|
|
|
|
Strumenti |
19-08-2012, 13:36 | #15721 | ||
Senior Member
Iscritto dal: May 2010
Messaggi: 5345
|
Quote:
Quote:
Personalmente ho disabilitato la protezione da autorun.inf, la reputo inutile. Posso esserci 2 scenari: 1. l'autorun.inf è lecito, e quindi è corretto lasciarlo fare 2. autorun.inf è illecito e carica un virus, ed in tal caso il modulo realtime provvede comunque a rilevare e bloccare (nonchè eliminare) il virus non appena questo tenta di essere caricato Quindi, la conclusione è che la funziona che blocca autorun.inf è inutile, ed anzi in certi casi è pure scocciante |
||
19-08-2012, 14:37 | #15722 | |
Senior Member
Iscritto dal: Oct 1999
Città: Arona
Messaggi: 7141
|
Quote:
forse come dice Tennic caricava l'iconcina ma non ne sono sicuro ah sto scherzetto me lo ha fatto anche su una chiavetta USB anche li sempre sul file autorun Ultima modifica di paditora : 19-08-2012 alle 14:41. |
|
19-08-2012, 16:20 | #15723 | ||
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18070
|
Quote:
Quote:
Conclusione errata, mi spiace. Saluti. |
||
19-08-2012, 17:25 | #15724 | |
Senior Member
Iscritto dal: May 2010
Messaggi: 5345
|
Quote:
A parte l'utente pratico, il caso da te descritto è decisamente improbabile, e per un semplice motivo... In pratica, i virus da autorun.inf, gira e rigira sono sempre quelli, quindi vengono rilevati anche dal più scafesso degli antivirus, ossia trendmicro (che è quello che utilizza l'azienda dove lavoro, in versione corporate, e non trova niente neanche a pagarlo). L'ipotesi di beccare un virus da autorun.inf, che non sia già presente nel database di un buon antivirus, ed addirittura non abbia niente in comune con nessuno dei precedenti virus (ergo, scansione euristica) è decisamente remota Pertanto, tra un'ipotesi remota di prendere un virus che deve soddisfare TUTTE le predette ipotesi (non presente nel database e completamente diverso da tutti i virus sinora creati), e la concretezza di bloccare autorun.inf a prescindere, il che a castrante per molte lecite applicazioni, preferisco avere un autorun.inf libero, e fidarmi di quello che arriva sempre tra i primi come capacità di rilevazione Poi, ovviamente, siccome è una cosa decisamente soggettiva (a parte le oggettive mie osservazioni di prima), ognuno può fare come crede P.S. Ho preso anche volontariamente un bel virus, un paio di anni fa, ma non certo con autorun.inf, ma facendo partire manualmente quella che doveva essere una patch di un applicativo di rete che usiamo in azienda... Evidentemnte qualche buontempone aveva sostituito l'eseguibile Al tempo usavo NOD32 v4.0, e non l'ha rilevato... Ebbene, è stato rilevato e rimosso senza problemi con una semplice scansione da parte di MalwareBytes, quindi, anche in caso di infezione, non mi fascio la testa, ma semplicemente ripulisco Sarà che ci portano computer infetti ogni giorno, ma ormai avere a che fare coi virus è normale, ci conviviamo Per la cronaca, conservai quell'eseguibile, e NOD32 lo vide come virus dopo gli aggiornamenti della sera di quello stesso giorno, il che è un pessimo risultato, in quanto quando io presi il virus, sicuramente non era stato creato 10 minuti prima, quindi arrivai alla conclusione che NOD32 aggiunge i nuovi virus molto tempo dopo la loro creazione, esponendo gli utenti a infezioni. Benchè loro cliente da circa 5 anni, quello è stato uno dei motivi (insieme al fatto che ormai non primeggia nei test) che mi ha convinto a passare ad altro Ultima modifica di Tennic : 19-08-2012 alle 17:30. |
|
19-08-2012, 18:06 | #15725 | |
Senior Member
Iscritto dal: Oct 1999
Città: Arona
Messaggi: 7141
|
Quote:
Su altri autorun.inf tipo quelli sui dischi autopartenti dei giochi non mi hai mai segnalato una roba del genere, solo sull'hard disk e sulle chiavette USB del mio amico mi ha fatto sto scherzetto. |
|
19-08-2012, 18:09 | #15726 | |
Senior Member
Iscritto dal: May 2010
Messaggi: 5345
|
Quote:
