Víruskereső / Malware kereső - van még értelme?

Sziasztok!

Win10 esetén van értelme és ha igen, milyen antivírus / malware csomagnak?

Idáig nod32 volt amivel gond nem volt, bár nem is talált semmit az évek alatt. Most frissíteni kell és elgondolkodtam, hogy megér-e ez 10-15ezer forintot évente.

Van bármilyen hihető teszt ami objektíven méri, hogy melyik mit ér?

Egyáltalán milyen szempontok szerint kellene keresni? Gondolok arra, hogy malware / vírus keresésen kívül van-e bármilyen értelmes funkció amit ezek tudnak nyújtani? Pl. jelszó menedzsernek szerintem semmi értelme, amikor vannak erre sokkal jobb cloud megoldások. Firewall pedig van a windowsban gyárilag, így mi értelme egy másodiknak?

Otthoni és céges felhasználás esetén is érdekelne, egységsugarú userek esetén.

Hozzászólások

A Windows 10 beépített megoldása a tesztek alapján ingyen hozza a fizetős megoldások szintjét ebben a kérdésben. Szerintem ha nem akarsz más funkciót használni akkor nincs értelme venni, de egy rendes webfilter már igen hasznos lehet, ami abban nincs. 

Defender + https://www.virustotal.com/ ellenőrzés minden bejövő binárisra. 

Semmi nem 100% de ez a párosítás már elég jó védelmet ad. 

Ki lehet még egészíteni karantén idővel, most úgyis aktuális szó. Ha virustotal akkor találkozik vele először, pár napig lehet várni az elindításával majd újra ellenőrizni. 

Futtatás előtt ellenőrzés. Olyan gyakran érkeznek binárisok csatolmányként? Az valami biztonsági munkakör lehet, ahol erre van kialakult protokoll. Sandbox stb. 

Természetesen a binárisokon kívül más fájlokkal is érkezhet malware. De a legveszélyesebb támadási felület mégis a binárisok által van. Dokumentumfájlokat érdemes felhős alkalmazásban megnyitni. 

Mivel a vevőkkel folytatott levelezésünk szinte csak csatolmányokkal történik, és a W10-es gépeinket csak a Defender védi, 2015 óta én nem találkoztam olyan roszindulatú kóddal, ami megült volna bármelyik munkagépen. (Igaz a böngészők védelme érdekében legalább 3 blokkert is aktívan használunk.) Van ue környezetben W7-esünk is, azokon a gépeken Panda véd, de ott sem volt tudatosított fertőzésünk soha. - Úgyhogy, de.., az időről időre kontrollált más vírusvédelmi szoftverek, - mert azért rajtuk tartom a szemem, - Malwarebyte, ESET, és ezen kívűl a szerintem "szörnyű" kategóriába tartozó többi ígéretes trójai-védőnek álcázott "trójai de nem védő" borzadalmak (McAfee, AVAST, AVG, stb.) sem tudnak többet a gyakorlatban, de keseríthetik viszont az őket telepítő mazochisták életét. - (Ehhez hozzátartozik, én nem engedem, hogy rendszergazda módban legyen használva gép, jelszó nincs felhasználóknál.)

Defender kb. használható az átlagusernek, nemcéges környezetben. Időnként jön 1 célzott támadás valami 0day-el, azt akkor beszopja akit épp kinéztek maguknak a támadók. Szintén nem jellemző h. átlagusert 0day-el betámadjanak, mert utána azt az exploit-ot már nem lehet felhasználni sokáig, amint megjelenik valahol az interneten, az antivirus gyártók rácuppannak és gyorsan megvan rá az ellenszer v. a fix.

+1, a defender kb arra lett kitalálva, hogy a kmspico-t és társainak telepítését megnehezítse az átlaguser számára, de semmilyen egyéb, többlet biztonságot nem nyújt a mai zsarolóvírusos világban. Én a Mcafee és társai kategóriába sorolom.

