Чем чреваты тесты Anti-Malware.ru и VirusTotal

[RuJN 21]

И кто регистратор вашего домена? Тот, кто прислали письмо из поста №1?

[Зайцев Олег 402]

а почему агава? почему не nic.ru/reg.ru и т.д???

Исторически. В понедельник займусь, сделаю пару зеркал

[Z.E.A. 190]

А я то думал, почему не могу базы АВЗ обновить.

Вот оно что.

[Dmitriy K 603]

там лежит там самая древняя заглушка, которую мы применяли в тестах эмуляторов и эвристиков на АМ - http://www.anti-malware.ru/forum/index.php?showtopic=3192 (там самая, которая выводит на экран сообщение о том, что это "Virus demo stub for AV test" и завершает работу. Я про него уже и думать забыл - тестирование то 4 года назад было ... Когда я проверил файл на VT - http://www.virustotal.com/file-scan/report...c985-1311523883 - то был поражен, 30 детектов из 42 возможных.

Некторые антивирусы до сих пор детектируют Hello.exe

У кого-то он дорос до TR/PWS

http://www.virustotal.com/file-scan/report...20e-1312662717#

[x-sis 10]

Некторые антивирусы до сих пор детектируют Hello.exe

http://www.virustotal.com/file-scan/report...20e-1312662717#

Практически все "популярные" детектят, кроме VBA.

[Mr. Justice 771]

Читающим тему рекомендую просматривать предыдущия сообщение повторно. Сообщения участников форума, находящихся на премодерации публикуются с задержкой. Впрочем это касается любых разделов форума.

[K_Mikhail 807]

Некторые антивирусы до сих пор детектируют Hello.exe

У кого-то он дорос до TR/PWS

http://www.virustotal.com/file-scan/report...20e-1312662717#

Срабатывание Dr.Web правильно лишь по сути работы данного вида эвристика (Packed.Based). Выслал им на фикс.

[ANDYBOND 283]

Считаю блокировку правильной: надоели эти игры Лаборатории Касперского и её нынешних сотрудников с вирусами и псевдовирусами! Тем более, что делается это без предупреждения. И, не вникая в подробности (а почему я должен в них вникать), детект большинством антивирусов есть повод поднять тревогу. Так что Вы не правы, господин Зайцев! За такое надо блокировать места размещения, что и было сделано.

[Razboynik 105]

Т.е. они проверяют файлы NOD32

Молодцы они....

Danilka, а можно пояснить такую реакцию? Для не экспертов

[Groft 65]

Тем более, что делается это без предупреждения.

Ну это уже перебор.

[Юрий Паршин 330]

Незачем гнать на ЛК - Вас, уважаемый, оттуда попросили не так прям давно - так что - теперь поливать всех грязью? AVZ - отличная вещь (и это не пиар) - а Вы бы доросли до такого и ответили бы делом, а не словами. И не вникайте - Вам этого не понять....

Товарищу стало обидно, что его любимый *антивирусный продукт очень плохого качества* задетектил этот файл. Разумеется, у него сразу же начался butthurt.

[RuJN 21]

Молодцы они....

Danilka, а можно пояснить такую реакцию? Для не экспертов

По-моему имеется в виду, то что они не молодцы.

[ANDYBOND 283]

30 антивирусов дали детект. Это показатель.

[vaber 350]

30 антивирусов дали детект. Это показатель.

Показатель того, что они УГ?

[Z.E.A. 190]

детект большинством антивирусов есть повод поднять тревогу

Андрей, Вы как-то уж совсем... разочаровываете что ли?

[ANDYBOND 283]

To vaber!

Не сказал бы.

Андрей, Вы как-то уж совсем... разочаровываете что ли?

Не понял вопроса.

[Z.E.A. 190]

Вопроса не было.

Были мысли вслух.

[DiabloNova 175]

Началось с того что кто-то по доброте душевной просканировал сайт и файл отдельно на VT (2011-06-24 21:24:47). Потом ссылочки отправились в MalwarePatrol (2011-06-24 21:27:05). Чуть позже по ней проходится CRDF (2011-06-25 17:55:51), а он маркирует только то, что уже есть у него в базе в виде бинарника. Затем подключается Paretologic, оба кидают ссылки в трекер CleanMX. На следующий день результат зеркалится Malc0de. TrendMicro и Websense маркируют сайт как зловредный Автоматически следует рассылка абуз. Занавес.

