Перейти к содержанию
GuSoft

Ложные срабатывания

Recommended Posts

GuSoft

Sep хорошая вещь, но иногда складывается впечатление, что симантек вмешивается в область, которая в его обязаности не входит.

Я по поводу ложных срабатываний на всякого рода кряков и кейгенов. Я понимаю, что множество вирусов распространяется именно через них, однако в основнов при включенной автоматической защите большинство из них сразу удаляется в карантин и детектируется (заметьте - не эвристикой а прямой сигнатурой) как вирус. В основном разновидностью Trojan.Horse. В большинстве случаев Sep оказывается неправ. Если бы это были еденичные случаи - я бы не беспокоился. Но их очень много.

По своей работе мне приходится часто иметь дело с подобными файлами, но дело тут не в этической стороне вопроса, а в том, что SEP намерено определяет файл как вирус, который на самом деле им не является. Закрадывается мысль о том, что компании разработчики ПО приплачивают симантеку чтобы всевозможные кейгены и патчи для их продуктов - детектировались как вирус, тем самым отпугивая пользователей от их использования.

могу предоставить конкретный пример (один, есть еще куча):

кейген для VmWare ThinApp (zip, 31 kb): http://files.mail.ru/LCW4ZG

успешно дететируется как Trojan.PWS.QQPass.b

ссылка на описание виря: http://securityresponse.symantec.com/secur...-052413-2409-99

анализ кода файла (в т.ч. после распаковки upx) и указаные места для обнаружения следов вируса, анализ через мониторы реестра и дисковых операций - говорят что к вирусам файл отношения не имеет (проверено на разных ОС, в т.ч. на WinXpSp1).

Спрашивается, когда эта практика прекратится? Почему SEP (как и остальные антивирусные решения симантека) берут на себя право обманывать пользователей ложно детектируя чистые с точки зрения антивирусной защиты файлы?

На сайте семантика я так и не нашел форума, куда об этом можно написать, может подскажет кто?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ShIvADeSt

Это еще ерунда, при этом некоторые детекты нельзя по нормальному добавить в глобальные исключения. То есть СЕП говорит что файл представляет такой то класс угрозы, я пытаюсь найти его в списке, чтобы сделать исключения, а такого класса вообще нет. Приходится исключать целиком папку с файлом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Symantec просто страхуется. Понимаете, программы предназначенные для взлома уже невозможно назвать чистыми, хотя бы потому что они взламывают легальное ПО, которое защищенно международным правом - это, как Вы уже догадались, преступление. Так что любой АВ компании можно и нужно детектировать такого рода ПО как вредоносное, хотя оно и не наносит прямого вреда даным пользователя, зато оно наносит вред компаниям ПО которых оно взламывает.

Так что с этим все ок.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ShIvADeSt

Угу, тогда давайте все апдейтеры (официальные патчи программ) тоже запишем в ту же степь, так как они :ОМГ: тоже правят файлы. Или плагины, которые можно подключать ко многим программам, так как они меняют функционал. Я еще понимаю, когда каспер детекти trialreset, так как эта программа затрагивает его лично. Но когда симантек детектит 99% кряков, при этом его об этом не просят - ну не вирусы они, сами они ничего не правят, пока пользователь их не запустит. И честно предупреждают об этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Пожалуйста, внимательнее прочитайте мой предыдущий пост. Я не писал что кряки нужно детектировать через просто модифицирование файлов лицензионных продуктов, их нужно детектировать через несанкционное модифицирование продуктов которое наносит вред компании разработчику. Вредоносность либо не вредоносность файла определяется действиями и их правовым отпечатком. Тоесть, Вы согласитесь со мною если я скажу что программы ворующие конфиденциальную информацию(пароли, явки, банковские счета) есть вредоносные, так как они совершают протиправные действия против пользователя(проще говоря преступление). С такой же самой инициативой можно(и нужно) классифицировать программы-кряки как такие что тоже совершают протиправные действия, но уже не против пользователей, а против компаний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

ShIvADeSt, Кряки попадают под УК, нарушение законодательства практически любой страны. Хоть Symantec и не российская компания, но то что детект происходит - это правильно. Это по умолчанию должно делаться.

Другое дело - классификация страдает у Symantec. Это - да...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GuSoft

Я просто в шоке от ваших высказываний. Правильно, людей запугали и они сами попросят тоталитарного общества.

Вы знаете, что грань между началом проверки на полезность програм для вас и тотальным решением что вам использовать - довольно призрачная.

