit.microsoft.com
Norman: analysis[AT]norman.no
Panda: virussamples[AT]pandasoftware.com
QuickHeal: viruslab[AT]quickheal.com
Sophos: samples[AT]sophos.com
Symantec: avsubmit[AT]symantec.com
TrendMicro: virus_doctor[AT]trendmicro.com
UNA: newvirus[AT]unasoft.com.ua
VBA32: newvirus[AT]anti-virus.by
VirusBuster: virus[AT]virusbuster.hu

volevo mandarlo anch'io ma non sapevo come, sul sito non ho trovato nessun servizio di invio.

Cmq sui due virus sopra KAV era in ritardo di 2-3 settimane. :(
Da un annetto KAV sembra un po' sottotono, no?

STEFANO

Io lo sostengo già da un pò.

Ahnlab: v3sos[AT]ahnlab.com
ArcaBit: virus[AT]arcabit.com
Avast: virus[AT]avast.com
[CUT]


OTTIMO! :)
non conoscevo questi indirizzi.
Basta allegare il file in formato zip con password giusto?

STEFANO

OTTIMO! :)
non conoscevo questi indirizzi.
Basta allegare il file in formato zip con password giusto?

STEFANO

Si, non dimenticare di fornigli la password ;)

sinceramente un po' vi devo dare ragione... forse stanno dedicando molto delle loro risorse umane nella imminente uscita della versione 8

Secondo me il problema, se problema lo si può definire stà nell'aver abbandonato il progetto free AVS

il problema è che kaspersky si basa troppo sulle firme anche avendo una sua euristica, e nel momento in cui sono meno puntuali, ci sono problemi. se kaspersky avesse l'euristica di antivir, sarebbe la perfezione.

Nella versione 8 sarà migliorata l'euristica?

Comunque uso Kaspesky Internet Security da anni e mi sono sempre trovato benissimo!!

Si è vero provato su un pc di un cliente è clamoroso non rileva una simulazione di virus(trojan simulator) :eek:
http://www.misec.net/trojansimulator/ Tranq il sito è sicuro ;)

Aspettate di vedere la versione 8!!!

di ogni eseguibile rilevato viene controllato:

1° se è un malware (attraverso le firme virali)
2° se ha una firma digitale
3° se è presente nel database della Bit9
4° viene emulato in uno spazio virtuale e gli viene dato un punteggio da 0 (sicuro) a 100(pericoloso, quindi da bloccare).

In più è stato rinforzato il Proactive Defense rilevando e controllando più comportamenti rispetto alla v.7!
Oserei dire sicurezza migliorata di un 40-50%(sempre rispetto alla 7)

Quando è prevista la sua uscita? :)

L'uscita della versione Kaspersky internet Security 2009 in italiano è prevista per il 10-11 giugno(nel web) e nei negozi il 16-17 dello stesso mese.

Una versione quasi finale in fase di beta testing è già in rete(lingua inglese). Ciao:)

Fonte:
Forum Kaspersky Lab (http://forum.kaspersky.com/index.php?showtopic=70240)

Bene bene, naturalmente potrò fare l'upgrade da 7 a 8 con la stessa key... non vedo l'ora ;)

Aspettate di vedere la versione 8!!!

di ogni eseguibile rilevato viene controllato:

1° se è un malware (attraverso le firme virali)
2° se ha una firma digitale
3° se è presente nel database della Bit9
4° viene emulato in uno spazio virtuale e gli viene dato un punteggio da 0 (sicuro) a 100(pericoloso, quindi da bloccare).

In più è stato rinforzato il Proactive Defense rilevando e controllando più comportamenti rispetto alla v.7!
Oserei dire sicurezza migliorata di un 40-50%(sempre rispetto alla 7)
Niente male ma...Non diventerà mica un macigno al pari del vecchio Norton?

Ciao epa, io ho installato sul mio pc una delle tante versioni beta e posso dirti che non è affatto pesante: l'utilizzo della memoria si aggira intorno ai 20-30 mega. Buona serata ciao!

Aspettate di vedere la versione 8!!!....

...che è sicuramente un GRANDE passo in avanti...

