Ultimativna antivirus tema - P&O

Kolega, ni jedan antivirusni program samo definicijama te neće zaštititi od ransomwarea, ni Kaspersky, ni Windows Defender. Zato su tu drugi moduli zaštite koji, uz virusne definicije, pomažu u zaštiti sustava. Windows Defender ima modul zaštite koji štiti upravo od ransomwarea i samo potvrđeno sigurnim aplikacijama daje pristup mapama koje ti sam odabereš. Dakle, bez obzira na to što nema ransomware u bazi, isti ne može šifrirati datoteke ako je ta opcija uključena jer nepoznatim programima pristup je automatski blokiran.

Nadalje, ni drugi antivirusni programi nisu imuni na kojekakve maliciozne PowerShell skripte, DLL injection i slične napade. Ako misliš da će te jedan Kaspersky ili bilo koji drugi antivirusni program zaštititi od istih neće. Također, valja napomenuti da u stvarnom svijetu istima se gotovo nemoguće zaraziti osim ako to ne želiš. Zašto? Nitko normalan neće ić na internet i pokretati nepouzdane PowerShell skripte, najmanje tipični korisnici koji ni ne znaju što je PowerShell. Onaj koji to radi ni ne zalužuje drugo nego da se zarazi. WSH se isključi vrlo lako; ja kao napredni korisnik računala ne vidim apsolutno nikakvu primjenu istog i, kao što rekoh, isti se isključi u par klikova. Time si eliminirao i te napade bez instalacije Kasperskog ili nekog drugog antivirusnog programa. Sanše da ćeš biti žrtva DLL injectiona i ostalih manje običnih načina zaraze su ravne nuli. I to iskreno mislim jer, ponavljam, time se ne možeš zaraziti normalnim korištenjem računala i interneta. Jedino ako baš tražiš način da zaraziš računalo, u tom slučaju zarazit ćeš računalo imao ti instaliran najbolji antivirusni program ili ne.

Windows Defender ima jednu prednost koju svi drugi antivirusni programi nemaju, a to je kompatibilnost. Isti je 100% kompatibilan s Windowsima i gotovo nikada ne izaziva nikakve probleme. Nije rijetkost da antivirusni programi trećih strana izazivaju BSOD ili da korisnici ne mogu nadograditi sustav jer eto, antivirusna kompanija nije prilagodila svoj program.

No da ne bi bilo kako samo hvalim Defender; ne sviđa mi se UI, bugovit je svugdje gdje se okreneš, a ni po performansama nije prvak. ALI ni jedno od toga se ne osjeti u svakodnevnom radu na računalu, doslovno. I nije baš da ćeš svaki dan otvarati Defender; nećeš svaki dan naletit na neki virus, a nije ni baš da ćeš non stop seliti datoteke veličine nekoliko stotina GB. To su činjenice. Upravo zbog svega spomenutog Defender se tipičnim, a i naprednim korisnicima nameće kao najbolji izbor; stvara uvjerljivo najmanje probleme i najbolje poznaje Windowse od bilo kojeg drugog antivirusnog programa.

Takav malware je iznimno rijedak i šanse da naletiš na njega su kao da se zaraziš na Linuxu, vjerojatno i manje. 

I dalje tvrdim—Defender ima puno dublji pristup sustavu od bilo kojeg antivirusnog programa treće strane. Pa ako Defender ne može zaštititi od takvih napada, kako će tek Kaspersky, Sophos i Bitdefender?

Pogledaj malo novija pravila u popularnim ad blocker filterima. Dakle, po novom se blokiraju skripte koje dolaze s nepoznatih i nesigurnih stranica. Dodatno, blokira se većina toga s nastavka kao što su .xyz i sadrže random znakove u imenu skripti i putanji do skripte. Time je rizik od drive-by zaraze znatno umanjen, kao i malvertising. Dodatno se za zaštitu može koristiti i DNS koji će također blokirati najnovije prijetnje u realnom vremenu.

I tu se opet vraćamo na ransomware. Jer dvije najčešće vrste zlonamjernog sadržaja koje se dijele u mailovima su phishing stranice i ransomware.

Volio bih vidjet tu neku realnu statistiku koja mi to govori. Bez ikakve statistike i nekakvih dokaza, teško je povjerovati u ove tvrdnje. Činjenica je da je danas manje zaraženih računala nego ikad prije zahvaljujući Microsoftovoj zaštiti. 

