Зайцев Олег

Чем чреваты тесты Anti-Malware.ru и VirusTotal

В этой теме 224 сообщений

Сегодня мне пришло два письма - от саппорта agava.ru (с данными о том, что мой домен заблокирован за распространение вирусов) и от Publicdomainregistry.com Abuse Desk <[email protected]>:

Hello,

We have been made aware that the domain name 'z-oleg.com' registered under you is involved in spreading malware. Any domain names involved in any such activity, is strictly against Registrar PublicDomainRegistry.com's AUP.

Malicious Url/url's :

z-oleg.com/leaktest.exe

We have currently Suspended this domain name due to such abuse.

Regards,

PDR Abuse Desk.

Ticket ID: 22871

Я страшно удивился, проверил - а вдруг и вправду сайт хакнули и там уже вирусяка какая лежит - оказалось, что нет - там лежит там самая древняя заглушка, которую мы применяли в тестах эмуляторов и эвристиков на АМ - http://www.anti-malware.ru/forum/index.php?showtopic=3192 (там самая, которая выводит на экран сообщение о том, что это "Virus demo stub for AV test" и завершает работу. Я про него уже и думать забыл - тестирование то 4 года назад было ... Когда я проверил файл на VT - http://www.virustotal.com/file-scan/report...c985-1311523883 - то был поражен, 30 детектов из 42 возможных. Большинство правда детектят это как *AVtest*, содержимое этого EXE:

CODE:00407DC8                 push    ebpCODE:00407DC9                 mov     ebp, espCODE:00407DCB                 add     esp, 0FFFFFFF0hCODE:00407DCE                 mov     eax, ds:off_4083A8CODE:00407DD3                 mov     byte ptr [eax], 1CODE:00407DD6                 mov     eax, offset dword_407D68CODE:00407DDB                 call    @[email protected]@InitExe$qqrpv; Sysinit::__linkproc__ InitExe(void *)CODE:00407DE0                 push    0CODE:00407DE2                 push    offset aVirusDemoStubF; "Virus demo stub for AV test !"CODE:00407DE7                 push    offset aHelloThisIsDem; "Hello, this is demo file !!"CODE:00407DEC                 push    0CODE:00407DEE                 call    MessageBoxA_0CODE:00407DF3                 call    @[email protected]@Halt0$qqrv; System::__linkproc__ Halt0(void)CODE:00407DF3; ---------------------------------------------------------------------------CODE:00407DF8 aVirusDemoStubF db 'Virus demo stub for AV test !',0CODE:00407DF8                                ; DATA XREF: CODE:00407DE2oCODE:00407E16                 align 4CODE:00407E18 aHelloThisIsDem db 'Hello, this is demo file !!',0; DATA XREF: CODE:00407DE7oCODE:00407E34                 align 200hCODE:00407E34 CODE            ends

Вот так вот я пострадал за тесты :) Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ничего страшного, бывает со всеми, можно обратиться к администрации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ничего страшного, бывает со всеми, можно обратиться к администрации.

Агаве я уже два раза объяснял то, что это за файл и откуда ... интересно другое - такое количество детектов совершенной пустышки. Она же ничем не упакована, не содержит ни одного опасного вызова, и не делает ровным счетом ничего :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Агаве я уже два раза объяснял то, что это за файл и откуда ... интересно другое - такое количество детектов совершенной пустышки. Она же ничем не упакована, не содержит ни одного опасного вызова, и не делает ровным счетом ничего :)

Это что - то вроде EICARа?

Да, детект ложный явно, ладно, где в детекте слово "Test", а там где просто троян, удивляет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ничего страшного, бывает со всеми, можно обратиться к администрации.

:facepalm:

Это что - то вроде EICARа?

Да, детект ложный явно, ладно, где в детекте слово "Test", а там где просто троян, удивляет.

:facepalm:

x-sis, может быть на сегодня facepalm'ов хватит?

