Зайцев Олег

Чем чреваты тесты Anti-Malware.ru и VirusTotal

В этой теме 224 сообщений

Сегодня мне пришло два письма - от саппорта agava.ru (с данными о том, что мой домен заблокирован за распространение вирусов) и от Publicdomainregistry.com Abuse Desk <[email protected]>:

Hello,

We have been made aware that the domain name 'z-oleg.com' registered under you is involved in spreading malware. Any domain names involved in any such activity, is strictly against Registrar PublicDomainRegistry.com's AUP.

Malicious Url/url's :

z-oleg.com/leaktest.exe

We have currently Suspended this domain name due to such abuse.

Regards,

PDR Abuse Desk.

Ticket ID: 22871

Я страшно удивился, проверил - а вдруг и вправду сайт хакнули и там уже вирусяка какая лежит - оказалось, что нет - там лежит там самая древняя заглушка, которую мы применяли в тестах эмуляторов и эвристиков на АМ - http://www.anti-malware.ru/forum/index.php?showtopic=3192 (там самая, которая выводит на экран сообщение о том, что это "Virus demo stub for AV test" и завершает работу. Я про него уже и думать забыл - тестирование то 4 года назад было ... Когда я проверил файл на VT - http://www.virustotal.com/file-scan/report...c985-1311523883 - то был поражен, 30 детектов из 42 возможных. Большинство правда детектят это как *AVtest*, содержимое этого EXE:

CODE:00407DC8                 push    ebpCODE:00407DC9                 mov     ebp, espCODE:00407DCB                 add     esp, 0FFFFFFF0hCODE:00407DCE                 mov     eax, ds:off_4083A8CODE:00407DD3                 mov     byte ptr [eax], 1CODE:00407DD6                 mov     eax, offset dword_407D68CODE:00407DDB                 call    @[email protected]@InitExe$qqrpv; Sysinit::__linkproc__ InitExe(void *)CODE:00407DE0                 push    0CODE:00407DE2                 push    offset aVirusDemoStubF; "Virus demo stub for AV test !"CODE:00407DE7                 push    offset aHelloThisIsDem; "Hello, this is demo file !!"CODE:00407DEC                 push    0CODE:00407DEE                 call    MessageBoxA_0CODE:00407DF3                 call    @[email protected]@Halt0$qqrv; System::__linkproc__ Halt0(void)CODE:00407DF3; ---------------------------------------------------------------------------CODE:00407DF8 aVirusDemoStubF db 'Virus demo stub for AV test !',0CODE:00407DF8                                ; DATA XREF: CODE:00407DE2oCODE:00407E16                 align 4CODE:00407E18 aHelloThisIsDem db 'Hello, this is demo file !!',0; DATA XREF: CODE:00407DE7oCODE:00407E34                 align 200hCODE:00407E34 CODE            ends

Вот так вот я пострадал за тесты :) Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ничего страшного, бывает со всеми, можно обратиться к администрации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ничего страшного, бывает со всеми, можно обратиться к администрации.

Агаве я уже два раза объяснял то, что это за файл и откуда ... интересно другое - такое количество детектов совершенной пустышки. Она же ничем не упакована, не содержит ни одного опасного вызова, и не делает ровным счетом ничего :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Агаве я уже два раза объяснял то, что это за файл и откуда ... интересно другое - такое количество детектов совершенной пустышки. Она же ничем не упакована, не содержит ни одного опасного вызова, и не делает ровным счетом ничего :)

Это что - то вроде EICARа?

Да, детект ложный явно, ладно, где в детекте слово "Test", а там где просто троян, удивляет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ничего страшного, бывает со всеми, можно обратиться к администрации.

:facepalm:

Это что - то вроде EICARа?

Да, детект ложный явно, ладно, где в детекте слово "Test", а там где просто троян, удивляет.

:facepalm:

x-sis, может быть на сегодня facepalm'ов хватит?

ладно, где в детекте слово "Test"

Образец отсылал лично (было срабатывание trojan.avtest.a или подобное) с пометкой ложное срабатывание. И, о чудо, его (детект) убрали.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Напиши пост на корпоративный блог "ЛК" со скриншотами точки входа и результатов VT.

И убери слово "Virus". :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Эммм, что то тут плохая тенденция - это так если каждый Фейк АВ задетектит что то на каком либо сайте, то его забанят? Вообще трындец... :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Один коммент на ВТ жжот )

ALEX(XX), привет!!! :beer:

по-моему, не один коммент, а минимум три ))))

Я страшно удивился, проверил - а вдруг и вправду сайт хакнули и там уже вирусяка какая лежит

Олег, а почему именно битрикс, кстати? (если я правильно понял)

в ответ тишина

но у меня сайт нормально отображается в браузере...

PS:

какой на сегодняшний день трафф с сайта и сколько выходит за него платить (если не секрет, конечно)?

(когда-то давно этот вопрос поднимался на ВИ, но вроде без таких подробностей)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сегодня мне пришло два письма - от саппорта agava.ru (с данными о том, что мой домен заблокирован за распространение вирусов) и от Publicdomainregistry.com Abuse Desk <[email protected]>

Вот так вот я пострадал за тесты :) Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.

Agava.ru легко ответит на пост через Roem.ru ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. Олег, а почему именно битрикс, кстати? (если я правильно понял)

2. но у меня сайт нормально отображается в браузере...

PS:

какой на сегодняшний день трафф с сайта и сколько выходит за него платить (если не секрет, конечно)?

(когда-то давно этот вопрос поднимался на ВИ, но вроде без таких подробностей)

1. да, там Битрикс. Все просто: случилоcь так, что я хорошо знаю его, приходилось сталкиваться и даже лекции довелось по нему вести. Система простая, довольно функциональная - поэтому когда я решил создать сайт, то купил себе битрикса и соорудил сайт за два вечера :) (причем мегадизайн сайта - это демо-пример Битрикса, немного доточенный - ибо дизайнер из меня нулевой ...).

