Пит

КАВу везде мерещится вирус!

В этой теме 46 сообщений

Дело всё в том, что в этом архиве два файла, которые КАВ считает Троянами.

Послал их в Symantec.

Пришёл ответ, что эти файлы чистые!!!! :shock:

Знаете, я не хочу усомнится, в компетентности Вирусных аналитиков из LK.

Но истина дороже, и Symantec я доверяю больше. :(

Текс письма:

This message is an automatically generated reply. This system is designed to analyze and process virus submissions into the Symantec Security Response and cannot accept correspondence or inquiries.

Please contact your Technical Support representative if more detailed

information about your submission is required. Do not reply to this

message.

Below is a status update on your virus submission:

Date: October 5, 2006

Dim Pit….

No

Dear Dim Pit…,

We have analyzed your submission. The following is a report of our

findings for each file you have submitted:

filename: C:Documents and SettingsDimon ldk.rar

machine: Machine

result: See the developer notes

filename: kgb_KS.exe

machine: Machine

result: This file is detected as Infostealer. http://www.symantec.com/avcenter/venc/data/infostealer.html

filename: Java.Exploit.Bytverify.class

machine: Machine

result: This file is clean

filename: regions.htm

machine: Machine

result: This file is clean

Концовку письма не вставляю. Как видите, в одном файле они нашли вирус, и дальше шла информация о лечении.

И кто, что, думает по этому поводу? Неужели в базы КАВ пихают всякую фигню, лишь бы рейтинг поднять?:evil:

ldk.rar

ldk.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дело всё в том, что в этом архиве два файла, которые КАВ считает Троянами.

Видимо, не зря считает.

untitled1if8.th.png untitled2nk8.th.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дык, это что получаеться, что в Symantec Вирусные аналитики дураки? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дык, это что получаеться, что в Symantec Вирусные аналитики дураки?

Зловреды в Symantec оцениваются по пятибальной шкале (1...5). Т.к. общественную опасность от ваших файлов можно оценить как "-1" (минус 1), то они с "чистой" совестью пишут "clean". Хотя, формально это загрузчик троянов и фишинг, правда, уже обезвреженные.

P.S. Если вы все же переживаете за чистоту вашего компьютера, загрузите Dr.WEB CureIt!. Он найдет и обезвредит все подобные файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dr. Web

idk.rarregions.htm - Trojan.Bankfraud

idk.rarJava Exploit.BatVerify.class - Exploit.Byteverify

BitDefender

ldk.rar=>regions.htm Trojan.Spy.HTML.Bankfraud.DQ

ldk.rar=>Java.Exploit.Bytverify.class Trojan.Java.ClassLoader.Dummy.C

Можно так же посмотреть на virustotal.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вот мне интересно: Почему у КАВе всё знают… :D

Хотя, доказательства не убедительные. И я, останусь при своём мнении.

Обнаружили Антивирусы второго эшелона ( если не считать КАВ). Я только удивился, как это аваст не определил. Я считаю, что всякой чуши у него внесено больше чем у кого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Mr. Justice, ты немного опаздал. Уже обсуждаем - почему Symantec их не оценила.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice, ты немного опаздал. Уже обсуждаем - почему Symantec их не оценила.

1. Ясно. Расматривайте это как дополнительный аргумент "не в пользу" Symantec.

2. Если не возражаете предлагаю обращаться друг к другу "на вы". Мы едва ли друг друга знаем. :) ОК?...Я несколько консервативный человек.

Добавлено спустя 5 минут 53 секунды:

А вот мне интересно: Почему у КАВе всё знают… :D

Хотя, доказательства не убедительные. И я, останусь при своём мнении.

Обнаружили Антивирусы второго эшелона ( если не считать КАВ). Я только удивился, как это аваст не определил. Я считаю, что всякой чуши у него внесено больше чем у кого.

