Napsal jste osobně nějaký virus? Proč je NOD32 šetrný k systémovým prostředkům? Co jsou to potencionálně zneužitelné aplikace a co potencionálně nechtěné aplikace? Bude NOD32 pro domácí užití zdarma? Nejen na tyto otázky odpovídal Igor Hák, technický specialista společnosti Eset.
Na vaše otázky k Esetu NOD32 odpovídal Igor Hák, technický specialista společnosti Eset. Igor Hák navíc od roku 1998 provozuje odborné stránky www.viry.cz a nově též stránky www.spyware.cz a www.rootkit.cz. Jak sám tvrdí, je celoživotně postižen počítačovou havětí.
V tomto článku najdete otázky a odpovědi týkající se tématu rozhovoru. Některé dotazy a odpovědi jsme kvůli přehlednosti zkrátili, jiné rozdělili do více částí. Některé otázky se opakovaly a v takových případech byly zpravidla zodpovězeny jen jednou. Originální verzi rozhovoru najdete na této stránce.
Odpovědi na otázky čtenářů Živě.cz
Napsal jste někdy osobně nějaký virus? A pokud ano, šířil jste ho? (Jiri Loukota)
Igor Hák
: V rámci pokusů jsem určitě nějakou jednoduchou havěť vytvořil, ale na veřejnost jsem nikdy nic nevypustil.
Proč neprodáváte NOD32 za cenu, která by odradila od nelegálních instalací? Cena cca 1800,- Kč za jeden rok mi připadá velká. (Jiri Loukota)
Igor Hák
: Co se týká cen je možné, že s příchodem chystané nové verze dojde k nějakým změnám z důvodu, že bude k dispozici nový produkt.
Jak bojujete proti crackom typu NOD32.FiX.v2.1-nsane.exe? (Daniel)
Igor Hák
: Momentálně nijak. Mám za to, že nejde přímo o crack, ale o něco, co modifikuje registry. Pokud by to byl crack (tj. kód, který zasahuje do souborů cizí aplikace), můžeme to hodnotit jako škodlivý kód a tak s ním i zacházet. To je jedna s jednodušších forem obrany.
Jak jste udělali, že NOD32 je nejméně náročný antivir na systémové prostředky? (ja)
Igor Hák
: Největší „brzdou“ jsou pevné disky a proto je maximálně optimalizováno čtení souborů z pevného disku. NOD32 se snaží minimalizovat diskové operace a tím získává na rychlosti. Další zrychlení je dáno způsobem řazení informací ve virové databázi.
Jak jednoduše poznat rootkit a jak ho odstranit? (Lang)
Igor Hák
: Doporučuji navštívit stránky www.rootkit.cz.
Co přesně znamenají položky „potenciálně zneužitelné aplikace“ a „potenciálně nechtěné aplikace“? Jak to program detekuje/vyhodnocuje? (Marek Kadeřávek)
Igor Hák
: Do kategorie zneužitelných aplikací mohou spadat například nástroje pro vzdálenou správu, které mohou být teoreticky zneužity útočníkem k průzkumu PC. Potenciálně nechtěné aplikace řeší například případy, kdy uživatel odsouhlasí nějakou smlouvu při instalaci programu bez toho, aby ji přečetl a tím si pustí do PC škodnou. Výrobce takového programu se následně může ohánět tím, že uživatel s instalací souhlasil. Avšak to antivirus těžko pozná.
Nedávno jsme pořídili do firmy licence NOD32. Vše funguje jak má, až na dva počítače, na kterých je používán hardwarový klíč Sentinel. Bohužel tento klíč je sdílen z jednoho PC na druhý pomocí jeho tzv. serveru. Po nainstalování NOD32 však začal tento server (proces spnsrvnt.exe) vytěžovat procesor na 100%. Dodavatel těchto klíčů o tomto problému ví a doporučil udělit tomuto procesu v NOD32 výjimku na skenování. Jedinou výjimku, kterou lze někde v NOD32 udělit jsem našel v modulu Amon. dal jsem tedy jako výjimku cestu k tomuto .exe souboru. Bohužel se ale nic nezměnilo a proces nadále procesor vytěžuje. Poradíte mi? (Petr Štefánik)
Igor Hák
: Výjimku bude potřeba nastavit v modulu Imon. Je to v nastavení tohoto modulu, poslední záložka. Po vyloučení procesu spnsrvnt.exe a restartu PC bude již vše v pořádku.
Chtěl jsem se podívat na ThreatSense.net, ale internetové stránky jsou přesměrované jinam. Jak je to možné? Můžete ji přesměrovat aspoň na http://www.eset.eu/threat-center/threat-sense.net? (Jaromír Adámek)
Igor Hák
: Bohužel teď netuším, kde přesně se na ThreatSense.net díváte. Dejte nám vědět na technickou podporu.
Můžete podrobněji popsat službu ThreatSense.net a říct nějaká přibližná čísla, jak je asi účinná (kolik dat od kolika uživatelů jde k detekci a jaké jsou výsledky)? Jakým HW na vaší straně to pak analyzujete? (Jaromír Adámek)
Igor Hák
: Denně skrze ThreatSense.net přichází několik tisícovek neznámých kousků nebo variant známých kousků havěti. Mluvím přitom o unikátních souborech. Pochopitelně těch souborů by bylo daleko více, avšak mezi klientem a ThreatSense.net servery probíhá obousměrná komunikace. Zasílají se tak pouze soubory, které ještě nemáme (na základě kontrolního „haše“). Serverů je několik a existuje interní rozhraní podobné tomu, které je na http://www.virovyradar.cz.
