Перейти к содержанию
MORDRED

Почему так происходит, или зажрался вендор?

Recommended Posts

MORDRED

Меня последние время мучает один вопрос. У меня есть приятель, он пользуется антивирусом касперский, я же пользуюсь другим, каким не столь важно, ну и порой обмениваемся вирусами, и проверяем, обнаружат или нет, если нет, то отсылаем в вирлаб. Уже достаточно долгий период времени отсылали всякую лажу в вирлаб, от шпионов, до троянов итд, отсылали по почте. Вот самое интересное что, когда отправляешь по почте скажем касперскому, дрвебу, и в оutpost, в ответном письме приходит типа спасибо за файлы, файлы отправлены на рассмотрения, в результате все это добавляется в базы в тихоря, и даже не могут прислать письмо с результатом своих исследований. С зарубежными вендорами все обстоит противоположно, присылают письмо с благодарностью, и вторым письмом подробный результат своих проверок. Наши только в тихоря в базы заносят и сидят на жопе ровно, стремно как то получается. Это отбивает все желание, помогать вам.

Особенно добивает письмо от оutpost, мы отправили файлы на рассмотрение, и тишина... Через дня 3-4 ставишь оutpost и он детектит данный зловред.

С февраля месяца отправил 47 троянов, тем вендором, которые их не детектили. В общем решил, что больше не буду помогать вендорам, которые говорят на русском.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Вам важнее запись в базах или просто общения не хватает? :)

Здравствуйте.

Благодарим за Ваше обращение в службу технической поддержки компании "Агнитум".

Файл был добавлен в базы, благодарим Вас за сотрудничество.

Здравствуйте.

Благодарим за Ваше обращение в службу технической поддержки компании "Агнитум".

Вирусные аналитики подтверждают, что данное срабатывание было ложным,

оно было убрано из базы.

Извините за неудобства.

Чудеса :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED
Вам важнее запись в базах или просто общения не хватает? :)

Чудеса :)

Мне важен результат проверки файла вендором , и как можно реще добавить вредоноса в базы, общения мне хватает выше крыши, порой даже устаю от общения, так как работа у меня связана с общением. Сколько раз отправлял, на мои письма приходили ответные письма, письма о том что файлы переданы на рассмотрение, ни о каких ложных срабатываний итд, писем не было вообще. Последний раз отправлял Trojan-Banker.Win32.Banbra, который у меня не детектил оutpost, его же отправлял и дрвебу, очень долго сижу жду, что же они там решили.. Писем нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vedmak

Я пару раз отправлял DrWeb'у и в ЛК - приходил ответ что типа спасибо все добавлено. (шаблон а-ля как выше приведен)

Не так давно Avast! взбесился - вирус-вирус, а файл в system32. Проверил его на Тотале - видят порядка 10 АВ. каспер и Доктор - молчок. Отправил письмо Доктору с отчетом о сканировании на Тотале. Минут через 40 пришел ответ от аналитика что файл чист.

Я затратил на все это 5 миннут, не более. Что получил за свои 5 минут? Споко

Я пару раз отправлял DrWeb'у и в ЛК - приходил ответ что типа спасибо все добавлено. (шаблон а-ля как выше приведен)

Не так давно Avast! взбесился - вирус-вирус, а файл в system32. Проверил его на Тотале - видят порядка 10 АВ. каспер и Доктор - молчок. Отправил письмо Доктору с отчетом о сканировании на Тотале. Минут через 40 пришел ответ от аналитика что файл чист.

Я затратил на все это 5 миннут, не более. Что получил за свои 5 минут? Спокойствие что мой ПК чист и вроде бы как совершил (потенциально) благое дело для других.

Не вижу во всей этой процедуре ничего отрицательного. Ну а то, что мне не станцевали ламбаду за мое усердие... Ну тык, рыночная экономика на дворе - каждый сам за себя...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Важен ответ - в Каспере внизу Персональный кабинет - Отправить запрос в вирусную лабораторию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Важен ответ - в Каспере внизу Персональный кабинет - Отправить запрос в вирусную лабораторию.

Все равно они не отвечают

MORDRED

согласен с вами, результат от вендора важен. Наверняка нашим вендорам лень отвечать.

На счет агнитума:

они используют АВ движок VirusBuster, и наверняка вердикт выносят последние, а агнитумы мороки много с пересылкой их ответа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
На счет агнитума:

они используют АВ движок VirusBuster

Ядро антишпиона свое (и ловит оно не только spyware :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Все равно они не отвечают

А мне отвечают :) Лицензия прикреплена в Кабинете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
А мне отвечают :) Лицензия прикреплена в Кабинете?

в том то и дело, что нет.

надо бы отвечать всем, а то просто не приятно присылать им вирусы, и вообще эта процедура должна быть максимально простой

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
в том то и дело, что нет.

Потому и не отвечают. В письмах прямо так и написано, если хотите гарантированного ответа...

присылать им вирусы, и вообще эта процедура должна быть максимально простой

Прислать - очень просто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Потому и не отвечают. В письмах прямо так и написано, если хотите гарантированного ответа...

Прислать - очень просто.

ну знаете, мне лично крайне не приятно отсылать вирусы чорт знает кому и не получать ответ, как будто труд в пустую, а ведь есть и триал юзеры без лицензии

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
отсылать вирусы чорт знает кому

Т.е. ЛК - черт знает кто?

