Antivir... pericoloso precedente?

[TheWhitePhoenix]

ciao a tutti
[niubbo mode on]
ho due computer diversi, uno con antivir 8 e l'altro equipaggiato con nod32,
mi sono imbattuto in questo file che antivir mi h lasciato passare allegramente,
mentre nod si arrabbia:

http://www.virustotal.com/it/analisi...2a404e33b2699b

premettendo che il file proviene d una fonte NON sicura, e la probabilità che lo stesso contenga malware et similari è buona, mi pongo questa domanda:
ma antivir???
mi lascia "infettarmi" così facilmente?

...che fo, passo ad avg???

grazie a tutti
ciao

[/niubbo mode off]

[xcdegasp]

antivir come qualsiasi antivrus lavora tramite scansione euristica e usando le firme virali, l'euristica sopperisce in buona percentuale alla mancanza di firme ma non arriva a coprire il 100% di tutto il malware nessun antivirus possiede il 100% di efficacia. Le firme virali sono succubi ai laboratori d'analisi e epr quanto lavorino a ritmo frenetico qualcosa rimane sempre escluso dalle firme..

succede, succede a qualsiasi antivirus! quello che puoi fare è metetre il file in quarantena e inviarlo al laboratorio d'analisi tramite la funzione incorporata
tra i due sicuramente quello con enciclopedia più vasta è antivir ma appunto come vedi c'è sempre qualcosa che rimane fuori ed è proprio in considerazione di cio' che tutti ti consiglierebbero di installare più software protettivi, siaa per ilr ealtime sia per le scansioni on-demand perchè bypassare un prodotto è sempre facile ma bypassare 4 che svolgono azioni completamente differenti è assolutamente difficile

per antivir esiste già un thread aperto ma penso che il tuo thread era più rivolto verso questo malware che da una parte non è stato visto e dall'altra bloccato.


Il 26/09/2008 ti avevo chiesto tramite pvt di regolarizzare la firma, sei pregato di farlo

[TheWhitePhoenix]

Quote:

Originariamente inviato da xcdegasp

Il 26/09/2008 ti avevo chiesto tramite pvt di regolarizzare la firma, sei pregato di farlo

eseguito... non avevo letto il pvt

tornando IT, consigliate di agiungere altro (al realtime sarei + interessato rispetto al on demand) ?

poi un'altra domanda che era piu che altro la domanda d'apertur del topic, ma mi sono espresso male, come facio a capire se devo considerarlo come un "buco" di antivir o un falso positivo di altri prodotti? nel senso... quali strumenti posso usare per "investigare"?

ciao e grazie

[murack83pa]

Quote:

Originariamente inviato da TheWhitePhoenix

eseguito... non avevo letto il pvt

tornando IT, consigliate di agiungere altro (al realtime sarei + interessato rispetto al on demand) ?

poi un'altra domanda che era piu che altro la domanda d'apertur del topic, ma mi sono espresso male, come facio a capire se devo considerarlo come un "buco" di antivir o un falso positivo di altri prodotti? nel senso... quali strumenti posso usare per "investigare"?

ciao e grazie

non esiste un antivirus perfetto....qualsiasi antivirus avrà quello che tu chiami "buchi"

inoltre considera che sei hai Avira free, essa risulta piu limitata nella protezione dai malware, in quanto manca la protezione contro spyware e adware (non che questo era il tuo caso)

quando chiedi di aggiungere altro, ti riferisci ad un altro antivirus oppure un altro software di sicurezza, come un antispyware, un hips, un antimalware?

se è nella seconda accezzione, specialmente se hai la versione free di avira, avere un antispyware è d'obbligo....