Вам нужны данные с virustotal.com? Вы можете сами все проверить. Эти файлы детектируются как троянские программы/эксплойты почти всеми известными антвирусами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот мне интересно: Почему у КАВе всё знают… :D

Хотя, доказательства не убедительные. И я, останусь при своём мнении.

Обнаружили Антивирусы второго эшелона ( если не считать КАВ). Я только удивился, как это аваст не определил. Я считаю, что всякой чуши у него внесено больше чем у кого.

Вам нужны данные с virustotal.com? Вы можете сами все проверить. Эти файлы детектируются как троянские программы/эксплойты почти всеми известными антвирусами.

Мне просто не понятно, какую опасность они представляют моему компу. Я считаю, что никакой опасности нет.

Не убедили, что это трояны. Пускай поживут. Вот когда Symantec поумнеет тогда и удалю. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мне просто не понятно, какую опасность они представляют моему компу. Я считаю, что никакой опасности нет.

Если Вы не пользуетесь банковскими услугами через Интернет и не пользуетесь Java, то существенного вреда Вам они не причинят. Разве что "нагадят" в рееестре и т.д.

Но речь, если я правильно понял, не только о Вас, в данном случае затрагиваются более "глобальные" вопросы.

Не убедили, что это трояны.

1. Проверьте общеизвестными on-line сканерами.

2. Отошлите экспертам из других вирусных лабораторий.

Пускай поживут. Вот когда Symantec поумнеет тогда и удалю. :)

Это уж вам решать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

:lol:

Пускай поживут. Вот когда Symantec поумнеет тогда и удалю.

подозреваяю что тогда уже поздно будет=)) :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
подозреваяю что тогда уже поздно будет=))

Отнюдь, ничего не случится. Фишинг-сайт удален. Вред будет заключаться в следующем. Как писал Mr. Justice:

Если Вы не пользуетесь банковскими услугами через Интернет и не пользуетесь Java, то существенного вреда Вам они не причинят. Разве что "нагадят" в рееестре и т.д.

Как я писал выше: любая антивирусная утилита (AVZ, Dr.WEB CureIt!) поможет удалить файлы от греха подальше. Я считаю, что руководствуясь правилом "золотой середины", бояться их не надо, но удалить стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Отнюдь, ничего не случится. Фишинг-сайт удален. Как писал Mr. Justice:

где Mr. Justice сказал такое ткните пожалуйста пальцем

Как я писал выше: любая антивирусная утилита (AVZ, Dr.WEB CureIt!) поможет удалить файлы от греха подальше. Я считаю, что руководствуясь правилом "золотой середины", бояться их не надо, но удалить стоит.

бояться мало чего стоит, но и лишний раз связываться тоже не надо..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ego1st, SuperBrat по моему у нас с вами нет предмета для спора. В наших с Вами позициях больше общего, а разногласия не существенны. Я не прав? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да согласен, спор на пустом месте поднялся, да и доказывать друг другу нечего, мнение примерно одинаковое у нас=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне просто не понятно, какую опасность они представляют моему компу. Я считаю, что никакой опасности нет.

Если Вы не пользуетесь банковскими услугами через Интернет и не пользуетесь Java, то существенного вреда Вам они не причинят. Разве что "нагадят" в рееестре и т.д.

Но речь, если я правильно понял, не только о Вас, в данном случае затрагиваются более "глобальные" вопросы..

Просветите меня: А что КАВ является утилитой по очистке реестра? Я думал, что этим занимаются совсем другие программы.

Понятно, что не мои. Но у нас с Symantec позиции совпадают. Если они на сегодняшний момент не представляют опасности, то каково … им делать в вирусной базе.

Не убедили, что это трояны.

1. Проверьте общеизвестными on-line сканерами.

2. Отошлите экспертам из других вирусных лабораторий.

