| 1.1, Аноним (1), 12:05, 25/03/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Стоит у меня postfix+RAV, после эпидемии Mydoom заглянул я в карантин RAVа в некоторых письмах в заголовках написано "Checked by Dr.Web (http://www.drweb.net)". Какие будут соображения ? | | |
| 1.2, Дмитрий Ю. Карпов (?), 13:50, 25/03/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 У меня создалось ощущение, что вирусы маскируются всеми способами, в т.ч. добавляя в заголовок письма и в подпись сообщения о том, что письмо проверено антивирусом.
Кроме того, этот сволочной DrWeb в бесплатном варианте не сканирует архивы (даже те, которые создал не пользователь, а сам вирус - т.е. содержащие только вирус). Не сканирует, но тем не енее ставит отметку о том, что письмо проверено (а надо бы писАть "письмо НЕ было проверено, т.к. бесплатная версия не проверяет архивы"). И к тому же не подписывает, на какой машине была произведена эта проверка (а это могло бы помочь отличить поддельную подпись).
Кстати, мне непонятно, где происходит распаковка архива перед проверкой на вирусы - а drweb-smf или в drwebd? | | |
| |
| 2.3, andrew (?), 14:17, 25/03/2004 [^] [^^] [^^^] [ответить]
| +/– |
>
>Кроме того, этот сволочной DrWeb в бесплатном варианте не сканирует архивы (даже
>те, которые создал не пользователь, а сам вирус - т.е. содержащие
>только вирус). Не сканирует, но тем не енее ставит отметку о
>том, что письмо проверено (а надо бы писАть "письмо НЕ было
>проверено, т.к. бесплатная версия не проверяет архивы").
А вот цитата из отчета drweb'а:
---------
Dr.Web detailed report:
127.0.0.1 [57720] drweb.tmp.SCYrbP - архив MAIL
127.0.0.1 [57720] drweb.tmp.SCYrbP/[text:plain] - Ok
127.0.0.1 [57720] drweb.tmp.SCYrbP/disco.zip инфицирован
Win32.HLLM.Netsky.41984
Dr.Web scanning statistic:
Evaluation key used !
Known viruses : 1
---------
Как видите, дрвеб отловил вирус в архиве.
Возможно, он ловит только "особо опасные" вирусы? :))
| | |
| 2.6, Аноним (1), 14:47, 25/03/2004 [^] [^^] [^^^] [ответить]
| +/– |
Тада интересно, почему вирусы маскируются таким вот образом, т.е. добавляя в заголовок письма сообщение о том, что проверено именно DrWeb-ом, а никаким-то другим !!!
| | |
| |
| 3.18, Nickolay (?), 18:20, 26/03/2004 [^] [^^] [^^^] [ответить]
| +/– |
на форуме drweb'а отвечали на этот вопрос.
как они ответили связано это, если не ошибаюсь, с багом обработки MIME-типов.
хотя imho просто заманушка для покупки антивируса. | | |
|
|
| 1.4, Mranton (?), 14:29, 25/03/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
просто смешно:
(вопрос n9 про ClamAV)
[цитата]
Вряд ли кто-то доверит свой основной ресурс программе, за которую
фактически никто не несет ответственности, потому что она бесплатная.
[/цитата]
наверно, из этого должно следовать, что если др.Веб пропустит вирус, то создатели будут нести за это ответственность. | | |
| |
| 2.5, uldus (?), 14:41, 25/03/2004 [^] [^^] [^^^] [ответить]
| +/– |
>наверно, из этого должно следовать, что если др.Веб пропустит вирус, то создатели
>будут нести за это ответственность.
Может они еще возмут на себя ответственность если машину задосят через кривой .rar в аттаче ?
Но DrWeb мне гораздо больше чем Kaspersky нравится, на последнем лежит вечное несмываемое клеймо http://www.securityfocus.com/bid/2900
ClamAV на высоте из-за того, что аудит кода любой провести может.
| | |
| |
| 3.8, Mranton (?), 15:19, 25/03/2004 [^] [^^] [^^^] [ответить]
| +/– | |
возмущает следующее, что представитель коллектива компании DrWeb пытается повесить лапшу на уши, говоря о том, что если ты заплатил 400 баксов, тогда ты от чего-то там защищен и кто-то будет нести какую-то ответсвенность. Своим долгожительством компания Микрософт вполне подтверждает абсурдность слов Представителя. | | |
| |
| 4.10, uldus (?), 16:05, 25/03/2004 [^] [^^] [^^^] [ответить]
| +/– | |
>возмущает следующее, что представитель коллектива компании DrWeb пытается повесить лапшу на уши,
Разработчикам CalmAV может надоесть заниматься благотворительностью и они в праве плюнуть и забросить продукт, вероятность этого намного выше, чем закрытие DrWeb из-за конкурентной борьбы. | | |
| |
| 5.11, keepver (?), 16:34, 25/03/2004 [^] [^^] [^^^] [ответить]
| +/– |
вполне возможно, что может надоесть, зато это альтернатива и, кстати, не такая уж и плохая на данный момент. дрвебовцам уже надоело, чему свидельство недавнее резкое повышение цен на их продукт. судя по тону интервью, теперь надоедать им будет еще чаще, так что каждый волен в своем выборе... :)
| | |
| 5.12, Mranton (?), 16:45, 25/03/2004 [^] [^^] [^^^] [ответить]
| +/– | |
>Разработчикам CalmAV может надоесть заниматься благотворительностью и они в праве плюнуть и забросить продукт
как и любым другим разработчикам опенсорс.