и не получать ответ

Реальный детект - лучший ответ. Ответить могут и без детекта.

как будто труд в пустую

Детект.

а ведь есть и триал юзеры без лицензии

Есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

лк не черт знает кто, а на запросы без лицензии отвечает черт знает кто.

а если ты вообще не их юзер, а хочешь помочь и отправить виря?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
а на запросы без лицензии отвечает черт знает кто.

Там подпись стоит:

С уважением, XXXX XXXXXXXX

Вирусный аналитик

а если ты вообще не их юзер, а хочешь помочь и отправить виря?

Отправляй. Его рассмотрят. Будет зараза - сделают детект. Спасибо, помог.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Давным давно, еще в середине 90х, когда интернет то еще мало где был в этой стране, я отправлял свежепойманные вирусы Касперскому и Данилову. ЕК отвечал на письма всегда. На каждое. ИД не ответил ни разу. Вообще не разу. После этого ИД больше вирусов от меня не получал, а ЕК получил не только около сотни (что по тем временам было очень много) новых зловредов, но и спустя несколько лет - сотрудника.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
E.K.

В те далёкие времена апдейты выходили раз в неделю, если дятел не в отпуске или командировке (дятел не болел), обычно в еженедельном апдейте было несколько десятков новых записей - писем в неделю было примерно то же количество. И можно было не только отвечать на каждое письмо (что было совершенно не в лом) - но и на каждого нового виря делать уникальное описание.

Те времена давно миновали. Сейчас это всё - конвейер с совершенно другими объёмами на входе и выходе.

Хотя... была у меня мечта (не реализованная). Сделать (лицензировать) робота-болтуна, который бы рассказывал пользователю о процессе обработки, выдавал описание, автоматом парсил вопросы и отвечал бы на них. Но задача эта - тяжелая и лингвистическая. Увы, не сложилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Однако :) Ирония судьбы. Как, оказывается, сильно влияет отношение к формирующимся человекам на дальнейшие события :) Я с августа 2000-го года на forum.drweb.ru тусовался (как подсказывает архивный форум СалДа). И получал вот такие ключики:

[Key]

Version=All

Applications=All

Created=21-12-2000 (15:23)

Expires=21-12-2001 (15:23)

[user]

Number=0110000007

Name=Valery Ledovskoy (from Igor Daniloff)

Потом, много позже, с середины 2005-го тоже был сотрудником, в течение 5,5 лет. (Правда, ИД ни слова не сказал, когда я собрался уходить, но не суть - такое поведение имеет место быть). Действительно, иногда такая мелочь, как "наличие ответа" и одобрение/благодарность, высказанные в явном виде, существенно влияют на будущее ;)

"А всё могло бы быть по-другому..." :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Но задача эта - тяжелая и лингвистическая. Увы, не сложилось.

Ашманов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

E.K.

Дык сейчас же есть система, которая делает описание заразе автоматом. Так может ее докрутить? С указанием, что это автоматический анализ и он не точен.

http://www.securelist.com/ru/descriptions/....Win32.Virut.ce

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Дык сейчас же есть система, которая делает описание заразе автоматом. Так может ее докрутить? С указанием, что это автоматический анализ и он не точен.

http://www.securelist.com/ru/descriptions/....Win32.Virut.ce

Чё-то как-то автоматическое описание и экспертное мало коррелируют :) Там файловый вирус, а там троян... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

На то он и автомат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash
Давным давно, еще в середине 90х, когда интернет то еще мало где был в этой стране, я отправлял свежепойманные вирусы Касперскому и Данилову. ЕК отвечал на письма всегда. На каждое. ИД не ответил ни разу. Вообще не разу. После этого ИД больше вирусов от меня не получал, а ЕК получил не только около сотни (что по тем временам было очень много) новых зловредов, но и спустя несколько лет - сотрудника.

Зато сейчас при глобальном инете....3 раза отправлял винлоки с запросом кода разблокировки Касперам-и просто не ответили....А вы можете ведь это посмотреть и опровергнуть...ага? :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Зато сейчас при глобальном инете....3 раза отправлял винлоки с запросом кода разблокировки Касперам-и просто не ответили....А вы можете ведь это посмотреть и опровергнуть...ага? :facepalm:

Ты еще раз 50 собственноручно написанные вирусы присылал. Поэтому числишься в "черном списке" и подпадаешь под правило - с вирмаками не общаться. Еще вопросы ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Ты еще раз 50 собственноручно написанные вирусы присылал. Поэтому числишься в "черном списке" и подпадаешь под правило - с вирмаками не общаться. Еще вопросы ?

Это тоже крайне не правильная политика. докажите, что вирусы собственные?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Это тоже крайне не правильная политика. докажите, что вирусы собственные?

Доказывать прокурор будет. Нам достаточно того, что он там свои "копирайты" лепил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
    • demkd
      ---------------------------------------------------------
       4.15.4
      ---------------------------------------------------------
       o Обновлен интерфейс.

       o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
         процессов с задачами.
         Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
         В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
         В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
         В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
         фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
         (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
         (!) История не доступна для неактивных систем.

       o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
         Добавлено:
          o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
          o История процессов и задач (Дополнительно->История процессов и задач)
            (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
          o Защита образа от повреждений.

       o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.

       o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.

       o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
         На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.

       o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
         (!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.

       o Исправлена ошибка разбора состояния TCPIPv6 соединений.
       
×