Peccato che molte cose debbano essere ancora affinate a dispetto delle n tanto reclamizzate features implementate nel suo motore (Link APT (http://forum.kaspersky.com/index.php?showtopic=70495&st=0), giusto a titolo di esempio [XP/Vista 32bit]):
quindi, piano prima di cantare vittoria...:read:

Costruire validi(ssimi) hips è cosa ardua e richiede, oltre che sicuramente un lavoro notevole, delle conoscenze del kernel non indifferenti, evidentemente non alla portata di tutti...
Ci sono soluzioni (realizzate spesso e volentieri da 1 sola persona) che mettono in riga KIS 8,9 e company (dillo pure anche a Skywalker...)

Ovvio, l'es che ho portato (APT) è significativo il giusto ma volevo solo "smorzare" facili entusiasmi.
Certo, siamo cmq su alti livelli ANCHE SE PERSONALMENTE, pur credendo molto in queste ricette (hips in regime di account *NON* limitato), *NON CONDIVIDO* il modello adottato:

se queste case puntano ad una penetrazione > sul mercato, DEVONO Puntare necessariamente su modelli SILENZIOSI e non concentrare risorse su qualcosa che SI', di base sarà anche più robusto, ma che finisce per SPIAZZARE l'utente medio con le sue domande a bivio...

Incredibile che un semplice nessuno arrivi a queste conclusioni quando invece i loro "geni" pensano evidentemente a tutto fuorchè a chi utilizzerà poi i loro software...

ProSecurity?
EQS?

Non seguono forse quel modello a domande?
Si, e infatti sono tra i migliori in assoluto, ma non hanno certo alla base la presunzione di diventare onnipresenti (come il prezemolo...) ma "si accontentano" di catturare solo l'interesse (e il favore) della nicchia dei più "sofisticati" (che vale cmq anche quella qualche €-urino)....

Cosi' dopo Comodo 3 (che il 95% degli utenti non sà sfruttare) e OA2 (già + semplice..), ecco anche KIS 2009 ad incasinare la testa della gente...:D

VEDRETE...:sofico:

... a proposito di casini: cercasi volontario per la creazione del nuovo thread ufficiale sul kav/kis 2009 :D

Ciao epa, io ho installato sul mio pc una delle tante versioni beta e posso dirti che non è affatto pesante: l'utilizzo della memoria si aggira intorno ai 20-30 mega. Buona serata ciao!
caspita se è cosi' devo verificare 20-30mb sono molti!

Ciao a tutti, allora intanto credo che per un suite di sicurezza 20-30 mega non siano così tanti anzi...

Kis 2009 è stato altamente automatizzato, le domande poste all'utente sono state più che dimezzate grazie al database della bit9 (come per prevx2 per intenderci) e attraverso l'euristica potenziata(analisi in ambiente virtuale come nei sistemi Norman), rilevare il malware è più veloce e ripeto, automatizzato.

Ad esempio, io avvio un eseguibile, kis controlla se è un malware(attraverso il database)poi rileva se nell'exe è presente una firma digitale che ne conferma il contenuto, successivamente va a ricercare se il file è presente nel database della bit9 e infine viene eseguito in ambiente virtuale.

Con tutte le informazioni reperite il file viene inserito in una delle tre "zone" soggette a più o meno restrizioni che riguardano il sistema operativo, la rete, i dati personali:

Zona attendibile
Zona a bassa restrizione
Zona ad alta restrizione
Zona non attendibile

Ciao e buon pomeriggio

Ps: a nV 25 il programma APT che ho eseguito sul mio sistema, KIS lo rileva attraverso l'analisi euristica ma esiste nel gruppo attendibile della BIT9

Stato della Protezione

Gruppo: Attendibile

Valutazione euristica: Pericoloso, richiede blocco(indice pericolosità 100)

Database Bit9: Esiste nel gruppo attendibile

Firma digitale: manca

Questo significa che se fosse stato sconosciuto a bit9 veniva bloccato dall'euristica ma dato che è un programma di simulazione......viene considerato non nocivo

Il test è fatto con il nuovo Kasper? Non vedo l'ora di provarlo!!!! :)

Si Yeglash, è stato fatto con il KIS v.8(2009) Buona serata ciao

Manuale d'uso Kaspersky Internet Security 2009 in italiano (ftp://ftp.kaspersky.com/docs/italian/kis2009_it.pdf)

Fonte: Kaspersky Lab forum

...