Симантек - позиционируется как антивирус, а не как программа-судья. Давайте тогда, он заодно будет проверять лицензии на все ПО которое у вас установлено, винду, офис, графические редакторы, игры и тп. Заодно будет запрещать скачивать торренты, разговаривать по интернет-мессенджерам на темы, которые считаются запрещенными, ругаться матом в почтовой переписке, отправлять почту на опасные с его точки зрения адреса, слушать и смотреть запрещенные с его точки зрения музыку и фильмы, уничтожать электронные книги, заодно отправлять все ваши фотки Большому брату, вдруг вы террорист.

Вот начало детектирования невирусов как вирей - первый шаг к этому - потому что они "наносят вред разработчикам ПО, но вирусами не являются". Это прямое нарушение ваших личных свобод и принятие решений за вас.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ShIvADeSt
Я не писал что кряки нужно детектировать через просто модифицирование файлов лицензионных продуктов, их нужно детектировать через несанкционное модифицирование продуктов которое наносит вред компании разработчику.

Как кейген модифицирует продукт, как триалресет модифицирует продукт? Почему антивирусник занимается тем, что не входит в его область работы? И как выяснилось из другой темы у него под hacktool попадают как кейгены, так и достаточно опасные руткиты, что вообще идиотизм высшей степени - все грести под одну гребенку.

Повторяю - это не антивируснику решать, что законно, а что нет. Его задача следить, чтобы не было заразы на компе. А с кейгенами и прочим разберемся сами. Пока кейгеном не взломали программу - нефиг его трогать (при этом не фиг его вообще трогать). Приведу сравнение. Сбить пешехода на машине - уголовное преступление во всем мире. Давайте будем лишать всех автомобилей, так как ЛЮБОЙ из них имеет возможность сбить пешехода. Лучше бы допиливали нормальное лечение реальных вирусов, а то даже на новой версии наблюдается забивание папки ТЕМП копиями тела зловреда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

ShIvADeSt, GuSoft

SEP - КОРПОРАТИВНЫЙ продукт! Устанавливая его администратор и руководство компании стараются ОБЕЗОПАСИТЬ свои информационные системы. Не только от вирусов. Давайте сюда тогда примешаем программы-шутки? Или прочие классификации. Ведь они тоже по сути вреда то особого не составляют?! Или tracking cookies? Подумаешь, затрагивается то только 1 пользователь!?

Обратите внимание - что и другие вендоры подобным образом добавляют УГРОЗУ в свои сигнатуры.

Кейген, который просто сгенерит номерок из вшитой в него базы по циклу - может и не нанести вред. Но ЗАЧЕМ такие программы запускать в КОМПАНИИ? А если придут маски шоу, а ВЫ не усмотрели что Вася Пупкин поставил горячо ими любимый адобовский продукт да еще и кейген под этим Васей рядышком лежит...

Что Вы знаете про этот запускаемый кейген, кряк? Куда он лезет? Что он записывает? Что устанавливает? Какова вероятность того что этот кейген не поставит вам в ИС бекдор который не будет детектится? Вы ЗАПУСКАЕТЕ ПОТЕНЦИАЛЬНО ОПАСНУЮ ПРОГРАММУ, о чем собственно вас и информирует SEP.

Если вы админ компании и можете ПРИНЯТЬ РИСКИ - так что вам стоит приостановить работу SEP и проделать ваши грязные делишки?

Если домохозяйка .... :lol:

В данном случае может быть только одно не верно - классификация. Я не знаю как еще руководство Symantec не тыкнула своих экспертов в это носом. Смотря на новые риски я просто поражаюсь.

Все остальное - абсолютно правильно со стороны информационной безопасности, УК. И тема даже не столько конкретизирована под SEP.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Как кейген модифицирует продукт, как триалресет модифицирует продукт? Почему антивирусник занимается тем, что не входит в его область работы? И как выяснилось из другой темы у него под hacktool попадают как кейгены, так и достаточно опасные руткиты, что вообще идиотизм высшей степени - все грести под одну гребенку.

Повторяю - это не антивируснику решать, что законно, а что нет. Его задача следить, чтобы не было заразы на компе. А с кейгенами и прочим разберемся сами. Пока кейгеном не взломали программу - нефиг его трогать (при этом не фиг его вообще трогать). Приведу сравнение. Сбить пешехода на машине - уголовное преступление во всем мире. Давайте будем лишать всех автомобилей, так как ЛЮБОЙ из них имеет возможность сбить пешехода. Лучше бы допиливали нормальное лечение реальных вирусов, а то даже на новой версии наблюдается забивание папки ТЕМП копиями тела зловреда.

