Pozdrav veselom drustvu :)
Nemam bas obicaj da se oglasavam u temama koje su pune prepucavanja... ali ovde nisam mogao da se suzdrzim :)
Ja sam se godinama mlatio sa malwareom, pa smatram da sam , khm, kompetentan da kazem po koju rec.
@dava
Tvoj je stav (ako sam dobro shvatio) da su AV programi dovoljno dobri u pruzanju zastite.
Da bi ukinuli filozofsku notu u diskusiji, podrazumevacemo da si pri tome mislio na komplet AV/FW/itd modula.
KAV/KIS, u kojeg se ti kunes, tek sad dodaje u definicije malware kojeg sam ja skupio na netu pre 4-5 godina, a kojeg je recimo BitDefender ubacio u definicije 6 meseci nakon sto sam ja taj malware ulovio.
Ja sam ugasio svoje honeypotove pre nekih godinu i po dana, tj. od tada vise ne skupljam malware.
Uploaded with
ImageShack.us
Sa leve strane je folder SCAN u kojem je malware kojeg KAV jos uvek ne prepoznaje (26GB). Primerci su detektovani od strane BitDefendera i/ili DrWeba. Prosle nedelje sam folder proskenirao KAV-om i odavde vec izdvojio ono sto KAV sada prepoznaje.
Sa desne strane su folderi:
_incoming_1 - malware ciji su fajlovi osteceni ili nefunkcionalni, ali ih KAV tretira kao malware (neuspesan download itd.)
_incoming_2 - malware koji je funkcionalan, KAV ga prepoznaje, folder sadrzi redundantne fajlove (recimo instalacija programa koja sadrzi i adware, gde recimo 1mb spada na legitiman program, a 100kb na malware)
_moja_kolekcija_incoming - fajlovi u procesu verifikacije i odvajanja redundantnih fajlova
_scan - malware kojeg je KAV prepoznao (sadrzi manje od 2% redundantnih fajlova koje nisam uspeo da odvojim)
_virusi - arhiva
I sve ovo je vec vise od godinu-dve dana matoro...
Elem, i ja se kunem u KAV kada je izbor AV programa u pitanju, a to se da videti i iz prilozenog. Napravio sam ceo set programa koji automatizuju proces skeniranja fajlova uz pomoc KAV-a, izdvajaju malware, raspakuju instalere da bi izvukli malware iz gomile redundantnih fajlova, brisu duplike fajlove itd. itd.
Jednog dana sam skontao da vise ne vredi da jurim bonetove i da saljem uzorke AV kompanijama. AV laboratorije jednostavno nemaju ljudstva da izanaliziraju sve ono sto im pristigne.
Na kucnom honeypotu sam hvatao i po 10 novih primeraka botova dnevno. Sa honeypota kojeg sam imao instaliranog u HongKongu kod jednog njihovog provajdera, stizalo mi je mesecno i po 2000 novih primeraka.
Pride ovo dva, imao sam jos dva honeypota u Austriji (gde zivim) na dva fakulteta.
Kao clan mwcollect alijanse, gledao sam rezultate koji su svaki dan pristizali iz svih krajeva sveta - imalo je dana kada je pristizalo i preko 1000 razlicitih primeraka botova dnevno.
Porazavajuce... covek izgubi ceo dan samo citajuci izvestaje i logove.
Nadam se da je sada malo jasnije zasto je rucno ciscenje (na forumima) nezamenljivo u dobrom delu slucajeva.