Файерволл + антивирус или программа комплексной защиты?

[ТроПа]

Предлагайте свой вариант конкретных программ, аргументируйте, отстаивайте своё мнение.

[Тролль]

Ну, если пользоваться комплексной защитой, что, видимо, удобнее, то платное комплексное решение от Avira или Касперского, а если нужно бесплатное, то надо набирать зоопарк из, например, Avira антивирус, ZoneAlarm или Comodo файерволл, Ad-Aware как антитроян...

Изменено 11 февраля, 2009 пользователем Тролль

[Old men]

Мой опыт говорит о том, что специализированные программы практически всегда лучше универсальных. Поэтому предпочитаю связки из отдельного файерволла и отдельного антивируса.

Ну, а что касается конкретных предложений - всем известно, что лучшая программа та, которая стоит на своем компьютере . У меня стоит NOD32 и Agnitum Outpost, но я ничего не имею против Comodo, Zone Alarm, DrWeb и других файерволлов и антивирусов

[Q-Q]

Полностью согласен, что специализированные программы выполняют свои функции куда лучше "комбайнов". Это как когда-то радиолы: что радиоприёмник, что проигрыватель - никакого толку с каждого. IMHO, Agnitum никогда не сотворить 100%-ный антивирус, а уж Касперскому никогда не сделать и примитивный файерволл (он и антивирус-то нормальный не сумел сделать).

И стоит у меня с незапамятных времён древний ZoneAlarm Pro мхом поросшей версии 6.0.631.003, обновлять или менять на что-то не собираюсь, ибо невозможно придумать ничего такого, что бы в нём не устраивало - это идеал.

NOD32 пользуюсь практически с момента его появления, покорил он сразу тем, что работал в разы быстрее всех остальных (сейчас, правда, некоторые подтянулись). Монитор всегда выключен, в лучшем случае раз в полгода обновляю базу и делаю проверку, и то только тогда, когда появились какие-то подозрения. IMHO, самая лучшая защита - точно знать, куда можно ходить и закачивать только то, что надо. В последнее время выдвинулся на передовые позиции Avira, проверил - понравился.

Всё это относится к моему локальному домашнему компьютеру. На работе же и NOD32 мониторит, т.к. приходится спасаться от эпидемии флэшечных вирусов. А что бывает у иных клиентов... Ни в сказке сказать...

[ser208]

Использую брандмауэр из комплекта SP2 для WinXP и КAV7.

Мне хватает.

(сегодня лечил компьютеры в фирме по продаже запчастей. Бедный NOD что слепой инвалид. Ну это к слову.).

Изменено 11 февраля, 2009 пользователем ser208

[ТроПа]

Ad-Aware как антитроян..

Я например считаю, что это лишнее. У меня на одном из компов стоит "комбайн" от Касперского - вполне устраивает. Никогда не ставил сторонний фаервол. Попробую сравню. Покрайней мере Фаервол касперского не очень сложен в настройке и предотвращает атаки из вне (правда таких на меня было не много). Вот только в добавление к Комбайну использую утилиту APS - для прослушки портов. То-же пару раз подсказывала о сканировании компа со стороны.

[ser208]

То-же пару раз подсказывала о сканировании компа со стороны.

Так компы из инета сканируются денно и ночно.. :D

[Тролль]

wise-wistful:

Цитата

Ad-Aware как антитроян..

Я например считаю, что это лишнее.

Беда в том, что Avira - вообще говоря, очень неплохой антивирус, в бесплатной версии плохо ловит троянов. Например, в одном из последних тестов антивирусов AV-Test.org Avira Premium занял первое место, но с примечанием: "the free (personal) edition does not include ad- and spyware detection". И руткитов бесплатная версия не ловит. Мы когда-то с saule сравнили на ее тесте платную и бесплатную версии, и расхождение было весьма заметным. То же для AVG. Поэтому бесплатные антивирусы желательно дополнять антитроянами. А для комбайна Касперского дополнительный антитроян, вероятно, действительно лишний.

P.S. Извиняюсь, при более тщательном просмотре результатов теста заметил, что Avira занял не первое место, хотя и одно из первых. Точно результаты там довольно трудно упорядочить, поскольку антивирусы сравниваются по нескольким параметрам.

Впрочем, я в этом посте хотел не Авиру хвалить или ругать, а отметить, что нужен или же не нужен антитроян, в большой степени зависит от того, используется бесплатная или платная версия антивируса.

Изменено 11 февраля, 2009 пользователем Тролль

[ser208]

Другое дело, что и Ad-aware как ловец нечести отставляет желать лучшего.