Что-то я не догоняю: Если стайка …… антивирусов, говорит что это вирус, значит всё, это 100% вирус. :shock:

Это получается что если все пошли топится, то и я должен? :D

Я думаю, что вирусные аналитики в Symantec тоже не первоклассники. Они протестили мои файлы, и выдали заключения:Что представленные файлы никакой опасности пользователю на сегодняшний момент не представляют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просветите меня: А что КАВ является утилитой по очистке реестра?

КАВ - антивирусный комплекс, в задачи которого входит борьба с вирусами (в широком смысле слова), а также предотвращение и ликвидация вредоносных и иных нежелательных последствий, в том числе связанных с работой в реестре.

Я думал, что этим занимаются совсем другие программы.
.

Какие? RegСleaner и т.п.? Они не смогут предотвратить указанные выше действия и ликвидировать их последствия.

Понятно, что не мои. Но у нас с Symantec позиции совпадают. Если они на сегодняшний момент не представляют опасности, то каково … им делать в вирусной базе.

Сегодня Bankfraud (точнее его сэмл) может быть и не представляет существенной опасности. А вот относительно эксплойта у меня такой уверенности нет. По крайней мере я не располагаю информацией, которая способна развеять мои сомнения.

Что-то я не догоняю: Если стайка …… антивирусов, говорит что это вирус, значит всё, это 100% вирус. :shock:

Это получается что если все пошли топится, то и я должен? :D

Я думаю, что вирусные аналитики в Symantec тоже не первоклассники. Они протестили мои файлы, и выдали заключения:Что представленные файлы никакой опасности пользователю на сегодняшний момент не представляют.

Вирусные аналитики Symantec могут ошибаться - они тоже люди. Нельзя естественно исключать вероятность ошибки со стороны вирусных аналитиков остальных вендоров, но согласитесь ее вероятность существенно ниже. Поэтому я и предлагаю Вам проверить сэмпл с помощью on-line сканеров известных вендоров и "посоветоваться" с экспертами из других вирусных лабораторий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я думаю, что вирусные аналитики в Symantec тоже не первоклассники. Они протестили мои файлы, и выдали заключения:Что представленные файлы никакой опасности пользователю на сегодняшний момент не представляют.

В деле по борьбе с вирусами не должно доходить до абсурда, когда любые даже совершенно безвредные файлы мы будем считать вирусами, тем более к сожалению именно всем известные антивирусы с супер эвристиками любят перестраховываться и признавать за вирус все подряд, даже АВ движки конкурентов, в других же АВ компаниях, в которых следят за своей репутацией и за которыми стоят огромные клиенты и деньги, к классификации вирусов относятся с большой осторожностью, поэтому я думаю к их мнению нужно прислушиваться. Так что на вопрос, что лучше: пропустить что-то почти невредное, чем убить что-то важное, разные АВ компании отвечают по разному.

Поэтому полность согласен с Пит

Добавлено спустя 9 минут 11 секунд:

КАВ - антивирусный комплекс, в задачи которого входит борьба с вирусами (в широком смысле слова), а также предотвращение и ликвидация вредоносных и иных нежелательных последствий, в том числе связанных с работой в реестре.

А также всем что попадется заодно под руку, не всем это нравится, каждый должен заниматься своей работой, а не пытаться быть всем и вся

Сегодня Bankfraud (точнее его сэмл) может быть и не представляет существенной опасности. А вот относительно эксплойта у меня такой уверенности нет. По крайней мере я не располагаю информацией, которая способна развеять мои сомнения.

А для борьбы с подобными явлениями во всех современных файрволлах корпоративного уровня встроены системы IPS, которые позволяют со всем этим эффективно бороться, причем без непонятных и ненадежных эвристических механизмов, а по четко выроботанным и оттестированным сигнатурам

Вирусные аналитики Symantec могут ошибаться - они тоже люди. Нельзя естественно исключать вероятность ошибки со стороны вирусных аналитиков остальных вендоров, но согласитесь ее вероятность существенно ниже.