ладно, где в детекте слово "Test"

Образец отсылал лично (было срабатывание trojan.avtest.a или подобное) с пометкой ложное срабатывание. И, о чудо, его (детект) убрали.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Напиши пост на корпоративный блог "ЛК" со скриншотами точки входа и результатов VT.

И убери слово "Virus". :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Эммм, что то тут плохая тенденция - это так если каждый Фейк АВ задетектит что то на каком либо сайте, то его забанят? Вообще трындец... :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Один коммент на ВТ жжот )

ALEX(XX), привет!!! :beer:

по-моему, не один коммент, а минимум три ))))

Я страшно удивился, проверил - а вдруг и вправду сайт хакнули и там уже вирусяка какая лежит

Олег, а почему именно битрикс, кстати? (если я правильно понял)

в ответ тишина

но у меня сайт нормально отображается в браузере...

PS:

какой на сегодняшний день трафф с сайта и сколько выходит за него платить (если не секрет, конечно)?

(когда-то давно этот вопрос поднимался на ВИ, но вроде без таких подробностей)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сегодня мне пришло два письма - от саппорта agava.ru (с данными о том, что мой домен заблокирован за распространение вирусов) и от Publicdomainregistry.com Abuse Desk <[email protected]>

Вот так вот я пострадал за тесты :) Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.

Agava.ru легко ответит на пост через Roem.ru ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. Олег, а почему именно битрикс, кстати? (если я правильно понял)

2. но у меня сайт нормально отображается в браузере...

PS:

какой на сегодняшний день трафф с сайта и сколько выходит за него платить (если не секрет, конечно)?

(когда-то давно этот вопрос поднимался на ВИ, но вроде без таких подробностей)

1. да, там Битрикс. Все просто: случилоcь так, что я хорошо знаю его, приходилось сталкиваться и даже лекции довелось по нему вести. Система простая, довольно функциональная - поэтому когда я решил создать сайт, то купил себе битрикса и соорудил сайт за два вечера :) (причем мегадизайн сайта - это демо-пример Битрикса, немного доточенный - ибо дизайнер из меня нулевой ...).

2. не секрет, точно не помню - порядка 250$ в год сам хостинг, плюс за Битрикс примерно 250$, плюс домен и всякая прочая ерунда. AVZ сам по себе дублирован на зеркалах ЛК, так что трафик сайта не сильно большой - за июль например 17 миллионов обращений, порядка 5 терабайт трафика... (но он и у меня лежит - иногда помогает, когда малварь блокирует зеркала ЛК, равно как наоборот). Я бы давно поставил свой сервер на площадке у знакомых провайдеров, лишний сервер есть - но сила инерции и лени велика ...

PS: у меня домен стал отвечать :) (до этого пинг говорил, что не может определить IP - т.е. явная блокировка домена в DNS)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Домен всетаки вырубили, вот пришел официальный ответ AGAVA:

Здравствуйте.

Так как доменное имя заблокировано точная ссылка до файла в настоящее

время http://www.z-olegcom.57.com1.ru/leaktest.exe

Приводим Вам лог антивируса при попытке обратится к файлу.

06.08.2011 0:17:07 Фильтр HTTP файл

http://www.z-olegcom.57.com1.ru/leaktest.exe вероятно

модифицированный Win32/Agent.BCUVJHQ троянская программа соединение

прервано - изолирован Обнаружена угроза при попытке доступа в Интернет

следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.

С уважением, Тератьев Илья

Менеджер по работе с клиентами

E-mail: [email protected]

Т.е. они проверяют файлы NOD32 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Т.е. они проверяют файлы NOD32 :)

:facepalm: Молодцы они....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Домен всетаки вырубили, вот пришел официальный ответ AGAVA:

Т.е. они проверяют файлы NOD32 :)

Класс... счас наберу упаковщиков и запакую ими notepad.exe

пускай блочат мой акк 8-)

p.s.