Non sono le mie ragioni, sto cercando di analizzare oggettivamente e chiaramente tutte le ipotesi, affinche siano commentabili da tutti... E sinceramente non mi pare opportuno rinunciare a questa feature del S.O. per bloccare a prescindere OGNI esecuzione automatica. Allora, il modulo realtime che sta a fare, se comunque si blocca tutto a monte? Per un ipotetico virus nuovo che non c'è nel database? Beh, dovrei essere così fortunato da prendere il virus poche ore dopo che il creatore l'ha messo in circolo, e tale virus non deve avere niente in comune (neanche piccole porzioni di codice) con precedenti virus (e sappiamo bene che i virus vengono sempre creati su basi di altri virus). In tal modo, non viene riconosciuto. Vi pare uno scenario probabile? Ripeto, ognuno fa come crede, ma sino ad ora uso il mio computer per ripulire pendrive altrui, ed appena l'autorun.inf tenta di caricare il virus, questo viene rilevato al volo... In ormai 7-8 anni che tali virus esistono, non ho mai preso un virus in tale modo, e non ho mai bloccato autorun.inf Ed in tali anni, mi sono goduto le funzioni del S.O. senza applicare stupidi blocchi a tappeto Se un ipotetico giorno dovessi prendere un virus grazie a tale vettore di propagazione, lo rimuoverò come ho sempre fatto con gli altri computer a lavoro, ed in 20 minuti (riavvii e scansione finale comprese) torno pulito come prima E sarebbe il primo virus in tantissimi anni Se i blocchi sembrano giusti, il prossimo step qual è, rendere il disco C di sola lettura, perchè potrebbe capitare un virus nuovissimo creato 5 minuti prima, che il modulo realtime non riconosce? Ultima modifica di Tennic : 19-08-2012 alle 18:11. |
|
19-08-2012, 18:18 | #15727 | |
Senior Member
Iscritto dal: May 2010
Messaggi: 5345
|
Quote:
Il trendmicro aziendale lo elimina senza conferme, infatti non collego più i miei HD esterni al computer in ufficio, altrimenti mi elimina gli autorun.inf "di fabbrica", cioè che servono semplicemente a far comparire l'icona personalizzata Questa caccia alle streghe mi pare eccessiva... o meglio... "non sono sicuro di trovare un virus? Beh, impediamo un modo di infezione a prescindere" E se quel medesimo virus invece fosse un semplice eseguibile travestito da altro? Ecco perchè credo e spero nell'affidabilità del modulo realtime... Bloccare UN SOLO metodo di infezione, tra l'altro quello che nel 99% dei casi è lecito (e parlo di autorun.inf), lasciando aperti tanti altri metodi di infezione è decisamente inutile, secondo me L'antivirus deve fare il suo lavoro, senza richiedere blocchi a prescindere... Prendereste un antivirus che vi promette di impedire l'infezione purchè utilizziate dischi protetti da scrittura? E' come dire "sono inutile" |
|
19-08-2012, 19:05 | #15728 | |
Senior Member
Iscritto dal: May 2010
Messaggi: 5345
|
Quote:
Quindi, visto che le motivazioni da me oggettivamente spiegate sono una questione personale, mi spiegate gentilmente a cosa serve in un caso realistico e non ipotetico tale funzione? Magari qualche cosa mi sfugge, così sono ben lieto di abilitare questa funzione, anche se in tanti anni non mi è mai servita Ma non si finisce mai di imparare, quindi sono aperto ad apprendere cose nuove, mica pretendo di sapere tutto Salvo che ovviamente non siano questioni personali e poco difendibili oggettivamente (le cosiddette "fissazioni") quelle di chi ritiene che la funzione sia utile Le ragioni per disabilitare la feature le ho dette più volte, e reali... Ossia, ho molti dischi e pendrive che hanno la necessità di eseguire un autoplay perfettamente lecito, e non vedo perchè devo rinunciarci, ed allungarmi il lavoro con un play manuale, per temere chissà cosa E ripeto, a chi teme che autoplay sia un vettore col quale si prendono sicuramente virus che il modulo realtime non trova, allora ricordo che è uno dei tantissimi veicoli di infezione, e l'unica soluzione a tutti è avere un disco in sola lettura... Quindi, per lo stesso ragionamento, utilizziamo solo dischi in sola lettura? Per l'euristica, la tengo al livello massimo, idem le categorie di minacce, le ho abilitate tutte, perchè oggettivamente lo ritengo utile, non tanto per i virus (che verrebbero rilevati comunque) quanto per programmini scherzo e simili, che potrebbero essere fastidiosi (ma non dannosi) Ormai seguo i virus da circa 20 anni, e nei primi anni 90 mi dilettavo a riscrivere manualmente l'MBR ed il BR in caso di infezioni... Rispetto ai virus che esistevano al tempo (stealth, poliformici, extratraccia) quelli di ora sono ridicoli e certi si rimuovono senza neanche scomodare l'antivirus (es quelli che si prendono con autorun.inf)... Ecco perchè sorrido a tali funzioni "simpatiche" degli antivirus Credetemi, non è una questione personale, ma solo valutare pro e contro (realtà alla mano) di una impostazione |
