MBAM wykrywa wirusy w oparciu o nazwy i lokalizacje plików

[tommyklab]

Nie ujmuję nic programistom Malwarebytes, ani też nie twierdzę, że jest to zły program - wręcz przeciwnie, ale moim zdaniem powinni nieco popracować nad nowymi metodami wykrywania i zmienić prioryety - najpierw hashe i analiza behawioralna a dopiero na szarym końcu nazwy i lokalizacje plików.

W sumie ten link

[Aby zobaczyć linki, zarejestruj się tutaj]

pokazuje że jednak podszywający się wirus pod inna nazwę jest pomijany i nie wiidoczny dla MBAM... Hmmm...

No i o to się rozchodzi, co pisałem wyżej. Niech sobie nawet i po nazwach i lokalizacjach rozpoznaje, ale na końcu skanu; najpierw niech sprawdzi hasha
I jakoś to oznacza lepiej, nie Trojan.Agent tylko np. Suspicious.Bad.Loc, Suspicious.Bad.Name

Heh, tak czy siak, MBAM to dobry soft pod względem 0day wszelakiej maści. FP się każdemu zdarzają.

[tachion]

he a na wilderssach dalej wrze

[ichito]

Tachion...bo uważam, że powód jest. Dla niektórych użytkownikach na różnych forach "sprawy nie ma", bo wystarczą im tylko uspokajające oficjalne wyjaśnienia, ale skoro wciąż się o tym dyskutuje, podaje nowe argumenty, to znaczy, że nie jest to błahostka i że nie dotyczy tylko MBAM. Mam nadzieję, że te dyskusją są czytane przez ludzi od innych producentów i że ktoś z nich robi teraz "rachunek sumienia" oceniając technologie w swoich softach.

[ktośtam]

Mam nadzieję, że te dyskusją są czytane przez ludzi od innych producentów i że ktoś z nich robi teraz "rachunek sumienia" oceniając technologie w swoich softach.

Szczerze, to nie sądzę. Bo tak naprawdę, większość uważa, że nie ma sprawy - a mało kto bierze pod uwagę zdanie mniejszości.
Najbardziej mnie śmieszą wypowiedzi ludzi z MB, dotyczące opłaty licencyjnej - a pojawiają się one kilkukrotnie w dyskusji na Wildersach. Co ma piernik do wiatraka? Czy może w ten, jakże wysublimowany sposób, dają do zrozumienia, że nie można oczekiwać zbyt wiele, kiedy kupujemy licencję dożywotnią? Nie do końca rozumiem, dlaczego ten właśnie argument pojawia się w dyskusji dotyczącej problemu technicznego?

[SE7EN]

Przecież ten sposób detekcji nie różni się wiele od Kaspersky "Behavior similar to ..." i wynika z doświadczenia w analizie zachowania złośliwego oprogramowania i tylko zwiększa skuteczność w leczeniu infekcji, nie jest też jedynym mechanizmem heurystyki MBAM. Poza tym nie ma wielkiej różnicy jaką sumę kontrolną liczy, najczęściej w AV jest to MD5, bo jej wygenerowanie zajmuje najmniej czasu, do tego dodawane są dane o wielkości pliku i innych atrybutach, więc szansa na kolizję jest praktycznie równa zeru. Bardziej wrażliwym momentem jest faktyczne ustalenie początku złośliwego kodu.

[Eugeniusz]

Mówisz że Kaspersky też analizuje położenie i nazwę pliku?
Swoją drogą wątpię by producenci stosowali MD5. Prędzej mają własny algorytm, utajniony.

[SE7EN]

Pisze że w obu przypadkach wynika to z analizy zachowania i inne AV stosują podobne techniki, niewynikające bezpośrednio z porównywania plików z bazą klasycznych sygnatur. Dla statystycznego Kowalskiego nie jest ważne w jaki sposób program przywrócił jego komputer do stanu używalności, ale to że może już wejść na naszą kaszę. Poza tym te najprostsze sposoby są często jednymi z najskuteczniejszych, szczególnie w walce z nieznanymi szkodnikami. Nie powiesz mi chyba, że w tych miejscach i pod takimi nazwami trzymasz ważne dokumenty.

[tommyklab]

Nie wiedziałem gdzie to napisać, ale skoro MBAM "wtopił" z tymi nazwami to umieszczam to tutaj.

A więc szef Malwarebytes informuje, że jak coś nie jest tak z próbną wersją PRO, za szybko czas leci, to można to zresetować toolsem mbam-clean:

[Aby zobaczyć linki, zarejestruj się tutaj]

Chyba nie muszę pisać co to oznacza w praktyce Oczywiście nie nadużywajcie tego. Sprawdziłem na testowym, działa.