держите в курсе развития событий - очень интересно -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скорее всего кто-то им настучал. Много лет работало и ничего было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина[email protected]

Я отправил файл исету как фолс, а в агава написал, что вы сделали с клиентом и ссылка на эту тему. Посмотрим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот ответ Агавы (исет молчат)

On Суб. Авг. 06 13:43:39 2011, siz wrote:

Здравствуйте. Почитайте тут, что вы сделали с

клиентом:?http://www.anti-malware.ru/forum/index.php?showtopic=19043&st=0

Исправьте, пожалуйста, ситуацию

--

Здравствуйте.

В настоящее время мы решаем возникшую ситуацию, как только она будет

решена доменное имя возобновит работу.

С уважением, Тератьев Илья

Менеджер по работе с клиентами

E-mail: [email protected]

Многоканальные телефоны:

+7 (495) 781-65-37

+7 (800) 333-65-37

Служба поддержки хостинга AGAVA

http://hosting.agava.ru/ --

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну, не удивительно. Они в репертуаре. Меня они давно заблокировали под предлогом "Партнёры попросили". Хотя и с иной формулировкой - "Распространение переводов и ПО против которых возражают патентообладатели". Просто, ясно и понятно. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне только что ответили:

Здравствуйте!

Приносим извинения за доставленные неудобства.

К сожалению, сотрудники, имеющие доступ к управлению Вашим доменом

работают только в будни.

Всего доброго.

--

С уважением, Полянский Николай

Менеджер по работе с клиентами

E-mail: [email protected]

Многоканальные телефоны:

+7 (495) 781-65-37

+7 (800) 333-65-37

Вот такой вот цирк ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А тогда почему сайт http://www.z-olegcom.57.com1.ru/leaktest.exe работает?

Это доменное имя для инженерных целей. В остальном беда в том, что блокировка домена убила не только сайт, но и почту

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а почему агава? почему не nic.ru/reg.ru и т.д???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а почему агава? почему не nic.ru/reg.ru и т.д???

эти хостинги не надежны, но почему из надежных именно агава, вопрос остается.

Вас только забанили или к тому же все стерли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DisaGlass
      Хочу чтобы на открытых парковках сделали навесы для защиты от осадков. Кто за?    Конструкции из алюминия и стекла на заказ
    • Сергей Ильин
      Каждую минуту создается несколько десятков новых образцов малвари. Чтобы она попало в облачную базу репутации нужно: 1. Чтобы антивирусу они попались (обеспечить охват близкого к 100% парка машин) 2. Чтобы антивирус опознал их как вредосносные сразу.   п 1 нереален сразу. Поэтому шансы сильно снижаются изначально. п 2 тоже работает с определенной вероятностью. В большинстве случаев должна накопиться статистика по обнаружению конкретного файла в сети, что он делал, как распространялся и тп. Если статистики нет - репутации тоже нет. Файл попадает "в серую зону". Кроме этого сейчас тренд идет к тому, что вредонос рассылается только один раз конкретному человеку. Больше его ни у кого не будет в природе. Поэтому какая уж тут репутация ...
    • ViktorFazz
      Я с вами согласен, это еще нужно уметь, а еще нужно найти хорошую работу в сети. Но мне кажется лучше ходить на нормальную работу, а в интернете просто иметь дополнительный заработок. Я работаю админом в гостинице, при этом еще увлекаюсь ставками на спорт, так я имею в месяц еще несколько тысяч практически и ничего. Смотрю прогнозы на спорт тут - http://betrating.ru/
    • olejah
      В одной из прошлых статей мы обсуждали, как настроить собственный honeypot, теперь же попытаемся рассмотреть, как злоумышленники пытаются обойти эти ловушки, какие трюки они используют при серфинге и как вы можете стать жертвой honeypot в сети. Наконец, мы поговорим о том, как системные администраторы предприятий справляются с поддельными точками доступа, размещенными в сети предприятия, целью которых является кража конфиденциальных данных. https://www.anti-malware.ru/analytics/Threats_Analysis/How-Hackers-Avoid-Honeypots
    • AM_Bot
      Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее