Перейти к содержанию
Зайцев Олег

Чем чреваты тесты Anti-Malware.ru и VirusTotal

Recommended Posts

Зайцев Олег

Сегодня мне пришло два письма - от саппорта agava.ru (с данными о том, что мой домен заблокирован за распространение вирусов) и от Publicdomainregistry.com Abuse Desk <abuse@publicdomainregistry.com>:

Hello,

We have been made aware that the domain name 'z-oleg.com' registered under you is involved in spreading malware. Any domain names involved in any such activity, is strictly against Registrar PublicDomainRegistry.com's AUP.

Malicious Url/url's :

z-oleg.com/leaktest.exe

We have currently Suspended this domain name due to such abuse.

Regards,

PDR Abuse Desk.

Ticket ID: 22871

Я страшно удивился, проверил - а вдруг и вправду сайт хакнули и там уже вирусяка какая лежит - оказалось, что нет - там лежит там самая древняя заглушка, которую мы применяли в тестах эмуляторов и эвристиков на АМ - http://www.anti-malware.ru/forum/index.php?showtopic=3192 (там самая, которая выводит на экран сообщение о том, что это "Virus demo stub for AV test" и завершает работу. Я про него уже и думать забыл - тестирование то 4 года назад было ... Когда я проверил файл на VT - http://www.virustotal.com/file-scan/report...c985-1311523883 - то был поражен, 30 детектов из 42 возможных. Большинство правда детектят это как *AVtest*, содержимое этого EXE:

CODE:00407DC8                 push    ebpCODE:00407DC9                 mov     ebp, espCODE:00407DCB                 add     esp, 0FFFFFFF0hCODE:00407DCE                 mov     eax, ds:off_4083A8CODE:00407DD3                 mov     byte ptr [eax], 1CODE:00407DD6                 mov     eax, offset dword_407D68CODE:00407DDB                 call    @Sysinit@@InitExe$qqrpv; Sysinit::__linkproc__ InitExe(void *)CODE:00407DE0                 push    0CODE:00407DE2                 push    offset aVirusDemoStubF; "Virus demo stub for AV test !"CODE:00407DE7                 push    offset aHelloThisIsDem; "Hello, this is demo file !!"CODE:00407DEC                 push    0CODE:00407DEE                 call    MessageBoxA_0CODE:00407DF3                 call    @System@@Halt0$qqrv; System::__linkproc__ Halt0(void)CODE:00407DF3; ---------------------------------------------------------------------------CODE:00407DF8 aVirusDemoStubF db 'Virus demo stub for AV test !',0CODE:00407DF8                                ; DATA XREF: CODE:00407DE2oCODE:00407E16                 align 4CODE:00407E18 aHelloThisIsDem db 'Hello, this is demo file !!',0; DATA XREF: CODE:00407DE7oCODE:00407E34                 align 200hCODE:00407E34 CODE            ends

Вот так вот я пострадал за тесты :) Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis

Ничего страшного, бывает со всеми, можно обратиться к администрации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Ничего страшного, бывает со всеми, можно обратиться к администрации.

Агаве я уже два раза объяснял то, что это за файл и откуда ... интересно другое - такое количество детектов совершенной пустышки. Она же ничем не упакована, не содержит ни одного опасного вызова, и не делает ровным счетом ничего :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
Агаве я уже два раза объяснял то, что это за файл и откуда ... интересно другое - такое количество детектов совершенной пустышки. Она же ничем не упакована, не содержит ни одного опасного вызова, и не делает ровным счетом ничего :)

Это что - то вроде EICARа?

Да, детект ложный явно, ладно, где в детекте слово "Test", а там где просто троян, удивляет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Ничего страшного, бывает со всеми, можно обратиться к администрации.

:facepalm:

Это что - то вроде EICARа?

Да, детект ложный явно, ладно, где в детекте слово "Test", а там где просто троян, удивляет.

:facepalm:

x-sis, может быть на сегодня facepalm'ов хватит?

ладно, где в детекте слово "Test"

Образец отсылал лично (было срабатывание trojan.avtest.a или подобное) с пометкой ложное срабатывание. И, о чудо, его (детект) убрали.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
:facepalm:

:facepalm:

Я просто спросил, что вам опять не так? <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)

Один коммент на ВТ жжот )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Wordmonger

Напиши пост на корпоративный блог "ЛК" со скриншотами точки входа и результатов VT.

И убери слово "Virus". :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Когда AM забанят? :lol:

Снимок_2011_08_05_20_46_59.png

post-4500-1312562881_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Эммм, что то тут плохая тенденция - это так если каждый Фейк АВ задетектит что то на каком либо сайте, то его забанят? Вообще трындец... :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Один коммент на ВТ жжот )

ALEX(XX), привет!!! :beer:

по-моему, не один коммент, а минимум три ))))

Я страшно удивился, проверил - а вдруг и вправду сайт хакнули и там уже вирусяка какая лежит

Олег, а почему именно битрикс, кстати? (если я правильно понял)

в ответ тишина

но у меня сайт нормально отображается в браузере...

PS:

какой на сегодняшний день трафф с сайта и сколько выходит за него платить (если не секрет, конечно)?