2. не секрет, точно не помню - порядка 250$ в год сам хостинг, плюс за Битрикс примерно 250$, плюс домен и всякая прочая ерунда. AVZ сам по себе дублирован на зеркалах ЛК, так что трафик сайта не сильно большой - за июль например 17 миллионов обращений, порядка 5 терабайт трафика... (но он и у меня лежит - иногда помогает, когда малварь блокирует зеркала ЛК, равно как наоборот). Я бы давно поставил свой сервер на площадке у знакомых провайдеров, лишний сервер есть - но сила инерции и лени велика ...

PS: у меня домен стал отвечать :) (до этого пинг говорил, что не может определить IP - т.е. явная блокировка домена в DNS)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Домен всетаки вырубили, вот пришел официальный ответ AGAVA:

Здравствуйте.

Так как доменное имя заблокировано точная ссылка до файла в настоящее

время http://www.z-olegcom.57.com1.ru/leaktest.exe

Приводим Вам лог антивируса при попытке обратится к файлу.

06.08.2011 0:17:07 Фильтр HTTP файл

http://www.z-olegcom.57.com1.ru/leaktest.exe вероятно

модифицированный Win32/Agent.BCUVJHQ троянская программа соединение

прервано - изолирован Обнаружена угроза при попытке доступа в Интернет

следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.

С уважением, Тератьев Илья

Менеджер по работе с клиентами

E-mail: [email protected]

Т.е. они проверяют файлы NOD32 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Т.е. они проверяют файлы NOD32 :)

:facepalm: Молодцы они....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Домен всетаки вырубили, вот пришел официальный ответ AGAVA:

Т.е. они проверяют файлы NOD32 :)

Класс... счас наберу упаковщиков и запакую ими notepad.exe

пускай блочат мой акк 8-)

p.s.

держите в курсе развития событий - очень интересно -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скорее всего кто-то им настучал. Много лет работало и ничего было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина[email protected]

Я отправил файл исету как фолс, а в агава написал, что вы сделали с клиентом и ссылка на эту тему. Посмотрим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот ответ Агавы (исет молчат)

On Суб. Авг. 06 13:43:39 2011, siz wrote:

Здравствуйте. Почитайте тут, что вы сделали с

клиентом:?http://www.anti-malware.ru/forum/index.php?showtopic=19043&st=0

Исправьте, пожалуйста, ситуацию

--

Здравствуйте.

В настоящее время мы решаем возникшую ситуацию, как только она будет

решена доменное имя возобновит работу.

С уважением, Тератьев Илья

Менеджер по работе с клиентами

E-mail: [email protected]

Многоканальные телефоны:

+7 (495) 781-65-37

+7 (800) 333-65-37

Служба поддержки хостинга AGAVA

http://hosting.agava.ru/ --

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну, не удивительно. Они в репертуаре. Меня они давно заблокировали под предлогом "Партнёры попросили". Хотя и с иной формулировкой - "Распространение переводов и ПО против которых возражают патентообладатели". Просто, ясно и понятно. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне только что ответили:

Здравствуйте!

Приносим извинения за доставленные неудобства.

К сожалению, сотрудники, имеющие доступ к управлению Вашим доменом

работают только в будни.

Всего доброго.

--

С уважением, Полянский Николай

Менеджер по работе с клиентами

E-mail: [email protected]

Многоканальные телефоны:

+7 (495) 781-65-37

+7 (800) 333-65-37

Вот такой вот цирк ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А тогда почему сайт http://www.z-olegcom.57.com1.ru/leaktest.exe работает?

Это доменное имя для инженерных целей. В остальном беда в том, что блокировка домена убила не только сайт, но и почту

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а почему агава? почему не nic.ru/reg.ru и т.д???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а почему агава? почему не nic.ru/reg.ru и т.д???

эти хостинги не надежны, но почему из надежных именно агава, вопрос остается.

Вас только забанили или к тому же все стерли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • alamor
      Два спамера дают ссылку на левый сайт и пытаются выдать за оф. сайт 
       
    • ToptynOON
      Желательно оставлять ссылку на официальный сайт, у вас конечно не много рекламы но все же есть риск скачать амиго. Так что ссылка на оф.сайт http://adguard.mobi/
    • PR55.RP55
      Разобрался в чём дело. uVS  не видит настройки. А именно:  Перенес кеша Google Chrome, Firefox или Opera и т.д. т.е. не видит изменения в файле:  profiles.ini %appdata%\Mozilla\Firefox\profiles.ini uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки. Про перенос кеша браузеров: https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/ Я так понимаю, что он при изменении настроек много чего не видит ( думаю и ряд активных файлов\дополнений )
    • PR55.RP55
      + По этой теме:  http://www.tehnari.ru/f35/t256998/ C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL Файл не попал в список подозрительных - хотя имя файла соответствует системному: C:\WINDOWS\SYSWOW64\WINHTTP.DLL
      C:\WINDOWS\SYSTEM32\WINHTTP.DLL + Файл явно в автозапуске  - чего опять же не видно. по всей видимости ситуация аналогична раннее исправленной ошибке с wsaudio.dll ----------- + Вчера запустил uVS > отфильтровал все отсутствующие и применил для них: все файлы в текущей категории ( с учётом фильтра проверены )  > и  применил Alt+Del У меня на Mozilla Firefox снесло все расширения ( 3) два из которых были отключены. причём сами файлы в каталоге: Application Data\Mozilla\Firefox\Profiles\********.default\extensions присутствуют - но браузер их не видит.
    • santy
      и здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.