Ps: a nV 25 il programma APT che ho eseguito sul mio sistema, KIS lo rileva attraverso l'analisi euristica ma esiste nel gruppo attendibile della BIT9

Stato della Protezione

Gruppo: Attendibile

Valutazione euristica: Pericoloso, richiede blocco(indice pericolosità 100)

Database Bit9: Esiste nel gruppo attendibile

Firma digitale: manca

Questo significa che se fosse stato sconosciuto a bit9 veniva bloccato dall'euristica ma dato che è un programma di simulazione......viene considerato non nocivo

non hai capito il nocciolo del discorso:
KIS 2008 (o KIS 9?) soffre di un GRAVE bug, il NON riuscire cioè a prevenire determinati (e stra-noti) meccanismi volti a terminare (certi) processi quando invece dichiarano che questa funzionalità è implementata (per un programma che voglia spacciarsi da HIPS, infatti, questa "qualità" è il minimo che gli si richiede...)

Pur avendo n tester e y sviluppatori (con n,y -> veramente a molto...), cannano ancora "LE BASI"...

Vantare una feature se poi questa è mal implementata, infatti, serve a poco...
La storiella dell'euristica, infatti, è un escamotage che neppure prendo in considerazione (arcinota, infatti, la stessa dinamica per il leaktest breakout 1/2 individuata a mezzo firme...):
se è vero quello che leggo, poi, e cioè che ANCHE se si settano privilegi ultramegaridotti per APT, APT riesce a terminare ugualmente quello che vuole....

Non oso immaginare quindi i buchi che, ad oggi, sono lasciati aperti per proteggere da comportamenti ben + pericolosi della sospesione/terminazione di un processo...

Insomma, se non si è ancora capito, sono particolarmente scettico sulla capacità degli sviluppatori Kaspersky di lavorare come si deve col Kernel (sarà che un pò di pulce al naso me l'ha messa EP_X0FF leggendolo su Sysinternals, ma insomma)....
Sensa considerare, poi, la politica completamente sbagliata che menzionavo poc'anzi...

Contenti voi, cmq...;)

Tu con cosa proteggeresti il tuo PC al posto di Kaspersky Internet Security? Fai un elenco dei software che installeresti....

Il KIS 7 è sulla mia macchina, affiancato xò da altri prodotti (pochi e mirati) che hanno comprovato sul campo (e non a discorsi..) la loro efficacia...


Cosi' come le serie storiche che hanno una loro "memoria", anch'io ho memoria di quelle che sono state le LACUNE in casa Kaspersky fino a non molto tempo fà (la funzionalità suspicious driver installation del PDM che "era cieca" di fronte a certi tentativi di installazione/caricamento di driver (servizi), infatti, su tutte è la cosa che più mi ha lasciato amaro in bocca e un'immensa sfiducia sulla loro "conoscenza" di certe meccaniche (ITW, e NON farlocche o PoC..)

Continuando la metafora (si dice cosi'?), è vero che uno può sempre ravvedersi (=si possono assumere persone capaci, ecc..), ma se permetti, COSTRUIRE il mio arsenale intorno ad una cosa di cui si ha si' fiducia (altrimenti non userei la v.7 sul mio PC..) ma NON (fiducia) totale ce ne corre, motivo per cui continuerò sulla mia strada della SPECIALIZZAZIONE invece che di quella della MACEDONIA....:)

che software affianchi a KIS7? se posso...

Ho capito quello che vuoi dire ma posso confermarti che dato che abbiamo preso in esame Atp, Kis con restrizione alta, blocca completamente tutte le azioni del programma(rilevando i tentativi di privilegio richiesti dal simulatore)!!!

Poi scusami, hai "testato" il programma? Se la risposta è negativa, è inutile che continui con questa fermezza nel dichiarare che il programma soffre di bug gravi!