Чаще ошибаются АВ аналитики как раз-то других АВ компаний, которые сначала добавляют впопыхах новую сигнатуру в базу, валят сервера клиентов, а потом хватаются за голову и все поспешно исправляют, а вот такие компании как Symantec или Trend Micro могут себе позволить содержать штат дорогих и высококласных АВ инженеров и проводить очень дорогой и трудоемкий процесс оценки качества сигнатур и даже с учетом этого они тоже ошибаются, но реже и цена ошибки намного ниже, поэтому я с трудом верю что они ошиблись в данном случае (тем более когда клиент напрямую указал на то что другие АВ видят в этих файлах), а просто восторжествовал здравый смысл, а не мысль: ну ладно добавим в базу, поглядим, вдруг прокатит...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В деле по борьбе с вирусами не должно доходить до абсурда' date=' когда любые даже совершенно безвредные файлы мы будем считать вирусами,[/quote']

Вы считаете, что эксплойты совершенно безвредны?

тем более к сожалению именно всем известные антивирусы с супер эвристиками любят перестраховываться и признавать за вирус все подряд' date='[/quote']

А некоторые слишком часто пропускают вирусы из-за "до безобразия" низкой скорости реакции на новые угрозы и практически полного отсутствия проактивной защиты. Кирилл, скажите что лучше - обнаружить сомнительный файл и отправить его на исследование в антивирусную лабораторию или пропустить вирус и заразить машину.

даже АВ движки конкурентов' date='[/quote']

Любая эвристика предполагает некоторое количество ложных срабатываний, это вполне естественно.

в других же АВ компаниях' date=' в которых следят за своей репутацией и за которыми стоят огромные клиенты и деньги,[/quote']

В Eset, Panda, BitDefender, Kaspersky Lab, Dr. Web, VBA, Avira, G-Data тоже следят за своей репутацией и у них тоже есть солидные клиенты и тем не менее им это не мешает оснащать свою продукцию неплохими эвристиками и поведенческими анализаторами. Меня кстати всегда мучил вопрос - почему Trend Micro и отчасти Symantec постепенно отказываются от участия в тестировании их продуктов?

к классификации вирусов относятся с большой осторожностью' date=' поэтому я думаю к их мнению нужно прислушиваться.[/quote']

Я бы сказал слишком осторожно и как результат - низкая эффективность работы антивируса.

Так что на вопрос' date=' что лучше: пропустить что-то почти невредное, чем убить что-то важное, разные АВ компании отвечают по разному.[/quote']

Почему сразу уничтожить? Можно отправить на исследование аналитикам, а затем принять решение.

Поэтому полность согласен с Пит

А также всем что попадется заодно под руку' date=' не всем это нравится, каждый должен заниматься своей работой, а не пытаться быть всем и вся[/quote']

Это неправда. На сегодняшний день у КАВ достаточно низкий уровень ложный срабатываний. Один из самых низких. Если принимать во внимание сигнатурный метод обнаружения вредоносных объектов и эвристику.

А для борьбы с подобными явлениями во всех современных файрволлах корпоративного уровня встроены системы IPS' date=' которые позволяют со всем этим эффективно бороться, причем без непонятных и ненадежных эвристических механизмов, а по четко выроботанным и оттестированным сигнатурам[/quote']

1. Как насчет сектора домашних пользователей?

2. IPS - не панацея.

3. Сигнатурный подход не всегда дает положительный эффект.

Вывод: важно умело сочетать реактивные и проактивные методы защиты.

Чаще ошибаются АВ аналитики как раз-то других АВ компаний' date=' которые сначала добавляют впопыхах новую сигнатуру в базу, валят сервера клиентов, а потом хватаются за голову и все поспешно исправляют,[/quote']

Ошибка этих АВ команий в том, что они пропускают слишком много вредоносных объектов

по причине крайне низкой реакции на появление новых угроз и пренебрежения проактвиными методами защиты.