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

"én nem engedem, hogy rendszergazda módban legyen használva gép, jelszó nincs felhasználóknál"

- ez dicséretes, de önmagában még semmit nem jelent, hiszen amihez a user hozzáfér, ahhoz a virus is.

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

A virustotal.com URL ellenőrzése a (b)adware oldalakat (imagekut.com, opensubtitles.org) tisztának látja. Pedig reklámblokkoló és noscript nélkül ha megnyitom ezeket, akkor én ott egyet sem vagyok hajlandó kattintani, nyomom a C-W kombinációt...

Ezt a  zsarolóvírus Win10-et futtató áldozatai mind meg tudják erősíteni.
Saját példa: itt a HUP-on kaptam tippet, hogy a rendesen karbantartott, frissített Win10 gépen elég a saját vírusszűrője. Egy spontán ellenőrzéskor 5 különböző rosszindulatú programot találtam.
És akkor általánosságban mondom: egy vírusszűrő nem elég sosem. Kettő már talán. A Windows saját megoldása mellé időnként 2-3 naponta érdemes egy ClamAV-ot lefuttatni.

Nézd, ha a user elég kitartó, akkor kb. nincs az a védelem, amin ne tudná átvinni a szemetét.

Amikor nagyon pörgött ez a cryptolocker téma, akkor rendszeresen került nálunk is "IT-nak átnézni" karanténba egy csomó szemét, amit feltoltam virustotalra. Volt, amire 0 találat volt, volt amire egy 1-2-3 vírusirtó jelzett az ötvenvalamennyiből. Pár nap múlva már javult a találati arány (10 környéke), 1-2 héttel később már az összes nagy jelezte. Csak ugye akkor már egy már egy másik verzió jött, amit megint alig ismert fel bármi.

Szerkesztve: 2020. 04. 05., v - 14:55

Én spec. Mbam-el szoktam letakaritani azokat a Windowsokat, amelyeket a defender nem tudott megvédeni, de biztosan van más jó megoldás is még. 

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Privát nem használok semmit, eszembe se jutna. Ésszel kell használni a számítógépet és akkor nincs rá szerintem szükség.

Az irodában szintén nincs (nem is volt soha), van viszont tűzfal (Cisco ASA), ami szinte minden szart megszűr, az FB és hasonló szemét tiltva. A DNS szerver a p0rn-killer yandex. Az O365 pedig minden veszélyes és annak vélt csatolmányt blokkol.

50+ felhasználó esetén az utóbbi 20 évben 1 esemény sem volt. Az összes felhasználó (r1 is) persze oktatva volt.

pont most hetfon reggel jott be egy vicces virus, csatolt .iso (!) fileban egy pdf.exe, police.hu-s feladoval, eleg hiheto szoveggel (en alapbol is gyanaxom minden attacsra, de az r1 juzerek siman bekajaltak).

szepen atjutott a nod32-n es a clamavon is. delelott egyedul a kaspersky ismerte fel, delutan aztan sorban a tobbi nagy is befrissult.

Ezzel vitatkoznék :) Használjuk közepes céges környezetbe is.. 300+, kisebb céges környezetbe is + otthon is ez megy mindenhol.

Tény, ahogy fentebb is írták, nem 100%-osan fog meg mindent.. De erre kb. nem is képes egyik sem. A sima verziója is tudja viszont azt, amit fentebb is említettek pl a webes beépülő része teljesen jó. Amikor olyan oldalra tévedsz, (opensubt,stb.) akkor roppant hatékonyan blokkolja a .js-es szarokat és egyebeket, amit pl egy defender nem tesz meg.

Nem tudom mikor volt tapasztalatod ESET termékekkel, de ez a zabálja a gépek teljesítményét... ez már régen nem igaz... Legalábbis az elmúlt ~10évben amióta szinte csak és kizárólag ESET nod termékekkel találkozok, nem tapasztaltam ilyesmit.. Persze a system-scan teljesen jól zabálja.. De a sima realtime védekezés nem igazán..

+ vállalati környezetben kiválóan használható az ERA administrator felülete. Nem csak vírusvédelemre, hanem ezer egy más dologra is.