Jak je možné, že Eset si nechá „patchnout“ svůj produkt tak, aby šel používat jako legální verze? Vám nevadí, že přicházíte o zisk? Na internetu jsou totiž ke stažení různé utility, které legalizují trialovou verzi. (Leoš Freywald)
Igor Hák
: Osobně si myslím, že vzhledem k tomu, jak dopadly sebelepší ochrany dalších SW společností, nemá smysl investovat velké peníze do vývoje ochrany. Určitě by to nezvedlo zisk o tolik, aby se to vyplatilo.
Firmy si nelegální licence nedovolí a ti, kteří si NOD32 teď „cracknou“ a pak by to v ideálním případě možné nebylo, tak ti si NOD32 stejnak nekoupí a „cracknou“ si něco jiného.
Přehodnotí Eset svoji cenovou politiku ve školství? V současné době většina škol nasadí AVG, které je výrazně cenově výhodnější, protože zvýhodňuje školské instituce. Děti se tak jako s prvním antivirem seznámí s AVG od Grisoftu. Neuvažujete o tom, že byste si takto vychovávali své budoucí zákazníky? (Pavel Hodál)
Igor Hák
: Předávám to obchodníkům. Já s vaším názorem plně souhlasím.
Má technologie ThreatSense.net něco společné s technologií .NET FrameWork od MS? (palo)
Igor Hák
: Vůbec nic, snad jen právě ty tři písmena N E T.
Porovnejte AVG Free a NOD32. Co je u kterého lepší a co horší? Který byste doporučil jako provozní a kterému dal spíše funkci kontrolní (ne jako rezidentní štít)? (Jan Suchomel)
Igor Hák
: Obávám se, že hodnocení by nebylo z mé pozice vůbec objektivní. Ale pokud na něm přesto trváte, pak je NOD32 určitě lepší a v ničem horší. :-)
Jak si na tom stojí NOD32 v posledním hodnocení Virus Bulletinu? (Frantík Rostislav)
Igor Hák
: „Šňůra“ ocenění VB100% Award stále roste bez zaváhání.
Co je pravdy na tom, že za OneHalf.com stál někdo z Esetu? (Brano Dimoš)
Igor Hák
: To není pravda. Společná je jedině země původu – Slovensko.
Jaký je váš názor na StarForce? (Pavel Bier)
Igor Hák
: StarForce nelze v řešeních společnosti Eset uplatnit, jelikož jde o ochranu CD / DVD proti kopírování. A navíc jde o tak extrémní způsob ochrany, že by to odradilo i uživatele komerční (placené) verze.
Náš zákazník donesl počítač s nainstalovaným NOD32 s auto upgrade - NOD32 odstavený a zablokovaný, celý počítač zavirovaný (deset typů virů). Co na to Eset? (servisne oddelenie)
Igor Hák
: Ten zákazník by měl dodržovat určitá bezpečnostní pravidla, používat zdravý rozum a nespoléhat se pouze na bezpečnostní programy. Pokud přechází silnici, pak ji taky přechází po „zebře“ (zdravý rozum) a rozhlédne se (bezpečnostní pravidlo), nespoléhá se na „zeleného panáčka“ (bezpečnostní program). Toto zjevně dodržuje (jinak by tu s námi už určitě nebyl), tak proč by to nemohl dodržovat i u PC?
Jaký používáte internetový prohlížeč? (ondra)
Igor Hák
: Kombinuji FireFox a Internet Explorer.
Kdy bude vydána nová zkušební verze řady 2.7? (Radek)
Igor Hák
: V následujících dnech až týdnech. Pokusím se to popohnat.
Často se vyskytuji na www.pc-help.cz a jedním z problémů, které tam řešíme, je křížení antivirového SW. Který AV SW je pro NOD32 škodlivý a který mu naopak pomůže v ochraně PC? (Jan Pašek)
Igor Hák
: Obecně je neškodný jakýkoliv AV, u něhož budou vypnuty rezidentní štíty. Minimálně ten, co nepřetržitě kontroluje soubory (on-access skener). Nepřítelem jsou občas i některé firewally (často mohou standardně blokovat proces nod32krn.exe, takže není možné provést aktualizaci). Je možné, že tato odpověď nemusí být zcela správná úplně ve všech případech.
Co je pravdy na tom, že trial verze NOD32 je prakticky freeware? Lze po ukončení testovacího období odinstalováním a novou instalací provozovat NOD32 další měsíc? (Jan Pašek)
Igor Hák
: Pravdou je, že po měsíci lze trial verzi přeinstalovat. To, jestli to je marketingový tah, netuším. Ale jako technik bych alespoň mohl vědět, zda jde o chybu nebo záměr. Ale to taktéž netuším.
Právě jsem objevil ve virovém protokolu NOD32 na svém počítači oznámení o dvou infiltracích, oboje varianta infiltrace Win32/Tr... Co s tím mohu dělat? (František Hrda)
Igor Hák
: Rovnou píšu e-mail kvůli podrobnějším informacím.
Co říkáte na antivirus ClamAV? Může mi NOD32 poskytnout dostatečnou ochranu proti virům pro Windows, pokud pracuji pod Linuxem? (Fela)
Igor Hák
: ClamAV je primárně určen na kontrolu elektronické pošty a je tedy zaměřen především na havěť, která se tímto kanálem šíří. V této oblasti mu není co vytknout. Pokud ho ale beru jako obecný antivirový program na detekci čehokoliv, pak už je to s úspěšností detekce trochu horší. Tedy musíte mít trochu více štěstí, aby vám odchytil i jinou havěť přímo pod Windows. Tímto ale nechci ClamAV nijak pomlouvat. Projektu fandím a je dobře, že existuje.