Ovaj forum je doslovno utihnuo otkad je Microsoft uveo Defender i namjestio ga da pruža odličnu zaštitu.

 Možeš malo bolje pojasniti što je fileless malware, nisam u trendu.

Ovako na prvi pogled lijek protiv istoga je običan restart.

Sretan božić.

Fileless malware ne stavlja svoju .exe datoteku ilitiga file na disk da bi se pokrenuo, nego se izvršava isključivo u memoriji.

Može doći recimo kroz exploit u browseru ili pluginu ili word/excel sa macro skriptom ili slično.

Evo analiza jednog primjer: https://blog.malwarebytes.com/malwarebytes-news/2020/10/kraken-attack-abuses-wer-service/

Postoje naravno i napredniji načini samog ulaska na računalo kroz exploite / rupe u sustavu, bez da moraš sam otvarati neki dokument. To je samo prvi primjer kojeg sam našao, ali daljni tijek fileless malwarea bi trebao biti isti.

Pogotovo kada taj code pokrene recimo neki windowsov process pauziran, umetne svoj code u njega i onda ga nastavi, tako da taj windowsov process više ne radi ono što je originalno trebao, nego je sada praktički malware.

Ili izvrši PowerShell skriptu. Dakle jedini exe procesi koji su aktivni su legitimni windowsovi. Ali to nije nužno uvjet. Može i pokrenuti svoj proces u memoriji, korištenje windowsovih je samo naprednija tehnika zaobilaženja detekcije i mehanizma zaštite.

Time se izbjegavaju exe file whitelisting ili uspoređivanje signature (digitalnog potpisa) nekog fajla i sličnih zaštita. Usto, kasnija forenzika, tj. traženje odakle je malware došao je puno teže, upravo zato jer nije zapisivao nikakav novi file na disk.

Cilj mu može biti recimo špijunaža ili kriptiranje podataka, kada je gotov samo ostavi ransom note na desktop i otvori ga npr. u notepadu. Nakon što su podaci kriptirani, džabe restart kompjutera.

Ali postoje i oni koji ostaju i nakon restarta. Za to koriste recimo windowsov registry. Stave key u registry da se pri startupu pokrene code u recimo PowerShellu koji onda opet radi isto u memoriji (npr za špijunažu ili pretvaranje kompjutera u dio botneta itd).

Btw. jedan od zanimljivih tehnika kako neki (rijetki) malware pokušava zaobići detekciju (ne radi se o fileless ali eto isto jedna zanimljivost) je da instaliraju recimo VirtualBox i stave konfiguracijsku datoteku da su svi fizički diskovi dijeljeni sa virtualnom mašinom, tj. da im on ima read/write pristup. Ništa od toga nije maliciozno, a sam malware je unutar virtualne mašine koji onda kriptira datoteke na host sustavu. Host sustav vidi samo proces od virtualne mašine, ne malware unutra.

Postoji dosta štiva na internetu, ovo je samo kratki pregled.

https://en.wikipedia.org/wiki/Fileless_malware

https://blog.malwarebytes.com/explained/2021/10/what-is-fileless-malware/

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats

Sretan Božić svima

Sumnjam da je eugen Kaspersky to popravio, ja njega iz drivera gasim. Plus nisam objavio metodu. ( zato jer smatram da to svatko može, ništa  posebno.

Sretan božić.

Molim brzu i jednostavnu preporuku za besplatan antivirusni program.

Tražim alternativu za Kaspersky Free Security Cloud. 

Zbog ove situacije u Ukrajini u potpunosti samo izgubio povjerenje u ruske kompanije.

Ima li išta slično Kasperskyju na tržištu da je jednostavno, pouzdano i nema previše bloatwarea?

AVG / Avast, ako te ne smeta njihovo ukazivanje na premium inačicu.

Ili MS Defender.

uBlock Origin u browseru.

Osobno, ne trebaš se brinuti da će barba Kaspersky tebe u Hrvatskoj ciljati. Ne paničariti

Ja av-test.org baš i ne smatram mjerodavnim. 15 od 20 testiranih imaju 6/6 u zaštiti pa neiskusan može pomisliti da imaju istu razinu zaštite.