|
19-08-2012, 19:14 | #15729 | |
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18070
|
Quote:
Non ho nessun buon proprosito. Quelle che hai scritto sono tue opinioni che non condivido assolutamente e trovo siano in un certo senso... fuori luogo in una sezione del forum dove si discute di sicurezza. Nel dettaglio ho semplicemente ritenuto fosse corretto correggere alcune tue frasi evidentemente sbagliate, i virus tramite autorun.inf hanno fatto sfacelli inenarrabili e conficker è solo uno dei tanti esempi di malware iniettato anche tramite autorun.inf e che ha inchiodato intere reti informatiche evidentemente gestite da responsabili che la pensano come te. Saluti e baci, scusandomi se non ritorno più sull'argomento visto che non c'è proprio nulla da discutere su cose assodate da tutti i responsabili di sicurezza informatica. |
|
19-08-2012, 19:52 | #15730 | |
Senior Member
Iscritto dal: May 2010
Messaggi: 5345
|
Quote:
Per la cronaca, io gestisco veramente una rete informatica, una MAN, per la precisione, ma senza scendere nei dettagli (non posso per lavoro) la mia rete (un'intera città) è l'unica che 3-4 anni fa non è stata infettata in tutta italia, rispetto alle altre analoghe Se vuoi, in pm, posso essere più preciso, così non pensi che sto sparando vaneggiamenti Comunque, chiudo qui, il mio parere l'ho detto e motivato più volte... Basato su 2 punti: 1. autorun.inf viene utilizzato per lo più per funzioni lecite 2. un buon antivirus frequentemente aggiornato ha un modulo realtime che DEVE rilevare le infezioni anche se non sono attivi blocchi a monte. Questo è agevolato dal fatto che un virus riprende sempre porzioni di codice da virus preesistenti, e la funzione euristica consente di rilevare la nuova minaccia. E questo è basato, ripeto, su un buon antivirus, che in test OGGETTIVI ha dimostrato un tasso di rilevamento altissimo, come Avira. Per contro ho sentito solo che potrebbe esistere un nuovo virus che è uscito poco prima (e mi è già arrivato su pendrive) ed è nuovo al 100%, completamente diverso da ogni altro virus (correggimi se ho capito male), quindi non rilevabile neanche da euristica. ...e secondo me questo è corretto al 100% se pensiamo a computer che aggiornano l'antivirus una volta ogni 3 mesi (e purtroppo ce ne sono, sembra che si paga per aggiornare )... Invece il mio discorso è basato su AV aggiornati quando disponibili aggiornamenti quindi anche 3.4 volte al giorno. Se poi i canoni di sicurezza e gli esperti impongono di bloccare tutto a prescindere, beh, mi congratulo per loro e per la loro lungimiranza ... Se tali esperti gestissero una rete, allora, per evitare gli attacchi non configurerebbero il firewall, staccherebbero i cavi di rete, così sarebbero sicuri di non essere attaccati Qualcuno diceva che un computer sicuro è un computer spento... Beh, a forza di disabilitare funzioni normali (e non ottimizzandole) per temere eventi remoti ci stiamo arrivando Ora chi legge ha gli strumenti per poter decidere se utilizzare autorun (questo dipende anche se alla persona in questione serve o meno), oppure disabilitarlo per temere l'ipotetica minaccia del virus nuovo al 100% ed appena uscito. Pertanto, come ho sempre detto, ognuno fa come crede in base alle personale considerazioni... Quello che ho sempre fatto è stato di mettere le carte in tavola, se poi questo è fuori luogo nel forum, e si preferisce agire senza pensare, anche qui ognuno può fare come crede Mi spiace solo che magari è stata vista come una "questione personale" ma non è semplice far trasparire l'intento di un post da dietro uno schermo Almeno credo di aver sempre spiegato oggettivamente il mio parere, rimanendo nel tecnico, e senza mai attaccare o riferirmi allo scrivente Per ulteriori scambi, posso continuare in PM, meglio non inquinare il topic |
|
19-08-2012, 20:41 | #15731 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Grazie
__________________
Try again and you will be luckier.
|
|
19-08-2012, 21:04 | #15732 |
Senior Member
Iscritto dal: May 2010
Messaggi: 5345
|
Per ritornare in tema "avvisi strani" di Avira...