se ti intendi un po di computer o se hai la volontà di studiartelo un po, ti consiglio un HIPS

una buona soluzione in questo senso sarebbe un firewall con modulo HIPS come Comodo 3 oppure Online Armor

cmq, x una idea su quale antispyware installare:
http://www.hwupgrade.it/forum/showthread.php?t=1825614

x avere maggiori consigli ovvero discutere ancora su quale configurazione di sicurezza adottare (l'argomento diventerebbe un doppione):
http://www.hwupgrade.it/forum/showthread.php?t=1476319

ciao

[xcdegasp]

diciamo che è buona abitudine scansionare ogni oggetto scaricato con tutti i programmi di protezione installati nel pc quindi in genere con:
antivirus
antispyware usato per relatime
antispywares usati per scansioni on demand
vari ed eventuali

se un altro antivirus indicasse l'oggetto malevolo allora potrebbe essere utile la scansione con virustotal.com e viruscan.org, e come ulteriore verifica ci si può appoggiare al servizio gratuito di http://www.threatexpert.com/filescan.aspx

questo nella difesa proattiva ossia prima di eseguirlo.

Una volta avviato ci deve essere un hips e firewall che ti notifichi le varie autorizzazioni e le varie attività svolte nell'esecuzione di questo oggetto e quindi che possa allertarti se va aintaccare il servizio di windows svchost.exe (magari per uscire indisturbato e in modo silente su internet) oppure per iniettare codice in altri file/servizi oppure i tentativi per arrestare firewall e antivirus e antispyware..

semplificando la linea protettiva potrebbe esesre:
utente limitato
antivirus
firewall software evoluto
antispyware in rel-time
almeno un antispyware solo on-demand (differente dal precedente)
hips/cips
possibilmente router con "firewall" attivato

per sapere nello specifico, in base all'attuale tua configurazione, cosa integrare o sostituire ti consiglierei il thread:
http://www.hwupgrade.it/forum/showthread.php?t=1476319

[TheWhitePhoenix]

grazie mille per le risposte,
so perfettamente che non esiste l'av "perfetto"; solo mi serviva sapere quali strumenti utilizzare per riconoscere un falso positivo da un "svista".
vado a leggere i thread segnalati, credo che xcdegasp abbia risposto in pieno alle mie domande.
buona giornata a tutti!

[FulValBot]

da me antivir non aveva visto il file kdzie.exe (nonostante l'euristica al livello high e la protezione attiva in real-time per ogni files...), un file che fa parte del virus/spyware zlob.dnschanger che appunto se diverte a cambiare i dns della connessione -.- ho dovuto usare la mod. provv. senza rete, staccare il router e quindi andare a cancellare manualmente quel file... poi un controllo con hijackthis 2.02 m'ha permesso di poter rimuovere ogni cosa di quel virus/spyware. spybot vedeva i 2 dns modificati ma non quel file... il bello è che non potevo nemmeno mandarlo ne su virustotal ne a quelli di antivir xkè me lo davano da 0 byte nonostante fosse un file infettato -.-

[c.m.g]

sarebbe molto utile se spedissi il campione del malware, magari zippato ad avira così da implementarlo nelle firme virali. l'indirizzo è:

http://analysis.avira.com/samples/?lang=it


ciao

[FulValBot]

non si poteva fare nemmeno questo...

[juninho85]

Quote:

Originariamente inviato da FulValBot

non si poteva fare nemmeno questo...

come ti ho detto anche in un altro thread,quando il malware è in esecuzione devi prima bloccarne l'esecuzione per poi poterlo zippare/uploadare

[FulValBot]

ovviamente nemmeno quello era possibile -.-

[juninho85]

...non era possibile bloccarne l'esecuzione?e che infezione era?

[FulValBot]

qualunque cosa l'ho dovuta fare manualmente in mod. provv. senza rete col router staccato... in pratica manualmente ho eliminato quel file. dopodichè con hijackthis ho eliminato i residui di quel virus/spyware. nella mod. normale qualunque cosa che facevo era inutile... certi virus/spyware si eliminano solo in quel modo...


cmq quel file non era nemmeno in esecuzione... ovvero veniva avviato insieme a windows ma da solo poi se chiudeva subito... ma in qualunque caso non potevo mandarlo ne a quelli de antivir ne a nessun altro...

[juninho85]

bah mi sembra strano,magari si eseguiva per poi iniettare qualche dll in file tipo svchost