Il programma è stato completamente rivisto i componenti sono stati ampiamente rafforzati

Questa tua affermazione, da cosa la deduci, hai fatto dei test? :

non hai capito il nocciolo del discorso:
KIS 2008 (o KIS 9?) soffre di un GRAVE bug, il NON riuscire cioè a prevenire determinati (e stra-noti) meccanismi volti a terminare (certi) processi quando invece dichiarano che questa funzionalità è implementata (per un programma che voglia spacciarsi da HIPS, infatti, questa "qualità" è il minimo che gli si richiede...) [...]

Buona serata ciao

PS Kis versione 8 che sarebbe la 2009

Guarda:
invece di dirti cosa uso io, ti faccio un nome di un programma davvero ben fatto ed efficace che installerei AL VOLO se non avessi voglia di starmi a sbattere con i pop-up:

DefenseWall ;)

Quello che uso io, cmq, non è misterioso ma troppo "di nicchia" e quindi, come tale, poco raccomandabile...

...

Scommetti che hanno dimenticato di monitorare quelche meccanismo che consente a qualcuno dei rootkit + recenti di installarsi sulle macchine se eseguiti?
Una casa che, infatti, di fronte a cose SERIE (o, meglio, DEVASTANTI, come la pericolosità dell'installazione di qualcosa a basso livello che citavo poc'anzi..) CHIEDE AIUTO ALLA COMUNITA'...

Ma questi hanno fatto informatica/ingegneria curando in particolare la sfera della sicurezza (e si che i sample non dovrebbero mancargli...) o sono soggetti sottratti all'agricoltura e improvvisatisi programmatori?

Quindi, lascino fare HIPS a chi li sa realmente fare (pochi)...


;)

Visto cmq che non potrò ritoccare il Pc fino a lunedi sera (minimo), voglio chiarire cmq un punto, e cioè che, anche come attuale possessore della v7, SONO CONTENTISSIMO che anche KIS offra l'hips a fianco del suo tradizionale engine AV (era evidente, infatti, che questa fosse l'unica strategia da perseguire per rendere il Pc un pochettino più robusto di fronte alle + recenti minacce...)

Resta fermo il fatto che, secondo me, anche loro (come Comodo, in particolare, che si spaccia per il salvatore del mondo...) abbiano cannato il modello intorno al quale costruire la nuova versione (il cliente, infatti, che spesso e volentieri è il n00b, NON E' al centro del nuovo design ma subisce scelte...) e che cmq, OVERALL, si registrerà un aumento sensibile della sicurezza media degli utenti, cosa che proprio male non fà...

ecco un recente test antimalware
http://www.anti-malware-test.com/?q=node/39

nV 25 non mi sembra il modo migliore di ragionare intorno al kis....non puoi permetterti di dire certe cose....nessuno nasce colto, anche i programmi creati solo per questa tipologia di attacchi non erano perfetti appena "nati"!!! il pdm nel Kis 7 soffre molti bug, ma c'è anche da dire che è solo al secondo anno dalla "nascita"....non voglio affermare che kis 2009 è il migliore di tutti, assolutamente....però ho rilevato importanti miglioramenti perchè ho avuto la possibilità di provarlo....

Te come fai a parlare se non l'hai ancora provato? hai del materiale attendibile che afferma l'inefficienza dei nuovi servizi?

portami degli esami, delle verifiche, non ho nessun problema a cambiare idea anzi!

Continuare a premere su questi discorsi è una cosa alquanto frivola se non si portano dati significativi e rilevanti sulla questione!

Ciao

Guarda senza fare polemica :) io che sono del settore ti dico che è una cosa gravissima che il kis 7 non rileva il trojan simulator che poi in effetti è un trojan horse a tutti gli effetti con priorità alta ma che è possibile disistallarlo come un comune programma ecco la simulazione ;)

Sicuramente, non dico il contrario, ma la Kaspersky Lab potrà aver rivisto e potenziato il sistema? comunque, vedremo prossimamente nei vari test comparativi, come si comporterà! Buona serata ciao

diciamo che fare un HIPS è una cosa molto complicata e bisogna conoscere molto bene il kernel e il funzionamento del pc; a quanto pare, i programmatori kaspersky non conoscono molto a fondo il funzionamento del kernel ecc...