а вот такие компании как Symantec или Trend Micro

Про Trend Micro вспоминать не стоит. Этот пример не в Вашу пользу.

могут себе позволить содержать штат дорогих и высококласных АВ инженеров

Другие вендоры имеют не менее квалифицированных специалистов.

и проводить очень дорогой и трудоемкий процесс оценки качества сигнатур и даже с учетом этого они тоже ошибаются' date=' но реже и цена ошибки намного ниже,[/quote']

И оставляют своих клиентов без защиты в течении 10-12 часов.

поэтому я с трудом верю что они ошиблись в данном случае (тем более когда клиент напрямую указал на то что другие АВ видят в этих файлах)' date=' а просто восторжествовал здравый смысл, а не мысль: ну ладно добавим в базу, поглядим, вдруг прокатит...[/quote']

Может быть специалисты Symantec в данном случае правы. но я в этом не уверен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Полностью согласен с предыдущим постом, если бы не он я бы ответил тоже самое=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какие? RegСleaner и т.п.? Они не смогут предотвратить указанные выше действия и ликвидировать их последствия.

А какие последствия, последствий то и нет.

Вы считаете, что эксплойты совершенно безвредны?

Я считаю что да, безвредны.

А некоторые слишком часто пропускают вирусы из-за "до безобразия" низкой скорости реакции на новые угрозы и практически полного отсутствия проактивной защиты. Кирилл, скажите что лучше - обнаружить сомнительный файл и отправить его на исследование в антивирусную лабораторию или пропустить вирус и заразить машину.

Так весь вопрос в том: А был ли на самом деле это вирус?

Любая эвристика предполагает некоторое количество ложных срабатываний, это вполне естественно.

Для кого естественно, для КАВа? Да поверю. Что-то за использования более четырёх лет NAV я с таким не сталкивался.

В Eset, Panda, BitDefender, Kaspersky Lab, Dr. Web, VBA, Avira, G-Data тоже следят за своей репутацией и у них тоже есть солидные клиенты и тем не менее им это не мешает оснащать свою продукцию неплохими эвристиками и поведенческими анализаторами. Меня кстати всегда мучил вопрос - почему Trend Micro и отчасти Symantec постепенно отказываются от участия в тестировании их продуктов?

А вы не задумывались, что может они, в том числе, и по указанном мной примере, и не хотят участвовать? Чтоб потом не орали: NAV пропустил вирус. А был ли это вирус?

Я бы сказал слишком осторожно и как результат - низкая эффективность работы антивируса.

Низкая эффективность, умно. Главная эффективность антивируса, ловить вирусы. Так? Но если пользователь, который не читает наш топик, и у него случайно, окажутся эти два файла, и он захочет их проверить КАВ и NAV. Проверит, и придёт к выводу: КАВ обнаружил, а NAV нет, значит NAV, пропускает вирусы. Вывод: Низкая эффективность NAV. Так? Но истина дороже: NAV знает эти файлы и считает их безвредными.

Но вывод по низкой эффективности пользователям сделан. И он начинает орать по всем форумам: NAV пропустил вирус.

Это неправда. На сегодняшний день у КАВ достаточно низкий уровень ложный срабатываний. Один из самых низких. Если принимать во внимание сигнатурный метод обнаружения вредоносных объектов и эвристику.

Не позорьтесь таким высказыванием: Один из самых низких.

Лично у меня, за пол года пользованиям КАВ было два случая, когда КАВ орал на совершенно безвредные файлы. Один раз на драйвер принтера, второй на системный файл винды. И при очередном обновлении баз, они чудесным образом становились безвредными. Зайдите на форум КАВ и почитайте, там есть посты на эту тему, про ложняк баз.

А вы слышали, чтоб такое допустил Symantec? Я нет. Если мне память не изменяет, то был случай вроде у Trend Micro, и где-то с год назад ложанулась McAfee. Так вой был, на весь мир. А у КАВа это в порядке вещей. Я это утверждаю.