Обратите свое внимание на Malwarebytes' Anti-Malware

Изменено 11 февраля, 2009 пользователем ser208

[Тролль]

ser208:

Читал хорошие отзывы об этой программе. Но... Попался мне сегодня один подозрительный файлик. Avira ничего в нем не видит, ни платная, ни бесплатная. Ad-Aware его забраковала, как троян. Сейчас скачал Anti-Malware, проверил - она считает, что чисто.

Решил устроить атаку на этот файлик крупными соединениями. Дал его на съедение онлайн двадцати антивирусам на http://virusscan.jotti.org/. 12 из них ничего не нашли, восемь отрапортовали о найденном трояне, причем каждый назвал его по-своему, из них один дал точное самоназвание программки, обозвав ее, правда, riskware :D - понимай, как хочешь, но скорее всего, он просто был самым честным :).

Проверил на http://www.virustotal.com - двадцать три антивируса из тридцати двух забраковали, девять признали свободным от подозрений. На http://www.virscan.org - 22 антивируса решили, что это троян, 15 проголосовали против.

Выводы делать не буду, будем считать, что это информация к размышлению...

[ser208]

Дал его на съедение онлайн двадцати антивирусам

Наверное самым правильным будет разослать в антивирусные лаборатории. Тогда увидим.

http://vms.drweb.com/sendvirus/

Можно в приват :D

vendors@spywarefix.org - присланный образец рассылается сразу 58-ми антивирусным вендорам. Отправлять желательно в .zip архиве с паролем infected

Ну если не затруднит. Интерсно же. Завтра уже будем знать. :)

Изменено 11 февраля, 2009 пользователем ser208

[Q-Q]

Порой бывает просто смешно. Я отдавал файлик, написанный на Borland Delphi, на проверку virustotal. Файлик писал сам, потому уж точно знаю, что там никаким вирусом или трояном и не пахнет. Так вот, больше половины антивирусов показали, что там сидит вирус, причём, с умным видом присваивали ему названия, да ещё и разные. Сложилось впечатление, что они увидели код, написанный на языке программирования - и ата его...

ser208:

NOD32 не слепой ивалид, а умеет лучше других отличать вирус от чистого кода и реже других делает подобные глупости. Как правило, антивирус, который кричит о заражении чем-то тогда, когда остальные молчат - это плохой антивирус. Большинство же малоопытных пользователей тут же возведут его на трон лучшего.

IMHO, нечестные разработчики антивирусов именно этой тенденцией и пользуются, чтобы вырваться вперёд во всяких рейтингах. К сожалению, это болезнь, которая сильно подрывает авторитет к этому направлению вообще. Рецепт один: выбирать тот антивирус, который меньше всех кричит в сравнительных тестах типа virustotal.

[ser208]

Порой бывает просто смешно. Я отдавал файлик, написанный на Borland Delphi, на проверку virustotal. Файлик писал сам, потому уж точно знаю, что там никаким вирусом или трояном и не пахнет. Так вот, больше половины антивирусов показали, что там сидит вирус, причём, с умным видом присваивали ему названия, да ещё и разные. Сложилось впечатление, что они увидели код, написанный на языке программирования - и ата его...

Поэтому и хотим послать файл на анализ.

ser208:

NOD32 не слепой ивалид, а умеет лучше других отличать вирус от чистого кода и реже других делает подобные глупости. Как правило, антивирус, который кричит о заражении чем-то тогда, когда остальные молчат - это плохой антивирус. Большинство же малоопытных пользователей тут же возведут его на трон лучшего.

Дело в том, что вирусы были. И было их достаточно (хотя и AVPTool с CureIt не все увидели. Еще раз убедимся в мнимой непогрешимости всех)

Изменено 12 февраля, 2009 пользователем ser208

[Yezhishe]

У меня своеобразный комплекс (я как-то при случае упоминал о нём) - на шлюзе стоит Kerio Winroute Firewall с активным антивирусным модулем от McAffee, на остальных домашних машинах - NOD32. Натурально, в Винруте закрыто всё, кроме реально необходимого, так что практически любой паразитный трафик блокируется на корню. Естественно, если он не использует стандартные http и ftp порты... Но там уже забота антивирусника - отслеживать подозрительные пакеты...

[ser208]

Оффтоп

Проверил на http://www.virustotal.com - двадцать три антивируса из тридцати двух забраковали, девять признали свободным от подозрений. На http://www.virscan.org - 22 антивируса решили, что это троян, 15 проголосовали против. Выводы делать не буду, будем считать, что это информация к размышлению...

Ответ пришел. Файл чистый.

Изменено 12 февраля, 2009 пользователем ser208

[Тролль]

ser208:

Ответ пришел. Файл чистый.

Интересно, спасибо :).