сама идея открытых исходников, по большей части, - благотворительность :) | | |
| |
| 6.13, toxa (?), 21:56, 25/03/2004 [^] [^^] [^^^] [ответить]
| +/– | |
если продукт хороший и нужный (clam таковым и является), то, в случае забивания на него девелоперов, проект форкнут и будут успещно развивать дальше. как пример - недавняя история с freeswan'ом. так что не надо нас пугать :-)) | | |
|
|
|
|
| 2.19, Nickolay (?), 18:24, 26/03/2004 [^] [^^] [^^^] [ответить]
| +/– |
доверяю. пришлось доверить.
т.к. купить сейчас drweb - ну все в курсе.
и пока знаете-ли доволен.
p.s. нашел пару багов: разработчики исправили. ребята молодцы. | | |
|
| 1.7, Аноним (1), 14:52, 25/03/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да уж, да уж. ClamAV один из первых отловил MyDoom.Сегодня отловил Snapper. А вышестоящие серверы с Dr.Web и McAfee раскачались только к обеду.
| | |
| 1.14, Shef (?), 13:39, 26/03/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Интересно , а качество отлова вирусов или ответственность за их пропуск возрастет так же как и цена на Dr.Web . А цена возросла на средний сервак в 400-500 пользователей в 7-10 раз. Сомневаюсь... | | |
| 1.15, stricty (?), 14:00, 26/03/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 1. DrWeb не любит отвечать на письма.
2. DrWeb во всяком случае до сего момента имел смешную цену для почтовых служб - по ящикам. Все кто понял, уже смеются. Т.е. если в virtusertabe стоит @strict.spb.ru, то я обламываюсь. Смешна и лицензия по количеству сообщений в день - это что же, в вирусную как раз эпидемию моя защита и кончится?
3. DrWeb имеет умолчательную установку - слать репорт отправителю письма. Шутку поняла, смешно.
4. DrWeb под UNIX громоздок.
5. В очередной раз послушали байку про невыгодность вирусов антивирусным компаниям. Да-да, верим :)
6. DrWeb ставится при прочтении README за чашку кофе, например, на sendmail.
7. DrWeb умеет быть демоном на socket'е что невообразимо респектно.
8. KAV доставляет при установке н | | |
| |
| 2.17, muahahaonline.ru (?), 17:20, 26/03/2004 [^] [^^] [^^^] [ответить]
| +/– |
По поводу пункта 2 - я не поленился как-то позвонить им в техподдержку, ответом мне было что лицензии выдаются только на "учётные записи" а не на e-mail. Aliases и virtusertable - фиолетовы....
| | |
| |
| 3.20, stricty (?), 19:40, 26/03/2004 [^] [^^] [^^^] [ответить]
| +/– |
- Что есть мехос, советник?
- Теперь ты раб его....
(c) Vangers
А что такое учётные записи? Я MX для сотни доменов и авторизованный SMTP. Что записями-то считать? Что для лицензии высылать? :-/
http://www.drweb.ru/cgi-bin/buy.pl
Я рыдала :( | | |
|
| 2.24, Дмитрий Ю. Карпов (?), 13:10, 28/03/2004 [^] [^^] [^^^] [ответить]
| +/– | |
1) Это про демона или про support?
3) Эту же установку имеют все антивирусы. Некоторые ещё и не посылают заголовков - сам догадайся, с какой машины было отправлено, кого лечить нужно. В последних версиях DrWeb есть список вирусов, которые подделывют обратный адрес. До этого я долго пароил им мозги на эту тему - такое ощущение, что на саппорте сидят тупицы.
4) Не заметил.
6) Не сложнее, чем Касперский, у которого документация (книжка) про SendMail предлагала запускать Exim, причём так, что при выполнении указанных действий он бы слетал после перезагрузки.
7) А тут какие претензии?
8) Согласен. Поэтому надо не просто ругать DrWeb, а предложить лучшую альтернативу.
PS: Вот к чему у меня претензии - так это к тому, что бесплатный DrWeb не просматривает архивы и по умолчанию пропускает почту, которую не смог проверить, да ещё и стави отметку "проверено", не говоря, на какой машине это было сделано. Думаю перейти на ClamAV - коммеранты его ругают, =>, стОит обратить внимание. | | |
| |
| 3.25, stricty (?), 13:35, 28/03/2004 [^] [^^] [^^^] [ответить]
| +/– | |
>1) Это про демона или про support?
И про саппорт, и про sales.