Ищите "доброжелателей", поскольку имхо это либо чистый идиотизм, либо успешный троллинг

Если же вы обратите внимание на "детекты" - то тем кому было нечего делать сделали AvTest, ну а шараги безусловно определили Trojan Banload/Downloader etc

P.S.

И уж если на то пошло. В случае размещения на общедоступном сервисе/сайте файла, который вызывает нервную реакцию у большинства пациентов VT - обычно файл архивируется и защищается паролем. Ну это так на будущее.

[alexgr 556]

это сайт Зайцева. Он возник раньше, чем Зайцев попал в ЛК. Но поток сознания..... Везде видеть "злобную руку" - прям 37 год какой то...

[priv8v 960]

Предлагаю несколько свернуть с обсуждения золотых бета тестеров и проанализировать то, что сказал DiabloNova, а именно этот механизм (запуск его) анализа сайта и создания на него абуз. Этот механизм можно доработать (ну или в таком виде принять на вооружение) для борьбы с реально вредоносными сайтами... а?

Осталось разобраться в каких отношениях находятся регистратор и хостинг (именно регистратор засупендил домен, а что сделала агава в таком случае?)...

[Kapral 311]

проанализировать то, что сказал DiabloNova, а именно этот механизм (запуск его) анализа сайта и создания на него абуз.

Скажем так я сталкивался с аналогичным (почту моей конторы вносили в спамеры) поведением (понимаю - что это приближенно, но все же )

Попасть в некоторых случаях в блэклист - проще паренной репы... а избавится... хм... трудновато

В некоторых случаях попадание в блэклист идет по любой заявке, и её обоснованность не проверяется. зато вывод из него связан с большими временными затратами

[Mr. Justice 771]

Флейм и оффтопик здесь http://www.anti-malware.ru/forum/index.php...0&start=600

[Valery Ledovskoy 1082]

Попасть в некоторых случаях в блэклист - проще паренной репы... а избавится... хм... трудновато

Да, мне на местной работе приходилось несколько раз сталкиваться с попаданием в спамерские блэк-листы нашего (тогда ещё) ЮТК (недавно РТК перекупила, и мы уже на другом провайдере), прям пачками IP-адреса туда попадали, включая выделенные нам. А заказчики - почти по всей России. И если нет почты, бизнес останавливается. Приходилось и писать письма на инглише тем, кто эти базы создаёт. И даже находил понимание иногда Но чаще решалось тем, что админы почтовых серверов у заказчиков (а заказчики обычно такие как различные подразделения Газпрома и пр., у которых обычно собственные почтовые сервера) заносили наши e-mail'ы в исключения из проверки по спам-листам. Но для этого тоже приходилось находить этих админов и общаться с ними. А как иначе? Нашему гендиру, который никогда в жизни компьютерами не пользовался (сейчас, правда потихоньку приучают на уровне открытия вордовских/экселевских файлов, которые присылают заказчики) очень сложно рассказывать про IP-адреса и попадание в спам-листы, и что мы в этом не виноваты... Главное, что работа не идёт. Поэтому либо справься сам, либо скажи, кто может помочь. И сделать нужно вчера Поэтому прекрасно Олега понимаю. И у него сейчас сложнее ситуация, ибо это обвинение не в распространении спама, а в распространении вредоносных программ, что, ИМХО, более жёсткое обвинение. Да и пользователи вряд ли смогут в исключения у себя добавить

[RuJN 21]

ИСЕТ на мой запрос пока молчат первые сутки...

Для прикола надо отправить ссылочку на сайт исет раша в Malware Patrol

а можно и на АМ...для прикола тут же иногда вирусы или ссылки на них, и на еикар тоже

Кстати, изменения: http://www.virustotal.com/file-scan/report...c985-1312714032

[Mr. Justice 771]

Сообщения в помойку сбрасывать больше не буду. Оффтопик и флейм будет удаляться. Все спорные вопросы, не связанные с обсуждаемой темой можно обсудить в личке. Хотите обсудить публично - создавайте новый топик.