Перейти к содержанию
Зайцев Олег

Чем чреваты тесты Anti-Malware.ru и VirusTotal

Recommended Posts

Зайцев Олег

Сегодня мне пришло два письма - от саппорта agava.ru (с данными о том, что мой домен заблокирован за распространение вирусов) и от Publicdomainregistry.com Abuse Desk <abuse@publicdomainregistry.com>:

Hello,

We have been made aware that the domain name 'z-oleg.com' registered under you is involved in spreading malware. Any domain names involved in any such activity, is strictly against Registrar PublicDomainRegistry.com's AUP.

Malicious Url/url's :

z-oleg.com/leaktest.exe

We have currently Suspended this domain name due to such abuse.

Regards,

PDR Abuse Desk.

Ticket ID: 22871

Я страшно удивился, проверил - а вдруг и вправду сайт хакнули и там уже вирусяка какая лежит - оказалось, что нет - там лежит там самая древняя заглушка, которую мы применяли в тестах эмуляторов и эвристиков на АМ - http://www.anti-malware.ru/forum/index.php?showtopic=3192 (там самая, которая выводит на экран сообщение о том, что это "Virus demo stub for AV test" и завершает работу. Я про него уже и думать забыл - тестирование то 4 года назад было ... Когда я проверил файл на VT - http://www.virustotal.com/file-scan/report...c985-1311523883 - то был поражен, 30 детектов из 42 возможных. Большинство правда детектят это как *AVtest*, содержимое этого EXE:

CODE:00407DC8                 push    ebpCODE:00407DC9                 mov     ebp, espCODE:00407DCB                 add     esp, 0FFFFFFF0hCODE:00407DCE                 mov     eax, ds:off_4083A8CODE:00407DD3                 mov     byte ptr [eax], 1CODE:00407DD6                 mov     eax, offset dword_407D68CODE:00407DDB                 call    @Sysinit@@InitExe$qqrpv; Sysinit::__linkproc__ InitExe(void *)CODE:00407DE0                 push    0CODE:00407DE2                 push    offset aVirusDemoStubF; "Virus demo stub for AV test !"CODE:00407DE7                 push    offset aHelloThisIsDem; "Hello, this is demo file !!"CODE:00407DEC                 push    0CODE:00407DEE                 call    MessageBoxA_0CODE:00407DF3                 call    @System@@Halt0$qqrv; System::__linkproc__ Halt0(void)CODE:00407DF3; ---------------------------------------------------------------------------CODE:00407DF8 aVirusDemoStubF db 'Virus demo stub for AV test !',0CODE:00407DF8                                ; DATA XREF: CODE:00407DE2oCODE:00407E16                 align 4CODE:00407E18 aHelloThisIsDem db 'Hello, this is demo file !!',0; DATA XREF: CODE:00407DE7oCODE:00407E34                 align 200hCODE:00407E34 CODE            ends

Вот так вот я пострадал за тесты :) Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis

Ничего страшного, бывает со всеми, можно обратиться к администрации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Ничего страшного, бывает со всеми, можно обратиться к администрации.

Агаве я уже два раза объяснял то, что это за файл и откуда ... интересно другое - такое количество детектов совершенной пустышки. Она же ничем не упакована, не содержит ни одного опасного вызова, и не делает ровным счетом ничего :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
Агаве я уже два раза объяснял то, что это за файл и откуда ... интересно другое - такое количество детектов совершенной пустышки. Она же ничем не упакована, не содержит ни одного опасного вызова, и не делает ровным счетом ничего :)

Это что - то вроде EICARа?

Да, детект ложный явно, ладно, где в детекте слово "Test", а там где просто троян, удивляет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Ничего страшного, бывает со всеми, можно обратиться к администрации.

:facepalm:

Это что - то вроде EICARа?

Да, детект ложный явно, ладно, где в детекте слово "Test", а там где просто троян, удивляет.

:facepalm:

x-sis, может быть на сегодня facepalm'ов хватит?

ладно, где в детекте слово "Test"

Образец отсылал лично (было срабатывание trojan.avtest.a или подобное) с пометкой ложное срабатывание. И, о чудо, его (детект) убрали.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
:facepalm:

:facepalm:

Я просто спросил, что вам опять не так? <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)

Один коммент на ВТ жжот )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Wordmonger

Напиши пост на корпоративный блог "ЛК" со скриншотами точки входа и результатов VT.

И убери слово "Virus". :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Когда AM забанят? :lol:

Снимок_2011_08_05_20_46_59.png

post-4500-1312562881_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Эммм, что то тут плохая тенденция - это так если каждый Фейк АВ задетектит что то на каком либо сайте, то его забанят? Вообще трындец... :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Один коммент на ВТ жжот )

ALEX(XX), привет!!! :beer:

по-моему, не один коммент, а минимум три ))))

Я страшно удивился, проверил - а вдруг и вправду сайт хакнули и там уже вирусяка какая лежит

Олег, а почему именно битрикс, кстати? (если я правильно понял)

в ответ тишина

но у меня сайт нормально отображается в браузере...

PS:

какой на сегодняшний день трафф с сайта и сколько выходит за него платить (если не секрет, конечно)?