In compenso, l'euristica del kas è molto buona, e vengono effettuati aggiornamenti di frequente.

Ergo, come antivirus è molto buono, come HIPS a quanto pare (mi fido di quanto detto da nV ;)) non è il massimo, e vi sono vari programmi migliori.

Sicuramente, non dico il contrario, ma la Kaspersky Lab potrà aver rivisto e potenziato il sistema? comunque, vedremo prossimamente nei vari test comparativi, come si comporterà! Buona serata ciao

Certo speriamo che con la nuova release migliori ;)
Ciao

Pur distrutto dalla stanchezza, mi ritorvo inaspettatamente la possibilità di riusare il Pc e quindi ne approfitto per fornire una rapida risposta.

1) è vero, KIS 2009 lo ho usato troppo poco in VM per emettere giudizi (che cmq, anche là dove fossero emessi, sarebbero provenienti da una fonte che dovrebbe essere presa con le molle dato che personalmente non è certo che sia a livelli di conoscenza tali da poter affossare o promuovere programmi...)

2) La storia (recente) è quella che, fondamentalmente, mi porta ad emettere giudizi..( il discorso emblematico del suspicious driver installation del PDM corretto SOLO con l'MP1 della v7 è la ciliegina sulla torta:
il bello, cmq, era che questa "fantomatica" meccanica in realtà era NOTA da anni, nota evidentemente a tutti quelli del settore fuorchè alla Kaspersky che ha lasciato aperta questa breccia (una delle tante...) lungo tutto il ciclo di vita della v6 e, parte, della v7)...

3) la redenzione in casa Kaspersky *dovrebbe* essere avvenuta grazie all'assunzione nelle loro fila dell'autore del tool AVZ (http://66.102.9.104/translate_c?hl=it&sl=ru&tl=it&u=http://www.z-oleg.com/secur/avz/index.php) che dovrebbe aver contribuito assai allo sviluppo dell'hips nudo e crudo...


Guardando bene quindi i 3 punti sopra, se non fosse per il punto 2 che (per me, xò) ha un peso ENORME, non avrei tanto motivo per spargere paure o altro intorno a questo software (che peraltro uso..) e quindi dovrei starmene buono e zitto...


Pur da amatore, cmq, ho maturato come una sorta di 6° senso su certe cose (chiamiamole pure sensazioni...) che difficilmente si rilevano differenti da quello che poi la realtà fa registrare (e qui, perdonate la boria...)

Più che a far nascere paure, cmq, il mio intervento era teso sostanzialmente a ridimensionare facili entusiasmi che mi pare si siano già accesi...
In fondo, quello che farà DA OGGI Kav (KIS), LO FACEVANO GIA' DA ANNI altre soluzioni...

Di nuovo, infatti, in fondo in fondo rilevo ben poco....

Guarda senza fare polemica :) io che sono del settore ti dico che è una cosa gravissima che il kis 7 non rileva il trojan simulator che poi in effetti è un trojan horse a tutti gli effetti con priorità alta ma che è possibile disistallarlo come un comune programma ecco la simulazione ;)

Guarda, senza fare polemica, anche io sono un pochino del settore e personalmente ritengo che giudicare gravissimo il non individuare un semplice test totalmente innocuo, andando ad appesantire il già vasto database di firme virali di infezioni che sono vere infezioni e che possono danneggiare veramente il pc, sia un giudizio un tantino particolarmente affrettato.

Ciao, mitico eraser! (e cosi' approfitto di questa discussione per salutarti pubblicamente...:) )


Volevo chiederti se trovi in qualche maniera plausibile (almeno) il ragionamento che ho fatto al punto 2 del post n°49 e se, ragionando in via estensiva, questo possa essere sufficiente per alimentare la "paura" espressa nel post n° 41...

O se, invece, è sufficiente in particolare la considerazione n°3 (del medesimo post n°49) per lavare via ogni dubbio sulla qualità dei programmatori impiegati per quest'ultimo "sforzo"...



Se, anzi, hai ulteriori commenti da spendere, sono ben accetti...
Peraltro i 3 punti di cui sopra sono stati tirati giù molto di getto e non hanno alcuna presunzione di essere "verbo"...;)


PS:
sul discorso del "modello" adottato, concordi?
O ritieni che le mie fisime siano solo panzane?