Я так и подозревал, потому что его процесс в Интернет не ломился. Однако "было бы смешно, когда бы не было так грустно", что больше половины антивирусов им возмущаются. Видимо, они отбраковывают не реально опасные, а потенциально опасные участки кода.

Я уже сталкивался с этим в переписке с автором одной программы, когда пожаловался ему на бурную реакцию антивируса на его программу, а он посоветовал мне выкинуть мой антивирус и заменить другим. Однако от пользователей с другими антивирусами он тоже начал получать аналогичные замечания. В итоге ему пришлось переписать часть кода .

Похоже на то, что кроме вирусов, троянов, руткитов и т.п. сейчас появился еще один вид программ - то, что хотя и безопасно, но не может применяться обычными пользователями из-за реакции антивирусов - так сказать, ангелы с некоторыми внешними признаками чертей.

С подачи названного мной "честным" антивируса воспользуюсь его определением: riskware.

Изменено 12 февраля, 2009 пользователем Тролль

[ser208]

Я так и подозревал, потому что его процесс в Интернет не ломился.

Не обязательно же. Может быть просто инсталлятором руткита и вирус-доунлоадера, сджойнерного с кейгеном.

Хотя все это засунуть в 150 кб -- работа мастера.

Однако "было бы смешно, когда бы не было так грустно", что больше половины антивирусов им возмущаются. Видимо, они отбраковывают не реально опасные, а потенциально опасные участки кода.

...воспользуюсь его определением: riskware

Для "некоторых" достаточно слова "keygen" или "crack" в коде. Не так ли?

Изменено 12 февраля, 2009 пользователем ser208

[Тролль]

Хм... браковать программы по содержащимся в них словам? Это скорее "родительский", чем антивирусный контроль .

[шпилька]

Многоуважаемые, судари! Спорить можно до бесконечности, какой антивирус лучше. Каждый будет отстаивать свое. Я вот тут подумала, у нас есть тема "Сетевая безопасность", в которую обращаются люди с просьбой о помощи. Может нам сделать выводы на основании этого. Ведь, наверняка, у людей тоже стояли антивирусные программы, которые защищали их систему. Но вирусы все-равно проникали.

[Yezhishe]

у людей тоже стояли антивирусные программы, которые защищали их систему. Но вирусы все-равно проникали

Ничего удивительного... Любой IT-профи подтвердит, что ни один антивирус не в состоянии увидеть всё! В силу конструктивных особенностей. Именно для подобного и существуют онлайн-сканеры и оффлайн-утилиты... Для диагностики и лечения того, что умудрилось проскользнуть мимо имеющегося антивируса.

[шпилька]

Ну так, как речь идет о комплексной защите, то, порты блокирует wwds, Google Chrome предупреждает об опасных сайтах, Avira ловит после похождений по инету, а Ad Awere добивает все остальное. Сканирование остальными программами никаких результатов не дало.

[Old men]

Кстати, раз уж речь о защите. Не считайте меня параноиком, но сейчас пытаю программу Sandboxie (а она меня - сколько раз было говорено, языки знать надо хорошо). Вообще-то лучшая защита - не лазить на плохие сайты, но если за компом находятся еще и дети, то пожелание становится невыполнимым.

Упомянутая Sandboxie является аналогом известной Shadow User, и при работе в сети создает изолированную зону на винчестере, куда и помещает все принятые файлы. После окончания работы можно либо уничтожить все результаты обмена, либо, после проверки, переписать нужные файлы для дальнейшего пользования.

Так вопрос вообще-то простой - почему мы все зациклились на файерволлах и антивирусах, кроме них есть еще способы защиты от нежелательного трафика. Может быть расширить тему?

[Q-Q]

Хорошо знаю Shadow User и одно время ею пользовался. Не вдаваясь в подробности, могу сказать, что чисто для целей защиты этот метод не годится (теоретически - да). Это неудобно и небезопасно.

P.S. Кажись, статья была в одном из SBJ.

[Old men]

Точно уже не помню, кажется статья готовилась к публикации, но вот была или нет...

Согласен с тем, что Shadow User неудобна в работе, но вот что касается небезопасности - не понимаю. Правда я ее просто опробовал и, из-за неудобства, не стал пользоваться. Если можно - немного раскрыть тему, любопытно.

А Sandboxie в применении удобнее SU, поэтому и разбираюсь (ну и еще потому, что к моему компу получили доступ школьники ;))

[Тролль]

В Windows 7, кстати, такое средство типа Shadow User и Sandboxie встроено в систему, называется Safeguard. Можно установить пользователю с ограниченными правами, что все изменения, сделанные на заданных дисках (по умолчанию - системном диске) после его выхода аннулируются.