Ошибка этих АВ команий в том, что они пропускают слишком много вредоносных объектов

по причине крайне низкой реакции на появление новых угроз и пренебрежения проактвиными методами защиты.

А были это действительно вредоносные объекты?

Или сформулирую вопрос по другому: А были новые угрозы?

Другие вендоры имеют не менее квалифицированных специалистов.

Так никто с этим не спорит. Вся беда в том, что там управляющие, и менеджеры мыслят больше о прыбыли, а не последствиях.

И оставляют своих клиентов без защиты в течении 10-12 часов.

Чушь. Symantec при глобальной эпидемии в продуктах с 2005г. обновляет базы сразу. Правда, если мне память не изменяет, такой случай в этом году бал раз или два. Но это была действительно опасная угроза, а не пиар.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просветите меня: А что КАВ является утилитой по очистке реестра? Я думал, что этим занимаются совсем другие программы.

Пит, вы зря иронизируете. Если бы вы присмотрелись к SAV 10-ой версии и старше, то бы знали: все, что умели программы типа Ad-aware - чистка реестра, например, умеет последний Symantec.

P.S. После установки 10-ки, я избавился от подобных утилит, оставив лишь AVZ как механизм диагностики новых зловредов.

Добавлено спустя 10 минут 26 секунд:

Mr. Justice писал(а):И оставляют своих клиентов без защиты в течении 10-12 часов.

Чушь. Symantec при глобальной эпидемии в продуктах с 2005г. обновляет базы сразу. Правда, если мне память не изменяет, такой случай в этом году бал раз или два. Но это была действительно опасная угроза, а не пиар.

Тут я согласен. У Symantec 2000000 ящиков-ловушек для зловредов, они не могли ничего проспать. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит, вы зря иронизируете. Если бы вы присмотрелись к SAV 10-ой версии и старше, то бы знали: все, что умели программы типа Ad-aware - чистка реестра, например, умеет последний Symantec.

P.S. После установки 10-ки, я избавился от подобных утилит, оставив лишь AVZ как механизм диагностики новых зловредов.

Да я не иронизирую. :( Вы меня не так поняли.:(

Я имел ввиду что после этих файлов, чистить то антивирусу нечего.

А так конечно, я знаю, :) и за, чтоб антивирус вычищал все хвосты вируса :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Openair
    • Ego Dekker
      Декабрь 2019 — дата окончания жизненного цикла ESET NOD32/ESET Smart Security 9.0.
    • demkd
      драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.
    • Ольга_diplombest
      Высшее образование — сегодня это головная боль. Хотя каждый молодой человек стремиться его получить, как залог хорошей работы и высокой зарплаты в будущем. Но ВУЗы уже перестали быть бесплатными, поэтому получить образование можно только за деньги. Поэтому все чаще портрет современного студента — это работающий человек, который совмещает работу с учебой и еще имеющий семью. К тому же ссесия, написание рефератов. Курсовых работ или защита диплома — это настоящее испытание требующее много времени и сил.Необходимо время на поиск материала диплома,  написание работы, а еще семья и работа —и вот времени не хватает. При этом все успеть, порой физически бывает не возможно. И вот студент думает выхода нет и заваливает ссесию, бросает ВУЗ. Но выход есть, воспользоваться профессиональными преподавателями, аспирантами, докторами наук ... ка сделали уже многие студенты — https://diplombest.ru/сайт для тех, кто ценит время и бережет нервы. Компания работает без предоплаты, что гарантирует получение качественной работы в срок и без рисков для студента, политика скидок позволяет экономить до 50% от стоймости работы, что заслуживает доверия со стороны студентаТогда получение высшего образования будет в радость и через 5 лет ты уже заслуженный специалист.
    • Ольга_diplombest
      Я да не плохие деньги. Я то пользовалась https://diplombest.ru/. роде не плохо