Te come fai a parlare se non l'hai ancora provato?

il sottoscritto, cmq, se pur talvolta frettolosamente, prova sempre i programmi della concorrenza SE sono di tipo hips...

E' difficile, infatti, almeno di queste tematiche, che parli proprio per sentito dire o per dar fiato alle corde tanto per passare 5 minuti in amicizia...

Questo, giusto a titolo di cronaca...



Posto cmq che il post linkato era abbastanza eloquente, ecco i miei piccoli test su APT 4.2:

KIS 2009 (v8.0.0.402) in VM
Vulnerabile (=consente la chiusura del programma selezionato che, sulla carta, sarebbe invece protetto da questo rischio...) ai tipi 6,7,10,12 a prescindere dal fatto che APT sia collocato in zona High restricted o Untrusted*

* per ipotesi, la zona Untrusted è parzialmente rielaborata per permettere sia la lettura degli spazi di memoria di altri processi (altrimenti) protetti nonchè l'esecuzione stessa del file in questione (APT.exe)...


Negli screen variano necessariamente i PID collegati a notepad.exe (il processo da proteggere...) dato che notepad, chiudendosi, appena viene rieseguito "acquista" automaticamente un PID diverso da quello iniziale....


http://img362.imageshack.us/img362/5919/snap1wo8.th.jpg (http://img362.imageshack.us/my.php?image=snap1wo8.jpg) http://img233.imageshack.us/img233/2354/snap2hp1.th.jpg (http://img233.imageshack.us/my.php?image=snap2hp1.jpg)

test 6, PID 1116 (quello iniziale...):
http://img233.imageshack.us/img233/8349/snap4ud8.th.jpg (http://img233.imageshack.us/my.php?image=snap4ud8.jpg)

test 7:
http://img233.imageshack.us/img233/7564/snap5cg5.th.jpg (http://img233.imageshack.us/my.php?image=snap5cg5.jpg)http://img362.imageshack.us/img362/1935/snap6ob1.th.jpg (http://img362.imageshack.us/my.php?image=snap6ob1.jpg)

test 10:
http://img265.imageshack.us/img265/6175/snap9se7.th.jpg (http://img265.imageshack.us/my.php?image=snap9se7.jpg) http://img265.imageshack.us/img265/5289/snap10rh0.th.jpg (http://img265.imageshack.us/my.php?image=snap10rh0.jpg)

test 12:
http://img501.imageshack.us/img501/6171/snap11dg6.th.jpg (http://img501.imageshack.us/my.php?image=snap11dg6.jpg) http://img265.imageshack.us/img265/1442/snap12xk2.th.jpg (http://img265.imageshack.us/my.php?image=snap12xk2.jpg)



Qui, invece, "sposto" APT in zona Untrusted...
(I miei permessi per APT untrusted:

http://img529.imageshack.us/img529/4748/99973730mo2.th.jpg (http://img529.imageshack.us/my.php?image=99973730mo2.jpg)

Si vede, infatti, che all'apertura di APT "untrusted" viene bloccato il debug privileges in accordo con lo 0 privilegi...
http://img529.imageshack.us/img529/3990/46200916eb1.th.jpg (http://img529.imageshack.us/my.php?image=46200916eb1.jpg)

...ma APT fa ugualmente il suo lavoro:
http://img254.imageshack.us/img254/4096/64348287yb2.th.jpg (http://img254.imageshack.us/my.php?image=64348287yb2.jpg)

As usual, well done nV 25!

Ciao, mitico eraser! (e cosi' approfitto di questa discussione per salutarti pubblicamente...:) )


Volevo chiederti se trovi in qualche maniera plausibile (almeno) il ragionamento che ho fatto al punto 2 del post n°49 e se, ragionando in via estensiva, questo possa essere sufficiente per alimentare la "paura" espressa nel post n° 41...

O se, invece, è sufficiente in particolare la considerazione n°3 (del medesimo post n°49) per lavare via ogni dubbio sulla qualità dei programmatori impiegati per quest'ultimo "sforzo"...



