SafeGroup

Czyli jednym słowem wszystkie testy amatorskie , również te u nas, w których to pozostałości były sprawdzane MBAM są g...o warte .

Ten wątek na

[Aby zobaczyć linki, zarejestruj się tutaj]

już jest od 13.06.2011, i do tej pory była cisza?

Na tym forum (poznając po nazwach userów): Umnik to jest programista kaspersky, a A. też należy do KL, gdzieś go widziałem albo na forum, albo na securelist.

Ale tu widać jak MBAM wykrywa, najpierw liczy się nazwa pliku, a potem hasz, a powinno być odwrotnie (lub w ogóle nie rozpoznawać po nazwie, bo to bezsensu):

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Strasznie jestem ciekaw, czy amerykanie/ci z forum MBAM zadadzą sobie trud przetranslatować naszą stronę na ENG i przeczytać ten wątek

MBAM przez to że zamiast skupić się na tym z czego na początku słynął, czyli miał usuwać znane/0day malware i nic więcej, wymyślił niepotrzebną wg. mnie "heurystykę" wykrywania po nazwach plików w nieznanych lokalizacjach. Generuje to FP i ludzie tego raczej nie polubią.

Skoro jest tak jak mówicie to czym darmowym on-demand można zastąpić MBAM?

To co warto zainstalować zamiast MBAM?

A według mnie to dobrze, że sprawdza po nazwie - jeżeli pliku nie powinno być w jakiejś lokalizacji - osoby analizujące logi robią to samo - sprawdzają czy nie ma gdzieś czegoś podszywającego się pod oryginalne pliki z innej lokalizacji

Tylko nie powinien o tym informować w taki sposób. Nie uważasz Eru?

Boże płaczecie tylko dlatego, że np nie pokazuje np: Suspicious.File.Location tylko np: Trojan.Agent ?
Mi to tam obojętne jak to nazwie jeżeli lokalizacja pliku nie jest standardowa
Niektórzy chyba powinni przemyśleć to co piszą przed zamieszczeniem tego na forum

Nie zgadzam się z Tobą Eru, ale nie chcę się kłócić
Nie każdy musi mieć takie same poglądy, jakTy.

Eru...jak to określono na Wildersach, metoda którą tu wałkujemy jest określona jako "leniwa" choć może bardziej stosownie "lenistwo". I nie ma się co do faktów spierać. Nikt nie płacze...tak myślę...niemniej zaskoczeni jesteśmy chyba (a przynajmniej ja) taką właśnie "zaawansowaną heurystyką" jaką nam zaprezentował MBAM. Wykrywanie po nazwie...i tylko po tym...jest ewidentnym niedociągnięciem. Może nasze wypociny nie mają większego znaczenia dla użytkowników nas czytających i pewnie oceniających, ale na Wildersach wypowiadają się z pewnością bardziej zaawansowani i skoro przedstawiciele MBAM w związku z zamieszaniem obiecują tam poprawę, to nie jest to rzecz do pominięcia. A jeśli problem znany jest ponoć aż od 2009 roku, to tym gorzej dla producenta, że mamił użytkowników nowoczesną technologią.

A ja trochę rozumiem wypowiedz Eru - dlatego we wcześniejszych troszkę ironicznych moich wypowiedziach kładłem nacisk na to co mówi Eru - wszystko zależy od tego jak na sprawę patrzeć...

Szczerze mówiąc nie wiedziałem że MBAM opiera się na nazwach plików.

czyli wychodzi na to,że malwerebytes ma w sobie kilkasposobów wykrywania zgadza się? Bo niektórzy chyba tego nie kapują...

Tu jest "heurystyka", tak przynajmniej można wywnioskować po nazwie.