Siman bejottek a zsarolo virusok az ESET / Nod32 altal "vedett" ceges kornyezetbe ... so kertelme nem volt milliokert megvenni...
A Panda a masik ilyen csoda, nem eleg, hogy az is beengedte a zsarolokat es hagyta oket terjedni, meg a windows szervereket kekhalalozta es a support mikor kuldott hotfixet hozza az is kekhalallal vegzodott arra az volt a javaslatuk, hogy gyujtsunk 2-3 dumpot .... 

Panda egy okádék. Többször bizonyított, hogy tönkre tudja tenni az operációs rendszert.

Esetnek a tűzfala kriminális.

Ha tuti vírusírtót akarsz Kaspersky. Esetleg symantec cuccok. Bár nem tudom. Bő 16 éve a norton antivírus is egyszerre négy gépet cseszett el egy akkori munkahelyemen.

Hajjaj, ez is meg letezik :)
https://www.comodo.com/home/internet-security/free-internet-security.php
Azt hittem hogy abbahagyjak miutan belso browserrel toltak be extra sechole-t par eve:
https://www.itnews.com.au/news/comodo-secure-web-browser-turns-off-web-security-414607

De most olvasom, hogy egyre jobban csinaljak :):
https://www.zdnet.com/article/comodo-antivirus-subject-to-serious-unpatched-vulnerabilities/

Nini, ilyet még én is csináltam. Középsuli gépein beköltöztem a keyboard interruptra, és figyeltem hogy mikor írnak olyat,hogy login enter valami enter valami enter, mert amikor megtörtént akkor a valamiket szépen elmentettem, és egyszercsak meglett a novell admin jelszavam. És ezzel megszűnt a tárhelyproblémám.

Asszem Alt-255 vagy nemtom milyen karakter .exe volt a neve,mert az egy üres sornak nézett ki az autoexec.bat -ban.

Ahh, a régi szép idők! :-)

Az szerintem a felhasználók sara volt és nem a AV-ké, 0napi védelmet egyik sem tud...! - A Panda-t kb. 20 éve használok, még soha nem volt kárt okozó vírusom mellette. Persze az igazán értékes részét, a tűzfalat(!), érdemes jól beállítani és a Win védelmi rendszerével kombináltan használni...  :) - Szerintem a vírusvédelmi ajánlatokat tudni kell a helyén kezelni..!  (Mind trójai dög, - kivétel nélkül, - a Defender is, csak nélküle nehéz Windows-t üzemeltetni. :) :) - Az meg alapból biztos, hogy a levelező szerver üzemeltetőjét érdemes körültekintően kiválasztani. Mert nélküle "No Way"!

sőt sose volt igaz, pont az egyik legfontosabb tulajdonsága az ESET termékeknek hogy az erőforrásokkal jól bánik. Ennek egyszerű oka hogy amikor a srácok elkezdték fejleszteni a NOD32-t nem volt pénzük erős gépre, és ezért ez náluk azóta is szempont hogy fusson a program gyengébb gépeken is probléma nélkül.

ESET és Synology hivatalos viszonteladó

Amíg magyar volt a NOD32 (kb. 2002-2003 környéke) addig ez igaz is volt. Szószerint nem lehetett észrevenni hogy aktívan futott a gépen, mégis megfogta amit kellett. Aztán megvették a tótok kb. 2004-2005 körül, na onnantól lett egyik hónapról a másikra okádék lassú.

A Wikipedia szerint soha nem voltak magyarok (The company was founded in 1987 when Miroslav Trnka and Peter Paško, authors of antivirus software NOD, partnered up with Rudolf Hrubý.)

Egyébként szvsz. tényleg a kevésbé szarok szintjén van erőforrás-használatban (disclaimer: a skála nálam a kicsit szar - középszar - szar - jézusommiez :) ), csak félig teszi használhatatlanná a bármilyen bika gépet is, láttam már rosszabbat :) Mondom ezt úgy, hogy ahova víruskeresőt teszek, oda én is ESET-et teszek (de legalább egy SSD kell alá, különben bekapcsoláskor plusz percekre tudja hazavágni a HDD miatt egyébként is idegesítően lassú gépet, sajnos még most se alap mindenhol az SSD :( ).

an-deetől viszont rendes, hogy az aláírásában feltüntetni, hogy viszonteladó, tehát ennek megfelelően kell kezelni a véleményét.