Se, anzi, hai ulteriori commenti da spendere, sono ben accetti...
Peraltro i 3 punti di cui sopra sono stati tirati giù molto di getto e non hanno alcuna presunzione di essere "verbo"...;)


PS:
sul discorso del "modello" adottato, concordi?
O ritieni che le mie fisime siano solo panzane?

Ciao :)

Non mi trovi del tutto d'accordo con quello che hai scritto. È vero, tempo addietro era stato scoperto che il PDM di Kaspersky non monitorava una delle possibili vie per caricare un driver in kernel mode. Una brutta falla, assolutamente niente da dire - era un modo documentato anche in alcuni libri.

Da qui, però, a dire che i programmatori Kaspersky sono soggetti rubati all'agricoltura e che devono lasciar fare le cose a chi le sa fare, questa mi sà un'affermazione veramente poco felice, un attacco ingiustificato.

Kaspersky è da anni uno dei leader nel campo dei software antivirus, sfornando delle buone tecnologie unite ad ottimi risultati.

Falle? Quale software non ne ha di falle?

Il fatto che ProSecurity si comporti indubbiamente bene come software HIPS non significa che non abbia falle. Ma il suo sviluppatore si occupa di quello, punto. Non si deve preoccupare di altri problemi. Se ritarda di un mese, due mesi, un anno, il rilascio della nuova versione non succede niente alla fine. Magari scopre una nuova cosa, si mette ad implementarla, non gli riesce, ci mette più tempo, rimanda il rilascio e poi la implementa.

Il suo sviluppatore non si preoccupa di inserire una logica dietro il programma, che possa riconoscere un malware ad esempio. È un software HIPS nudo e crudo, con i suoi pregi e i suoi difetti.

Il fatto che Zaysev sia stato assunto da Kaspersky è sicuramente ottimo, ma non è che prima che arrivasse lui ai laboratori Kaspersky ci fossero criceti travestiti da sviluppatori.

Senza considerare che AVZ è sì un buon programma, indubbiamente, ma le tecnologie utilizzate ad esempio in campo anti-rootkit sono abbastanza obsolete.

KAV riacquista fiducia :)

ero su un pc con antivir, testo il file nulla.
Mi sposto su un pc con KAV: trojan

Ringrazio il servizio strautile di VirusTotal e testo il file per controllare
http://www.virustotal.com/it/analisis/0ed43488a0212b5ae4dcecfe0a13d75a

non pensavo davvero ci fosse questi gap tra i vari antivirus :(

STEFANO

Non esiste un a.v. che becca TUTTI i virus, anche a me capitò una cosa simile. Normalmente però è l'esatto opposto (almeno per quanto mi riguarda). Se hai il sample invialo alla avira :)

Questo si, certo, non pensavo pero' ci fossero differenze a volte abissali.
Immaginavo tempi di aggiornamento dell'ordine di qualche settimana al max tra le principali aziende.

ieri sera altro file, KAV non lo riconosce ed altri 18 antivirus si :(
http://www.virustotal.com/it/analisis/0690a52e8404bc8b6f88e443f1a6d4c4

son rimasto abbastanza sbalordito :(

STEFANO

[cut]
Ovviamente un accoppiata Avira + Kis sarebbe ottimale......
Ripeto, sono solo punti di vista.....ad oggi non sono stato mai infettato ne con il kis (beh....a dire il vero solo una volta, ma non conta visto che era disattivato per sbaglio), ne con Avira ne con AVG o con Avast!.....ne senza antivirus (con account guest sotto v.m. però :D ).

Condivido.
Del resto, visto che l'aggiornamento è compreso, sto provando la nuova ver 2009 e sembra davvero ben fatta.
Il problema è che ogni tanto devo analizzare dei file eseguibili e finchè son piccoli ho quasi la certezza delal bonta' con virustotal.

Sul desktop ho un eseguibile che 18 AV riconoscono ma KAV no.
Ora lo tengo li' per vedere quando KAV riuscira' a riconoscerlo, ma 2 mesi fa l'ho aperto fidandomi di KAV. Lo so, ho sbagliato, ma pensavo che la percentuale di non rilevazione fosse molto piu' minuta :)

STEFANO