В любом случае подобного рода ПО вмешивается в работу лицензионных продуктов, а это статья. Да и насколько Вы можете быть уверенны в том что программа действительно предназначенна только для взлома?

Почему для Вас программа написанная киберпреступником для воровства паролей либо блокировки ПК либо тот же бэкдор - вредоносна, а программа написанная тем же киберпреступником для взлома лицензии - нет? Что бы Вы сказали о законности(незаконности) действий подобного рода ПО если бы Вы были тем разработчиком, продукт которого даное ПО ломает?

Вот на все эти вопросы закон дает один ответ - преступление, а антивирусный продукт лиш просто поступает по закону. Или быть может вы еще хотите чтобы антивирусные вендоры не добавляли в базы кряков к их продуктам, ведь они такие безобидные...

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

ShIvADeSt

Почему антивирусник занимается тем, что не входит в его область работы? И как выяснилось из другой темы у него под hacktool попадают как кейгены, так и достаточно опасные руткиты, что вообще идиотизм высшей степени - все грести под одну гребенку.

У западных продуктов это так, согласно закону. В России нормальной статьи закона для программ взлома нет (дурь одна), потому российские продукты и по-умолчанию обычно их не трогают.

Вероятно вы читали вот эту тему. Если нет, просмотрите, там были уже бурные обсуждения по этому поводу.

Но, в продуктах Symantec тоже предусмотрена возможность "не трогать программы для взлома". SEPа у меня нет, не знаю как там. Но вот в NAV2010 и NIS2010 реализовано это одинаково.

См. "Главное окно программы" - "Параметры" - "Защита в реальном времени" - "Защита от программ-шпионов" - "Настроить".

В списке "Категории угроз" снять галочку на "Средства взлома". Далее "Применить" - ОК - ОК - Х.

b1814a9e1134t.jpg Так же было в предыдущих версиях. И почти также в линейке 2011, только главное окно другое.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

да вот только тогда нортон откажеться ловить руткиты (сигнатура Hacktool.Rootkit), так как даная сигнатура входит в семейство Hacktool(средства взлома).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Я знал! Я знал, что всё идёт к

dredd.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
тогда нортон откажеться ловить руткиты (сигнатура Hacktool.Rootkit), так как даная сигнатура входит в семейство Hacktool(средства взлома).

Не зря всё-таки настройки по умолчанию средства взлома детектят. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GuSoft

я не против того, чтобы кейгены распознавались как "вредоносные программы" или как "программы взлома" и пусть sep выводит любые страшные сообщения, которые считает нужным. но должна быть опция выбора реакции на эти программы, а не смешивания реакций с реакцией на вирусы. к вопросу о корпоративности sep - ето все равно не дает ему права на подобные вещи. кроме того все антивирусные решения симантека ведут себя аналогично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radamol

Привет всем.

Я думаю дело в следующем. Продукт маде ин ЮСА. А там вопросы легального ПО решаются просто - какой-такой кейген? ТОЬКО ЛЕГАЛЬНОЕ ПО !!! И даже в голову не приходит это обсуждать. Вот такой менталитет. У меня знакомый из Штатов попросил Автокад 2010 поюзать. Я ему выслал с кейгеном. Он неделю посмотрел и удалил вместе с инсталляхой. Говорит - нельзя! А сам он из СНГ уехал.

Насколько я знаю у SEPM нет никакого лицензионного файла. Качай (украденное) и ставь. НО! В Штатах такой ключ ЕСТЬ. Для пользователей США и Северной Америки. А для Европы и стран третьего мира - нет. Зачем? Все равно украдут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
В Штатах такой ключ ЕСТЬ. Для пользователей США и Северной Америки.

Вы с чего так решили? Нет и там никакого ключа

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
могу предоставить конкретный пример (один, есть еще куча):

кейген для VmWare ThinApp (zip, 31 kb): http://files.mail.ru/LCW4ZG

успешно дететируется как Trojan.PWS.QQPass.b

ссылка на описание виря: http://securityresponse.symantec.com/secur...-052413-2409-99

анализ кода файла (в т.ч. после распаковки upx) и указаные места для обнаружения следов вируса, анализ через мониторы реестра и дисковых операций - говорят что к вирусам файл отношения не имеет (проверено на разных ОС, в т.ч. на WinXpSp1).

А вы уверены, что данный файл реально безопасный? К примеру продукты ЛК также детектят его, как Trojan-PSW.Win32.QQShou.wh, хотя лично я не даю 100% гарантии, что это не ложное срабатывание. :)

Так что любой АВ компании можно и нужно детектировать такого рода ПО как вредоносное, хотя оно и не наносит прямого вреда даным пользователя, зато оно наносит вред компаниям ПО которых оно взламывает.