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Ennél nagyobb látogatottságú oldalakon (pl. hírös ember youtube csatornája, v. facse oldala) ha nem jelzi h. "sponzorált" anyagot tol, a GVH jól seggbeb@ssza. Szóval nem jófejségből megy a dolog, noha a hup felülete érthető okokból még nem üti meg a mainstream látogatottságot.

Én csak kiraktam a cikkturkálóba egy cikket a múltkor, miszerint ingyen adnak egy bizonyos távelérés-szoftvert a kényszer home office-os időszak miatt - ezt másnapra trey törölte, mondván én reklámoztam (pedig nem, nyilván egy fillért nem kaptam érte, csak segíteni akartam, de mindegy...). Ehhez képest az aláírásod inkább reklám (de legalábbis termékmegjelenítés), ez viszont nem szúrja a szemét... :)

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Úgy rémlik az Eset vette meg 2004-2005 környékén a NOD32-t. Tisztán emlékszem rá, mert akkor váltottam róla, olyan használhatatlan lett az előtte villámgyors víruskereső. Az h. eredetileg magyar szoftver lett volna amit megvettek a szlovákok, lehet h. csak haluzom már, de valami felvásárlás akkor is rémlik, ez indította el a lejtmenetet.

Nem jól rémlik. Nem volt semmilyen felvásárlás.

Peter Paško és Miroslav Trnka 1987-ben adták ki a NOD (Nemocnica na Okraji Disku = kórház a lemez szélén, az akkoriban futó "Kórház a város szélén" sorozat alapján) első verzióját. Aztán 1992-ben megalapították az ESET-et.

A sima NOD32 antivirus teljesen jól használható termék, gyengébb gépeken se okoz gondot, ellenben a Smart security egy igazi ipari hulladék, bármilyen erős konfigot képes használhatatlanná tenni.

Az ESET-ről tudok a legtöbbet mert ezzel foglalkozok (nem is csinálok belőle titkot, sokan vannak itt a hup-on is akik tőlem vásároltak és segítséget is adok neki szükség esetén), de tőlem még soha senki nem hallotta hogy bármelyik másik gyártó (talán Kaspersky kivétel) termékét fikáztam volna. Pont azért mert nem ismerem. Ettől függetlenük amiket írok az nem elfogult, hanem tapasztalati úton szereztem az ismeretem. Összehasonlítani sem fogom tudni és nem is fogok ilyet állítani DE hogy a Defender elég lenne azt már sok helyen cáfolták a tesztek egyrésze meg elég furcsán készült. Van olyan amiért az MS fizetett, van olyan amikor nem egyformák voltak a környezetek. Persze nem mindenről van publikus információ a neten sajnos, de tény hogy itt is sok a szar "tesztelő" aki az anyját is eladná csak hogy fizessenek neki.

De nézzük a supportot: MS, DIGI, UPC és a többiek, ha user felhívja őket hogy gond van és kiderült hogy ESET van rajta akkor jön az autómatikus reakció "Az ESET miatt van, szedje le, nem ránk tartozik). Ezek után felhív minket az ügyfél és kiderül hogy valami nem úgy van beállítva a Winben ahogy user szeretné (pl nem lehet csak MS shop-ból vásárolni), a net problémát megoldja a router restart és még sorolhatnám. Ugyanez igaz a sok sw gyártóra, nincs infó sok esetben hogy hová milyen módon akar a programjuk kapcsolódni, aztán persze mi álltjuk be a tűzfalat, tesztelés után, de tudjuk mindig az ESET-tel van a gond.

Akinek meg tényleg gondja van vele, az meg hívja supportot (vagy írjon) azért vannak, nem azért hogy mindenki csak kiböfögje hogy "szar". 