(когда-то давно этот вопрос поднимался на ВИ, но вроде без таких подробностей)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Сегодня мне пришло два письма - от саппорта agava.ru (с данными о том, что мой домен заблокирован за распространение вирусов) и от Publicdomainregistry.com Abuse Desk <abuse@publicdomainregistry.com>

Вот так вот я пострадал за тесты :) Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.

Agava.ru легко ответит на пост через Roem.ru ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1. Олег, а почему именно битрикс, кстати? (если я правильно понял)

2. но у меня сайт нормально отображается в браузере...

PS:

какой на сегодняшний день трафф с сайта и сколько выходит за него платить (если не секрет, конечно)?

(когда-то давно этот вопрос поднимался на ВИ, но вроде без таких подробностей)

1. да, там Битрикс. Все просто: случилоcь так, что я хорошо знаю его, приходилось сталкиваться и даже лекции довелось по нему вести. Система простая, довольно функциональная - поэтому когда я решил создать сайт, то купил себе битрикса и соорудил сайт за два вечера :) (причем мегадизайн сайта - это демо-пример Битрикса, немного доточенный - ибо дизайнер из меня нулевой ...).

2. не секрет, точно не помню - порядка 250$ в год сам хостинг, плюс за Битрикс примерно 250$, плюс домен и всякая прочая ерунда. AVZ сам по себе дублирован на зеркалах ЛК, так что трафик сайта не сильно большой - за июль например 17 миллионов обращений, порядка 5 терабайт трафика... (но он и у меня лежит - иногда помогает, когда малварь блокирует зеркала ЛК, равно как наоборот). Я бы давно поставил свой сервер на площадке у знакомых провайдеров, лишний сервер есть - но сила инерции и лени велика ...

PS: у меня домен стал отвечать :) (до этого пинг говорил, что не может определить IP - т.е. явная блокировка домена в DNS)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Домен всетаки вырубили, вот пришел официальный ответ AGAVA:

Здравствуйте.

Так как доменное имя заблокировано точная ссылка до файла в настоящее

время http://www.z-olegcom.57.com1.ru/leaktest.exe

Приводим Вам лог антивируса при попытке обратится к файлу.

06.08.2011 0:17:07 Фильтр HTTP файл

http://www.z-olegcom.57.com1.ru/leaktest.exe вероятно

модифицированный Win32/Agent.BCUVJHQ троянская программа соединение

прервано - изолирован Обнаружена угроза при попытке доступа в Интернет

следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.

С уважением, Тератьев Илья

Менеджер по работе с клиентами

E-mail: support@agava.com

Т.е. они проверяют файлы NOD32 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Т.е. они проверяют файлы NOD32 :)

:facepalm: Молодцы они....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Домен всетаки вырубили, вот пришел официальный ответ AGAVA:

Т.е. они проверяют файлы NOD32 :)

Класс... счас наберу упаковщиков и запакую ими notepad.exe

пускай блочат мой акк 8-)

p.s.

держите в курсе развития событий - очень интересно -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Скорее всего кто-то им настучал. Много лет работало и ничего было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

@Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.@

Я отправил файл исету как фолс, а в агава написал, что вы сделали с клиентом и ссылка на эту тему. Посмотрим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Вот ответ Агавы (исет молчат)

On Суб. Авг. 06 13:43:39 2011, siz wrote:

Здравствуйте. Почитайте тут, что вы сделали с

клиентом:?http://www.anti-malware.ru/forum/index.php?showtopic=19043&st=0

Исправьте, пожалуйста, ситуацию

--

Здравствуйте.

В настоящее время мы решаем возникшую ситуацию, как только она будет

решена доменное имя возобновит работу.

С уважением, Тератьев Илья

Менеджер по работе с клиентами

E-mail: support@agava.com

Многоканальные телефоны:

+7 (495) 781-65-37

+7 (800) 333-65-37

Служба поддержки хостинга AGAVA

http://hosting.agava.ru/ --

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

Ну, не удивительно. Они в репертуаре. Меня они давно заблокировали под предлогом "Партнёры попросили". Хотя и с иной формулировкой - "Распространение переводов и ПО против которых возражают патентообладатели". Просто, ясно и понятно. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Мне только что ответили:

Здравствуйте!

Приносим извинения за доставленные неудобства.

К сожалению, сотрудники, имеющие доступ к управлению Вашим доменом

работают только в будни.

Всего доброго.

--

С уважением, Полянский Николай

Менеджер по работе с клиентами

E-mail: support@agava.com

Многоканальные телефоны:

+7 (495) 781-65-37

+7 (800) 333-65-37

Вот такой вот цирк ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
А тогда почему сайт http://www.z-olegcom.57.com1.ru/leaktest.exe работает?

Это доменное имя для инженерных целей. В остальном беда в том, что блокировка домена убила не только сайт, но и почту

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

а почему агава? почему не nic.ru/reg.ru и т.д???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
а почему агава? почему не nic.ru/reg.ru и т.д???

эти хостинги не надежны, но почему из надежных именно агава, вопрос остается.

Вас только забанили или к тому же все стерли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×