Assodato che è scomparso (dopo mesi) il "problema" dei 64 oggetti nascosti, che costringeva a presidiare il computer per dire "continua la scansione" quando richiesto, ora pare ci sia un problema di un numero ritenuto eccessivo di avvisi. Ho eseguito una scansione completa, ed ho avuto ben 70 avvisi (come l'altro giorno). Ma a differenza dell'altro giorno, li ho letti uno ad uno, per vedere se è il caso di preoccuparsi (molti quando leggono "avvisi" si preoccupano a prescindere) oppure se sono semplici note informative. Del resto Avira non fa niente per preoccuparci, infatti vengono segnalati solo nel report della scansione, un asettico numero. Allora... ben 34 file zip non controllabili in quanto protetti da password... Ho verificato, e tali zip non erano apribili neanche con winzip, appunto protetti a password, quindi segnalazione coerente, Avira ci ha solamente detto che non è riuscito a guardarci dentro. Per la cronaca, sono ZIP di backup di Spybot search & destroy, che tengo giusto per le immunizzazioni del browser, come scansione è ampiamente superato dalla concorrenza. Poi, un'altra decina di archivi vari (es. 7z) protetti da password e quindi non consultabili. Si tratta di archivi creati automaticamente da programmi leciti, che vengono evidentemente protetti per evitare che qualcuno ci guardi dentro o estragga il contenuto. Su 15 file TMP, l'errore era "L'intestazione dell'archivio è danneggiata". Si tratta di vari temporanei in varie cartelle, evidentemente Avira crede che siano archivi, ma invece non lo sono, e dice che non ha potuto guardarci dentro. Infine, su una decina di file "Uninstal.exe" di varie applicazioni (perfettamente lecite) c'era la segnalazione "Chiusura inaspettata del file", che non so che c'entri. Analizzandone uno (di questi eseguibili), questa è la sua ripartizione del codice: 64,6% EXE Win32 Executable MS Visual C++ (generic) 31206/45/13 13,6% DLL Win32 Dynamic Link Library (generic) 6581/28/2 13,5% EXE Win32 Executable Generic 6514/8/2 4,1% EXE Generic Win/DOS Executable 2002/3 4,1% EXE DOS Executable Generic 2000/1 Evidentemente qualcuna di queste porzioni di codice non sono state ispezionabili da Avira. Il mio personale parere è che si tratta quindi di avvisi perfettamente leciti e normali, che vengono resi disponibili solo come numerello asettico, e consultabili on-demand se si apre il report dettagliato, segno che lo stesso Avira non vi pone il minimo peso. Non è pertanto il caso di preoccuparsi per un numero "elevato" di questi avvisi IMHO ... E' il caso di preoccuparsi solo dei numerini nella casella "infezioni" |
21-08-2012, 06:54 | #15733 |
Senior Member
Iscritto dal: Mar 2012
Città: Scafati (SA)
Messaggi: 1036
|
da quando hanno fixato quel bug avira mi ha trovato virus nascosti
ottima avira |
21-08-2012, 09:16 | #15734 |
Senior Member
Iscritto dal: May 2010
Messaggi: 5345
|
|
21-08-2012, 21:10 | #15735 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
21-08-2012, 21:21 | #15736 | |
Senior Member
Iscritto dal: May 2010
Messaggi: 5345
|
Quote:
|
|
21-08-2012, 23:20 | #15737 |
Senior Member
Iscritto dal: Mar 2012
Città: Scafati (SA)
Messaggi: 1036
|
|
22-08-2012, 00:16 | #15738 |
Senior Member
Iscritto dal: May 2010
Messaggi: 5345
|
In file che non pensavi di avere, oppure in file particolari (keygen e similari) che sapevi di avere? Giusto per capire se aumenta la capacità di rilevazione di VERI virus, quindi nascosti, oppure di file "particolari" quali crack, keygen e similari, che vengono visti comunque come malware dagli antivirus, quindi una segnalazione su questi file era comunque prevedibile
|
22-08-2012, 00:19 | #15739 |
Senior Member
Iscritto dal: Mar 2012
Città: Scafati (SA)
Messaggi: 1036
|
allora prima quando mi diceva che c'erano 64 oggetti nascosti
adesso ha trovato dei virus adware,trojan |
22-08-2012, 01:07 | #15740 |
Senior Member
Iscritto dal: Jul 2012
Messaggi: 5114
|
Scusate… Avira Free 12 è già compatibile con Windows 8?
Grazie |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 09:39.