Так что с этим все ок.

Не все оК!

Лично я против такого подхода (хотя и не использую подобные вещи). АВ вендоры должны заниматься своим делом и не должны заниматься борьбой с пиратством. Кстати опять же - ЛК не детектит кряки и кейгены, потому что это кряки и кейгены, за исключением кряков и т.п. к своим продуктам и конечно иногда бывают просто ложные срабатывания, которые оперативно исправляются по письму в вирлаб. У Dr.Web тоже похожий подход, я лично редко видел чтобы они детектили кряки и т.п.

ShIvADeSt, Кряки попадают под УК, нарушение законодательства практически любой страны.

Да ладно? Можно ссылку на статью УК РФ например, где будет четко написано, что за кряки и кейгены будет уголовная ответственность? Именно за них, а не за нелегальное использование того или иного продукта или их создание (это не относится к теме).

На сайте семантика я так и не нашел форума, куда об этом можно написать, может подскажет кто?

Кстати вот ссылка на официальный форум: http://community.norton.com/ Правда он англоязычный, но думаю что Вам, как админу, это не будет преградой. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Да ладно? Можно ссылку на статью УК РФ например, где будет четко написано, что за кряки и кейгены будет уголовная ответственность? Именно за них, а не за нелегальное использование того или иного продукта или их создание (это не относится к теме).

"Четко" в законодательстве?)) Для начала надо ввести понятия "кейгена" и "кряка"...

я не юрист, и законы можно трактовать как кому угодно. но подписать что то под что то...

Глава 28 Уголовного кодекса РФ устанавливает наказания за компьютерные преступления. В соответствии со ст. 272 за крякинг можно получить лишение свободы до 2 лет. При предварительном сговоре группы лиц — до 5 лет. В России практика наказаний за взлом программного обеспечения существует в очень сыром и пока в теоретическом виде. Это вызвано тем что понятие "интеллектуальная собственность" пока ещё точно не определено российским законодательством.

Вот собственно вам и одна из загугленных новостей. Как типовой пример. Не надо говорить, что нельзя привлечь....

http://www.xakep.ru/post/40838/default.asp

Ну или... http://www.internet-law.ru/forum/index.php...rt=100#msg47280

Можно еще и судебную практику поднять (сабля, к примеру, для 1С ) ;)

Или вспомним и последюю - горбушку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Shell

Мы конечно тут офтопим, но вот:

Статья 272 УК РФ. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

(в ред. Федерального закона от 08.12.2003 N 162-ФЗ)

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -

наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

(в ред. Федерального закона от 08.12.2003 N 162-ФЗ)

http://www.ugolkod.ru/statya-272

Что то тут про кряки и т.п. шлак вообще нет ни слова. :)

Что касается:

Можно еще и судебную практику поднять (сабля, к примеру, для 1С ) wink.gif

Или вспомним и последюю - горбушку?

Да можно вспомнить, но не по теме как то. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Что то тут про кряки и т.п. шлак вообще нет ни слова.

Ну не совсем оффтопим. И тема то по сути касается даже нескольких вендоров. Я вам выше даю ссылку на реальное судопроизводство. Такое БЫЛО.

И не говорю что в нашем законодательстве прописано "за кряки", "за кейгены". Таких понятий то еще не введено. Кейген по сути не нарушает статей кроме как нарушение авторского права. А вот кряк - модифицирует ПО...

Нет консультанта под рукой, заглянуть в судопроизводство. Но насколько помню - за ту же саблю, которая НЕ МОДИФИЦИРОВАЛА ПО - привлекали ведь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Shell

Ну получается - если кого начнут привлекать, то будет зависеть от адвокатов. Можно трактовать как и в одну сторону, так и в другую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
А вы уверены, что данный файл реально безопасный? К примеру продукты ЛК также детектят его, как Trojan-PSW.Win32.QQShou.wh, хотя лично я не даю 100% гарантии, что это не ложное срабатывание. smile.gif
Здравствуйте,

Это было ошибочное срабатывание.

Оно будет исправлено.

Благодарим Вас за помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Ну вот. :) О чем я и говорил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
А вы уверены, что данный файл реально безопасный? К примеру продукты ЛК также детектят его, как Trojan-PSW.Win32.QQShou.wh, хотя лично я не даю 100% гарантии, что это не ложное срабатывание. :)

Хороший такой фолс, массовый... :)

Dr.Web -- fixed.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×