(когда-то давно этот вопрос поднимался на ВИ, но вроде без таких подробностей)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Сегодня мне пришло два письма - от саппорта agava.ru (с данными о том, что мой домен заблокирован за распространение вирусов) и от Publicdomainregistry.com Abuse Desk <abuse@publicdomainregistry.com>

Вот так вот я пострадал за тесты :) Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.

Agava.ru легко ответит на пост через Roem.ru ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1. Олег, а почему именно битрикс, кстати? (если я правильно понял)

2. но у меня сайт нормально отображается в браузере...

PS:

какой на сегодняшний день трафф с сайта и сколько выходит за него платить (если не секрет, конечно)?

(когда-то давно этот вопрос поднимался на ВИ, но вроде без таких подробностей)

1. да, там Битрикс. Все просто: случилоcь так, что я хорошо знаю его, приходилось сталкиваться и даже лекции довелось по нему вести. Система простая, довольно функциональная - поэтому когда я решил создать сайт, то купил себе битрикса и соорудил сайт за два вечера :) (причем мегадизайн сайта - это демо-пример Битрикса, немного доточенный - ибо дизайнер из меня нулевой ...).

2. не секрет, точно не помню - порядка 250$ в год сам хостинг, плюс за Битрикс примерно 250$, плюс домен и всякая прочая ерунда. AVZ сам по себе дублирован на зеркалах ЛК, так что трафик сайта не сильно большой - за июль например 17 миллионов обращений, порядка 5 терабайт трафика... (но он и у меня лежит - иногда помогает, когда малварь блокирует зеркала ЛК, равно как наоборот). Я бы давно поставил свой сервер на площадке у знакомых провайдеров, лишний сервер есть - но сила инерции и лени велика ...

PS: у меня домен стал отвечать :) (до этого пинг говорил, что не может определить IP - т.е. явная блокировка домена в DNS)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Домен всетаки вырубили, вот пришел официальный ответ AGAVA:

Здравствуйте.

Так как доменное имя заблокировано точная ссылка до файла в настоящее

время http://www.z-olegcom.57.com1.ru/leaktest.exe

Приводим Вам лог антивируса при попытке обратится к файлу.

06.08.2011 0:17:07 Фильтр HTTP файл

http://www.z-olegcom.57.com1.ru/leaktest.exe вероятно

модифицированный Win32/Agent.BCUVJHQ троянская программа соединение

прервано - изолирован Обнаружена угроза при попытке доступа в Интернет

следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.

С уважением, Тератьев Илья

Менеджер по работе с клиентами

E-mail: support@agava.com

Т.е. они проверяют файлы NOD32 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Т.е. они проверяют файлы NOD32 :)

:facepalm: Молодцы они....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Домен всетаки вырубили, вот пришел официальный ответ AGAVA:

Т.е. они проверяют файлы NOD32 :)

Класс... счас наберу упаковщиков и запакую ими notepad.exe

пускай блочат мой акк 8-)

p.s.

держите в курсе развития событий - очень интересно -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Скорее всего кто-то им настучал. Много лет работало и ничего было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

@Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.@

Я отправил файл исету как фолс, а в агава написал, что вы сделали с клиентом и ссылка на эту тему. Посмотрим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Вот ответ Агавы (исет молчат)

On Суб. Авг. 06 13:43:39 2011, siz wrote:

Здравствуйте. Почитайте тут, что вы сделали с

клиентом:?http://www.anti-malware.ru/forum/index.php?showtopic=19043&st=0

Исправьте, пожалуйста, ситуацию

--

Здравствуйте.

В настоящее время мы решаем возникшую ситуацию, как только она будет

решена доменное имя возобновит работу.

С уважением, Тератьев Илья

Менеджер по работе с клиентами

E-mail: support@agava.com

Многоканальные телефоны:

+7 (495) 781-65-37

+7 (800) 333-65-37

Служба поддержки хостинга AGAVA

http://hosting.agava.ru/ --

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

Ну, не удивительно. Они в репертуаре. Меня они давно заблокировали под предлогом "Партнёры попросили". Хотя и с иной формулировкой - "Распространение переводов и ПО против которых возражают патентообладатели". Просто, ясно и понятно. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Мне только что ответили:

Здравствуйте!

Приносим извинения за доставленные неудобства.

К сожалению, сотрудники, имеющие доступ к управлению Вашим доменом

работают только в будни.

Всего доброго.

--

С уважением, Полянский Николай

Менеджер по работе с клиентами

E-mail: support@agava.com

Многоканальные телефоны:

+7 (495) 781-65-37

+7 (800) 333-65-37

Вот такой вот цирк ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
А тогда почему сайт http://www.z-olegcom.57.com1.ru/leaktest.exe работает?

Это доменное имя для инженерных целей. В остальном беда в том, что блокировка домена убила не только сайт, но и почту

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

а почему агава? почему не nic.ru/reg.ru и т.д???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
а почему агава? почему не nic.ru/reg.ru и т.д???

эти хостинги не надежны, но почему из надежных именно агава, вопрос остается.

Вас только забанили или к тому же все стерли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×