Plafon im je nizak, da tako kažem.

Nezavisni i temeljitiji testovi pokazuju malo drugačiju sliku.

Nažalost besplatni Bitdefender (Rumunjska) i Sophos (UK) nisu više dostupni.

Toliko sam ljut na ovog Ruskog Hitlera da ne želim više podržati niti Ruske čačkalice pa makar bile i najbolje na svijetu !!!

btw: Zaboravili smo jednog jakog igrača koji mi je maločas pao na pamet i kojeg sam zadnji put koristio na starom PC-u dok je još bio na verzili 5.0

VoodooShield koji je dogurao do v7.0 i siguran sam da je badass zaštitni program a imate ga i u free varijanti  

VoodooShield 7.0 forum

VoodooShield Official

To je obična igračka za upučenije korisnike, ili ljude koji eto nemaju pametnijeg posla pa isprobavaju zaštitu.

Žuto ne preporučaš, bilo za poslovni komp ali niti za bilo koga tko treba pouzdan AV alat.Razne firme koriste Kaspersky rješenja ili recimo ESET, to se kupuje ili plača ili taj Kaspersky Security Cloud Free kao najbolje AV besplatno rješenje.

U međuvremenu, u nedavnoj pljački Nevidija dobara razna ekipa dobro je omastila brkove.

https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/

Za početak pokušaj sa Emsisoft Emergency Kit

Bitdefender free je nazad sa novim sučeljem kao i u punokrvnoj verziji. Više o tome

https://www.bitdefender.com/solutions/free.html

 da, da... koristim jeftinu Pandu Dome Essential već dvije godine (150 kn godišnje na popustu) i sad se pokazuje kvaliteta njene zaštite.

nitko ju maltene nigdje ne spominje.

Pa i nije baš bez ikakvog razloga. Kaspersky je ruska kompanija i Putler istoj lako može narediti da radi u interesu Rusije i njihovih tajnih službi. Zbog toga je važno da se isti ne nalazi na računalima, posebno vladinim jer je antivirusni program duboko infiltriran u operacijski sustav i ima pristup baš svemu. Ne bi me začudilo i da sva računala s Kasperskyjem povežu u botnet. Iako se radi o sigurnosnoj kompaniji posebno je važno naglasiti da se radi o ruskoj kompaniji. A i nije baš da im je država sređena kao neka europska ili američka. Govorimo o državi gdje svu moć u rukama ima jedan čovjek.

Osim toga, i da koristim Kaspersky, letio bi s mog računala još prvog dana invazije. Ne podržavam teroriste.

Činjenica jest da Defender ima poveći utjecaj na performanse, ali to se u normalnom radu na računalu te gamingu baš i ne osjeti previše.

No ono što je također činjenica jest da je Defender ugrađen u Windows i kao proizvod iste kompanije zna sustav najbolje, ne radi apsolutno nikakve probleme i ima odličnu razinu zaštite. Da je po politici privatnosti dobar, baš i nije, ali nije ni daleko od tvog Kasperskyja. Također, sjećam se da je Microsoft jednom izdao neku nadogradnju, ali bila je blokirana za korisnike nekih antivirusnih programa trećih strana koji nisu prilagodili svoje proizvode (unatoč najavljenim promjenama). Reći ću samo da korisnici Kasperskyja nisu među prvima dobili nadogradnju...

 pa, pekaru jedan, bolje je imati 25 falš dedetkcije pozitivnih nego kao windows defender 25 falš ne/detekcija negativnih.. 

Fals pozitives znači da je procjenio legalni file opasnim, a ne da ih je "lažno promašio" 

kad ti panda pokaže da je stavila nešto u karantenu, lijepo pogledaš i ako nije, proces vratiš, i naučiš ju da više to ne dira.

zbog čega se nalazi na drugom mjestu ?

pa baš zbog toga što NIŠTA (potencijalno opasno) ne propušta.

win Defender na win 11 mi je jučer pustio maliciozni file kojim se program Mini Tool Partition wizard v12 osposobljava za rad.

poslije pobrišem sve od tog programa , ponovo ga instaliram i čim sam otvorio file iz win rara, namah ga je panda sklonila u karantenu.

*isto sam probao i sa Iso Buster pro 4.8,  s tim da sam primjetio da microsoftov Defender skonta samo exe. crackove, druge teško