ESET és Synology hivatalos viszonteladó

Aminek nagyon értelme van, az az adatokról több példányban mentés (off- és online is), valamint a rendszerről is.

Attól függ milyen feladatra kell.

A fizetős védelmek már nem csak vírus/kémprogram irtót és tűzfalat tartalmaznak.

Nem vagyok biztonsági szakember, csak laikusként mondom, de azértjobbak általában a harmadik féltől való svédelmi szoftverek, mert ott az is megnehezíti a hackerek dolgát, ha nem tudják milyen védelmet használ az ember. Mellesleg amekkora bakik szoktan mostanában lenni a win10-ben én nem bíznék maradéktalanul bennük.

ott az is megnehezíti a hackerek dolgát, ha nem tudják milyen védelmet használ az ember.

Még szerencse, hogy egész sok retek már JajúristenInterneccSzekuriti, és a sok retek egy jelentős része default beállításon odacseszi az e-mailekbe, hogy JajDeÜgyesVoltamMegvizsgáltam (a maradék meg bevágja fejlécbe...). Innentől kezdve ha célzott támadást akarsz csinálni, elég egy levelet váltanod a célponttal, tudod, hogy mit használ, keresel "gyorsan" (ehh... de nem lehetetlen feladat: https://www.slideshare.net/JoxeanKoret/breaking-av-software-33153490) egy sebezhetőséget a keresőmotorban, küldesz egy mailt és ott vagy system jogkörrel a user gépén, úgy, hogy meg se kellett nyitnia (asszem Ormandi talált bugot a Defenderben, amivel meg tudta borítani a gépet, így az Exchange-t is, ami ugyanazt a Defendert használja, úgyhogy csak titkosítva tudott PoC-ot küldeni az MS-nek :) ).

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Azért mostanában már a webmail jóval elterjedtebb mint a natív levelező kliens. Ez utóbbi már régóta egy nagy biztonsági kockázat. De a gondolatmenet igaz, valóban pont probléma forrása a víruskergető ha saját maga támadható miközben emelt privilégiummal fut. Ami a szerver oldalt illeti, itt szerintem nem ez a téma. Az olcsó fizetős gmail korában nagyon meg kell gondolni valóban kell-e saját email szerver. Ha kell jobb nem Windows servert használni erre a célra. 

Annal is inkabb nincs ertelme, mert manapsag az egyik legrettenetesebb dolog szerintem egy mail server felkonfolasa, es karbantartasa.

SMTP, SSL, auth, relay blocking, DKIM, DNS, SPF, spamfilter, viruskereso, stb. Es meg neki sem alltal mailboxokat/aliasokat csinalni. 

Ha nem vigyazol, akkor mire osszerakod mar tobb blacklisten is fent leszel.

Ezzel szemben Átlag Jóska meg csinál egy gémélt, mert a telója azt kívánja. Lassan tíz éve tolom a magam döntése alapján a Linux-ot, de még véletlenül se  jutott eszembe saját levelező szolgáltatást beröffentetni. Csak az itt olvasottak alapján, nem nehéz összelapátolni ( bár ez is megkövetel egy szintet), hanem üzemeltetni. Megfelelni a spamszűrésnek és a fekete listára kerülésnek, stb ..... . Aki ilyennel nyomúl napi szinten, az tudja miről beszélek.

Nálam is épp aktuális a kérdés. Anyám kapott laptopot, elvileg nem fog warezelni, meg csatolmányokkal óvatos, így kérdés toljak e rá bármit, ha egyszer úgy sem tud érdemben reagálni ha fel is jön valami figyelmeztetés.

GData-ra 1 szavazat. Létezik magán és üzleti célra is. 2 engine-t használ (A, B) abból az A jelű Bitdefender.

"Amikor olyan oldalra tévedsz, (opensubt,stb.) akkor roppant hatékonyan blokkolja a .js-es szarokat és egyebeket, amit pl egy defender nem tesz meg."

Na itt a probléma.  Céges környezetben ne tévedjen sehova.