[Aby zobaczyć linki, zarejestruj się tutaj]

Oczywiście, że nie jest to jedyna metoda...mam nadzieję...ale chyba bardzo wstydliwa, dla MBAM - właśnie zauważyłem, że wykasowano jeden a może więcej postów w temacie na Wildersach - ten w którym mówiono o heurystyce opartej na nazwach. Nie wiem czy zrobił to moderator forum czy sam użytkownik, ale jak widać komuś to było nie w smak. Proszę nie mówcie, że jest OK i tak ma być...postawiono już u nas co najmniej raz pytanie i powtórzę je raz jeszcze - co z dalszą weryfikacją? Gdzie pozostałe mechanizmy kwalifikujące plik jako zagrożenie? Bo widzę dwa wyjścia
- albo metoda w swej prostocie jest genialna i skuteczna...a jak wiemy nie jest ani tak, ani taka
- albo próbuje się nam udowodnić, że jesteśmy głupsi niż naprawdę jesteśmy...a chyba tak nie jest?

Skoro pusty plik działa, to nic takiego nie ma.

Tu jest

[Aby zobaczyć linki, zarejestruj się tutaj]

z Wildersów i zarazem kolejny test MBAM.
A

[Aby zobaczyć linki, zarejestruj się tutaj]

dość krytyczna wypowiedź z forum Malwarebytes. Pomimo tego co pisze Eru , ja (i nie tylko ja) w dalszym ciągu widzę w tym problem.
Po pierwsze - jest to przestarzała technika, o czym pisze sam B. Harrisonna forum MB, która powoduje false positives.
Po drugie - cała ta sprawa obnaża słabość MBAM (i nie tylko jego, ale również innych aplikacji, które korzystają z tej metody) i otwiera kolejną furtkę przed autorami szkodliwego oprogramowania - to pokazuje przytoczony tu jako pierwszy post z Wildersów.
Nie ujmuję nic programistom Malwarebytes, ani też nie twierdzę, że jest to zły program - wręcz przeciwnie, ale moim zdaniem powinni nieco popracować nad nowymi metodami wykrywania i zmienić prioryety - najpierw hashe i analiza behawioralna a dopiero na szarym końcu nazwy i lokalizacje plików.
Poza tym dość istotny moim zdaniem jest sposób w jaki program informuje o skali zagrożenia i tu

[Aby zobaczyć linki, zarejestruj się tutaj]

jest świetna - pamiętaj, że nie każdy ma taką wiedzę o zagrożeniach jak część z nas tutaj. ZU widząc komunikat o trojanie wyda polecenie usunięcia pliku (możliwe, że nie każdy ale przypuszczalnie większość wybierze taką właśnie opcję) a Ty, czy ja zastanowimy się dwa razy i dokładniej przeanalizujemy wyniki skanu.
I nikt tu nie płacze jak już napisał Ichito , tylko wyrażamy swoje zdziwienie i niepokój, że tak łatwo można oszukać taką aplikację "legendę" jaką niewątpliwie jest MBAM. A to, że Tobie Eru , zwisa jakich metod używają aplikacje, którym powierzasz bezpieczeństwo swoich danych nie oznacza, że każdy ma takie samo podejście - warto czasem spojrzeć nieco dalej, niż na czubek własnego nosa.

dobra chłopaki już przestańcie - każdy i tak używa MBAM jako dodatkowe zabezpieczenie - jedni w wersji free inny w pro
metoda może i przestarzała i trochę prymitywna ale czy na pewno otwiera drogę dla cyberprzestępców...
przecież normalnie sam plik nie pojawi się w lokalizacji gdzie nie jest jego pierwotne miejsce. Myślicie że wirus napisany i podszywający pod jakiś plik będzie nie zauważalny dla MBAM? - ja sam jestem troszkę zniesmaczony tym newsem ale i tak nie zamierzam przestać korzystać z niego bo jest świetnym uzupełnieniem całej reszty...

W sumie ten link

[Aby zobaczyć linki, zarejestruj się tutaj]

pokazuje że jednak podszywający się wirus pod inna nazwę jest pomijany i nie wiidoczny dla MBAM... Hmmm...

slawsi5 napisał(a):W sumie ten link

[Aby zobaczyć linki, zarejestruj się tutaj]

pokazuje że jednak podszywający się wirus pod inna nazwę jest pomijany i nie wiidoczny dla MBAM... Hmmm...

Czyżby wystarczyło wygenerować nazwę i MBAM nic już nie widzi?
Na przykładzie podana jest próbka TDSS, raz wykrywana a raz nie.