>3) Эту же установку имеют все антивирусы. Некоторые ещё и не посылают
>заголовков - сам догадайся, с какой машины было отправлено, кого лечить
>нужно. В последних версиях DrWeb есть список вирусов, которые подделывют обратный
>адрес. До этого я долго пароил им мозги на эту тему
>- такое ощущение, что на саппорте сидят тупицы.
Честно скажу - даже голову не забиваю. Похоже, это плохо работает, так что никаких репортов никому не шлю.
>4) Не заметил.
Немного, но есть.
>6) Не сложнее, чем Касперский, у которого документация (книжка) про SendMail предлагала
>запускать Exim, причём так, что при выполнении указанных действий он бы
>слетал после перезагрузки.
Это был + drweb :) Кашпировского ниразу не удалось поставить с чашкой кофе - только с матюгами.
>7) А тут какие претензии?
Это не претензии - это респект :) Это супер!
>8) Согласен. Поэтому надо не просто ругать DrWeb, а предложить лучшую альтернативу.
Пока, видимо, clamav
>PS: Вот к чему у меня претензии - так это к тому, что бесплатный DrWeb не просматривает архивы и по умолчанию пропускает почту, которую не смог проверить, да ещё и стави отметку "проверено", не говоря, на какой машине это было сделано.
Это их "мы хотим показать рынку"... что они хотят показать рынку - надо додумать в зависимости от воображения.
>Думаю перейти на ClamAV - коммеранты его ругают, =>, стОит обратить внимание.
Да, скорее всего те, кто использует drweb без льготных условий поддержат именно clamav. Думаю, даже деньгами. | | |
|
|
| 1.16, stricty (?), 14:02, 26/03/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
8. KAV доставляет при установке на почтовую систему столько гемора в любом варианте установки, что неконкурентен DrWeb в принципе.
| | |
| 1.21, КАВ (?), 22:53, 26/03/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Уважаемый stricty, а давно ли Вы ставили KAV? И ставили ли вообще? Последний KAV вполне конкурент DrWebу. | | |
| |
| 2.23, stricty (?), 13:23, 27/03/2004 [^] [^^] [^^^] [ответить]
| +/– | |
Ставила. Никакой конкуренции. Сделано всё через одно место и документация не догоняет версии. У DrWeb'а всё достаточно plug&play, надо отдать им должное. Маркетинговая политика расстраивает. Платить надо за всё, это правильно, я бы даже за почту заставила, копейки, но платить, но это не повод для ценового экстремизма, как это происходит в случае drweb. Передаю предсказания нашего шамана - несколько крупных коммерческих систем просто сейчас поддержат clamav и DrWeb получит конкурента, вместо сколько-ниюудь денег. Яркий пример - системы топика :) | | |
| 2.26, Maxim Timofeyev (?), 11:48, 07/04/2004 [^] [^^] [^^^] [ответить]
| +/– |
 > Уважаемый stricty, а давно ли Вы ставили KAV? И ставили ли вообще?
> Последний KAV вполне конкурент DrWebу.
Их Unix версия -- это Windows версия собранная под Unix без учета особенностей. Да еще и криво собранная...
С DrWeb'ом точно не конкуретнет, хотя изменение лицензионной политики
у DrWeb'а меня сильно огорчил.
P.S. Под Linux я сам собирал себе rpm'ку для установки DrWeb'а -- все ставится на полном автомате.
| | |
|
| 1.27, Дмитрий Ю. Карпов (?), 19:57, 09/04/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Изначально антивирусы при поимке вируса отправляли сообщение о вирусе на адрес, записанный в полях "From:", "To:" или "Errors-To:"; некоторые до сих пор так делают, даже не всегда приаттачивая заголовки или приаттачивая не все заголовки (не указывают "Received:"), из-за чего невозможно понять, с какой машины был послан вирус. С появлением вирусов, подделывающих адрес отправителя, сообщения о вирусах стали составлять не меньшую проблему, чем сами вирусы.
В своё время я потратил немало слов, убеждая авторов Доктора Веба ввести различие между вирусами, которые посылаются от имени владельца ящика на заражённой машине, и вирусами, которые подставляют произвольный адрес (из адресной книги или поц знает откуда). Вероятно, ко мне присоединились др.люди - в 4.31 появился список вирусов, на которые DrWeb не шлёт уведомления. | | |
| 1.28, Дмитрий Ю. Карпов (?), 20:00, 09/04/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Однако, пришла пора ещё раз изменить политику оповещений, а именно - оповещать владельцев сетей, из которых идут вирусы. Пользователи - "postmaster@", "abuse@", "noc@", "support@", "info@". Домен можно взять из доменного имени, определённого по IP-номеру; из доменов, определёных по IP-номерам из трассировки (TraceRoute); из базы данных WhoIs; возможно, из др.источников. Думаю. что поток писем с оповещением о вирусах заставит сисадминов заняться антивирусной защитой - для начала закрыть для юзерских раб.станцый прямые SMTP-соединения, оставив коннект только к провайдерскому релею и к отдельным серверам типа mail.ru, hotmail.com и им подобным.
PS: Это же соображение можно применить к спаму и антиспамовским фильтрам. | | |
|
